ArtículoUna guía completa de la Ley de Privacidad del Consumidor de California
Publicado: 2022-08-12Descubra cómo la Ley de Privacidad del Consumidor de California afecta a las empresas que gestionan los datos de los residentes y qué puede hacer para reducir el riesgo de infringir las normas de la Ley.
*Este artículo fue escrito en 2018. La CCPA entró en vigencia el 1 de enero de 2020.
Han pasado algunos meses desde el gran pánico del RGPD de 2018. Todos hemos tenido tiempo de concluir el cumplimiento, recuperar el aliento y mirar hacia el futuro (pero si aún no ha abordado el cumplimiento del RGPD o no sabe qué es el RGPD , consulte mi artículo sobre el RGPD para sitios web basados en EE. UU.). Entonces, ¿qué sigue para las regulaciones de privacidad personal para las entidades con sede en los EE. UU.?
Es la Ley de Privacidad del Consumidor de California (CCPA), que se convirtió en ley el 23 de septiembre de 2018. Esta vez, todos deberíamos poder evitar la histeria que vimos con GDPR.
Antes de continuar, tenga en cuenta que este artículo está dirigido a propietarios de sitios web de empresa a empresa (B2B) medianos y grandes. Es irrelevante si su organización es pública o privada, así como si su organización tiene su sede en California.
Considero que la mayoría de las publicaciones de blog sobre este y otros temas similares son altamente sospechosas, por lo que la investigación para este artículo depende únicamente del texto de la ley. Independientemente de dónde obtenga su información, verifíquela con un abogado que se especialice en el tema. Si su empresa maneja información personal como parte de su negocio principal, este artículo no es para usted.
Esto es lo que cubriré:
- ¿Qué es la Ley de Privacidad del Consumidor de California?
- ¿Quién está protegido por la CCPA?
- ¿Qué, exactamente, está protegido?
- ¿Qué organizaciones deben cumplir?
- ¿Cuáles son los derechos del consumidor?
- ¿Cuáles son los pasos para garantizar el cumplimiento de la CCPA?
- ¿Cuáles son las sanciones por incumplimiento?
¡Vamos a sumergirnos!
¿Qué es la Ley de Privacidad del Consumidor de California?
En 1972, los votantes de California enmendaron la Constitución de California para incluir el derecho a la privacidad entre los derechos “inalienables” de todas las personas. La enmienda estableció un derecho de privacidad legal y exigible para todos los californianos. Fundamental para este derecho a la privacidad es la capacidad de las personas para controlar el uso, incluida la venta, de su información personal – AB 375, Sección 2(a)
Para respaldar esta enmienda, ya se aprobaron varias leyes de California: la Ley de protección de la privacidad en línea, la Ley de derechos de privacidad para menores de California en el mundo digital y Shine the Light.
La CCPA es una nueva ley que se basa en aquellas para proteger aún más los derechos de los residentes. Comenzó como una iniciativa de votación propuesta, pero sus partidarios acordaron retirarla con la condición de que se aprobara una nueva ley antes del 28 de junio de 2018.
Esa era la fecha límite para finalizar lo que estaría en la boleta. Para cumplir con esto, se resucitó un proyecto de ley imperfecto (Asamblea de Ley 375) después de que anteriormente no logró ganar tracción. Se pasó de prisa. Tanto la iniciativa electoral como la AB 375 se conocen como la Ley de Privacidad del Consumidor de California, aunque la iniciativa electoral y la ley resultante demostraron ser muy diferentes.
Los miembros de la Asamblea de California temían que si una ley no se aprobaba a tiempo y la iniciativa llegaba a la boleta electoral, los votantes aprobarían una ley que sería difícil, si no imposible, de cumplir para las empresas.
Más tarde, en 2018, una versión modificada pasó por el Senado del Estado de California (Proyecto de Ley del Senado 1121). Pero la ley aún no es perfecta y parece probable que se realicen más enmiendas.
Antes de entrar en los detalles de la ley, debemos reconocer que algunas partes pueden cambiar. Tal vez la ley en sí nunca se haga cumplir.
Actualmente existen iniciativas para establecer una ley federal de privacidad de datos que anularía cualquier ley estatal de privacidad de datos. Los legisladores federales pueden sentir que la ley de California se extralimita o no va lo suficientemente lejos y luego apresuran una ley federal... Una medida que refleja la acción tomada por la Asamblea del Estado de California.
Es razonable que los legisladores estatales y federales desconfíen de las iniciativas impulsadas por los votantes y de un grupo de leyes estatales individuales. Las empresas podrían cargar con directivas técnicas poco prácticas o con la abrumadora carga de cumplir con las leyes de 50 estados diferentes.
Como desarrollador web, ambos escenarios me asustan. Pero como consumidor individual, estoy decepcionado con la ley de California. Simplemente no va lo suficientemente lejos para proteger los datos personales e identificables.
Pase lo que pase, los próximos dos años serán bastante caóticos, pero aquí es donde nos encontramos ahora...
¿Quién está protegido por la CCPA?
La CCPA se aplica a todas las personas que viven en California. El texto de la ley dice:
Consumidor significa una persona física que es residente de California, según se define en la Sección 17014 del Título 18 del Código de Regulaciones de California, tal como se leyó en esa sección el 1 de septiembre de 2017, sin importar cómo se identifique, incluido cualquier identificador único. – AB 375, Sección 3, 1798.140
Una "persona natural" puede considerarse simplemente como un ser humano individual. Una "persona jurídica", por el contrario, podría ser simplemente una entidad jurídica. La definición de residente es:
El término “residente”, tal como se define en la ley, incluye (1) toda persona que se encuentre en el Estado por un motivo que no sea temporal o transitorio, y (2) toda persona domiciliada en el Estado que se encuentre fuera del Estado por un propósito temporal o transitorio. Todos los demás individuos son no residentes. – Código de Regulaciones de California, Título 18, Sección 17014
Un tecnólogo inteligente en su organización puede sugerir filtrar a los usuarios por estado, brindando a los de California una experiencia diferente. Pero hay tres fallas en este enfoque.
Primero, los residentes de California están protegidos sin importar si se encuentran en el estado en ese momento. En segundo lugar, las herramientas que usamos para determinar la ubicación de un usuario son imperfectas. Y tercero, mantener una experiencia de sitio web separada solo para los usuarios en California sería un adicional,
Tenga en cuenta que en todo el texto de la ley (incluido el título) la palabra "Consumidores" se usa para referirse a todas las personas físicas que son residentes de California. Es una elección extraña porque las personas no están obligadas a comprar bienes o servicios para estar protegidos por la ley.
¿Qué está protegido?
La CCPA protege la información personal de los residentes de California. La información personal es información que se puede asociar con un individuo o un hogar, directa o indirectamente.
Tenga en cuenta que es completamente posible recopilar datos sobre un usuario anónimo, por Cookie o dirección IP, por ejemplo, y luego relacionar esos datos con un individuo en una fecha posterior. Esto significa que los datos "pueden estar asociados" con una persona.
Por lo tanto, si la CCPA se aplica a su negocio, debe divulgar esta recopilación a la persona cuando se recopilan los datos, incluso si la persona aún no ha sido identificada o nunca lo será. Debido a que es posible identificar a la persona, significa que debe cumplir. La información personal incluye, pero no se limita a:
(A) Identificadores como un nombre real, alias, dirección postal, identificador personal único, identificador en línea, dirección de Protocolo de Internet, dirección de correo electrónico, nombre de cuenta, número de seguro social, número de licencia de conducir, número de pasaporte u otros identificadores similares.
(B) Cualquier categoría de información personal descrita en la subdivisión (e) de la Sección 1798.80.
(C) Características de las clasificaciones protegidas bajo la ley federal o de California.
(D) Información comercial, incluyendo registros de propiedad personal, productos o servicios comprados, obtenidos o considerados, u otros antecedentes o tendencias de compra o consumo.
(E) Información biométrica.
(F) Internet u otra información de actividad de red electrónica, que incluye, entre otros, historial de navegación, historial de búsqueda e información sobre la interacción de un consumidor con un sitio web, aplicación o anuncio de Internet.
(G) Datos de geolocalización.
(H) Información de audio, electrónica, visual, térmica, olfativa o similar.
(I) Información profesional o laboral.
(J) Información educativa, definida como información que no es información de identificación personal disponible públicamente según se define en la Ley de Privacidad y Derechos Educativos de la Familia (20 USC sección 1232g, 34 CFR Parte 99).
(K) Inferencias extraídas de cualquier información identificada en esta subdivisión para crear un perfil sobre un consumidor que refleje las preferencias, características, tendencias psicológicas, preferencias, predisposiciones, comportamiento, actitudes, inteligencia, habilidades y aptitudes del consumidor.
– AB 375, Sección 3, 1798.140
¿Qué organizaciones deben cumplir?
Si su organización no hace negocios en el estado de California, está libre de problemas. Y alguien que navega por su sitio web desde California no significa que tenga la intención de hacer negocios en el estado. Pero si su empresa hace negocios en California, debe hacerse algunas preguntas:
- ¿Tiene su organización ingresos brutos anuales superiores a los 25 millones de dólares? (Nótese que la cifra se ajusta con el Índice de Precios al Consumidor).
- ¿Su organización maneja la información personal de 50 000 o más consumidores, hogares o dispositivos cada año?
- ¿Su organización obtiene el 50 por ciento o más de sus ingresos anuales de la venta de información personal de los consumidores?
Si puede responder afirmativamente a cualquiera de estas tres preguntas, entonces su organización debe cumplir. Si su organización se encuentra por debajo de todos estos umbrales pero es propiedad de una entidad más grande (con más del 50 % de control) que supera cualquiera de ellos, nuevamente, su organización debe cumplir.
¿Cuáles son los derechos del consumidor?
Los derechos otorgados a los residentes de California en virtud de esta ley guardan muchas similitudes con los otorgados a los ciudadanos de la UE en virtud del RGPD. Al igual que GDPR, las empresas deben informar a los usuarios cuándo están recopilando datos y qué harán exactamente con ellos antes de recopilar la información:
Una empresa que recopila información personal de un consumidor deberá, en el punto de recopilación o antes, informar a los consumidores sobre las categorías de información personal que se recopilarán y los fines para los cuales se utilizarán las categorías de información personal: AB 375, Sección 3, 1798.100(b)
Y tienen derecho a solicitar todos sus datos que una empresa ha recopilado:
Un consumidor tendrá derecho a solicitar que una empresa que recopile información personal de un consumidor le revele a ese consumidor las categorías y piezas específicas de información personal que la empresa ha recopilado – AB 375, Sección 3, 1798.100(a)
Sobre la base de esto, los consumidores tienen derecho a conocer las categorías de fuentes de donde se recopiló la información, el propósito comercial de la recopilación de datos y las categorías de terceros con quienes se comparte la información.
Asimismo, los usuarios tienen derecho a solicitar que sus datos sean eliminados de sus registros y de los registros de todos sus proveedores de servicios.
Un consumidor tendrá derecho a solicitar que una empresa elimine cualquier información personal sobre el consumidor que la empresa haya recopilado del consumidor – AB 375, Sección 3, 1798.105(a)
Si su negocio principal consiste en tratar con los datos personales de los consumidores, existen derechos adicionales que debe conocer y estar preparado para responder. Pero, de nuevo, este artículo no es para ti.
¿Cuáles son los pasos para garantizar el cumplimiento de la CCPA?
En primer lugar, debe notificar a los usuarios de toda recopilación de datos por adelantado. A diferencia del RGPD, la CCPA no requiere un mecanismo de consentimiento positivo. Por ejemplo, cuando un usuario completa un formulario, bastará con una declaración simple que revele lo que hará con los datos. El usuario no necesita marcar una casilla que explique que entiende y da su consentimiento para la recopilación.
Debe proporcionar a los usuarios al menos dos métodos para solicitar sus datos o para que se eliminen. Uno de estos métodos debe ser un número gratuito; el otro puede ser simplemente la dirección de un sitio web.
Todas las solicitudes deben ser verificadas y respondidas dentro de los 45 días. Este período de tiempo puede extenderse por 45 días adicionales, siempre que informe al consumidor dentro del primer período de 45 días. Su divulgación al usuario debe incluir los 12 meses anteriores de recopilación de datos, así que asegúrese de poder almacenar y recuperar los datos necesarios desde el 1 de julio de 2019.
Una empresa que recibe una solicitud verificable de un consumidor para acceder a la información personal deberá tomar medidas de inmediato para divulgar y entregar, sin cargo al consumidor, la información personal requerida por esta sección - AB 375, Sección 3, 1798.100(d)
No está obligado a responder a las solicitudes de datos de un solo usuario más de una vez en un período de 12 meses.
Debe actualizar su política de privacidad para divulgar una descripción de los derechos de los consumidores de conformidad con las Secciones 1798.110, 1798.115 y 1798.125 de la CCPA. También debe presentar los métodos disponibles para realizar solicitudes con respecto a sus datos.
Como se indicó anteriormente, uno de esos métodos debe ser un número gratuito. También debe divulgar todas las categorías de información que haya recopilado en los 12 meses anteriores y mantener esa información actualizada al menos una vez cada 12 meses.
Al mismo tiempo, debe asegurarse de que todas las personas que manejan las consultas de los consumidores sobre las prácticas de privacidad de la empresa o el cumplimiento de este título estén informadas de todos los requisitos. También necesitan saber cómo dirigir a los consumidores para que ejerzan sus derechos bajo esas secciones.
Es posible que vea a algunas personas aconsejando que debe tener un enlace en su página de inicio titulado "No vender mi información personal", pero ese requisito es específico para las empresas que venden información personal de los consumidores. Como mencioné anteriormente en este artículo, si vende información personal de los consumidores, este artículo no es para usted.
Finalmente, no puede discriminar a los usuarios que han ejercido sus derechos de privacidad otorgados por la CCPA. La discriminación incluye negar bienes o servicios, cobrar precios más altos o proporcionar un nivel o calidad diferente de bienes y servicios.
Puede ofrecer incentivos financieros para la recopilación de información personal. Pero tenga cuidado de que estos programas de incentivos no sean de naturaleza coercitiva o usurera.
¿Cuáles son las sanciones por incumplimiento?
Las sanciones evaluadas por el Fiscal General de California son relativamente pequeñas en comparación con las que vienen con las infracciones de GDPR. Tenga en cuenta que, en caso de una supuesta infracción, tendrá 30 días para corregir el problema y solo deberá pagar la multa si no lo hace.
Si se le encuentra en infracción y no soluciona el problema, enfrentará una multa civil de $2,500 por una infracción no intencional y $7,500 por una infracción intencional. Estas sanciones son tan leves que algunas empresas seguramente optarán por ignorar la ley. Pero lo hacen con gran peligro.
El mayor costo generado por ser encontrado en violación de la CCPA es el mayor riesgo de exposición a demandas colectivas. Los daños legales están limitados a $100 - $750 por consumidor por incidente o daños reales, lo que sea mayor. Pero dado que es común administrar los datos de miles de personas, los daños totales en una demanda colectiva pueden ser sustanciales.
Recomendaciones
Quizás lo más preocupante de estas nuevas leyes es el conocimiento de que habrá más por venir. O comenzaremos a ver más leyes estatales diseñadas para proteger la privacidad de nuestros datos o una ley federal que se aprobará y prevalecerá o anulará las leyes estatales.
Es imposible saber qué podrían incluir estas futuras leyes, pero podemos hacer algunas conjeturas. Y hay un par de prácticas adicionales que ayudarán a garantizar el cumplimiento en todos los estados y la UE:
- Defina un proceso para deshacerse de los datos del cliente después de un período de tiempo determinado
- Requerir un mecanismo de consentimiento positivo en todos los puntos de recopilación de datos
- ¡Recopila menos datos!
Esa última sugerencia es fácil de realizar y te absuelve de mucha responsabilidad. Hay muchas cosas en la mayoría de los sitios web modernos que registran, rastrean y aprovechan la actividad del usuario.
La gran mayoría de estas cosas en realidad no recopilan datos para el propietario del sitio web; recopilan datos para redes de publicidad dirigida. Los servicios "gratuitos" como análisis, alojamiento de fuentes, redes de entrega de contenido, compartir widgets y similares son cualquier cosa menos gratuitos.
Estás pagando por ellos con la privacidad de tus usuarios. No los utilice en su sitio web siempre que sea posible, o configúrelos de manera que ya no revele los datos personales de sus usuarios.
Recursos
- Proyecto de Ley de la Asamblea del Estado de California No. 375
- Proyecto de Ley del Senado del Estado de California No. 1121
- Los artículos de Data Privacy Monitor sobre CCPA Normalmente me abstengo de incluir enlaces a blogs, pero las publicaciones de DPM y Alan L. Friel, en particular, son excelentes de manera constante.
Las regulaciones de la CCPA pueden ser abrumadoras. Con suerte, hemos ayudado a consolidar todo lo que necesita saber. Si considera realizar una auditoría de su sitio, estaremos encantados de conversar. Para obtener más información sobre las consideraciones web y digitales para su marca, aquí hay algunos consejos y recursos para ayudar:
- Aprenda lo que se necesita para que su sitio sea accesible.
- Descubra las claves de la seguridad del sitio web y cómo mantener su sitio seguro.
- Eche un vistazo a cómo crear un sitio web comercial atractivo (y que genere conversiones).