¿Qué significa CCPA y qué significa para las empresas?

A medida que crece la conciencia de las expectativas de los consumidores con respecto a su privacidad, la CCPA se encuentra entre las primeras de muchas leyes de protección de datos que se han extendido por todo el país.

La CCPA se aprobó en 2018 y está dirigida a empresas que recopilan y venden información personal del consumidor.

Con la intención de dar a los californianos más control sobre cómo se almacenan y utilizan sus datos, presenta protecciones de datos innovadoras al dar a los residentes una voz más sustancial sobre el destino de su información personal.

Pero, ¿la CCPA se aplica solo a las empresas ubicadas en California?

¿A quién se aplica la CCPA?

Al igual que GDPR afectará a las empresas estadounidenses con clientes europeos, CCPA puede afectar a las empresas no californianas con consumidores en el estado.

CCPA se ocupa de cualquier empresa que opere en línea y recopile datos de los californianos o haga negocios en California , incluso si esa empresa no está ubicada físicamente en California. Para que se aplique la CCPA, una empresa debe cumplir con cualquiera de estos tres criterios:

• Generar al menos $ 25 millones en ingresos anuales.
• Obtenga datos de más de 50.000 clientes.
• Obtenga al menos la mitad de sus ingresos anuales vendiendo datos de consumidores.

Si una empresa se ajusta a cualquiera de estos tres criterios, debe cumplir con los requisitos de la CCPA si sus consumidores residen en California. No hacerlo puede resultar en que una empresa pague multas de CCPA.

Blog relacionado: ¿Quién necesita certificaciones CMMC?

El Alcance de la Ley de Privacidad CCPA

La CCPA otorga a los consumidores de California derechos fundamentales en lo que respecta al uso y la venta de sus datos en Internet. Vamos a entrar en más detalles sobre lo que significa cada uno.

• El derecho a acceder a la información: los consumidores en California tienen derecho a saber qué categorías de información personal se recopilaron o vendieron, de dónde, a quién y por qué.
• El derecho a la eliminación de datos: los consumidores en California pueden solicitar que una empresa elimine los datos personales que ha recopilado sobre ellos.
• El derecho a optar por no recopilar o vender datos: los consumidores en California pueden ordenar a una empresa que no recopile ni venda su información a terceros. La CCPA incluye una definición de "vender" que se extiende más allá de un intercambio monetario.
• Derecho de Portabilidad: Permite a las personas obtener sus datos personales en un formato estructurado, común y legible por máquina y transferirlos libremente a otro responsable del tratamiento.

La CCPA otorga a los californianos una capacidad limitada para demandar a cualquier empresa sujeta a la CCPA cuando su información personal se ve comprometida, generalmente debido a una infracción.

Sin embargo, le da al fiscal general del estado una capacidad mucho más general para demandar en nombre de los residentes.

La CCPA define la información personal como cualquier información que “identifique, se relacione, describa, se pueda asociar o se pueda vincular razonablemente, directa o indirectamente, con un consumidor u hogar en particular”.

En otras palabras, cualquier estadística, acción o conocimiento que pueda vincularse a un individuo identificable. Esta amplia definición abarca casi todas las acciones dentro del espacio digital.

¿Cómo afectan las leyes de privacidad a las pequeñas empresas?

Los criterios adicionales anteriores están diseñados específicamente para proteger a las pequeñas y medianas empresas.

Para las empresas que no cumplen con uno de los tres requisitos anteriores, el cumplimiento de CCPA no se aplica y sus requisitos de privacidad para los californianos permanecen sin cambios.

Asimismo, la CCPA no afectará a las PYMES si todos los aspectos de su negocio tienen lugar fuera de California, incluida la venta de datos personales. Sin embargo, si esa empresa cumple con uno de los tres criterios anteriores y tiene incluso un solo cliente de California, entonces se aplicará la CCPA.

No obstante, existe una confusión significativa con respecto a si la CCPA se aplicará a un negocio específico.

Una encuesta de 625 dueños de negocios y ejecutivos de empresas encontró que al menos un 34 % de los encuestados no sabía si la CCPA los afectaba, mientras que otro 22 % afirmaba que “no les importaba”.

Si estás confundido, no estás solo. Asegúrese de consultar con expertos en el campo para asegurarse de que está cumpliendo si es necesario. El incumplimiento de la CCPA puede resultar en fuertes multas.

Las infracciones de la CCPA están sujetas a sanciones de $2500 por cada infracción y $7500 por infracciones intencionales.

¿Cómo pueden las PYMES cumplir con la CCPA?

Las PYMES que están en el camino hacia el cumplimiento del RGPD o ya lo están, encontrarán que el cumplimiento de la CCPA es un poco más fácil, aunque este último tiene un alcance más amplio.

Para las empresas que recopilan y venden información personal, el cumplimiento de la CCPA incluye:

• Actualización de avisos y políticas de privacidad. La CCPA requiere que el consumidor notifique explícitamente la intención de la empresa de recopilar y vender información "en el punto de recopilación o antes". Este aviso debe incluir qué información se recopila y por qué.
• Actualización del inventario de datos con nuevas clasificaciones. Los datos almacenados en el backend deben incluir registros de la venta de la información, la transferencia a terceros, el momento de la recopilación y la venta, además de una indicación de si la información está cubierta por HIPAA u otra ley de privacidad de datos.
• Crear procedimientos para cumplir con los derechos del consumidor de California. Las empresas necesitan una forma para que los consumidores soliciten el acceso, la eliminación o la exclusión voluntaria de la venta de su información personal.
• Revisión de la seguridad del sitio y del negocio. La CCPA exige una protección de datos personales "razonable". Para las PYMES, un proveedor de servicios gestionados puede aligerar esta carga.
• Personal de formación. Capacite al personal sobre qué es CCPA, cuáles son sus requisitos de cumplimiento, cómo manejar los nuevos procedimientos y cómo manejar posibles incidentes.
• Comenzando ahora. Los consumidores de California pueden solicitar datos recopilados hasta 12 meses antes. Las empresas deben poder proporcionar registros de datos recopilados y vendidos desde el 1 de enero de 2019.

Blog relacionado: Desarrollo de una estrategia de ciberseguridad para proteger su empresa

¿Cuál es la diferencia entre CCPA, CalOPPA y GDPR?

Los derechos otorgados bajo CCPA se aplican a los "consumidores" de California, es decir, residentes y empleados.

Estos consumidores tienen derecho a acceder y eliminar los datos recopilados, además de optar por no ser recopilados en el futuro por ninguna empresa con la que hagan negocios en línea.

En contraste, CalOPPA es la Ley de Protección de la Privacidad en Línea de California de 2003.

Fue la primera ley estatal en los Estados Unidos en exigir que los sitios web comerciales que recopilan información personal publiquen una política de privacidad que sea visible específicamente para los residentes de California.

Esta política de privacidad requiere que los operadores de sitios web sigan su política de privacidad establecida.

GDPR es el Reglamento General de Protección de Datos establecido por la Unión Europea en mayo de 2018

Brinda a los ciudadanos de la Unión Europea un control significativamente mayor sobre sus datos privados en Internet.

En particular, GDPR actualiza la forma en que los sitios web adquieren el consentimiento del consumidor para recopilar datos, describe pautas claras para comunicar cómo se utilizan los datos personales e instituye requisitos para la prueba del consentimiento del usuario.

CCPA, CalOPPA y GDPR son muy diferentes en su aplicación y alcance.

Sin embargo, todos tienen una característica fundamental en común: no solo afectan a los residentes de California y la Unión Europea, respectivamente.

Cualquier negocio que opere en línea que tenga o interactúe con residentes de cualquiera de estas dos regiones está sujeto a estas leyes.

Al igual que la CCPA no se limita a las empresas que se ejecutan en California, el RGPD no se limita a las empresas ubicadas en la Unión Europea. Cualquier empresa global que maneje datos de residentes de la UE debe cumplir con el RGPD.

Ley de Privacidad del Consumidor de California: CPRA vs. CCPA

CPRA significa Ley de Privacidad del Consumidor de California. También se conoce como Proposición 24. Los votantes de California aprobaron esta medida electoral en 2020. Agrega enmiendas a los requisitos de la CCPA, dándole el sobrenombre de "CCPA 2.0".

CPRA agrega:

• Derecho de rectificación , lo que significa que los consumidores pueden solicitar a una empresa que cambie la información incorrecta sobre ellos.
• Derecho de Restricción , dando a los consumidores el derecho de limitar el uso y divulgación de su información personal sensible
• Derecho contra la toma de decisiones automatizada , que otorga a los consumidores el derecho a optar por la tecnología que “perfila” su desempeño laboral, situación económica, salud, intereses, etc.

La CPRA también establece la obligación de que las organizaciones lleven a cabo Evaluaciones de Riesgo y Prohibición de Discriminación. Aunque la medida se aprobó en 2020, la mayoría de las revisiones de la CCPA no estarán "operativas" hasta 2023.

Sin embargo, la disposición que establece la Agencia de Protección de la Privacidad de California está vigente. En esencia, esto crea una junta de cinco miembros con experiencia en privacidad y derechos del consumidor, quienes implementarán y harán cumplir la CCPA.

Infografía relacionada: MSP vs. MSSP: las diferencias clave

Conclusiones clave

La CCPA es la ley de privacidad de datos más completa y de mayor alcance en los EE. UU. Confiere ciertos derechos a los consumidores de California con respecto a la recopilación, el uso y la venta de sus datos en línea.

Aunque la ley tiene ciertas exenciones diseñadas para las PYMES, aún puede afectar potencialmente a estas empresas.

La CCPA requiere cambios significativos en la forma en que se envían los avisos a los consumidores, así como en la forma en que las empresas almacenan, clasifican y protegen la información personal.

Aunque CCPA y CPRA, CalOPPA y GDPR son diferentes en sus definiciones y protecciones de los datos de los usuarios, tienen una cosa importante en común: afectan la forma en que las personas de todo el mundo hacen negocios con las personas que viven en estas regiones.

Es mejor prepararse proactivamente para el cumplimiento para evitar litigios. Consulte con un experto hoy para saber qué debe hacer su empresa para cumplir con las leyes federales y estatales.

Mantener el cumplimiento y la ciberseguridad puede ser un tema complejo. Mire este video que presenta a un experto en la materia, Jeff Leder, sobre la gestión de la ciberseguridad , para aprender cómo un servicio de ciberseguridad administrado puede manejar el cumplimiento mientras usted se enfoca en su negocio.