¿Qué es el CALIFORNIA CONSUMER PRIVACY ACT (CCPA)?
El California Consumer Privacy Act (CCPA) es una ley estatal diseñada para fortalecer los derechos de privacidad y la protección de los consumidores para los residentes de California, Estados Unidos. Oficialmente llamada AB-375, la ley fue presentada por Ed Chau, miembro de la Asamblea Estatal de California, y el senador estatal Robert Hertzberg.
Fechas clave del CCPA
Ley adoptada definitivamente el 28 de junio de 2018
Enmiendas definitivas adoptadas el 11 de octubre de 2019
Entrada en vigor el 1 de enero de 2020, pero con una exigencia de «retrospección» de 12 meses que permite a los consumidores solicitar los datos recopilados sobre ellos retroactivamente durante un año completo desde el momento en que se hace la solicitud. Esto significa que las empresas deben identificar los archivos de datos personales recopilados a partir del 1 de enero de 2019 (12 meses antes del 1 de enero de 2020).
¿Quién está afectado por esta ley?
Se aplica a cualquier empresa que:
Recolecte o procese directa o indirectamente datos personales de consumidores californianos (es decir, cualquier individuo residente físico en California) y determine solo o conjuntamente con otros los fines y medios de este procesamiento de datos personales
Haga negocios en California (independientemente de la ubicación de la empresa, en California o en otro estado o país, siempre que se cumplan las condiciones)
Alcance al menos uno de los siguientes umbrales:
– Tenga ingresos brutos anuales superiores a 25 millones de dólares
– O anualmente compre, reciba, venda o comparta, con fines comerciales, 50 000 o más datos personales de consumidores, hogares o dispositivos californianos
– O obtenga más de la mitad de sus ingresos anuales de la venta de datos personales
El CCPA también se aplica, indirectamente, a la empresa matriz y a las filiales de una entidad que cumpla con los criterios a), b) y c) anteriores si comparten la misma marca o denominación («common branding«).
NB: La noción de «venta» de datos personales incluye:
- La colocación de una cookie de terceros en un sitio web para permitir la publicidad; o
- El derecho otorgado a los vendedores para analizar los datos para sus propios fines.
¿Qué se define como "datos personales"?
Los datos personales se definen como «información que identifica, concierne, describe, puede estar asociada o podría estar razonablemente vinculada, directa o indirectamente, con un consumidor o con un hogar particular«.
Se consideran datos personales, entre otros, cualquier identificador de cookie, identificador de dispositivo, baliza pixel, número de cliente, así como la información relacionada con un hogar.
No se consideran datos personales las datos anonimizados o agregados.
Derechos principales de los consumidores
Derecho a ser informados sobre (i) las categorías de datos personales que se recopilarán sobre ellos antes de su recolección, así como de cualquier cambio en esta recolección, (ii) el propósito de la recolección, (iii) los terceros con los que se comparten sus datos personales (i) antes de cualquier recolección
Derecho a consentir u objetar la venta de sus datos personales (opt-out)
Derecho de acceso: conocer los datos recopilados por una empresa y la fuente de esta recolección
Derecho de oposición a la venta de sus datos personales
Derecho de eliminación de sus datos personales
Derecho a emprender acciones (individualmente, no colectivamente) contra las empresas que incumplan sus obligaciones legales
Obligaciones principales de las empresas
Informar a las personas afectadas mediante:
– Una notificación de privacidad durante la recolección
– Una política de privacidad que contenga información sobre las prácticas de recolección en línea y fuera de línea (actualización obligatoria cada 12 meses)
– Una notificación en caso de enriquecimiento o modificación de la información recopilada
Notificar las condiciones de los incentivos financieros existentes durante la recolección, venta o retención de datos personales
Proveer un medio de opt-out para permitir a la persona afectada oponerse a la venta de sus datos personales
Obligaciones específicas respecto a la recolección de datos personales de menores de 13 años
Capacitar al personal en las reglas de protección de datos personales
A diferencia del RGPD, el CCPA reconoce el derecho a la patrimonialización de los datos al permitir a las personas afectadas vender sus datos personales a cambio de un beneficio financiero («financial incentive«).
Sanciones en caso de violación de la ley
Advertencia por parte del Fiscal General de California para cumplir
Penalidades civiles impuestas por el Fiscal General de California que pueden variar de 2 500 $ a 7 500 $ por cada violación que no se remedie tras una advertencia
Acción civil de la persona afectada contra la empresa infractora
Exenciones y excepciones
El CCPA prevé varias excepciones y exenciones al tratamiento de datos personales. Por ejemplo, una exención general se aplica hasta el 1 de enero de 2021:
A la información que una empresa recopila de sus candidatos, empleados, contratistas y otras personas similares
A la información sobre el personal de las empresas clientes de una entidad, en escenarios B2B