A estas alturas, las empresas que hacen negocios en el estado de California deberían tener el 1 de enero de 2020 claramente marcado en sus calendarios. Por si no lo sabían, esa es la fecha en que entra en vigor la Ley de Privacidad del Consumidor de California (CCPA).
Tras varios años de enormes filtraciones de datos en empresas como Equifax y Target, la nueva ley, aprobada en 2018, obliga a las empresas a revelar a los residentes de California qué información personal tienen, el propósito de su recopilación y los detalles de cualquier tercero que también tenga acceso a sus datos.
La CCPA aumenta considerablemente la transparencia de la recogida, el tratamiento y la venta de datos personales de los residentes de California. En virtud de la CCPA, los residentes tienen mayor capacidad de elección y control sobre lo que ocurre con la información personal que recogen las empresas.
Esta ley, fuertemente influenciada por el Reglamento General de Protección de Datos (RGPD) de Europa, tiene como objetivo no solo dar a los consumidores un mayor control sobre el uso de sus datos, sino también hacer valer los derechos de los consumidores imponiendo fuertes multas a las empresas que incumplan la nueva ley.
La ley será aplicada por el fiscal general del estado, Xavier Becerra, que está facultado para imponer una sanción económica de $7.500 por registro por cada violación de la CCPA. Esto podría suponer sumas considerables para una violación de datos como la ocurrida en First American Financial Corp.que supuestamente expuso unos 885 millones de registros que se remontan a 2003.
El espectáculo no termina hasta que la dama gorda canta
Aunque la CCPA debe entrar en vigor el 1 de enero de 2020, el fiscal general Becerra debe redactar normas para aplicar la Ley. Y esto podría llevar bastante tiempo. La ley establece que el fiscal general debe adoptar la mayoría de las normas de la CCPA el 1 de julio de 2020. La buena noticia es que está en camino de tener las normas redactadas para entonces, según la oficina de prensa del fiscal general.
Aparte de esperar a que el fiscal general establezca las normas de la Ley, nadie puede estar absolutamente seguro de que la CCPA tendrá el mismo aspecto que ahora. Se han presentado varios proyectos de ley destinados a modificar, mejorar o rebajar la CCPA. Muchas de las enmiendas fueron rechazadas, entre ellas una que habría ampliado los derechos de los consumidores a interponer una demanda civil por daños y perjuicios.
Sin embargo, todavía hay muchos proyectos de ley en la legislatura que podrían alterar la CCPA. Entre ellos se encuentran:
-
PROYECTO DE LEY DE LA ASAMBLEA 25 - excluiría a los solicitantes de empleo.
-
PROYECTO DE LEY DE LA ASAMBLEA 846 establece que ciertas prohibiciones de la CCPA no se aplicarían a los programas de fidelización o de recompensas.
-
PROYECTO DE LEY 873 DE LA ASAMBLEA excluye de la definición de información personal la información del consumidor que está desidentificada, o la información agregada del consumidor.
-
PROYECTO DE LEY 874 DE LA ASAMBLEA excluye la información disponible públicamente de la definición de "información personal", y define el término "disponible públicamente" como la información que se pone legalmente a disposición de los registros del gobierno federal, estatal o local.
-
PROYECTO DE LEY DE LA ASAMBLEA 981 eliminaría el derecho del consumidor a solicitar a una empresa que elimine o no venda la información personal del consumidor en virtud de la CCPA si es necesario conservar o compartir la información personal del consumidor para completar una transacción de seguros.
-
PROYECTO DE LEY DE LA ASAMBLEA 1130 cerraría una laguna en la actual ley de notificación de violaciones de datos del estado, exigiendo a las empresas que notifiquen a los consumidores los números de pasaporte e información biométrica comprometidos.
-
PROYECTO DE LEY DE LA ASAMBLEA 1146 eximiría el derecho a la exclusión voluntaria de la información sobre el vehículo o la información sobre la propiedad retenida o compartida entre un concesionario de vehículos de motor nuevos y el fabricante del vehículo, si la información se comparte con el fin de efectuar o en previsión de efectuar una reparación del vehículo cubierta por una garantía del vehículo o una retirada del mercado.
-
PROYECTO DE LEY DE LA ASAMBLEA 1202 exigiría a los corredores de datos que se registren ante el fiscal general. Define al corredor de datos como una empresa que recoge y vende a terceros la información personal de un consumidor con el que la empresa no tiene una relación directa. También exigiría al fiscal general que la información proporcionada por los corredores de datos esté disponible en su sitio web.
-
PROYECTO DE LEY DE LA ASAMBLEA 1355 excluiría de la definición de información personal la información de los consumidores que esté desidentificada o la información agregada de los consumidores.
-
PROYECTO DE LEY 1416 DE LA ASAMBLEA establecería una excepción a la CCPA para una empresa que proporcione información personal de un consumidor a una agencia gubernamental con el único fin de llevar a cabo un programa gubernamental, si se cumplen determinados requisitos.
-
PROYECTO DE LEY DE LA ASAMBLEA 1564 exigiría a las empresas que facilitasen un número de teléfono gratuito o una dirección de correo electrónico y una dirección postal física para presentar solicitudes de acceso a la información.
Un proyecto de ley en particular que está ausente de la lista anterior es el proyecto de ley del Senado 561. La senadora estatal Hannah-Beth Jackson, demócrata de Santa Bárbara, presentó el proyecto de ley SB 561. El proyecto de ley ampliaría los derechos de los consumidores a presentar una demanda civil por daños y perjuicios.
La versión actual de la CCPA permite un derecho de acción privado limitado. Un particular puede presentar una demanda si se ha producido una violación de datos en la que esté implicada una empresa que no utiliza medidas de seguridad razonables diseñadas para proteger la información personal de los consumidores.
Este proyecto de ley fue rechazado, dejando a los miembros del sector de los seguros respirando con gran alivio.
Sin embargo, la oficina del fiscal general señaló que a partir del 1 de enero de 2020, la CCPA otorga a los consumidores el derecho a solicitar que una empresa revele las categorías y los elementos específicos de información personal que ha recopilado sobre el consumidor, además de las categorías de fuentes de las que se recopila la información, los fines comerciales para recopilar o vender la información y las categorías de terceros con los que se comparte dicha información.
La CCPA se aplica a todas las organizaciones comerciales que hacen negocios en el estado de California, que recogen información personal de los consumidores -independientemente de si están ubicados geográficamente en el estado- y que cumplen uno de los siguientes criterios:
-
Superar los $25 millones de ingresos brutos;
-
Comprar o recibir la información personal de 50.000 o más consumidores, dispositivos u hogares;
-
Obtienen 50% o más de sus ingresos anuales de la venta de información personal de los consumidores.
Multas
Las empresas pueden recibir sanciones civiles de hasta $2.500 por infracción, o hasta $7.500 por infracciones intencionadas. Una sección de la CCPA que a menudo se pasa por alto es que la indemnización por daños y perjuicios puede consistir en los daños reales o estar comprendida entre $100 y $750 por residente en California y por incidente, lo que sea mayor, en el caso de una violación de datos en la que el "nombre o la inicial del apellido no cifrados o no redactados, más otros datos como el número de cuenta, sean objeto de acceso no autorizado y exfiltración, robo o divulgación como resultado de que la empresa no haya aplicado medidas de seguridad razonables."
¿"Información personal"? - un recordatorio
La CCPA define la información personal como "la información que identifica, se relaciona, describe, es capaz de ser asociada o podría razonablemente ser vinculada, directa o indirectamente, con un consumidor u hogar en particular".
Algunos ejemplos de información personal son:
-
Nombre completo;
-
Dirección física;
-
Número de teléfono;
-
Número de la Seguridad Social;
-
Historial de navegación o de búsqueda;
-
Identificadores personales únicos, como las cookies que contienen números de referencia incrustados;
-
Direcciones IP: Si la dirección IP identifica a un hogar, podría considerarse un dato personal;
-
Información relacionada con el empleo;
-
Datos biométricos como las huellas dactilares o el escáner de retina;
-
Datos psicométricos, como la información obtenida en pruebas de aptitud o de personalidad;
-
Datos de geolocalización e inferencias extraídas de los datos: El uso de los datos de localización precisa de alguien sin permiso expresamente concedido o el uso de una dirección IP para rastrear al usuario, y;
-
Datos sonoros y visuales, como los procedentes de archivos de audio o vídeo
7 pasos para cumplir con la CCPA
Si su empresa es una de las muchas que hacen negocios en California, pero aún no ha comenzado su viaje hacia el cumplimiento de la CCPA, no hay momento como el presente, para empezar. El 1 de enero de 2020 estará sobre nosotros antes de que nos demos cuenta. Así que aquí está nuestra lista de las 10 principales acciones que tendrá que tomar:
-
Forme un equipo de "privacidad del consumidor": Forme un equipo de privacidad de datos y reúna las aportaciones de sus departamentos de TI, RRHH, marketing, atención al cliente, finanzas y jurídico.
-
Empiece a crear un mapa de datos: Identifique los tipos de datos personales que recopila y dónde se encuentran esos datos. Compruebe que ha obtenido el consentimiento adecuado. Presta especial atención a los datos personales de los menores, que requieren la obtención del consentimiento adecuado de un padre o tutor.
-
Identificar los datos que revela a terceros y revisar los contratos que tiene con ellos.
-
Crear un proceso para responder a las solicitudes de los consumidores para acceder a sus datos personales.
-
Revise y actualice su Aviso de Privacidad. Deberá informar a los visitantes de su sitio web sobre los datos que recoge, cómo se procesan, a quién se revelan y qué opciones tienen las personas en relación con sus datos personales, como el derecho a acceder a ellos o a que se borren. También debe poner en un lugar destacado el enlace "No venda mis datos".
-
Revise y refuerce sus medidas de seguridad de los datos para minimizar los intentos no autorizados de acceso remoto a los datos, y mitigar cualquier mal manejo de los datos personales.
-
Impartir formación sobre privacidad de datos a todos los empleados que manejan datos personales. Fomentar una cultura de responsabilidad para la protección de la información personal de las personas.
El mes que viene publicaremos nuestro libro electrónico titulado The CCPA Effect - The Practical Implications of the California Consumer Privacy Act. Esta guía informativa y de fácil lectura puede ayudarle a atravesar el laberinto de cuestiones que debe superar en su viaje por el proceso para lograr el cumplimiento de la CCPA.