Saltar al contenido principal
Sobre Nosotros

1 de febrero de 2020 6 minutos de lectura

La Ley de Privacidad del Consumidor de California (CCPA) entra en vigor a partir de hoy, 1 de enero de 2020

Mientras celebramos el comienzo del nuevo año, examinamos más de cerca la nueva ley de privacidad de California para 2020, que tendrá un impacto en la forma en que las empresas manejan los datos personales. Llamada la Ley de Privacidad del Consumidor de California (California Consumer Privacy Act o CCPA), tiene como objetivo proporcionar a los residentes de California un mayor control sobre la forma en que se almacenan y procesan sus datos personales. A partir de hoy, 1 de enero de 2020, esta ley de privacidad está en vigor.

¿A quiénes afectará esta nueva legislación? ¿Cuáles son las principales cosas que hay que saber sobre la CCPA? ¿Qué puede hacer para asegurarse, como propietario de un sitio web, de que lo cumple?

La nueva ley afectará a la mayoría de los propietarios y operadores de sitios web, como ya ocurrió anteriormente con el RGPD europeo. Sin embargo, en muchos sentidos, la CCPA no es tan estricta como la RGPD y está dirigida más explícitamente a las empresas que venden los datos personales de los consumidores.

¿En qué sitios web repercutirá la APC?

En primer lugar, los efectos de la ley se limitan a los residentes de California. Sin embargo, esto no significa que los negocios fuera de California no tengan que cumplir con la ley, si tratan con clientes de este estado. Dado que los residentes de California pueden acceder a cualquier sitio web, sin importar desde dónde se esté operando, esto significa básicamente que todos los propietarios de sitios web, en los EE.UU. y en el extranjero, deben tomar medidas para cumplir con la ley CCPA.

Esto ya lo hemos visto antes con la ley RGPD en Europa, que estaba dirigida a todas las empresas que manejan la información personal de los ciudadanos de la UE. Cuando la RGPD entró en vigor, los propietarios de sitios web en los EE.UU. y en otros lugares o bien cumplieron con la RGPD para todos sus clientes, o bien decidieron simplemente bloquear el acceso a sus sitios web si la visita se estaba realizando desde una IP en la Unión Europea.

Si usted tiene un sitio web en cualquiera de los otros estados americanos, puede que se enfrente a una elección similar aquí. Si puede permitirse el lujo de dejar fuera a sus clientes que viven en California, existe la opción de bloquear las visitas de los IPs de California. Sin embargo, es probable que las leyes de privacidad de datos también estén en la agenda de los legisladores en el futuro. No es imprevisible que más estados, si no todos, aprueben una legislación similar en el futuro. Por lo tanto, en lugar de bloquear progresivamente a los clientes potenciales, puede ser más prudente cumplir ahora, independientemente de dónde se encuentre su negocio.

En segundo lugar, a diferencia del PIBR, los efectos de la ley son algo limitados. La ley CCPA sólo afectará a las siguientes empresas:

  • aquellos con ingresos brutos de al menos 25 millones de dólares
  • aquellos que tienen información personal de por lo menos 50,000 residentes / hogares / dispositivos de California por año
  • al menos el 50% de sus ingresos anuales se generan por la venta de los datos personales de los californianos

Si su sitio web recoge información personal, pero no entra en ninguna de las categorías anteriores, entonces usted es libre de hacer negocios como de costumbre. Estas advertencias son una clara señal de que la ley no fue diseñada pensando en los propietarios de pequeños negocios, sino que apunta a las corporaciones que se benefician de la venta de grandes conjuntos de información personal. Sin embargo, asegúrese de comprobar el número de visitantes únicos de California que tiene en su sitio web. Si ese número excede los 50.000 en un año, entonces tendrá que considerar el cumplimiento de la CCPA.

¿Qué se considera datos personales según la CCPA?

No hay una gran diferencia con lo que ya hemos discutido en los temas relacionados con la RGPD anteriormente, ya que los datos personales involucrados son prácticamente los mismos: nombres, direcciones de correo electrónico, ubicación, datos biométricos, etc. La ley lo define como cualquier información que "identifique, se relacione, describa, pueda asociarse o pueda vincularse razonablemente, directa o indirectamente, con un consumidor u hogar determinado". Tenga en cuenta que la información disponible públicamente, así como la informacióndelos consumidores no identificada o agregada no se considera información personal según la ley CCPA.

¿Qué debo hacer para cumplir con la ley CCPA?

 

 

Todavía puede recopilar e incluso vender información personal, pero debe facilitar a los usuarios la opción de no participar en este proceso. La ley dice explícitamente que, si una empresa vende la información personal de los usuarios, tiene que proporcionar un enlace claro en su página web, titulada "No vender mi información personal". Además, es ilegal ofrecer diferentes servicios o características basados en la elección de la inclusión o la exclusión. Todos los clientes tienen que seguir beneficiándose de los mismos servicios.

Al igual que en el caso de RGPD, usted tiene que conceder a los clientes el derecho de acceso a los datos, de borrar sus datos personales y de solicitar la divulgación de todas las categorías de datos personales que se están recogiendo y vendiendo (si ese es el caso). Esto se hará anualmente. Si lo solicita, deberá proporcionar los datos personales de los 12 meses anteriores a la solicitud. Además, el cliente sólo podrá presentar dichas reclamaciones un máximo de dos veces al año.

Además, asegúrese de incluir lo siguiente en su política de privacidad:

  • todas las categorías de información que usted recopila y procesa
  • para qué se utilizan estas categorías de información
  • cómo se está recogiendo la información
  • ¿cuál es el procedimiento para solicitar el acceso, la modificación, el traslado o la supresión de los datos personales?
  • cómo se verifica la identidad de la persona que presenta una solicitud
  • si se venden datos personales, entonces esto tiene que ser descrito aquí
  • cómo optar por no vender sus datos

 

¿El cumplimiento de la RGPD significa automáticamente que usted también cumple con la CCPA?

No necesariamente, pero es probable que si has tomado medidas para cumplir con la RGPD, también cumplas con la CCPA. Todas las condiciones anteriores se encuentran también en el RGPD, con la excepción de las normas explícitas para la venta de datos personales.

¿Cuáles son los riesgos de no cumplir con la CCPA?

El principal riesgo al que se enfrentan los propietarios de los sitios web es el de la violación de datos. De acuerdo con la ley, la empresa es responsable de evitar el acceso no autorizado y el robo de los datos de los consumidores. En caso de que esto ocurra, cualquier usuario cuyos datos se filtren tiene derecho a presentar una demanda para recuperar los daños y perjuicios por un importe de entre 100 y 750 dólares. Una gran filtración de datos, en la que se roban los datos de miles de usuarios, podría llevar a una empresa a la quiebra. Multiplique 1000 x $750 y obtendrá una estimación del impacto.

Sin embargo, antes de que haya cualquier acción civil, las empresas tienen 30 días para "curar la violación notada", si eso es posible.

Herramientas de análisis Cumplimiento de la CCPA

Dado que los datos desidentificados, así como los datos agregados, no entran en las reglas de la CCPA, la mayoría de las herramientas analíticas probablemente cumplen por defecto. Sin embargo, debe asegurarse de leer el acuerdo de procesamiento de datos y las políticas de privacidad de cualquiera de estos terceros, para asegurarse de que tiene toda la información sobre el uso de los datos personales. Como parte del esfuerzo para cumplir con el RGPD, Visitor Analytics también ha cumplido con la CCPA. Nuestra empresa no se dedica a vender o compartir datos con otros. Los datos que recogemos no pueden ser conectados a la identidad de ningún individuo o casa, o dispositivo.

Si necesita más detalles sobre la nueva ley de privacidad, puede leer el texto completo del 1.81.5. Ley de Privacidad del Consumidor de California aquí. Si desea saber más sobre cómo cumple Visitor Analytics con las leyes de privacidad, lea nuestra Política de privacidad y el Acuerdo de procesamiento de datos.