Aprobada en 2018, la Ley de Privacidad del Consumidor de California fue la primera ley integral de privacidad de datos del consumidor a nivel estatal que se aprobó en los Estados Unidos, e inspiró a más de veinticinco estados a aprobar leyes similares, y contando.
La CCPA esboza varias directrices que las empresas deben seguir para recoger, procesar y utilizar información personal de residentes y hogares de California.
A continuación, describo las obligaciones empresariales que establece la CCPA, incluyendo quién debe cumplirla, qué información protege y cómo afecta a empresas y consumidores.
¿Qué es la Ley de Privacidad del Consumidor de California (CCPA)?
La CCPA es la ley estatal de protección de datos original y más estricta de Estados Unidos.
Esboza los requisitos y directrices para la recogida, uso y tratamiento de datos personales de personas en California.
A veces denominada "California rgpd", esta ley estatal comparte algunas similitudes con el Reglamento General de Protección de Datos europeo, como la concesión de derechos similares a los consumidores.
Pero su ámbito de aplicación no es tan amplio como el de rgpd, y sus directrices son más favorables a las empresas.
Términos clave y definiciones de la CCPA
Para ayudarle a entender mejor la CCPA, a continuación le proporciono algunos términos clave y sus definiciones tal y como aparecen en el texto de la ley.
Siempre que se utilicen estos términos en esta guía, se tendrán en cuenta las definiciones anteriores.
Fechas importantes
La CCPA entró en vigor el 1 de enero de 2020.
Fue modificada oficialmente por la Ley de Derechos de Privacidad de California (CPRA) el 1 de enero de 2023.
Las enmiendas a la CPRA introdujeron nuevos derechos para los usuarios en relación con sus datos personales sensibles y aumentaron el umbral de recogida de datos de la ley.
También introdujo el concepto de compartir datos, del que los usuarios tienen derecho a excluirse.
¿A quién protege la CCPA?
La CCPA protege la información personal de las personas físicas residentes en California, tal como se define en el artículo 17014 del Título 18 del Código de Reglamentos de California.
¿Quién debe cumplir la CCPA?
Cualquier empresa con ánimo de lucro que desarrolle su actividad en California y cumpla uno de los siguientes umbrales debe cumplir la CCPA:
- Obtuvo unos ingresos brutos anuales de 25.000.000 de dólares en el año natural anterior,
- Compra, vende o comparte información personal de 100.000 consumidores u hogares californianos o más,
- Obtiene el 50% o más de sus ingresos anuales vendiendo o compartiendo información personal de consumidores californianos.
Derechos de los consumidores
La CCPA otorga a los consumidores californianos los siguientes derechos sobre su información personal:
- Solicitud de acceso a todos los datos que una empresa recopila sobre ellos
- Solicitud de corrección de inexactitudes en los datos
- Solicitar la supresión de sus datos
- Optar por no vender o compartir sus datos
- Exclusión del tratamiento de datos con fines publicitarios
- Exclusión de la elaboración de perfiles
- No discriminación por ejercer su derecho a la intimidad
También tienen derecho a emprender acciones civiles contra una empresa que recopile su información personal y esos datos se filtren o se acceda a ellos ilegalmente.
Requisitos empresariales de la CCPA
A continuación, describo los principales requisitos empresariales esbozados por la CCPA.
Generador de Política de Privacidad
La CCPA exige a las empresas cubiertas que presenten a los consumidores una política de privacidad que incluya la siguiente información:
- Descripción de los derechos de privacidad del consumidor,
- Dos o más vías para que los consumidores hagan valer sus derechos,
- Una lista de las categorías de datos personales que recopila,
- Su propósito para recoger, vender o compartir los datos de los consumidores,
- Las categorías de terceros con los que se comparten los datos.
- Fecha de la última actualización de la política de privacidad
Debe actualizar la póliza al menos una vez cada 12 meses, por lo que debe incluir una fecha de "última actualización" en su póliza.
Su empresa debe publicar y mantener la política de privacidad a través de un enlace que contenga la palabra "privacidad", como "Política de privacidad".
Guarde las versiones antiguas en un archivo por si se produce una auditoría de privacidad.
gestión del consentimiento
Las empresas sujetas a la CCPA deben gestionar las preferencias de consentimiento de los usuarios de una manera legalmente conforme para determinados tipos de tratamiento de datos.
Por ejemplo, la ley otorga a los consumidores el derecho a:
- Optar por no vender o compartir sus datos
- Exclusión de la publicidad selectiva
- Limitar el uso de su información personal sensible
Debe presentar a los usuarios un banner en consentimiento de cookies que cumpla la normativa y que muestre política de cookies para que puedan leer sobre las cookies que despliega su sitio y decidir si aceptan o no su uso.
La ley también le obliga a incluir en el pie de página de su sitio web los siguientes enlaces que conducen a páginas específicas para que los californianos puedan hacer valer sus derechos:
- "NO vendan ni compartan mis datos personales"
- "Limitar el uso de mi información personal sensible"
Se le permite utilizar un único enlace que lleve a un formulario en el que los usuarios puedan ejercer ambos derechos de exclusión.
Obligaciones contractuales
Las empresas sujetas a la CCPA deben utilizar acuerdos conformes si celebran un contrato con un tercero con fines de tratamiento de datos.
Ambas partes deben firmar el contrato, que debe incluir las siguientes disposiciones:
- Especificar que los datos personales sólo se venden o divulgan con un fin limitado y específico,
- Obligar al tercero a cumplir con las obligaciones y requisitos de seguridad señalados por la CCPA,
- Conceder a la empresa el derecho a tomar medidas razonables para garantizar que el tercero utilice la información personal de forma coherente con los requisitos de la CCPA,
- Exigir al tercero que notifique a la empresa si determina que ya no puede cumplir los requisitos de la CCPA,
- Conceder a la empresa el derecho a tomar medidas para detener y remediar el uso no autorizado de la información personal,
- Exigir al tercero que aplique procedimientos de seguridad razonables para proteger la información de accesos no autorizados.
Peticiones verificables de los consumidores
Las empresas deben disponer de un proceso de verificación de las solicitudes de los consumidores para dar curso a sus derechos de privacidad.
Técnicamente, los consumidores pueden presentar estas solicitudes a través de cualquier canal que elijan, incluidos:
- Correo electrónico
- Un formulario web en línea
- Redes sociales
- Correo
- Teléfono
Para verificar su identidad, compara la información que te facilitan con la que ya has recopilado sobre ellos.
No debes pedir detalles adicionales a menos que sea absolutamente necesario.
Lo mejor es establecer un flujo de trabajo para recibir estas solicitudes, ya que su empresa debe llevar un registro de las solicitudes procesadas.
También facilita el proceso a los consumidores.
Controles globales de privacidad activados por el usuario
La CCPA permite a los consumidores ejercer sus derechos de exclusión voluntaria a través de controles de privacidad globales habilitados por el usuario, y las empresas deben respetar estas solicitudes.
Por ejemplo, pueden utilizar los Controles Globales de Privacidad (CGP ) en sus navegadores para indicar que desean excluirse de la publicidad dirigida.
A continuación, envía su preferencia de consentimiento a la plataforma gestión del consentimiento de su sitio web, respetando automáticamente su elección e impidiendo que se desplieguen las cookies asociadas.
Para obtener más información, puede leer las notas orientativas sobre la CCPA facilitadas por la oficina del Fiscal General de California.
Directrices de seguridad de los datos
La CCPA exigía a las empresas que mantuvieran todos los datos personales recopilados a salvo de accesos ilegales o no autorizados, filtraciones, violaciones u otros tipos de pérdidas.
Los usuarios de California pueden emprender acciones civiles contra su empresa si se produce una violación de sus datos mientras están en su posesión.
La ley no dicta cómo debes proteger los datos, pero entre los métodos habituales se incluyen:
- Cifrado de datos
- Cortafuegos
- Limitar el acceso
- Garantizar que los datos están protegidos por contraseña mediante autenticación multifactor.
Sanciones por infringir la CCPA
Una infracción de la CCPA puede dar lugar a las siguientes multas:
- 2.500 dólares por residente en California afectado en caso de infracción involuntaria
- 7.500 dólares por residente en California afectado en caso de infracción intencionada
La Agencia de Protección de la Privacidad de California (CPPA) y la oficina del Fiscal General de California se encargan de hacerla cumplir.
Los consumidores también tienen un derecho de acción privado en virtud de la ley de privacidad de datos de California.
Pueden emprender acciones civiles contra usted si determinada información sobre ellos se vulnera o se accede a ella sin autorización.
Utilización de Termly para el cumplimiento de la CCPA
Termly ofrece soluciones de cumplimiento para ayudar a las empresas a simplificar el cumplimiento de los requisitos establecidos por la CCPA.
Nuestro Generador de política de privacidad incluye todos los detalles necesarios, tal como establece la ley. Lo único que tiene que hacer es responder a preguntas sencillas sobre su empresa, indicar que desea que su póliza cumpla la CCPA y responder a las preguntas con sinceridad.
A continuación, elabora una política única basada en tu respuesta, que puedes incrustar en tu sitio web.
También proporcionamos una plataformagestión del consentimiento configurable para cumplir todos los requisitos de consentimiento establecidos por la CCPA. Incluso cuenta con ajustes de asistencia regional específicos para sus usuarios de California.
También viene con un formulario DSAR gratuito que puedes incrustar en tu sitio web para que tus usuarios puedan enviar más fácilmente solicitudes verificables de seguimiento de sus derechos de privacidad.
Resumen
La CCPA es una de las leyes de protección de datos de los consumidores más estrictas de Estados Unidos.
Las empresas sujetas a esta ley deben asegurarse de que disponen de una política de privacidad conforme y de una plataforma gestión del consentimiento configurada para cumplir los requisitos de exclusión voluntaria descritos por la ley.
También es una buena práctica añadir un formulario DSAR a su sitio web para ayudar a los usuarios a ejercer más fácilmente sus derechos de privacidad.
Para simplificar el cumplimiento de la CCPA, suscríbase al completo paquete de soluciones de privacidad de Termly.
Más sobre el autor
Escrito por Josh Langeland, CIPM
Hola, soy Josh. Soy un ingeniero de privacidad apasionado por el uso de la tecnología para respetar la privacidad de los usuarios. Prospero en la intersección de la tecnología compleja y la legislación sobre privacidad en constante cambio. Si no estoy redactando una revisión de diseño o rediseñando un sistema, puede que me encuentres leyendo una biografía o haciendo senderismo en el parque nacional más cercano. Más sobre el autor
