El 11 de marzo, el Fiscal General de California publicó una segunda ronda de revisiones de la propuesta de reglamento de la Ley de Privacidad del Consumidor de California (CCPA). Entre una serie de correcciones y aclaraciones técnicas se encuentran varios cambios importantes, sobre todo la eliminación del botón de exclusión/no vender, y la orientación proporcionada en relación con la interpretación de "información personal".
Sin embargo, cabe preguntarse si este proceso iterativo de elaboración de normas repercutirá en el enfoque del fiscal general sobre la aplicación de la CCPA, o en la interpretación de las empresas de la CCPA y de estas normas cuando finalmente se finalicen.
Interpretación de "información personal"
Las modificaciones de febrero añadieron orientaciones que ilustran cómo podría interpretarse la "información personal" en el contexto de una empresa que recoge direcciones IP en su sitio web que no están vinculadas a un consumidor o a un hogar concreto. Las modificaciones de marzo eliminan por completo esta disposición, dejando a las empresas la tarea de decidir por sí mismas cómo abordar esta cuestión en el marco de la CCPA.
Notificación del derecho de exclusión
Las modificaciones de marzo también suprimen el botón opcional de exclusión voluntaria. Este cambio no afecta a otras secciones de este reglamento, ni a los requisitos legales de notificación a los consumidores especificados en la CCPA.
Las modificaciones también eliminan la obligación de que los controles de privacidad habilitados por el usuario requieran que los consumidores seleccionen afirmativamente su opción de exclusión y no estén diseñados con ninguna configuración preseleccionada.
Aviso en la recogida de información personal
Las modificaciones de marzo añaden un texto que establece que una empresa que no recoge información personal directamente de un consumidor no está obligada a proporcionar un aviso en el momento de la recogida si no vende la información personal del consumidor.
Además, las empresas que recogen información relacionada con el empleo no están obligadas a proporcionar un enlace a su política de privacidad en su aviso de recogida.
Definiciones
Las últimas modificaciones revisan el término "incentivo financiero" para significar "un programa, beneficio u otra oferta, incluidos los pagos a los consumidores, relacionados con la recogida, retención o venta de información personal".
La definición anteriormente describía el término como "incluyendo los pagos a los consumidores como compensación, por la divulgación, eliminación o venta" de información personal. El nuevo lenguaje "relacionado con la recopilación, la retención o la venta" también se incluye en la definición de "diferencia de precio o servicio" y en el reglamento de notificación de incentivos financieros.
Política de privacidad
Las modificaciones de marzo exigían que las políticas de privacidad identificaran las categorías de fuentes de las que se recoge la información personal e identificaran los fines empresariales o comerciales de la recogida o venta de la información.
Una empresa con "conocimiento real" que venda información personal de menores de 16 años debe incluir en su política de privacidad los procesos descritos en la normativa sobre la aceptación de dichas ventas.
Respuesta a las solicitudes de conocimiento y supresión
Aunque las empresas tienen prohibido revelar determinados datos personales en respuesta a una solicitud de información, como el número de la Seguridad Social, el número del permiso de conducir y otros datos personales especializados, las modificaciones de marzo añaden un texto que obliga a las empresas a revelar que han recopilado este tipo de datos.
Cuando una empresa que vende información personal deniega una solicitud de supresión, esa empresa deberá ahora preguntar al consumidor si desea excluir la venta de su información personal.
Proveedores de servicios
El GC ha revisado las exenciones a la norma general de que un proveedor de servicios no puede retener, utilizar o revelar información personal obtenida en el curso de la prestación de servicios. Las nuevas exenciones disminuyen significativamente la capacidad de un proveedor de servicios de utilizar información personal para prestar servicios en general. El proveedor de servicios debe ahora limitar el uso de la información personal "en nombre de la empresa que proporcionó la información personal".
También se ha revisado una disposición anterior que permitía a un proveedor de servicios utilizar la información personal para fines internos, como la creación o mejora de la calidad de sus servicios. En estas revisiones, el GC dejó claro que esta exención no permite a un proveedor de servicios crear o modificar perfiles de consumidores para utilizarlos en la prestación de servicios a otra empresa o para corregir o aumentar los datos adquiridos de otra fuente.
¿Y ahora qué?
Los cambios de esta última revisión obligan a las empresas cubiertas a estar preparadas. Todavía es posible que se produzcan nuevas revisiones antes de que la CCPA entre en vigor el 1 de julio de este año.
El Fiscal General de California Página web del CCPA ofrece información completa sobre el proceso de elaboración de las normas, así como los comentarios recibidos sobre las anteriores propuestas de modificación. Los comentarios sobre las modificaciones de marzo pueden presentarse por escrito hasta el 27 de marzo.
El "periodo de gracia" de 6 meses finalizará el 1 de julio.
¿Estará su empresa preparada y lista?
Fuentes y referencias: Oficina del Fiscal General de California, IAPP
Copia de la línea roja del fiscal general de California en la que se destacan los últimos cambios.