En noviembre de 2020, los residentes de California votaron la Ley de Derechos de Privacidad de California (CPRA) como ley - una enmienda y expansión de la Ley de Privacidad del Consumidor de California(CCPA) de 2018.
La CPRA entró en vigor el 1 de enero de 2023 y ya está plenamente vigente.
Las organizaciones deben introducir cambios en sus prácticas empresariales y de privacidad lo antes posible. De lo contrario, pueden exponerse al riesgo de quedarse atrás e incluso meterse en problemas por no aplicar los cambios de política adecuados.
Siga leyendo para obtener más información sobre la CPRA, cómo puede afectar a su organización y cómo puede cumplirla. También puede leer nuestra comparación completa de la CCPA frente a la CPRA.
¿Qué es la CPRA?
La CPRA, siglas de California Privacy Rights Act (Ley de Derechos de Privacidad de California), modificó la CCPA e introdujo varios cambios en las normas de privacidad.
En comparación con su predecesora, esta ley es más favorable a las pequeñas empresas. Sin embargo, también:
- Más derechos para los consumidores
- Creación de una agencia encargada de aplicar y hacer cumplir la CPRA
- Impone nuevos requisitos a las organizaciones
Actualmente está en vigor en su totalidad con una perspectiva retrospectiva hasta el 1 de julio de 2023, pero este no era el plan original.
En un principio, estaba previsto que las modificaciones entraran en vigor el 1 de enero de 2023, con una vista atrás hasta enero de 2022. Sin embargo, la Agencia de Protección de la Privacidad de California (CCPA) tardó en finalizar las normas oficiales de aplicación.
En consecuencia, los tribunales de California prorrogaron la fecha de ejecución hasta el 29 de marzo de 2024, y sólo se consideraron exigibles los requisitos legales.
La CPPA apeló entonces esta decisión y el 9 de febrero de 2024, el Tribunal de Apelación del Tercer Distrito de California se puso de parte de la CPPA, revirtiendo la fecha de aplicación al 1 de julio de 2023.
¿A qué organizaciones se aplica la CPRA?
La CPRA se aplica a las organizaciones con ánimo de lucro que operan en el Estado de California y cumplen uno o más de los siguientes criterios:
- Tenía 25 millones de dólares de ingresos brutos anuales a 1 de enero del año natural anterior
- Vender, comprar o compartir la información personal de 100.000 hogares o consumidores de California.
- Obtener el 50% o más de sus ingresos de compartir (un término de nueva definición) o vender información personal.
Estos nuevos umbrales eximen a algunas pequeñas empresas de la normativa de la CPRA. Sin embargo, también amplían el ámbito de aplicación, ya que las empresas que obtienen el 50% o más de sus ingresos compartiendo información personal también entran en el ámbito de aplicación de la ley.
Los siguientes tipos de entidades también estarán sujetas a la CPRA:
- Empresas conjuntas o asociaciones en las que cada empresa tenga al menos un 40% de participación: cada empresa de esta relación se considerará una única empresa independiente.
-
Entidades bajo control comúnque son entidades que:
- Controlaba o controla una empresa cubierta
- Compartir una marca común con la empresa
- Tener acceso a la información personal de los consumidores de la empresa cubierta
- Cualquier empresa que desee cumplir con la CPRA, incluso si no entra dentro de los umbrales anteriores
Exenciones de la CPRA
Los datos personales de las siguientes personas están ahora exentos de las disposiciones de la CPRA:
- Personas que participan en ensayos clínicos o investigación biomédica
- Proveedores de asistencia sanitaria, incluidos los datos médicos protegidos por la Ley de Confidencialidad de la Información Médica.
La CPRA también amplió las exenciones concedidas a los datos de empresa a empresa (B2B) y de empleo hasta el 1 de enero de 2023.
Aplicación de la CPRA
Uno de los cambios más significativos que introduce la CPRA es la creación de la Agencia de Protección de la Privacidad de California (CPPA).
La agencia inicia acciones a través del Tribunal de Derecho Administrativo para hacer cumplir, regular y aplicar la CPRA. A diferencia del sistema judicial estatal -que anteriormente aplicaba la CPRA-, el Tribunal de Derecho Administrativo ofrece audiencias independientes y neutrales que son menos formales y más transparentes.
Este cambio traslada la responsabilidad de hacer cumplir la CPRA de la Oficina del Fiscal General a la CPPA. También será responsable de educar al público sobre los derechos de los consumidores y la privacidad.
La CPPA se creó en marzo de 2021 y cuenta con un consejo de cinco miembros expertos en derechos de los consumidores, tecnología y privacidad.
Definiciones nuevas y ampliadas en la CPRA
La CPRA añade definiciones y conceptos nuevos y ampliados a las leyes de privacidad de California.
Compartir
La CPRA define el uso compartido como la divulgación de información personal a terceros para publicidad conductual en contextos cruzados. Incluye compartir de forma gratuita, a cambio de una ganancia monetaria o cualquier otra consideración de valor.
Las empresas que comparten información personal deben ofrecer a los consumidores un enlace obvio de "No compartir mi información personal" y una opción para optar por no compartirla. Un enlace "No compartir" puede combinarse con un enlace "No vender".
Información personal sensible (SPI)
La CPRA ha mantenido la definición de información personal de su predecesora, pero también ha añadido una nueva categoría denominada información personal sensible (SPI), que ha aumentado los requisitos de cumplimiento e incluye:
- Números de permiso de conducir
- Números de la Seguridad Social (SSN)
- Números de identificación estatal
- Afiliación sindical
- Números de pasaporte
- Credenciales de usuario como nombres de usuario y contraseñas
- Datos biométricos y genética
- Origen étnico o racial
- Geolocalización precisa
- Creencias religiosas o filosóficas
- Información sobre la orientación sexual, la vida sexual o la salud del consumidor
- Contenido de los mensajes de texto, correo postal y electrónico del consumidor
Si su empresa maneja algún tipo de SPI, tenga cuidado con dónde almacena esta información y qué hace con ella. En virtud de las modificaciones de la CPRA, los consumidores tienen derecho a limitar el uso y la divulgación de la SPI: pueden decirle que la utilice solo cuando sea necesario.
Contratistas
La CPRA define a un contratista como una persona física a la que una organización ha puesto a disposición la información personal de un consumidor para un fin comercial establecido mediante un contrato escrito.
Los contratistas deben certificar que entienden y cumplirán los requisitos de la CPRA. Tienen que notificar a la empresa si no pueden cumplirlos.
Perfil
La elaboración de perfiles es cualquier tratamiento automatizado de información personal que una empresa realiza para hacer predicciones sobre la situación económica, las preferencias, la salud, la fiabilidad, la ubicación, el comportamiento, los movimientos y el rendimiento laboral de una persona.
Por ejemplo, una empresa está elaborando perfiles si utiliza un software de entrevistas de IA para observar los atributos personales y el comportamiento de un candidato y predecir cómo se desenvolverá en el lugar de trabajo.
Información de dominio público
La CPRA ha ampliado la definición de información "públicamente disponible". Ahora incluye:
- Información que una empresa cree razonablemente que se ha puesto legalmente a disposición del público en general a través de medios de comunicación de amplia difusión o por parte del consumidor.
- Información facilitada por una persona a la que el consumidor ha revelado la información, si el consumidor no ha limitado la información a un grupo específico de personas.
Esta actualización facilita el cumplimiento a las empresas que recopilan datos de fuentes en las que los usuarios no restringen el acceso a sus contenidos.
Algunos ejemplos son las plataformas de redes sociales como Instagram, Facebook y YouTube.
Ampliación de los derechos de los consumidores
Además, la CPRA proporciona a los consumidores algunos derechos nuevos y ampliados, entre los que se incluyen:
Opción de no compartir información personal
Los consumidores tienen ahora derecho a optar por no vender ni compartir su información personal. Tienen este derecho, independientemente de que se intercambie o no dinero -u otra contraprestación valiosa- como resultado de compartir la información personal.
Derecho a rectificar y suprimir datos personales inexactos
La CPRA otorga a los consumidores el derecho a corregir y eliminar la información personal inexacta. Las empresas cubiertas también tienen que revelar este derecho a los consumidores y hacer esfuerzos razonables para corregir o eliminar los errores tras recibir una solicitud verificada del consumidor.
Derecho de acceso a los datos
A diferencia de la legislación actual, la CPRA permite a los consumidores solicitar la información que se les haya recabado más allá de un periodo de 12 meses. La única excepción a esta regla es si hacerlo es imposible o requiere un "esfuerzo desproporcionado". La CPPA determinará lo que significa "esfuerzo desproporcionado" mediante la elaboración de normas.
Derecho a excluirse de la toma de decisiones y la elaboración de perfiles automatizados
Los consumidores tienen derecho a conocer cualquier tipo de toma de decisiones automatizada y a oponerse a ella. Por lo tanto, las empresas deben proporcionar información adecuada al público sobre cómo funciona la toma de decisiones automatizada y el resultado probable del proceso.
Un derecho de acción privado ampliado
Los consumidores tienen ahora un derecho privado de acción contra las empresas cuando se producen violaciones de datos y los siguientes quedan expuestos o en peligro:
- Dirección de correo electrónico en combinación con una contraseña o pregunta y respuesta de seguridad que permita el acceso a la cuenta
- Información personal no cifrada y no suprimida debido a la negligencia de una empresa a la hora de aplicar y mantener procedimientos de seguridad razonables.
Derechos ampliados para los consumidores menores de edad
Esta legislación también refuerza los derechos de los consumidores menores de edad. Por ejemplo, las empresas deben obtener un consentimiento explícito antes de compartir o vender la información personal de un consumidor menor de 16 años.
Las empresas también deben establecer un modo para que un consumidor menor de edad o sus padres especifiquen que el consumidor tiene entre 13 y 16 años o menos de 13.
Obligaciones ampliadas para las empresas
Para proteger los derechos de los consumidores, la CPRA también ha ampliado las obligaciones de las empresas, que incluyen:
Requisitos para la aplicación de la seguridad
La CPRA exige a las empresas que apliquen activamente "procedimientos y prácticas de seguridad razonables" para proteger la información personal. Si se espera que su empresa cree un riesgo significativo para la privacidad de los consumidores, debe realizar comprobaciones anuales de ciberseguridad y presentar los resultados a la CPPA.
Un borrador de estos requisitos de auditoría de ciberseguridad fue publicado por la CPPA en diciembre de 2023.
Nuevas obligaciones contractuales
Para proteger aún más los derechos de los consumidores, la CPRA impone obligaciones más amplias a las empresas que comparten, venden o revelan información personal a contratistas, terceros y proveedores de servicios.
Si trabaja con alguna de esas partes, debe hacer lo siguiente en sus contratos escritos con ellas:
- Especifique que la información divulgada o vendida por su empresa sólo tiene fines específicos y limitados.
- Obligarles a cumplir la CPRA y "proporcionar el mismo nivel de protección de la intimidad" exigido.
- Exigirles que notifiquen a la empresa si ya no pueden cumplir sus obligaciones en virtud de la CPRA.
- Dígales que tiene derecho a tomar medidas adecuadas y razonables para detener el uso no autorizado de información personal
Defensas limitadas tras las violaciones de datos
La CPRA también limita la posibilidad de que las empresas recurran a determinadas defensas frente a acciones privadas.
En concreto, el mantenimiento y la aplicación de prácticas y procedimientos de seguridad razonables tras una violación de datos no se considerará una defensa adecuada o una "subsanación" de dicha violación de datos.
Limitación del almacenamiento y minimización de datos
Por último, esta ley establece los conceptos de limitación del almacenamiento y minimización de datos.
Al igual que el Reglamento General de Protección de Datos de la Unión Europea (rgpd), la CPRA estipula que las empresas sólo pueden recoger información personal cuando sea necesaria o "razonablemente necesaria" para el fin que se persigue.
Además, las empresas no pueden conservar la información personal más tiempo del necesario para el fin con el que se recogió.
Sanciones y multas de la CPRA
La CPRA ha añadido una nueva sanción: Ahora se pueden imponer multas administrativas de hasta 7.500 dólares por infracciones intencionadas o que afecten a información personal de menores de 16 años.
La CPRA también eliminará el periodo de subsanación de 30 días que comienza automáticamente tras ser acusado de una presunta infracción. En su lugar, la CPPA decidirá cuánto tiempo tiene usted para corregir sus errores. Tendrán en cuenta los siguientes factores:
- Si su intención era violar la CPRA
- Si ha realizado esfuerzos para subsanar la presunta infracción
Consejos generales para el cumplimiento de la CPRA
En definitiva, la CPRA ha introducido muchos cambios y adiciones a la actual ley de privacidad de datos de California y ahora es plenamente aplicable.
Dado que la CPRA se aplica a toda la información personal recopilada a partir del 1 de julio de 2023, tenga en cuenta los siguientes consejos para asegurarse de que su organización cumple las normas:
1. Compruebe si la CPRA se aplicará a su empresa.
Dado que los umbrales han cambiado, algunas empresas ya no están cubiertas por la ley modificada.
Además, tenga en cuenta que el cumplimiento de la CPRA se extiende fuera de California. Por lo tanto, mientras los residentes de California puedan acceder a su sitio web y usted cumpla los criterios de la CPRA, deberá cumplir con la CPRA.
2. Actualice su política de privacidad.
Asegúrese de que su política de privacidad cumple la CPRA. Recuerde incluir secciones sobre:
- Derechos de los consumidores
- Cómo pueden los consumidores solicitar el acceso, la supresión o la modificación de sus datos personales
- Cómo pueden los menores y sus padres dar su consentimiento para compartir o vender información personal de consumidores menores con un formulario de consentimiento
Sea lo más detallado posible para que los consumidores conozcan sus derechos antes de facilitarle información personal. Si hay demasiados cambios que hacer, considere reescribir su política de privacidad o utilizar un Generador de política de privacidad
3. Actualice sus contratos.
Lea las disposiciones contractuales de la CPRA y empiece a modificar los contratos y modelos de contrato para terceros, contratistas y proveedores de servicios. A continuación, compruebe si pueden adaptarse a estos nuevos requisitos. Si no es así, es posible que tenga que buscar nuevos proveedores que puedan cumplir la CPRA.
4. Actualice su sitio web.
Para cumplir con el derecho ampliado de la CPRA de optar por no compartir información personal con terceros para publicidad, debe añadir un enlace "No vender mi información personal" en su página de inicio.
También debe añadir un enlace "Limitar el uso de mi información personal sensible" para cumplir con la limitación de la CPRA de utilizar los datos sensibles de los consumidores.
Para ambos enlaces, debe utilizar una fuente grande y legible que sea fácil de leer en las versiones móvil y de escritorio de su sitio web.
