¿Qué es la CCPA?
La Ley de Privacidad del Consumidor de California (CCPA) es una ley de privacidad promulgada en California en 2020, enmendada y fortalecida en 2023 por la Ley de Derechos de Privacidad de California (CPRA). La CCPA/CPRA proporciona a los residentes de California derechos específicos con respecto a la recopilación y uso de sus datos personales: saber qué datos son recopilados; hacer que los datos sean eliminados; y optar por no vender o por vender sus datos. La CCPA requiere que las empresas acomoden estos derechos del consumidor y aplica multas civiles si no se cumple.
La CCPA también proporciona protección adicional para los datos de menores. Aunque el alcance de la CCPA es solo un estado, establece un precedente dentro de los EE. UU. y es un modelo para futuras leyes estatales y federales que continúen presionando para devolver el control de los datos personales al individuo.
Por qué la CCPA fue promulgada
Después de décadas de recopilación de datos sin restricciones por parte de la industria tecnológica, el sentimiento público ha cambiado. En respuesta, los gobiernos han comenzado a promulgar leyes para restringir la recopilación y el intercambio de datos. Un concepto central de este movimiento es que la privacidad es un derecho humano fundamental. Nuevas leyes están devolviendo el control de los datos, la privacidad y la seguridad del consumidor al individuo, mientras requieren que las empresas recopilen y manejen estos datos de manera más transparente, responsable y responsable. El RGPD, adoptado por la UE en 2018, fue influyente en la creación de la CCPA.
Datos y personas protegidos por la CCPA
Las protecciones de la CCPA se aplican a cualquier dato que se considere “personal” y que sea directamente o indirectamente identificable. La información directamente identificable incluye cosas como nombre, fecha de nacimiento, número de seguro social o historial de empleo. Los datos indirectamente identificables se refieren a piezas de información menos obvias que, en combinación, pueden ser rastreadas hasta un individuo. Esta última categoría incluye cosas como ubicación geográfica, historial de navegador, compras en línea e identificadores en línea.
La CCPA no cubre la información generalmente considerada como de dominio público. Tampoco incluye datos cubiertos por otras leyes, como datos de salud cubiertos por HIPAA (Ley de Portabilidad y Responsabilidad de Seguros de Salud) y datos financieros cubiertos por la Ley Gramm-Leach-Billey.
La CCPA es una ley estatal y solo se aplica a los residentes de California, tanto a los que actualmente están en el estado como a los residentes legales que pueden estar temporalmente fuera del estado. La CCPA no se aplica a los no residentes, incluso si están temporalmente ubicados en California. Un residente es una persona que presenta impuestos estatales en California o, en el caso de menores, cuyos tutores presentan impuestos estatales en su nombre.
Nota: Debido a que la población de California es tan grande—y para evitar mantener múltiples políticas de clientes—algunas empresas de tecnología han extendido las protecciones y disposiciones de la CCPA a todos los usuarios en los EE. UU. o incluso fuera de los EE. UU.
Derechos de los consumidores bajo la CCPA
Los consumidores cubiertos por la CCPA tienen varios derechos en relación con sus datos personales, incluyendo:
- Solicitar que un negocio divulgue qué datos son recopilados, cómo se usan y dónde se venden o comparten
- Solicitar que sus datos sean eliminados de los registros de una empresa que los haya recopilado, y de cualquier tercero al que los datos hayan sido vendidos o compartidos
- Optar por no permitir que los datos sean vendidos o compartidos por la empresa que recopiló los datos, o por cualquier tercero que haya comprado o recibido los datos
- No ser discriminados por ejercer estos derechos
También hay protecciones adicionales para menores de 13 años, y menores de 13 a 16 años. Un negocio no puede vender los datos de un menor a menos que haya recibido un consentimiento afirmativo “opcional”. Para los menores de 13 años, el consentimiento opcional debe provenir del padre o tutor; para los de 13 a 16 años, el consentimiento opcional puede ser proporcionado por el menor.
Empresas que están reguladas por la CCPA
Para estar regulada por la CCPA, una empresa será con fines de lucro, hará negocios dentro de California, recopilará datos personales de los consumidores y cumplirá con al menos uno de los siguientes criterios:
- La empresa tiene ingresos anuales superiores a 25 millones de dólares
- La empresa maneja (compra, vende, recopila o comparte) datos de al menos 100,000 individuos protegidos (es decir, residentes de California)
- Si la empresa subcontrata el manejo de datos a un tercero, ambas partes (“propietario” y “handler”) están sujetas a la CCPA
- Al menos el 50% de los ingresos del negocio provienen de manejar datos personales
Estos criterios se extienden a lo largo y ancho del árbol genealógico del negocio: si una empresa matriz cumple con uno de los criterios, entonces todas las subsidiarias también están sujetas a la CCPA, y viceversa. Una empresa puede estar sujeta a la CCPA incluso si no tiene presencia física en California, siempre y cuando realice negocios dentro del estado.
Un negocio regulado debe informar al consumidor de sus derechos y de qué datos se están recopilando, y estas divulgaciones deben incluirse en el aviso de privacidad del negocio. El negocio también debe proporcionar mecanismos para que una persona protegida acceda y elimine sus datos, y para optar por no tener sus datos vendidos. Estos mecanismos deben incluir un número de teléfono y al menos otro método, usualmente un sitio web. Se requiere explícitamente una página “No vender mi información personal” en el sitio.
La CCPA requiere que un negocio cumpla con las solicitudes de manera oportuna (generalmente 45 días), incluyendo la transmisión de la solicitud a los socios (handlers de datos, empresas matrices o subsidiarias, y terceros que recibieron los datos). El negocio también debe poder confirmar que el solicitante es el consumidor real (o el tutor) y no un impostor.
Cumplimiento de la CCPA
No hay un sistema establecido para verificar que un negocio esté cumpliendo con la CCPA. El cumplimiento se basa en la investigación de posibles violaciones. Inicialmente, la CCPA encargó a la oficina del Fiscal General del estado de California la aplicación de la ley. Pero enmiendas posteriores crearon una nueva agencia (la Agencia de Protección de Privacidad de California, o CPPA), que también puede implementar y hacer cumplir la CCPA.
Cuando el Fiscal General o la CPPA determinan que un negocio ha violado las regulaciones, pueden imponer sanciones civiles, con multas aplicadas por cada violación individual. Cuando un negocio no responde de manera oportuna a una solicitud del consumidor, la multa puede ser de hasta $2,500 o $7,500 dependiendo de si la violación fue no intencional o intencional. La CCPA también prevé multas pagadas directamente al consumidor afectado en caso de una violación de datos. Estas multas comienzan en el rango de $100 a $750, pero pueden ser mayores si los daños reales lo justifican.
Leyes similares
Actualmente, hay un puñado de leyes similares alrededor del mundo, con muchas más en proceso. Dos notables incluyen:
Reglamento General de Protección de Datos de la UE (RGPD)
El RGPD fue promulgado en la Unión Europea en 2018. Los detalles del RGPD y la CCPA varían considerablemente, con la CCPA proporcionando derechos más específicos de protección al consumidor para los individuos. Pero el alcance general del RGPD es similar al de la CCPA, ya que también trata sobre los derechos individuales con respecto a los datos personales, violaciones de datos y transparencia sobre las prácticas empresariales relacionadas con los datos de los consumidores. El RGPD tiene un fuerte requisito de notificación de violación de datos de 72 horas; esto no está presente en la CCPA. El RGPD también busca proteger los derechos y libertades fundamentales de los individuos, tal como se establece en la Carta de Derechos Fundamentales de la UE.
El RGPD se aplica a una población mucho mayor (cualquiera en la UE, ya sea que se consideren residentes o no) y se extiende fuera de la UE al incluir empresas no pertenecientes a la UE que hacen negocios en la UE.
Ley de Privacidad y Protección de Datos de América (ADPPA)
La ADPPA está actualmente avanzando en el Congreso de los EEUU. Dado que aún está en proceso, no está claro cuáles serán exactamente sus disposiciones finales. Sin embargo, tiene el potencial de ser más fuerte que la CCPA en las áreas de protección de menores, influenciando a las empresas para almacenar menos datos sensibles y hacer que el intercambio de datos sea de opt-in en lugar de opt-out.
En caso de que la ADPPA sea promulgada como ley, puede haber conflictos con la CCPA, y no está claro cuál prevalecerá sobre la otra.