Hace apenas 26 días, el primer día de 2020, la Ley de Privacidad del Consumidor de California (CCPA) se convirtió en ley, mejorando los derechos de privacidad y la protección del consumidor para los residentes de California.

Para los defensores de la nueva ley de privacidad, el objetivo era contar con una legislación similar a la del Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Sin embargo, el poder de la influencia corporativa prevaleció, hasta cierto punto, y California acabó con una versión algo más ligera del modelo del GDPR.

Cuando la nueva legislación se aprobó apresuradamente en junio de 2018, California se convirtió en el primer estado de Estados Unidos en introducir nuevas protecciones de privacidad de datos para sus ciudadanos. Sin embargo, en ese momento, muchos comentaristas criticaron la CCPA por estar plagada de errores de redacción, problemas prácticos y vulnerabilidades constitucionales.

En este artículo, echamos un nuevo vistazo a la CCPA y su impacto en el marketing directo en 2020.

Cambio de juego

Es ampliamente reconocido que la CCPA es una especie de cambio de juego para las empresas de todo el mundo que hacen negocios en California.

Para comprender plenamente lo que significa la CCPA tanto para los consumidores como para las empresas, es importante entender primero cómo protege la CCPA la privacidad de la información personal de los consumidores y qué deben hacer las empresas para cumplir la ley.

Ejemplos de información personal protegida por la CPPA:

  • Perfil de comportamiento: Inferencias realizadas para crear un perfil sobre un consumidor que refleje sus preferencias, características, tendencias psicológicas, preferencias, predisposiciones, comportamiento, actitudes, inteligencia, habilidades y aptitudes

  • Información biométrica: Características fisiológicas, biológicas o de comportamiento de un individuo, incluido su ADN, que pueden utilizarse, por separado o en combinación con otros datos de identificación, para establecer la identidad individual. La información biométrica incluye, entre otros, imágenes del iris, la retina, las huellas dactilares, el rostro, la mano, la palma de la mano, los patrones de las venas y las grabaciones de voz, a partir de las cuales puede extraerse una plantilla de identificación, como una huella facial, una plantilla de puntos característicos o una huella vocal, así como patrones o ritmos de pulsación de teclas y datos sobre el sueño, la salud o el ejercicio físico que contengan información de identificación.

  • Información comercial: Registros de bienes personales, productos o servicios comprados, obtenidos o considerados, u otros historiales o tendencias de compra o consumo

  • Información de contacto: Nombre, alias, correo electrónico, número de teléfono, dirección

  • Información sobre el dispositivo: Dirección IP, Navegador, dispositivo, resolución de pantalla

  • Información financiera: Información de pago, información bancaria

  • Información de geolocalización: Dirección IP, coordenadas GPS

  • Identificador gubernamental: SSN, número de pasaporte

  • Información sobre el seguro médico: Número de grupo, número de abonado

  • Información sobre Internet y actividades electrónicas: Información sobre la actividad en Internet o en otras redes electrónicas, incluidos, entre otros, el historial de navegación, el historial de búsqueda y la información relativa a la interacción de un consumidor con un sitio web, una aplicación o un anuncio en Internet

  • Información médica: Afecciones, síntomas, tratamiento, diagnósticos

  • Información sobre educación no pública: Registros escolares

  • Información profesional o laboral

  • Información de clase protegida: Raza, color, sexo, edad (a partir de los 40 años), religión, origen nacional, discapacidad, estatus de ciudadanía, información genética, orientación sexual, identidad o expresión de género, ascendencia, SIDA/VIH, discapacidad: física o mental, estado civil, estatus militar o de veterano, afiliaciones o actividades políticas

El derecho del consumidor a saber

La CCPA ofrece nuevas protecciones y derechos a los consumidores que residen en California. A partir del 1 de enero de 2020, los residentes del estado tienen derecho a saber:

  1. el categorías de información personal se recoge sobre el consumidor;

  2. el piezas específicas de información personal que la empresa recoge sobre el consumidor;

  3. las categorías de fuentes de los que se recogen sus datos personales;

  4. la empresa o el comercio propósito para recoger, procesar o vender información personal; y

  5. las categorías de terceras partes con quien la empresa comparte información personal.

Armados con estos derechos, los consumidores pueden acceder a los datos personales que se recogen y conservan sobre ellos y decidir qué pasa con sus datos personales. Los consumidores pueden emprender las siguientes acciones:

  • Recibir información clara y transparente sobre los datos personales concretos que ha recogido una empresa, la finalidad de la recogida y/o venta de sus datos personales y las categorías de terceros con los que se han compartido los datos. Este derecho se enmarca en los principios de "transparencia" de la CCPA y está estrechamente vinculado a los requisitos de notificación de privacidad.

  • Solicitar el acceso a sus datos personales. Las empresas deben proporcionar al consumidor, si lo solicita, una copia de sus datos personales en un formato portátil. Según la CCPA, esta información debe proporcionarse gratuitamente, ya sea en forma impresa enviada por correo, o electrónicamente. Si los datos se envían electrónicamente, deben proporcionarse en un formato portátil que permita al consumidor transferir los datos a otra parte.

  • Solicitar saber si se venden sus datos personales o revelada a terceros. Cuando un consumidor hace esta solicitud, las empresas están obligadas a proporcionarla:

    • las categorías de datos personales que se han recogido y almacenado;

    • las categorías de datos personales que la organización ha vendido o revelado a un tercero; y

    • las categorías de terceros a los que se han comunicado los datos personales.

  • Optar por la venta de sus datos personales. Este derecho ejemplifica la importancia de dar a los consumidores un mayor control sobre su información personal. Las empresas deben proporcionar a los consumidores un enlace "claro y visible" de "No vender mis datos personales" colocado de forma visible en la página de inicio de su sitio web. Este enlace debe dirigir a los consumidores a una página específica que les permita rechazar la venta de sus datos personales.

  • Solicitar la supresión de sus datos personales. Cuando un consumidor ejerce este derecho, las empresas están obligadas a borrar todos los datos personales del consumidor en un plazo de 45 días desde la recepción de la solicitud. (Existe una prórroga de 45 días). Además, la empresa debe notificar a los terceros proveedores que también deben eliminar los datos personales del consumidor. La CCPA establece ciertas excepciones a la obligación de respetar este derecho. Por ejemplo, cuando una organización está obligada a conservar los datos personales para cumplir con sus obligaciones legales o para completar una transacción con el consumidor.

  • Recibir el mismo precio y servicioindependientemente de que ejerzan sus derechos de privacidad. Las empresas tienen prohibido discriminar a los consumidores por haber ejercido cualquiera de sus derechos de privacidad de datos. En particular, las empresas no pueden negarse a suministrar productos o servicios al consumidor o cobrar precios diferentes por los productos o servicios. Además, las empresas no pueden imponer sanciones, ofrecer un nivel diferente de calidad de los productos o servicios, o dar a entender que el consumidor recibirá un precio diferente por los productos o servicios. Sin embargo, la CCPA permite a las empresas ofrecer diferentes niveles de productos o servicios si son iguales en el valor que se pierde al no poder monetizar los datos personales del consumidor -aunque no está claro cómo se logrará o regulará esto.

Antes de que una empresa se comprometa a atender una solicitud de acceso del sujeto, debe asegurarse primero de que la solicitud es válida, verificando la identidad del solicitante. Esto puede lograrse verificando la identificación del cliente o utilizando la verificación del correo electrónico.

¿A quién se aplica la CCPA?

La ley se aplica a cualquier organización con ánimo de lucro que haga negocios en California, independientemente de su ubicación física, que recoja información personal sobre los consumidores de California y que cumpla al menos uno de los siguientes criterios:

  • Tiene unos ingresos brutos anuales de $25 millones o más; o

  • tiene 50.000 o más registros de consumidores, hogares o dispositivos; o

  • Obtiene 50% o más de sus ingresos anuales de la venta de información personal de los consumidores.

Impacto de la CCPA en el marketing directo

Para cualquier organización que desarrolle su actividad en California y cumpla los criterios mencionados, hay un impacto inmediato, así como cuestiones a largo plazo que deben abordarse.

Por lo tanto, es imperativo que las organizaciones con intereses comerciales en California cumplan con la CCPA en todos los aspectos de sus actividades de marketing.

La fecha límite del 1 de enero de 2020 ya ha pasado. Las empresas afectadas deberían haber realizado las siguientes actualizaciones organizativas y de su sitio web:

  1. Implementar un proceso para obtener el consentimiento de los padres o tutores para los menores de 13 años.

  2. Colocar un enlace "No vender mi información personal" en la página de inicio del sitio web de la empresa que dirija a los usuarios a una página separada que permita a los consumidores optar por no vender su información personal.

  3. Proporcionar a los consumidores métodos para presentar solicitudes de acceso a los datos. Por ejemplo, un formulario web, un número de teléfono gratuito o una dirección de correo electrónico específica.

  4. Actualizar los avisos de privacidad con la información requerida, incluyendo una descripción de los nuevos derechos de privacidad de los residentes de California.

  5. Evite solicitar el consentimiento de inclusión durante los 12 meses posteriores a la exclusión de un residente de California.

  6. Cree un proceso para la eliminación de la información personal de un consumidor cuando lo solicite. La CCPA estipula que los consumidores tienen el "derecho a ser olvidados" y a solicitar la eliminación de cualquier dato personal que su empresa tenga sobre ellos, incluidas las copias de seguridad. Como ya se ha dicho, hay algunas excepciones en cuanto a los datos que una empresa puede conservar por motivos legales, de cumplimiento o comerciales. Sin embargo, debe existir un proceso para eliminar rápidamente el resto de la información relativa a un consumidor.

Impacto en las listas de correo y en los registros de clientes

Su base de datos de clientes/prospectos y las listas alquiladas son vitales para el éxito de las campañas de marketing por correo directo y correo electrónico. Si su empresa ha recogido y almacenado a lo largo del tiempo nombres, direcciones y direcciones de correo electrónico de clientes y/o prospectos, será mejor que esté preparado para cumplir la ley. Es probable que el impacto sea aún mayor si depende de listas de terceros alquiladas a un agente de datos. En cualquier caso, su equipo de marketing tendrá que identificar todas las listas que se utilizan, así como las fuentes de esos registros.

Sin un conocimiento claro de la fuente de la lista de terceros y de la exactitud de los datos, puede ser arriesgado utilizar listas alquiladas de residentes de California. Es su responsabilidad asegurarse de que los registros de las listas alquiladas o compradas cumplen los requisitos de la CCPA para el uso de datos personales. Incluso los corredores de listas de buena reputación pueden tener problemas para cumplir con los requisitos de las leyes de privacidad. Por lo tanto, asegúrese de discutir las implicaciones de la CCPA con su corredor antes de alquilar o comprar listas.

No se puede ignorar la normativa de la CCPA sobre los datos utilizados con fines de marketing.

No se equivoque, la CCPA ya está teniendo un gran impacto en el marketing digital. Nadie puede esconder la cabeza en la arena y afirmar que no conocía la Ley de Privacidad del Consumidor de California. Incluso si su empresa no compra o vende datos personales, es vital que entienda cómo su departamento de marketing recoge y procesa los datos personales.

Las preguntas clave a las que hay que dar respuesta son:

  • ¿Qué datos se recogen y almacenan sobre sus visitantes y clientes?

  • ¿Qué herramientas se utilizan actualmente para la recopilación de datos sobre los visitantes y los clientes, incluidas las interacciones con terceros?

  • ¿Qué información se comparte/divulga a terceros? y ¿cómo utilizan estos datos?

  • ¿Cuál es el propósito específico de compartir/divulgar los datos personales recogidos?

  • ¿Qué mecanismos se utilizan para facilitar el acceso a terceros?

  • ¿Tiene contratos que cubran la venta o divulgación de información personal?
    (Es probable que tenga que actualizar estos contratos para garantizar que los datos sólo se utilizan para las necesidades especificadas por la empresa.

Conclusión:

La seguridad de los datos personales se ha convertido en uno de los problemas más graves a los que se enfrenta la sociedad conectada actual. Por un lado, la tecnología facilita la vida. Pero, por otro, se puede argumentar que hay resultados negativos que podrían afectarnos a todos. Si los datos personales que se recopilan, procesan y venden no están adecuadamente protegidos -y regulados-, es probable que aumenten los incidentes de violación y filtración de datos. La información personal ya está siendo robada y utilizada por los delincuentes, causando dolor y sufrimiento a innumerables víctimas de la ciberdelincuencia.

Las empresas tienen la obligación de cumplir con los requisitos de la CCPA. Así de simple. La nueva ley de California se ha establecido para evitar la violación de los derechos de los consumidores y, de este modo, evitar las sanciones por incumplimiento. Para aprovechar los beneficios de la economía digital, las organizaciones deben adoptar la apuesta de California por proteger a sus ciudadanos.

Al igual que otras leyes de privacidad, la CCPA no es perfecta. Sin embargo, podemos esperar que el Estado perfeccione y refine la ley con nuevas enmiendas a lo largo del tiempo. Y aunque las posibilidades de una ley federal de privacidad siguen siendo escasas con el régimen actual, no cabe duda de que más estados seguirán el ejemplo de California introduciendo sus propias leyes nuevas para proteger los derechos de privacidad de sus ciudadanos.

Más información: Libro electrónico gratuito "El efecto CCPA', Más artículos relacionados con el CCPA

NOTA: Este artículo se proporciona únicamente con fines informativos y no constituye un asesoramiento legal o profesional. El Grupo de Privacidad de Datos recomienda a las empresas que contraten los servicios de un profesional con experiencia en protección de datos, así como de un asesor legal, cuando se preparen para cumplir con las leyes de protección de datos y privacidad.

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.