La ley de privacidad del consumidor más importante de Estados Unidos está teniendo un efecto generalizado en el marketing y la publicidad digitales de todo el país. Los profesionales del marketing de todos los sectores están trabajando horas extras para garantizar el cumplimiento de la Ley de Privacidad del Consumidor de California (CCPA), que entrará en vigor el 1 de enero de 2020.
En la actualidad, la CCPA es la ley de privacidad del consumidor más estricta de Estados Unidos, y no muestra signos de ceder su posición a corto plazo.
La CCPA, que se centra en los derechos de privacidad de los ciudadanos, establece controles estrictos sobre el modo en que las empresas recogen, almacenan y procesan la información personal de los residentes de California.
La nueva ley se aplica a todas las empresas con ingresos anuales de $25 millones o más, o que compren, vendan, reciban o compartan más de 50.000 registros de consumidores de California al año. Además, cualquier empresa que obtenga más de 50% de sus ingresos anuales de la venta de datos personales de residentes de California también debe cumplir con la CCPA.
Y no se queda ahí... La CCPA también se aplica a las empresas que comparten una marca común con una empresa que cumple los criterios de la CCPA, por ejemplo, el nombre de la empresa, la marca comercial o la marca de servicio. Esto afecta directamente a las agencias de marketing y a las empresas de procesamiento de pagos. Esto también significa que cualquier empresa que preste servicios a una empresa afectada, debe informarse sobre los requisitos de la CCPA, incluso si no entra directamente en los criterios de cumplimiento.
Cada vez más, las empresas de todos los sectores están implantando sistemas de gestión de datos o soluciones de gestión de las relaciones con los clientes (CRM) para ayudar a aumentar las ventas. Es inevitable que la CCPA tenga un enorme impacto en las prácticas de procesamiento de datos de las empresas, ya que la nueva ley impone su exigencia de mayores niveles de transparencia en materia de privacidad de datos y de elección para el consumidor.
El cumplimiento de la CCPA representa un cambio de paradigma en la forma en que la mayoría de las empresas operan y gestionan la información. La ley proporciona derechos significativamente mayores a los consumidores, así como requisitos de cumplimiento más estrictos para las empresas que casi cualquier otra ley de privacidad estatal o federal - a pesar de la reciente afirmación de Nueva York de que la Ley de Privacidad de Nueva York (NYPA) es aún más audaz que la CCPA. Por lo tanto, las empresas deben conocer a fondo la CCPA para prepararse para su cumplimiento.
Cumplir o ser multado
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea ha tenido un profundo efecto en las empresas de todo el mundo, obligando a las empresas a demostrar una transparencia mucho mayor y a aplicar procesos rigurosos para proteger la información personal de los consumidores. Parece que no hay duda de que la ley de privacidad de California va precisamente en la misma dirección, lo que no es sorprendente si se tiene en cuenta que la creación de la CCPA está tan obviamente influenciada por el reglamento de la UE.
No es de extrañar cuando se miran las multas. Las multas por no cumplir con el GDPR van desde 10 millones de euros hasta el cuatro por ciento de la facturación global anual de la empresa, lo que podría sumar miles de millones para algunas empresas.
Una lista cada vez mayor de empresas, entre las que se encuentran algunos de los nombres más importantes del sector tecnológico, han incumplido el RGPD. Desde que la ley de la UE entró en vigor en mayo del año pasado, la Oficina del Comisionado de Información (ICO) ha impuesto multas récord por violaciones del GDPR y su predecesor, la Ley de Protección de Datos del Reino Unido. Entre ellas se encuentran:
- Facebook - 500.000 libras
- Equifax - 500.000 libras
- Uber - 385.000
- Yahoo! UK Services Ltd. - £250,000
- British Telecommunications - £77,000
... y eso es sólo para nombrar un pequeño puñado.
Entonces, ¿qué pueden pagar las empresas por el incumplimiento de la CCPA?
Para empezar, cualquier empresa que infrinja la CCPA puede enfrentarse a una multa máxima de $750 por consumidor o infracción, por ejemplo, si una empresa recopila datos personales de 1.000 residentes de California sin obtener su consentimiento positivo, puede esperar una multa de hasta $750.000.
Otro ejemplo es que si una empresa sufre una filtración de datos debido a unas medidas de seguridad inadecuadas, los consumidores pueden exigir que se solucione en un plazo de 30 días. Si el problema no se soluciona en el plazo de 30 días, la empresa podría ser objeto de acciones legales.
El derecho de acción privada se limita a las violaciones de los requisitos de seguridad de los datos. En la actualidad, las indemnizaciones legales por este tipo de acciones son de $100 a $750 por consumidor de California, más los daños incidentales o reales, lo que sea mayor.
En el momento de redactar el presente documento, la legislatura de California rechazó recientemente una enmienda pendiente para ampliar el derecho de acción privada a fin de incluir cualquier violación de la CCPA. Sin embargo, dicha ampliación podría volver a proponerse en un futuro.
Las empresas y las agencias de marketing que promocionan marcas, productos y servicios a clientes potenciales en California deberían estar muy motivadas para actualizar los sistemas de gestión de datos de la oficina, revisar los avisos de privacidad existentes, actualizar los contratos con terceros, auditar las listas de marketing y confirmar que los suscriptores han dado el consentimiento adecuado.
Hasta ahora, la CCPA es el mejor ejemplo que se puede encontrar en EE.UU. de una respuesta adecuada a las demandas de regulación de la recogida y gestión de los datos personales de los consumidores. Otros estados están siguiendo el ejemplo de California al aplicar una regulación más estricta, con multas punitivas en caso de infracción, para proteger la privacidad personal de los consumidores.
El reto del cumplimiento
No es ningún secreto que la CCPA se aprobó a toda prisa en la legislatura de California para evitar una votación impulsada por los consumidores. En consecuencia, este rápido proceso dio lugar a una ley que contiene una gran cantidad de lenguaje confuso y términos superfluos, dejando muchos detalles sin explicar y abiertos a diversas interpretaciones.
En consecuencia, los legisladores han dejado la puerta abierta para que el Fiscal General del Estado, Xavier Becerra, ofrezca más aclaraciones a través de su proceso de elaboración de normas. Además, actualmente hay más de 50 enmiendas pendientes ante la legislatura. Por lo tanto, es muy probable que las definiciones, el alcance y los requisitos de la CCPA se actualicen antes de que la ley entre en vigor en enero de 2020.
El Grupo de Privacidad de Datos recomienda...
Ante la perspectiva de la fecha de promulgación de la CCPA, recomendamos las siguientes medidas para las empresas que prestan servicios a clientes en el estado de California:
- Realice una auditoría en profundidad de las listas de marketing. Si utiliza una agencia de marketing, debe asegurarse de que su empresa sea nombrada específicamente en el Aviso de Privacidad y en las cláusulas de consentimiento.
- Recuerde que su empresa podría ser considerada responsable si su agencia de marketing no cumple las normas. Pida la fuente de sus listas, así como detalles de los opt-ins verificables.
- Asegúrese de que los contactos de la lista puedan actualizar fácilmente sus datos de contacto y preferencias, y también retirar su consentimiento en cualquier momento.
- Asegúrese de que los contactos de cualquier lista de marketing sean plenamente conscientes de cómo va a utilizar sus datos. No se puede cambiar simplemente el uso de los datos personales sin el debido consentimiento.