LosLey de Privacidad del Consumidor de California (CCPA)es una ley de privacidad de datos promulgada en el estado de California, EE.UU., diseñada para proteger los derechos de privacidad de los residentes de California dándoles más control sobre su información personal. Entró en vigor el 1 de enero de 2020. A continuación se presenta una sinopsis de los elementos clave y disposiciones de la CCPA:
1. 1. 1.Finalidad de la CCPA
El objetivo de CCPA es proporcionar a los residentes de California transparencia sobre cómo sus empresas recopilan, utilizan y comparten su información personal. Ofrece a las personas la posibilidad de acceder, eliminar y controlar sus datos personales.
2. 2. 2.¿A quién se aplica la CCPA?
La CCPA se aplica a las empresas con fines de lucro que cumplan uno o más de los siguientes criterios:
- Ingresos anuales brutosde más de 25 millones de dólares.
- Compra, vende o comparte información personalde 100.000 o más consumidores o hogares de California.
- Deriva 50% o más de los ingresos anualesde la venta de información personal de los consumidores de California.
Incluso las empresas fuera de California deben cumplir si cumplen con estos umbrales y procesan los datos personales de los residentes de California.
3. 3.¿Qué es la información personal bajo la CCPA?
La CCPA define ampliamente la información personal para incluir cualquier información que pueda vincularse a un individuo o hogar específico. Esto incluye, pero no se limita a:
- Nombre, dirección, número de teléfono, correo electrónico.
- Número de Seguro Social, número de licencia de conducir.
- Actividad de Internet, dirección IP y datos de geolocalización.
- Historial de compras, historial de navegación.
- Información sobre empleo y educación.
- Datos biométricos.
También incluye cualquier inferencia extraída de los datos que podría crear un perfil sobre las preferencias, características, tendencias psicológicas y comportamientos de un individuo.
4. 4. 4.Derechos de los consumidores en virtud de la CCPA
La CCPA otorga los siguientes derechos a los residentes de California:
a.Derecho a saber
Los consumidores tienen derecho a solicitar:
- Las categorías y piezas específicas de información personal recopilada sobre ellas.
- Las categorías de fuentes de las que se recopiló su información.
- El propósito comercial o comercial para recopilar o vender su información personal.
- Las categorías de terceros con los que se comparte su información.
b.Derecho a suprimir
Los consumidores pueden solicitar que una empresa elimine su información personal recopilada, con sujeción a ciertas excepciones (por ejemplo, si los datos son necesarios para completar una transacción, cumplir con una obligación legal o con fines de seguridad).
c.Derecho a la venta de información personal
Los consumidores tienen derecho a optar por no recibir la venta de su información personal a terceros. Las empresas deben proporcionar un enlace claro y visible "No vender mi información personal" en su sitio web para facilitar este proceso de exclusión voluntaria.
d.Derecho a la no discriminación
No se puede discriminar a los consumidores por ejercer sus derechos CCPA. Esto significa que las empresas no pueden:
- Denegar bienes o servicios.
- Cargue diferentes precios o tarifas.
- Proporcionar un nivel o calidad de servicio diferente, a menos que las diferencias estén razonablemente relacionadas con el valor de los datos del consumidor.
5. 5. 5.Obligaciones para las empresas bajo la CCPA
Las empresas que entran en el ámbito de la CCPA deben cumplir varios requisitos:
a.Proporcionar avisos de privacidad
Las empresas deben informar a los consumidores, en o antes del punto de recopilación de datos, sobre los tipos de información personal que se recopilan y los fines para los que se utilizará. Esta información generalmente se presenta en una política de privacidad.
b.Responder a las solicitudes de los consumidores
- Las empresas están obligadas a verificar y responder a las solicitudes de acceso, eliminación u exclusión en un plazo de 45 días.
- Deben proporcionar un método para que los consumidores presenten estas solicitudes, como un número gratuito o un formulario web.
c.Capacitación y mantenimiento de registros
- Los empleados que manejan las consultas de los consumidores sobre privacidad deben recibir capacitación sobre cómo cumplir con la CCPA.
- Las empresas deben mantener registros de las solicitudes de los consumidores y de cómo se manejaron durante al menos 24 meses.
d.Seguridad de datos
- La CCPA impone a las empresas la obligación de implementar y mantener procedimientos y prácticas de seguridad razonables para proteger la información personal de los consumidores.
6. 6. 6.Multas y sanciones
La CCPA permite la aplicación por laFiscal General de California, así como demandas privadas en circunstancias específicas:
- Violaciones intencionalespuede dar lugar a multas de hasta $7,500 por violación.
- Violaciones involuntariaspuede dar lugar a multas de 2.500 dólares por violación si no se corrige dentro de los 30 días siguientes a la notificación del problema.
- Los consumidores también pueden interponer demandas privadas si su información personal está expuesta debido al incumplimiento por parte de una empresa de medidas de seguridad razonables, con daños legales que van desde $100 a $750 por incidente o daños reales, lo que sea mayor.
7. 7. 7.Ley de Derechos de Privacidad de California (CPRA)
En 2020, los votantes de California aprobaron elLey de Derechos de Privacidad de California (CPRA), que se expande sobre la CCPA. La CPRA entró en vigor el 1 de enero de 2023 e introduce varios derechos y obligaciones adicionales, entre ellos:
- Derecho a corregir: Los consumidores pueden solicitar que se corrija la información personal inexacta.
- Ampliado derecho a optar por la salida: Los consumidores pueden optar por no solo la venta de información personal, sino también el intercambio de información personal para publicidad dirigida.
- Información personal sensible: La CPRA introduce nuevas normas sobre el uso y divulgación de información personal sensible (por ejemplo, datos financieros, raza, datos de salud).
- Creación de la Agencia de Protección de Privacidad de California (CPPA): La CPRA establece esta agencia para hacer cumplir las leyes de privacidad y proporcionar orientación a empresas y consumidores.
8. 8. 8.Comparaciones con el RGPD
Si bien la CCPA es una importante ley de privacidad en los Estados Unidos, difiere de laReglamento General de Protección de Datos (RGPD)de varias maneras:
- Aplicabilidad: El RGPD se aplica globalmente a cualquier organización que procese los datos personales de los residentes de la UE, mientras que CCPA se aplica solo a los residentes de California.
- Consentimiento: El RGPD requiere el consentimiento afirmativo para la recopilación de datos, mientras que CCPA permite a las empresas recopilar y utilizar información personal a menos que el consumidor opte por no participar.
- Derechos de los consumidores: El RGPD otorga derechos más amplios, como el derecho a la portabilidad de los datos y una protección más amplia en torno a la toma de decisiones automatizada.
La CCPA es una de las leyes de privacidad de datos más completas en los Estados Unidos y representa un cambio hacia una mayor transparencia de los datos y un control del consumidor sobre la información personal. La ley sienta las bases para la futura legislación de privacidad en los Estados Unidos y a menudo se compara con las leyes internacionales de protección de datos como el RGPD.