Una guía de CCPA: la Ley de Privacidad del Consumidor de California
Publicado: 2021-03-12La Ley de Privacidad del Consumidor de California se aprobó en 2018. Es un estatuto estatal que brinda protección a los residentes de California, diseñado para brindarles a los consumidores de California control sobre sus datos en línea e información personal.
CCPA brinda protecciones de datos a los consumidores, que incluyen:
El derecho a saber sobre la información personal que recopilan las empresas.
El derecho a eliminar la información personal que ha sido recopilada.
El derecho a optar por la venta de su información personal.
El derecho a la no discriminación por ejercer sus derechos CCPA.
Quién debe preocuparse por el cumplimiento de la CCPA
CCPA es la ley de California únicamente, pero se aplica a cualquier organización que realice negocios en California o que recopile datos sobre usuarios de California. Las protecciones solo se aplican a los residentes de California, pero se aplican incluso cuando se encuentran temporalmente fuera del estado.
La CCPA se aplica a:
- Empresas con fines de lucro que realizan negocios en California que recaudan más de $25 millones en ingresos anuales.
- Empresas que compran, reciben o venden la información personal de 50 000 o más residentes, hogares o dispositivos de California
- Empresas que obtienen el 50 % o más de sus ingresos anuales de la venta de información personal de los residentes de California.
California es el estado más poblado de los EE. UU. y el hogar de Silicon Valley, por lo que en lugar de las regulaciones federales que rigen la protección de datos para los consumidores estadounidenses, la CCPA ha establecido el estándar y la obligación sobre cómo las empresas de los EE. UU. recopilan, almacenan, venden y tratan información personal.
Según la CCPA, las empresas pueden ser demandadas si "se robó información personal no cifrada y no redactada en una violación de datos como resultado de que la empresa no mantuvo procedimientos y prácticas de seguridad razonables para protegerla".
Los beneficios de CCPA
CCPA no establece automáticamente un entorno digital seguro; es una hoja de ruta hacia una Internet más segura. Establece un precedente sobre qué tipo de datos nosotros, como consumidores, debemos esperar que estén protegidos. También muestra qué tipo de requisitos deben cumplir las empresas si quieren proteger los datos de los usuarios y allana el camino para la futura regulación.
CCPA ha traído una mayor conciencia de cómo los sitios web recopilan, administran y venden datos. Lo ha hecho para que las empresas estén en una posición en la que deben revelar cómo tratan los datos de los consumidores. Aunque todos los sitios web no tienen la obligación de reforzar estrictamente la seguridad de sus datos y la CCPA depende, en su mayor parte, del resultado de los tribunales, se basa en demandas colectivas para llegar a una conclusión en los casos. La responsabilidad de no cumplir podría ser suficiente para lograr mejoras en la seguridad general de los datos.
Inconvenientes de CCPA
Si bien la CCPA es el primer gran paso dado en los Estados Unidos para mejorar la protección de datos para los consumidores, no está exenta de fallas. Hay problemas con la CCPA tanto en el alcance como en la forma en que está escrita.
Sin obligación de mantener la seguridad de los datos
No existe ningún requisito para implementar y mantener una sólida práctica de seguridad de datos. CCPA realmente solo da derecho a los consumidores a daños legales si han sido objeto de una violación de datos. No existe ninguna obligación de mantener prácticas de seguridad salvo que, como resultado de un incumplimiento, usted sea responsable de los daños legales a los consumidores si no se brindan suficientes prácticas de seguridad si se prueba en un tribunal.
Litigio
Los casos se llevan a través del sistema judicial mediante el cual los consumidores pueden demandar a las empresas. Esto podría ser una barrera de entrada para muchos consumidores, especialmente para los consumidores cansados de lidiar con el sistema judicial.
Una cláusula de “cura” que favorece a las empresas
De acuerdo con la disposición de "remedio" de 30 días de la CCPA, los consumidores deben proporcionar un aviso por escrito del problema específico antes de iniciar cualquier acción legal contra una empresa: "Si la empresa subsana la infracción notificada y proporciona al consumidor una declaración por escrito que lo indique, los daños legales son no disponible."
Cómo CCPA define a los consumidores
Si bien el RGPD se aplica a cualquier sujeto de datos en la UE en el momento de la recopilación o el procesamiento, independientemente de su nacionalidad, la CCPA define al consumidor como un residente de California, incluso si se encuentra fuera del estado temporalmente. Solo proteger a los consumidores de California deja sin protección a una gran parte del país.
Cómo define la CCPA a los controladores de datos
La CCPA se aplica a las empresas que comercian con los datos de más de 50 000 californianos al año o tienen ingresos de más de $25 millones, o empresas que obtienen más del 50 % de sus ingresos anuales de la venta de información personal; El RGPD se aplica a todos los sitios web, empresas y organizaciones del mundo (controladores de datos) si ofrecen bienes o servicios a personas dentro de la UE.
Autoridades supervisoras: facultades de investigación limitadas
Las infracciones y el incumplimiento de la CCPA son evaluados por el Fiscal General de California. Solo el AG de California tiene la autoridad para investigar las infracciones de la CCPA, y los consumidores solo pueden iniciar un litigio en caso de que estén involucrados en una infracción, y eso solo inicia los procedimientos judiciales.
Cómo lograr el cumplimiento de la CCPA
Para las empresas, debe asegurarse de que su sitio web incluya información sobre el tipo de datos que está recopilando sobre sus usuarios, permitir que los usuarios opten por no vender esta información y debe poder eliminar la información personal cuando se realiza una solicitud del consumidor. .
Audita los datos que recopilas
Entiende cómo te afecta la ley. Sepa qué tipo de datos del consumidor está recopilando. No es solo la PII, sino también los datos de seguimiento web los que están implicados en la ley.
Es posible que su mayor responsabilidad ni siquiera provenga del interior de su propia organización, sino de los proveedores externos que utiliza como servicio web o proveedores de complementos.
Mapear datos de consumidores
A partir del 1 de enero de 2020, los consumidores de California pueden consultar cómo recopila sus datos y qué hace con ellos; usted debe ser capaz de responder a esas preguntas. Facilite a su equipo la búsqueda de datos haciéndolos indexables y buscables. Comience a mapear los datos que descubrió en su auditoría preguntando:
- ¿Qué datos recopilas?
- ¿Dónde lo guardas?
- ¿Quién es el responsable de los datos?
- ¿Cómo recopilas los datos?
- ¿Con quién compartes los datos?
- ¿Vendes los datos?
Implementar divulgaciones de privacidad
Es hora de actualizar sus divulgaciones de privacidad, incluida su política de privacidad, términos y condiciones y política de cookies. Haga puntos específicos sobre el tipo de información que está recopilando, cómo recopila esa información, qué tipos de terceros tendrán acceso a esos datos y las razones por las cuales recopila esta información.
Aclare sus políticas y manténgalas actualizadas, y permita a sus usuarios la oportunidad de optar por no participar. Incluso debería considerar agregar un botón "no vender mis datos" a su sitio web que permita revisar sus políticas y la opción de optar por no participar en ciertas prácticas de datos.
Desarrollar procesos para solicitudes de información.
Es posible que se le solicite que proporcione copias de los datos del consumidor, elimine los datos a petición suya, explique los datos que recopila u opte por que los consumidores no recopilen sus datos. Un consumidor puede preguntar a las entidades cubiertas:
- Para obtener una copia de su información personal
- Que su información personal sea eliminada
- Qué categorías de su información personal se venden
- Para optar por la venta de información personal para mayores de 16 años
- Para optar por la venta de información personal para personas entre 13 y 16 años
- Para obtener el consentimiento de un tutor para vender información personal de un consumidor menor de 13 años
Abordar la privacidad en todos los niveles
Mantenga su software y sistemas actualizados y seguros. Eso significa tener contraseñas seguras y protección contra malware, además de abordar el riesgo humano. Capacite a su equipo para que comprenda la ley, cómo se aplica a ellos y cómo pueden desempeñar un papel en su protección de datos.
Adopte un enfoque basado en el riesgo
Proteja su negocio tomando la iniciativa con sus prácticas de seguridad de datos e involucrando a expertos en seguridad de datos, junto con miembros de su equipo, en todos los niveles de su organización. El riesgo existe en todos los niveles. Recopile información y aportes de todos en su organización y, como equipo, identifique sus mayores riesgos y priorice sus soluciones.
Sanciones por incumplimiento
Las empresas no pueden ser demandadas por violaciones de CCPA a menos que haya una violación de datos. En casos específicos, los consumidores tienen derecho a daños y perjuicios. Una empresa no es responsable si "soluciona" cualquier incumplimiento dentro de los 30 días posteriores a la notificación del presunto incumplimiento (aunque en algunos casos es posible que no se pueda "remediar").
Daños y perjuicios
Los daños legales que una persona puede recibir oscilan entre $ 100 y $ 750 por incidente o pueden ser por la cantidad total de daños monetarios realmente sufridos como resultado de la violación de datos. Los tribunales también pueden decidir penas más duras según la gravedad de la infracción. Teniendo en cuenta que una violación de datos típica podría afectar a cientos de miles de consumidores, esos costos pueden sumarse, pero los consumidores deben pasar por un litigio antes de que se apliquen las multas.
Sanciones
Además de los daños individuales debidos a los consumidores, las empresas pueden enfrentarse a sanciones civiles en caso de incumplimiento y violación de la CCPA. Estas sanciones pueden variar desde “$2,500 por una infracción no intencional hasta $7,500 por una infracción intencional”.
Nuestros pensamientos sobre CCPA
A principios de 2021, se reveló que los piratas informáticos de China intentaron robar datos biométricos e información de identificación personal de más del 80% de los estadounidenses. En algunos casos, han tenido éxito. No solo existe un imperativo comercial para reforzar la seguridad de los datos de los consumidores, sino que también existe un imperativo de seguridad nacional. Desafortunadamente, no se puede confiar en que los estados hagan cumplir las protecciones de datos de manera equitativa y simultánea.
En 2019, después de que el departamento de trabajo de Georgia publicara inadvertidamente una hoja de cálculo con los nombres de 4457 personas junto con sus números de Seguro Social, números de teléfono y direcciones de correo electrónico, la Corte Suprema del estado de Georgia dictaminó que “no tenía ninguna obligación inherente”. para proteger la información personal de los ciudadanos que almacena”. El fallo reiteró que los encargados de los datos confidenciales, los recopiladores de datos, no tenían la obligación de proteger esa información, y eso es un problema.
En ausencia de regulaciones federales, la CCPA intenta llenar un vacío que necesita ser llenado desesperadamente. Establece estándares de seguridad de datos para que las empresas los implementen y las protecciones que los consumidores deben esperar. Sin embargo, existen grandes lagunas en cuanto a quién está protegido y qué empresas son responsables, lo que deja demasiada ambigüedad y margen de maniobra para ser un elemento disuasorio efectivo o alentar el cumplimiento.
CCPA ≠ RGPD
CCPA a menudo se menciona al mismo tiempo que GDPR, pero no está cerca de tener el alcance o el impacto y no alcanza a GDPR.
Sin los amplios poderes para auditar, investigar o exigir el cumplimiento de los estándares de seguridad de datos como con el RGPD, la CCPA sigue siendo un elemento disuasorio simplemente porque la seguridad de los datos se convierte en una responsabilidad en lugar de algo que se investiga y aplica activamente.
A diferencia del RGPD, la CCPA no ha sido tan efectiva para comunicar lo que se requiere de las empresas y cómo se manejan los casos. Aunque no se han hecho públicos todos los datos sobre las multas del RGPD, hay más información disponible con respecto a los requisitos de cumplimiento y las sanciones por incumplimiento. Incluso hay un sitio web independiente dedicado al seguimiento de la aplicación de GDPR, y ha sido interesante seguir a medida que cada nación miembro aplica el cumplimiento de GDPR.
GDPR ha emitido cientos de sanciones en los últimos años, incluida una multa de £ 18,4 millones a Marriott por una violación de datos de 2018 por las "medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información". CCPA no ha tenido la misma publicidad en torno a su aplicación o repercusiones. Sin las sanciones o casos de interés periodístico, la CCPA podría no ser un elemento disuasorio suficiente para solucionar el problema de la inseguridad de los datos en los Estados Unidos.
Si las consecuencias no son lo suficientemente graves y la aplicación de la ley no es consistente, rápida y efectiva, la CCPA podría no ser lo suficientemente disuasoria para que las empresas se tomen en serio el tema de la seguridad de los datos.
No somos abogados; no podemos ayudarlo a auditar y lograr el cumplimiento de la ciberseguridad, pero podemos crear un sitio web excelente que cumpla con los requisitos de la CCPA, y podemos trabajar junto con su equipo de administración de datos para crear un entorno digital que generará confianza en el consumidor en su marca y cumplirá sus objetivos comerciales.
Si las normas de privacidad de datos le preocupan acerca de su sitio web y el cumplimiento, lea nuestra guía de GDPR para mejorar su conocimiento de la regulación de seguridad de datos, o comuníquese y tengamos una conversación.