El 18 de mayo de 2018 -el día en que se promulgó el Reglamento General de Protección de Datos de la UE- la Comisaria de Información del Reino Unido, Elizabeth Denham, apareció en televisión y aseguró a las empresas que el 25 de mayo "es solo una fecha" y no significa que la ICO comience a repartir multas cuando el reloj marque la medianoche.
Pero la oficina del Comisario de Protección de Datos irlandés parecía tener una opinión diferente, cuando el Comisario Adjunto John O'Dwyer dejó claro que "no hay periodo de gracia. El periodo de gracia termina el 25 de mayo".
Afortunadamente para las empresas cubiertas por la Ley de Protección del Consumidor de California, ya se ha advertido que, aunque la CCPA entra en vigor el 1 de enero de 2020, la aplicación real de la ley no comenzará hasta el 1 de julio de 2020, lo que proporciona un "período de gracia" no declarado de seis meses para que las organizaciones afectadas se pongan al día.
No cabe duda de que este "tiempo extra" supondrá un suspiro de alivio para innumerables empresas que siguen luchando por cumplir con la CCPA.
Sin embargo, a medida que se acerca la "fecha límite" de enero de 2020, sigue habiendo un alto grado de confusión y preocupación, ya que varias enmiendas esperan su destino. El mes pasado, los funcionarios del gobierno votaron siete enmiendas que abarcaban desde la información recogida para los programas de fidelización hasta los métodos de solicitud de acceso de los consumidores. La legislatura tiene hasta el 13 de septiembre de 2019 para aprobar los proyectos de ley.
En marzo de 2019, la Asociación Internacional de Profesionales de la Privacidad (IAPP) realizó una encuesta y OneTrust, revelando que 55% de los profesionales de la privacidad de EE.UU. planeaban lograr el cumplimiento de la CCPA a tiempo para los datos de la promulgación del 1 de enero de 2020. Aproximadamente el 25 por ciento dijo que aspiraba a estar listo para el 1 de julio de 2020, cuando la nueva ley entrará en vigor.
Lauren Fisher, analista principal de eMarketer, dijo que "de manera similar a lo que vimos con el GDPR, hay una amplia gama en la preparación para la CCPA,"
Según la CCPA, cualquier empresa que tenga unos ingresos brutos anuales de $25 millones o más, o empresas que compren o vendan los datos personales de más de 50.000 personas y obtengan más del 50 por ciento de sus ingresos anuales de la venta de datos personales, deben cumplir lo siguiente:
-
Una empresa debe notificar a los consumidores qué información personal se está recopilando de un consumidor, cómo se está recopilando y utilizando esa información personal, y si se está revelando o vendiendo y a quién. Esta información debe ser comunicada, por lo general, a través de un aviso de privacidad y, en concreto, a petición del consumidor.
-
Los consumidores deben disponer de un proceso fácil, sencillo y directo para rechazar la venta de sus datos personales a terceros. Los consumidores menores de 16 años deben optar por la venta de sus datos personales. En el caso de los menores de 13 años, la empresa debe recibir el consentimiento de sus padres o tutores. Por último, una empresa debe publicar un enlace "No vender mis datos personales" en su página de inicio, lo que permite a los consumidores de California ejercer fácilmente ese derecho de exclusión.
-
Los consumidores pueden solicitar a una empresa que elimine sus datos personales, y las empresas deben informar a los consumidores de que tienen este derecho. Las empresas deben cumplir con estas solicitudes y asegurarse de que los datos personales del consumidor también sean eliminados por los terceros contratistas con los que la empresa haya compartido previamente los datos personales del consumidor. Hay algunas excepciones a este requisito, como por ejemplo si la información personal es necesaria para completar una transacción.
-
Una empresa no puede discriminar a un consumidor que ejerce sus derechos en virtud de la CCPA. En general, la CCPA impide que una empresa cobre a un consumidor una tarifa por haber ejercido un derecho en virtud de la CCPA. Sin embargo, la CCPA sí permite que una empresa cobre un precio diferente o proporcione un nivel de servicio diferente a los clientes si "esa diferencia está razonablemente relacionada con el valor proporcionado al consumidor por los datos del consumidor". Las empresas pueden ofrecer a los consumidores incentivos financieros para permitir la recogida de información personal.
Dado que la CCPA estuvo muy influenciada por el GDPR, no es sorprendente que ambas leyes de privacidad proporcionen a los consumidores una comprensión mucho más clara de cómo acceder a la información personal que las empresas tienen sobre ellos.
Sin embargo, hay algunas diferencias fundamentales, la mayor de las cuales es el consentimiento de exclusión voluntaria que exige la CCPA, a diferencia del consentimiento de inclusión voluntaria del RGPD.
Curiosamente, uno de los principales efectos del RGPD fue la notable reducción del número de personas cuyos datos ocupaban listas de correo y bases de datos de marketing, para su alquiler o venta.
dijo Lauren Fisher:
Debido a que la CCPA es de exclusión voluntaria frente a la de inclusión voluntaria, no prevemos que las bases de datos de los vendedores sufran un impacto tan grande, ... Pero gran parte de ello depende de los vendedores y de la experiencia del cliente que elaboran, y de las expectativas que establecen. Los vendedores que no mantengan prácticas que hagan que los consumidores se sientan cómodos compartiendo sus datos probablemente sentirán los efectos.
¿Se hará eco la CCPA del impacto del GDPR en los vendedores y consumidores?
Poco después de la promulgación del RGPD, se suponía que los consumidores experimentarían mejoras en la forma en que las empresas utilizaban sus datos personales, dado que los que seguían optando por la información que se les enviaba seguían estando interesados en ella, así como dispuestos a compartirla en determinados casos. Pero las cosas no resultaron así.
Mientras que unos pocos comerciantes informaron de un aumento de la confianza entre los consumidores, otros afirmaron que la nueva normativa creó un mayor grado de irritación.
Una encuesta del CMO Council de 2018 en asociación con SAP, reveló que en una encuesta global de altos ejecutivos de marketing, el 65% dijo que el GDPR había creado una conciencia mucho mayor de los problemas de datos y seguridad entre sus clientes, mientras que el 43% de los encuestados dijo que había aumentado la confianza. El 24% afirmó que el RGPD había provocado un aumento de la irritación de los consumidores, ya que ahora tenían que dar pasos adicionales para aceptarlo.
Parece evidente que desde que el GDPR se convirtió en ley, muchos vendedores digitales han hecho esfuerzos significativos para mejorar sus actividades centradas en los datos, asegurando que su recopilación y procesamiento de datos cumple con el GDPR.
En su informe titulado El marketing digital en el mundo actual, consciente de la privacidad, dice Fisher:
Los mandatos que obligan a las empresas a demostrar que los datos se recogen sólo por "interés comercial legítimo" y que están cifrados y protegidos han hecho que algunas empresas se piensen dos veces cuántos datos necesitan realmente.
Fuentes y créditos: eMarketer