La Ley de Derechos de Privacidad de California (CPRA) modificó oficialmente partes de la Ley de Privacidad del Consumidor de California (CCPA) y entró en vigor el 1 de enero de 2023.
A continuación, aclaro cualquier confusión sobre cómo la CCPA y la CPRA interactúan y afectan a las obligaciones de las empresas y a los derechos de los consumidores, y explico qué ha cambiado.
Principales cambios introducidos por la CPRA en la CCPA:
- Las enmiendas de la CPRA introdujeron un nuevo umbral legal.
- Introduce el concepto de compartir información personal y la categoría de información personal sensible.
- En ella se esbozaban nuevos derechos de los consumidores y se modificaban los requisitos empresariales.
- Resumen rápido de la CCPA frente a la CPRA
- Explicación de la CCPA y la CPRA
- ¿Sustituyó la CPRA a la CCPA?
- ¿Qué cambios introdujo la CPRA?
- Diferencias entre la CPRA y la CCPA
- ¿Quién debe cumplir la CPRA y la CCPA?
- Cómo garantizar que su empresa cumple correctamente ambas leyes
- Cómo puede ayudar Termly
- Preguntas Frecuentes sobre la CPRA y la CCPA
- Resumen
Resumen rápido de la CCPA frente a la CPRA
He aquí un rápido resumen de cómo las enmiendas de la CPRA cambiaron y afectaron a la versión original de la CCPA:
- La CPRA aumenta el umbral legal que se aplica a las empresas que compran, venden o comparten información personal a 100.000 consumidores u hogares (anteriormente 50.000 con la CCPA original).
- La CPRA introduce una nueva categoría de información personal, la información personal sensible, que está sujeta a directrices más estrictas.
- Los consumidores obtienen derechos nuevos y ampliados de la CPRA, como el derecho de exclusión voluntaria, un acceso más sólido a los datos personales y el derecho a limitar el intercambio de información personal sensible.
- La CPRA introduce nuevas obligaciones legales en torno a la puesta en común de información personal, lo que significa intercambiar datos con fines que no sean lucrativos.
Siga leyendo para obtener un desglose más completo de cómo la CPRA modifica la CCPA.
Explicación de la CCPA y la CPRA
La CPRA entró en vigor el 1 de enero de 2023, modificando partes de la CCPA, que ha estado en vigor desde el 1 de enero de 2020, y cualquier parte de la CCPA no afectada por las revisiones de la CPRA sigue siendo aplicable.
Técnicamente no se trata de dos leyes diferentes, sino de una sola ley, la CCPA, con una serie de revisiones introducidas por la CPRA. Por este motivo, muchas entidades gubernamentales y organismos independientes de California se refieren a ambas leyes como simplemente la CCPA o la CCPA modificada.
En las siguientes secciones, cubro las directrices de privacidad esbozadas por la CCPA original, y luego explico cómo la CPRA cambió esos requisitos cuando entró en vigor.
CCPA
El 1 de enero de 2020, la Ley de Protección de los Consumidores de California(CCPA) se convirtió en una de las primeras leyes de privacidad de datos de Estados Unidos. Introdujo algunos de los requisitos de privacidad de datos y protección de los consumidores más estrictos de Estados Unidos.
Esta ley establece normas para la recogida de datos, consecuencias para las empresas que no protejan adecuadamente los datos de sus usuarios y nuevos derechos que los californianos pueden ejercer sobre su información personal.
Umbral legal CCPA
Aunque la CPRA modificó los umbrales legales de la CCPA, inicialmente se aplicaba a cualquier empresa con ánimo de lucro que recopilara datos de residentes en California y cumpliera alguna de las siguientes condiciones:
- Generó 25 millones de dólares de ingresos brutos anuales
- Anualmente compró, recibió, vendió o compartió la información personal de 50.000 o más consumidores u hogares
- el 50% o más de sus ingresos brutos anuales proceden de la venta de información personal de los consumidores
Derechos de los consumidores en virtud de la CCPA
La CCPA también concedió a los consumidores de California los siguientes derechos:
- Saber qué información se recoge sobre ellos
- Saber si sus datos personales se venden o comparten y con qué terceros
- Para rechazar la venta de información personal
- Optar por la venta de información personal si tiene entre 13 y 16 años
- Acceder a sus datos personales y eliminarlos
- A igualdad de servicio y precio, aunque decidan ejercer su derecho a la intimidad
Para respetar estos derechos, las empresas que se acojan a la CCPA deben proporcionar a cualquier consumidor que presente una "solicitud verificable" de acceso a sus datos un registro de la información recopilada.
Una "solicitud verificable" significa que ha sido realizada por:
- Un consumidor
- Un consumidor en nombre de un menor
- Una persona legalmente autorizada para actuar en nombre de un consumidor que trate registros recopilados de forma verificable de la persona o sobre ella.
Las empresas deben proporcionar a los consumidores detalles sobre los últimos 12 meses de recopilación de datos, incluido el intercambio, uso y venta de información personal, en un plazo de 45 días a partir de la solicitud.
Requisitos de la CCPA para las empresas
La CCPA establecía los siguientes requisitos para las empresas, muchos de los cuales siguen vigentes o se han ampliado con las modificaciones de la CPRA:
- Informar a los consumidores de que se recogen datos personales
- Ofrecer a los consumidores la posibilidad de excluirse de la recopilación de datos mediante parámetros de privacidad visibles.
- Responder oportunamente a las solicitudes de los consumidores
- Doble verificación de la identidad de los consumidores que deseen comprobar o eliminar sus datos personales.
- Informe a los consumidores sobre cuánto dinero gana con los datos y cuál es su valor
- Conservar los registros durante al menos dos años
Para satisfacer estos requisitos, debe publicar una política de privacidad conforme con California y política de cookies explicando qué datos personales recopila, que sigue siendo aplicable en virtud de la CPRA.
Puede atender las solicitudes de los consumidores para acceder a su información y eliminarla utilizando un formulario de Solicitud de Acceso del Sujeto a los Datos (DSAR), al que puede enlazar en su sitio web.
Según el artículo 1798.120(a) de la ley, también debe poner un enlace visible "No vender mis datos personales" en la página de inicio de su sitio web que permita a los usuarios optar por no vender sus datos.
Sin embargo, la CPRA modificó estas directrices introduciendo el concepto de compartir datos personales, que trato con más detalle más adelante en el artículo.
Sanciones en virtud de la CCPA
Si se descubre que incumple la CCPA, las sanciones incluyen:
- 2.500 dólares por cada infracción
- 7.500 dólares por cada infracción intencionada
Originalmente, las empresas disponían de un periodo de subsanación de 30 días, lo que significa que tenían 30 días para responder por escrito que habían subsanado todas las infracciones y hacer una declaración de que las infracciones dejarían de producirse. Sin embargo, este periodo de gracia no se aplica en virtud de la CPRA.
La Oficina del Fiscal General de California aplicaba estas sanciones, pero en virtud de la CPRA, el poder de aplicación pasa a un nuevo grupo denominado Agencia de Protección de la Privacidad de California o CPPA.
Los consumidores también tienen derecho a demandar a las empresas por la pérdida de su privacidad derivada de una violación de datos, por lo que es posible incurrir en sanciones adicionales por demandas privadas.
Con la adición de las enmiendas de la CPRA, los motivos para emprender acciones legales privadas contra una empresa se han ampliado aún más, lo que impone a las empresas aún más responsabilidades a la hora de proteger los datos de los usuarios.
CPRA
El 1 de enero de 2023 entraron en vigor los requisitos legales de la Ley de Derechos de Privacidad de California(CPRA), que modificó partes de la CCPA.
Sin embargo, la fecha de entrada en vigor de las normas de aplicación cambió en múltiples ocasiones:
- Inicialmente, estaba previsto que las normas entraran en vigor el 1 de enero de 2023, con una perspectiva retrospectiva hasta el 1 de enero de 2022.
- Sin embargo, la CPPA se retrasó en el establecimiento de las normas de aplicación, por lo que los tribunales de California ampliaron la fecha de aplicación hasta el 29 de marzo de 2024.
- La CPPA recurrió esta decisión y el 9 de febrero de 2024 se anunció que el Tribunal de Apelación del Tercer Distrito de California se ponía de parte de la CPPA.
- Hoy entran oficialmente en vigor todas las modificaciones de la CPRA, con una perspectiva retrospectiva hasta el 1 de julio de 2023.
Esta ley introduce nuevas categorías de datos, actualiza los umbrales legales, otorga más derechos a los consumidores y amplía las obligaciones de las empresas esbozadas anteriormente por la CCPA.
Umbral legal de la CPRA
La CPRA introdujo un nuevo umbral legal que ahora se aplica a la CCPA, por lo que su empresa cae bajo la jurisdicción de ambas leyes si desarrolla su actividad en California y cumple alguna de las siguientes condiciones:
- Haber obtenido 25 millones de dólares de ingresos brutos anuales a partir del 1 de enero del año natural anterior.
- Anualmente compra, vende o comparte información personal de 100.000 consumidores u hogares californianos o más.
- Derivó el 50% o más de sus ingresos brutos anuales de la venta o intercambio de información personal
El concepto de compartir datos es una novedad introducida por la CPRA y se refiere a todo lo siguiente:
- Alquiler de datos personales
- Divulgación de datos personales
- Difusión de datos personales
- Puesta a disposición de datos personales
- Transferencia de datos personales
- Comunicar detalles sobre datos personales oralmente o por escrito
- Comunicación de detalles sobre datos personales por vía electrónica o por otros medios
Como he mencionado anteriormente, debido al alcance extraterritorial de estas leyes, su empresa no necesita estar ubicada en California para caer bajo su jurisdicción legal.
Derechos de los consumidores en virtud de la CPRA
La CPRA también amplió algunos derechos de los consumidores establecidos por la CCPA e introdujo algunos nuevos.
En virtud de esta ley, los consumidores tienen ahora derecho a:
- Optar por que no se vendan ni compartan sus datos personales mediante el enlace "No vender ni compartir mis datos personales" o respetando las preferencias de consentimiento de exclusión del navegador del consumidor.
- Limitar el uso y la divulgación de sus datos personales sensibles
- Corregir y suprimir la información personal inexacta tras presentar una solicitud verificada del consumidor.
- Solicitar el acceso a los datos recogidos sobre ellos más allá del periodo de 12 meses, a menos que sea imposible o exija un esfuerzo desproporcionado.
- Exclusión voluntaria de la toma de decisiones y elaboración de perfiles automatizados
La información personal sensible es una nueva categoría de datos personales definida por la CPRA e incluye cualquiera de los siguientes detalles:
- Números de permiso de conducir
- Números de la Seguridad Social (SSN)
- Números de identificación estatal
- Afiliación sindical
- Números de pasaporte
- Credenciales de usuario como nombres de usuario y contraseñas
- Datos biométricos y genética
- Origen étnico o racial
- Geolocalización precisa
- Creencias religiosas o filosóficas
- Información sobre la orientación sexual, la vida sexual o la salud del consumidor
- Contenido de los mensajes de texto, correo postal y electrónico del consumidor
A partir de ahora, las empresas deben colocar en su sitio web un enlace "Limitar el uso de mi información personal sensible" que sea fácil de encontrar para que los usuarios puedan ejercer este nuevo derecho de privacidad. Sin embargo, la ley le da la opción de respetar las preferencias de exclusión del navegador establecidas por el consumidor en lugar del enlace.
La CPRA también modificó el derecho a la acción privada, ampliando las directrices establecidas inicialmente por la CCPA. Ahora los consumidores pueden demandar a las empresas si:
- Se vulneran las direcciones de correo electrónico en combinación con una contraseña u otras preguntas de seguridad, permitiendo el acceso a una cuenta.
- La información personal no cifrada y no suprimida se ve comprometida debido a que la empresa no aplica ni mantiene medidas de seguridad razonables.
Estas revisiones también ampliaron los derechos de los consumidores menores de edad, y ahora las empresas deben:
- Obtener el consentimiento explícito antes de compartir o vender la información personal de un consumidor menor de 16 años.
- Establecer un modo para que un menor o su padre/madre/tutor especifique que el consumidor tiene entre 13 y 16 años o es menor de 13 años.
Requisitos de la CPRA para las empresas
También hay obligaciones empresariales nuevas y ampliadas establecidas por la CPRA, incluidos los requisitos de seguridad y las obligaciones contractuales.
Las empresas deben aplicar activamente "procedimientos y prácticas de seguridad razonables" para proteger la información personal.
Si se espera que una empresa cree un riesgo significativo para la privacidad, debe realizar comprobaciones anuales de ciberseguridad y presentar sus resultados a la Agencia de Protección de la Privacidad de California (CPPA), una nueva agencia creada para aplicar las dos leyes de privacidad de datos.
En cuanto a las nuevas obligaciones contractuales, si comparte, vende o revela información personal a contratistas, terceros o proveedores de servicios, debe crear un contrato en el que se especifique todo lo siguiente:
- Especificar los fines para los que se divulga, vende y comparte esa información con la otra entidad.
- Hacer necesario que la otra parte también cumpla con la CPRA y proporcione el mismo nivel de protección de la privacidad que exige la ley.
- La otra parte debe estar obligada a notificarte si ya no puede cumplir sus obligaciones en virtud de la CPRA
- Debe informar a la otra parte de que tiene derecho a tomar las medidas adecuadas y razonables para detener cualquier uso no autorizado de la información personal.
También hay nuevas limitaciones de almacenamiento y directrices de minimización de datos establecidas por la CPRA, a menudo comparadas con las directrices de la ley de privacidad de datos de la Unión Europea (UE), el Reglamento General de Protección de Datos (rgpd).
Establece que sólo se puede:
- Recopilar información personal cuando sea necesario o razonablemente necesario.
- Almacenar y conservar la información personal durante el tiempo necesario para los fines para los que fue recopilada.
La CPRA también limita a las empresas el uso de ciertas defensas si se produce una violación de datos y se emprenden acciones privadas contra ellas. En concreto, ahora especifica que la aplicación de medidas de seguridad razonables después de una violación ya no se considera una defensa adecuada.
Sanciones en virtud de la CPRA
Las sanciones se han actualizado con arreglo a la CPRA e incluyen:
- 2.500 dólares por infracción no intencionada
- 7.500 dólares por infracción intencionada o por delitos relacionados con datos personales de menores de 16 años
Pero ya no se aplica el periodo de gracia de 30 días para corregir las infracciones. En su lugar, la CPPA decide cuánto tiempo tiene cada empresa para corregir sus errores y tendrá en cuenta los siguientes factores:
- Si la empresa pretendía infringir la CPRA
- Si la empresa hizo esfuerzos para subsanar la presunta infracción
Además, como he mencionado anteriormente, ahora los consumidores pueden emprender acciones privadas contra una empresa por las dos razones siguientes:
- La información personal no cifrada y no suprimida se ve comprometida.
- Violación de direcciones de correo electrónico junto con una contraseña u otros datos que permitan el acceso a una cuenta.
¿Sustituyó la CPRA a la CCPA?
No, la CPRA no sustituye a la CCPA, sino que modifica partes de la CCPA, y cualquier parte que no se modifique sigue siendo aplicable a empresas y consumidores.
Por esta razón, lugares como la CPPA, la agencia responsable de hacer cumplir la CPRA, se refieren a las leyes como la CCPA, la CCPA modificada o los reglamentos de la CCPA.
¿Qué cambios introdujo la CPRA?
La CPRA introdujo varios cambios en la CCPA, entre los que destacan la ampliación de los derechos de los usuarios, la introducción de nuevos conceptos y el establecimiento de obligaciones adicionales para las empresas.
Algunos de los cambios clave introducidos por la CPRA incluyen:
- Nuevos umbrales legales : algunas empresas que cumplían los criterios de la CCPA de comprar, vender o compartir datos de 50.000 consumidores pueden dejar de estar sujetas a estas leyes si no cumplen el requisito actualizado de 100.000 consumidores.
- Nueva categoría de datos - La nueva ley reconoce la categoría de información personal sensible que debe ser altamente protegida, y los consumidores pueden solicitar que se limite o se excluya la venta, el intercambio o el tratamiento de esta información vulnerable.
- Derechos nuevos y ampliados de los consumidores : la CPRA amplía algunos de los derechos de los consumidores recogidos en la CCPA y les concede el derecho a corregir su información, limitar el uso de datos sensibles, acceder a información sobre la toma de decisiones automatizada y excluirse de la tecnología de toma de decisiones automatizada.
- Nuevos conceptos - Esta ley introduce el concepto de compartir información personal, que se refiere a cuando empresas y terceros intercambian datos pero no necesariamente con fines monetarios.
- Nueva incorporación de los principios de rgpd - Al igual que la rgpd, la CPRA adopta principios similares de minimización de datos, limitación de la finalidad y limitación del almacenamiento.
- Nuevos derechos privados para emprender acciones legales - Los consumidores pueden ahora emprender acciones legales privadas contra las empresas que expongan sus credenciales de acceso como parte de una violación de datos.
- Nueva creación de una agencia de aplicación de la privacidad - La Agencia de Protección de la Privacidad de California (CPPA) fue creada para hacer cumplir las nuevas leyes de privacidad de datos, una responsabilidad que anteriormente recaía en la Oficina del Fiscal General de California.
Diferencias entre la CPRA y la CCPA
Existen algunas diferencias de matiz entre la versión original de la CCPA y la normativa vigente ahora que la CPRA ha entrado oficialmente en vigor, por lo que he creado unos gráficos comparativos entre la CCPA y la CPRA.
CPRA vs. CCPA: Definiciones
Una forma significativa en que la CPRA afectó a la CCPA es cambiando, actualizando e introduciendo nuevos términos legales y definiciones, que se pueden encontrar en la sección 1798.40 de la ley.
En el siguiente cuadro, puede comparar algunas definiciones legales nuevas y ampliadas introducidas por la CPRA con las definiciones originales esbozadas por la CCPA.
| Plazo | CPRA | CCPA |
| Información personal sensible | Información personal altamente vulnerable que está sujeta a mayores requisitos de cumplimiento e incluye:
|
La versión original de la LPC no incluía la categoría de información personal sensible. |
| Compartir | La divulgación de información personal a terceros en el contexto de la publicidad basada en el comportamiento e incluye el intercambio gratuito, con fines lucrativos o de cualquier otro valor. | La versión original de la CCPA no hacía referencia al intercambio de información personal. |
| Contratista | Persona a la que una organización ha facilitado información personal de un consumidor para fines comerciales establecidos mediante un contrato escrito. | La versión original de la CCPA no definía al contratista |
| Información de dominio público | Cualquier información legalmente disponible en los registros del gobierno federal, estatal o local.
Cualquier información que una empresa crea razonablemente que se ha puesto legalmente a disposición del público en general a través de medios de comunicación de amplia difusión o por parte del consumidor. Y cualquier información facilitada por una persona a la que el consumidor haya revelado la información, siempre que el consumidor no haya limitado la información a un grupo o personas concretas. |
La versión original de la CCPA sólo definía la información de dominio público como cualquier información legalmente disponible en los registros de la administración federal, estatal o local. |
| Enlace al texto jurídico original | 1798,40 con enmiendas CPRA | 1798,40 del texto original CCPA |
* Los demás términos jurídicos no afectados por las modificaciones de la CPRA se interpretan de la misma manera que cuando la CCPA los definió inicialmente.
CPRA vs. CCPA: Umbrales legales
Debido a las revisiones introducidas por la CPRA, los umbrales legales han cambiado con respecto a lo que eran originalmente en virtud de la CCPA, lo que afecta a qué empresas entran dentro de la jurisdicción de estas leyes.
Observe el siguiente cuadro para comparar los nuevos requisitos establecidos por la CPRA y los umbrales legales esbozados originalmente por la CCPA, que se encuentran en la Sección 1798.140 de las leyes.
| CPRA | CCPA |
Cualquier entidad con ánimo de lucro que desarrolle su actividad en California y cumpla alguna de las siguientes disposiciones:
|
Cualquier entidad con ánimo de lucro que desarrolle su actividad en California, recopile datos de residentes en California y cumpla alguna de las siguientes condiciones:
|
| 1798.140 con enmiendas CPRA | 1798.140 del texto original de la CCPA |
Recuerde que, actualmente, los umbrales legales señalados por la CPRA son los únicos requisitos vigentes. Si cumple esas condiciones, su empresa debe atenerse tanto a las directrices sobre privacidad de datos de la CCPA como a las de la CPRA.
CPRA vs. CCPA: Derechos del consumidor
Algunos de los derechos de privacidad de datos concedidos inicialmente a los consumidores por la CCPA han sido ampliados por las enmiendas de la CPRA, además de introducirse algunas libertades nuevas.
En el siguiente cuadro se destacan las diferencias entre los derechos nuevos y ampliados derivados de la CPRA y los derechos iniciales del consumidor derivados de la CCPA, que pueden encontrarse en los artículos 1798.100 a 1798.125 de las leyes.
| CPRA | CCPA |
| Los consumidores tienen derecho a saber qué datos personales se recogen sobre ellos, cómo se utilizan y si se venden o comparten con terceros. | En la versión original de la CCPA, los consumidores tenían el mismo derecho a saber qué datos personales se recogen sobre ellos, cómo se utilizan y si se venden o comparten con terceros. |
| Los consumidores tienen derecho a solicitar el acceso a los datos recogidos sobre ellos más allá del periodo de 12 meses de consulta retrospectiva, y las empresas sólo pueden denegar la solicitud si hacerlo resulta imposible o exige un esfuerzo desproporcionado. | En la versión original de la CCPA, los consumidores sólo tenían derecho a solicitar el acceso a sus datos personales de los últimos 12 meses. |
| Los consumidores tienen derecho a no vender ni compartir sus datos personales. | En la versión original de la CCPA, los consumidores sólo tenían derecho a oponerse a la venta de sus datos personales. |
| Los consumidores tienen derecho a la no discriminación en los servicios y pueden optar por no ser objetode toma de decisiones automatizada y elaboración de perfiles en un contexto laboral. | En la versión original de la CCPA, los consumidores sólo tenían derecho a la no discriminación en servicios y precios. |
| Los consumidores tienen derecho de rectificación y pueden solicitar el acceso, la modificación, la corrección o la supresión de sus datos personales. | En la versión original de la CCPA, los consumidores sólo tenían derecho a solicitar el acceso a sus datos o su supresión, lo cual no era obligatorio, pero las empresas sí debían responder en tiempo y forma. |
| Los consumidores tienen derecho a limitar el uso y la divulgación de sus datos personales sensibles | Anteriormente, los consumidores no tenían este derecho y la versión original de la CCPA no incluía ninguna categoría de información personal sensible. |
| 1798.100 con enmiendas CPRA | 1798.100 del texto original de la CCPA |
* Todos los demás derechos de los consumidores mencionados en la CCPA que no se vean afectados por las modificaciones introducidas por la CPRA seguirán en vigor y serán aplicables.
CPRA vs. CCPA: Obligaciones de las empresas
Debido a las enmiendas de la CPRA, las empresas bajo la jurisdicción de estas leyes tienen nuevos requisitos que deben seguir para recopilar, almacenar, procesar y utilizar legalmente la información personal.
Dado que técnicamente no se trata de dos leyes distintas con directrices completamente diferentes, el cuadro que figura a continuación tiene un aspecto diferente de los demás. En él se describen las principales obligaciones empresariales oficialmente vigentes ahora que la CPRA está en vigor y se ofrecen sugerencias sobre cómo cumplir los requisitos.
| Obligaciones de las empresas en virtud de la CPRA y la CCPA | Cómo cumplir la normativa |
| Informar a los consumidores de que se recogen datos personales, cómo, por qué y con quién se comparten o venden. |
|
| Respetar los derechos de los consumidores y facilitar sus solicitudes ofreciéndoles la posibilidad de excluirse de la recopilación de datos mediante parámetros de privacidad visibles, incluido el derecho a limitar el uso de su información personal sensible. |
|
| Crear un contrato siguiendo directrices específicas si comparte, vende o revela información personal a contratistas, terceros o proveedores de servicios. | Los contratos deben especificar todo lo siguiente:
|
| Aplicar procedimientos y prácticas de seguridad razonables para proteger la información personal. |
|
| Cumplir las nuevas obligaciones de divulgación y conservación |
|
| Informar de los derechos del consumidor |
|
Ya lo hemos dicho varias veces, pero le recordamos que cualquier otra directriz, requisito o estipulación establecida por la CCPA que no se vea afectada por las enmiendas de la CPRA seguirá en vigor.
Por tanto, si usted entra en el ámbito de aplicación de estas leyes, también debe seguir todas las normas legales.
CPRA frente a CCPA: Sanciones por incumplimiento
El incumplimiento de las directrices sobre privacidad de datos establecidas por la CPRA y la CCPA tiene consecuencias, y las enmiendas a la CPRA cambiaron lo que las empresas pueden tener que responder ante un tribunal.
En el siguiente cuadro se comparan las nuevas sanciones por incumplimiento de la CPRA con las repercusiones originales previstas en la CCPA, que figuran en el artículo 1798.150 de las leyes.
| CPRA | CCPA |
|
|
Los consumidores pueden demandar a una empresa en un litigio sobre privacidad si:
Los consumidores pueden obtener una indemnización por daños y perjuicios de entre 100 y 750 dólares por incidente, o por daños reales, si esta cantidad es mayor. |
Los consumidores pueden demandar a una empresa en un procedimiento privado si:
|
| 1798.150 con enmiendas CPRA | 1798.150 del texto original de la CCPA |
En última instancia, las enmiendas de la CPRA responsabilizan más a las empresas de mantener la información personal de los usuarios -y sus credenciales de acceso- a salvo de exposiciones, filtraciones y violaciones de datos.
¿Quién debe cumplir la CPRA y la CCPA?
A partir del 1 de enero de 2023, su empresa deberá cumplir tanto la CCPA como la CPRA si opera en California y cumple alguna de las siguientes condiciones:
- Haber obtenido 25 millones de dólares de ingresos brutos anuales a partir del 1 de enero del año natural anterior.
- Anualmente compra, vende o comparte información personal de 100.000 consumidores u hogares californianos o más.
- Derivó el 50% o más de sus ingresos brutos anuales de la venta o intercambio de información personal
Todas las normas de aplicación de la CPPA son ahora oficialmente ejecutables con la vista puesta en julio de 2023.
Cómo garantizar que su empresa cumple correctamente ambas leyes
Para asegurarse de que su empresa cumple adecuadamente tanto la CPRA como la CCPA, deberá poner en práctica todo lo siguiente:
- Publique en su sitio web una política de privacidad conforme a la CCPA
- Publique también un política de cookies en su sitio web un resumen de cómo esos rastreadores recopilan, almacenan y utilizan la información personal.
- Ponga un enlace "No venda ni comparta mis datos personales" en el pie de página de su sitio web.
- Ponga también un enlace "Limitar el uso de mis datos personales" en el pie de página de su sitio web.
- O, en lugar de enlaces, respetar las preferencias de exclusión voluntaria que los consumidores establecen en sus navegadores.
- Implantar salvaguardas de seguridad razonables para proteger los datos personales de los consumidores frente a violaciones o pirateos informáticos.
- Facilite las solicitudes de los usuarios publicando un formulario de solicitud de acceso del interesado o DSAR en su sitio web.
- Notificar los derechos de los consumidores añadiendo una cláusula a su política de privacidad.
- Conservar los datos personales de los consumidores sólo durante el tiempo que sea razonablemente necesario.
- Revelar los datos personales de los consumidores a terceros sólo cuando sea necesario y crear contratos conformes en cada ocasión.
Puede parecer una larga lista de comprobación, pero el cumplimiento no tiene por qué ser complicado, especialmente con la ayuda adecuada. Aprenda a simplificar el cumplimiento de la protección de datos en la siguiente sección.
Cómo puede ayudar Termly
Cumplir con la CCPA y las enmiendas de la CPRA puede parecer intimidante al principio, pero Termly puede ayudarle a quitarse esas cargas de encima.
Ofrecemos generadores de políticas y una solución de consentimiento que cumple las normas de la CCPA y los cambios de la CPRA, incluidos:
- Generador de Política de Privacidad
- Generador de Política de Cookies
- Gestor de Consentimiento de Cookies
- Formularios DSAR
Nuestros generadores le guiarán a lo largo de todo el proceso de creación de una póliza haciéndole responder a preguntas sencillas sobre su empresa, como se muestra en la siguiente captura de pantalla.
Incluso hay consejos útiles y respuestas a preguntas comunes directamente en cada página, como se muestra en la siguiente captura de pantalla. Además, tendrás acceso a nuestro equipo de asistencia si te quedas atascado o necesitas ayuda.
En Termly, nos enorgullecemos de estar siempre al día, por lo que nuestro equipo jurídico y nuestros expertos en privacidad de datos han trabajado con nuestros ingenieros de producto para actualizar nuestras herramientas de modo que sigan todas las directrices y requisitos establecidos por las dos leyes de California y más de 20 leyes adicionales de otras partes del mundo.
Piense en nosotros como su socio para el cumplimiento de la privacidad, siempre dispuesto a ayudarle con cualquiera de sus necesidades en materia de privacidad de datos.
Preguntas Frecuentes sobre la CPRA y la CCPA
¿Todavía un poco confundido acerca de estas leyes de privacidad de California? Consulte las preguntas más frecuentes que recibimos sobre la CPRA y la CCPA para obtener más información.
¿Cuándo entró en vigor la CPRA?
Los requisitos legales de la CPRA entraron en vigor el 1 de enero de 2023. Las normas de aplicación de la CPPA entraron en vigor el 1 de julio de 2023.
¿Sustituye la CPRA a la CCPA?
La CPRA no sustituye a la CCPA, sino que modifica partes de la CCPA. Cualquier aspecto de la CCPA no afectado por los cambios de la CPRA sigue siendo el mismo y sigue aplicándose a las empresas.
Por este motivo, algunos organismos gubernamentales y otras entidades, incluida la CPPA, se refieren a ambas leyes como la CCPA, la CCPA modificada o la normativa CCPA.
¿Tengo que cumplir tanto la CCPA como la CPRA?
Sí, debe cumplir tanto la CCPA como la CPRA si dirige una empresa con ánimo de lucro que opera en California y cumple uno o varios de los siguientes criterios:
- Haber obtenido unos ingresos brutos anuales de 25 millones de dólares a 1 de enero del año natural anterior.
- Vende, compra o comparte la información personal de 100.000 consumidores u hogares de California
- Obtiene el 50% o más de sus ingresos anuales vendiendo o compartiendo información personal.
¿Quién hace cumplir la CCPA y la CPRA?
Se creó una nueva junta denominada Agencia de Protección de la Privacidad de California (CPPA) para hacer cumplir la CCPA con las enmiendas de la CPRA. Anteriormente, la Oficina del Fiscal General de California era responsable de la aplicación.
Resumen
La CPRA amplió la CCPA cuando entró en vigor, otorgando más derechos a los consumidores y aumentando los requisitos que deben seguir las empresas para recopilar, procesar y utilizar legalmente la información personal.
Para cumplir con las enmiendas de la CPRA a la CCPA, actualice su política de privacidad, proporcione enlaces relevantes para que los usuarios actúen sobre sus derechos de privacidad e implemente protocolos de seguridad adecuados para mantener a salvo la información personal de los consumidores.
Más sobre el autor
Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido Responsable de Protección de Datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implementar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, PIPEDA, Directiva ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor
