La Ley de Privacidad del Consumidor de California se promulgó en junio de 2008. Es la primera ley estadounidense que se pone a la altura del Reglamento General de Protección de Datos (RGPD) de la UE. Si su empresa suministra productos o servicios a clientes de la UE, es probable que ya haya completado la frustrante tarea de garantizar su cumplimiento con el GDPR - o, todavía está trabajando para lograr el cumplimiento del GDPR.

Pues bien, por si no lo sabía, aún podría tener más trabajo de cumplimiento, incluso si su empresa no está ubicada en California.

La CCPA entró en vigor inmediatamente después de ser firmada por el Gobernador Gerry Brown. Sin embargo, el pleno cumplimiento de la ley no entra en vigor hasta el 1 de enero de 2020. Además, la CCPA exige que el Fiscal General de California publique la normativa entre el 1 de enero y el 2 de julio de 2020. Ahora bien, por si eso no fuera lo suficientemente confuso, el Fiscal General no puede emprender una acción de aplicación en virtud de la CCPA hasta que transcurran seis meses desde la publicación de la normativa definitiva y el 1 de julio de 2020, lo que ocurra primero.

¿Sigues conmigo? Bien. A estas alturas, las empresas estarán esperando que la normativa final se publique con bastante antelación al 1 de julio de 2020, de modo que puedan estar debidamente preparadas para aplicar los numerosos requisitos de la CCPA.

Como profesional de la privacidad de los datos, nuestra firma ha estado inmersa en el GDPR desde mucho antes de su creación, ayudando a los clientes en los Estados Unidos y en todo el mundo a lograr el cumplimiento.

Este artículo pretende ofrecer un resumen de la CCPA y responder a algunas de las preguntas más frecuentes sobre esta nueva ley de protección de los consumidores.

P1: ¿Qué empresas tendrán que cumplir con la CCPA?

Básicamente, la CCPA se aplica a cualquier organización comercial que recoja y procese la información personal de los residentes de California y haga negocios en el estado. No se requiere una presencia física en California: basta con realizar ventas en el estado. Además, para que se aplique la CCPA, la empresa debe cumplir al menos uno de los siguientes criterios:

  1. La empresa debe generar unos ingresos brutos anuales superiores a $25 millones,

  2. La empresa debe recibir o compartir información personal de más de 50.000 residentes de California al año, o;

  3. La empresa debe obtener al menos 50% de sus ingresos anuales mediante la venta de información personal de residentes en California.

Las organizaciones sin ánimo de lucro no están obligadas a cumplir con la CCPA. Tampoco lo están las empresas que no cumplen ninguno de los criterios anteriores.

P2: ¿Cuál es la definición de "información personal" según la CCPA?

Una de las muchas similitudes con el GDPR es que la CCPA la definición de Información Personal es bastante amplia. La definición de la CCPA es:

"la información que identifique, se refiera, describa, pueda asociarse o pueda vincularse razonablemente, de forma directa o indirecta, con un consumidor u hogar concreto".

El término "hogar" introduce una dimensión en la ley de privacidad. La información que recoge una empresa no tiene por qué estar asociada al nombre de una persona o a un individuo concreto, sino que puede identificar a un hogar.

La información personal según la CCPA puede incluir ejemplos comunes, como:

  • Número de la seguridad social

  • Dirección residencial

  • Número de licencia de conducir

  • Número de pasaporte

La CCPA no incluye la información que está disponible públicamente. Estos datos se definen como la información que "está legalmente disponible en los registros del gobierno federal, estatal o local..."

La CCPA también excluye los datos agregados y la información médica o sanitaria recogida por una persona o entidad regida por la Ley de Confidencialidad de la Información Médica de California o la HIPAA.

P3: ¿Qué nuevos derechos tienen los particulares en virtud de la CCPA?

Hay una serie de derechos y protecciones que se extienden a los residentes de California. Y los consumidores tienen un mayor control sobre su información personal de cuatro maneras:

  1. Conocimientos: Una empresa debe notificar a los consumidores qué información personal se está recopilando de un consumidor, cómo se está recopilando y utilizando esa información personal, y si se está revelando o vendiendo y a quién. Esta información debe ser comunicada, por lo general, a través de un aviso de privacidad y, en concreto, a petición del consumidor.

  2. Venta de información personal: Los consumidores deben disponer de un proceso fácil, sencillo y directo para rechazar la venta de sus datos personales a terceros. Los consumidores menores de 16 años deben optar por la venta de sus datos personales. En el caso de los menores de 13 años, la empresa debe recibir el consentimiento de sus padres o tutores. Por último, una empresa debe publicar un enlace "No vender mis datos personales" en su página de inicio, lo que permite a los consumidores de California ejercer fácilmente ese derecho de exclusión.

  3. Eliminación de información personal: Los consumidores pueden solicitar que una empresa elimine sus datos personales, y las empresas deben informar a los consumidores de que tienen este derecho. Las empresas deben atender estas solicitudes y asegurarse de que los datos personales del consumidor también sean eliminados por los terceros contratistas con los que la empresa pueda haber compartido previamente los datos personales del consumidor. Hay algunas excepciones a este requisito, como por ejemplo si la información personal es necesaria para completar una transacción.

  4. Igualdad de servicios: Una empresa no puede discriminar a un consumidor que ejerce sus derechos en virtud de la CCPA. En general, la CCPA impide que una empresa cobre a un consumidor una tarifa por haber ejercido un derecho en virtud de la CCPA. Sin embargo, la CCPA sí permite que una empresa cobre un precio diferente o proporcione un nivel de servicio diferente a los clientes si "esa diferencia está razonablemente relacionada con el valor proporcionado al consumidor por los datos del consumidor". Las empresas pueden ofrecer a los consumidores incentivos financieros para permitir la recogida de información personal.

En la segunda parte de este artículo, veremos:

  • Responsabilidades de divulgación

  • Derecho de acción privada

  • Sanciones por incumplimiento

  • Cómo prepararse para la CCPA

Fuentes y créditos: New Jersey Law Journal

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.