¿Qué es la CCPA?
La California Consumer Privacy Act (CCPA), o Ley de Privacidad del Consumidor de California, es una ley de privacidad con alcance estatal que regula cómo los negocios de todo el mundo pueden gestionar la información personal de los residentes de California.
La fecha de entrada en vigor de la CCPA fue el 1 de enero de 2020 y es la primera ley de este tipo en los Estados Unidos. El 1 de enero de 2023, la California Privacy Rights Act (CPRA), o Ley de Derechos de Privacidad de California entrará en vigor, enmendando y extendiendo la CCPA. Más información sobre la CPRA (en inglés).
Los tres umbrales legales de la CCPA para empresas
La CCPA se aplica a cualquier empresa con ánimo de lucro que venda información personal de más de 50.000 residentes de California anualmente, o que tenga unos ingresos brutos anuales de más de 25 M$, o que obtenga más del 50% de sus ingresos anuales de vender información personal de residentes de California.
La venta de información personal se define en la CCPA como “vender, alquilar, difundir, revelar, diseminar, hacer disponible, transferir o de otra manera comunicar oralmente, por escrito, de manera electrónica u otros métodos, la información personal del consumidor por el negocio a otra empresa u otra tercera parte por un valor monetario u otro tipo de contraprestación.” (1798.140.t1 – traducido por Cookiebot CMP).
Si una compañía comparte una marca común (es decir, mismo nombre, marca de servicio o marca comercial) con otro negocio sujeto a la CCPA, esa empresa también estará sujeta a la CCPA.
Bajo la CCPA, los residentes californianos (“consumidores”) tienen el derecho a rechazar la venta de sus datos a terceras partes, el derecho a solicitar la divulgación de los datos que ya han sido recogidos y el derecho a exigir la eliminación de la información recopilada.
Adicionalmente, los residentes Californianos tienen el derecho a ser notificados y el derecho a los mismos servicios y precio (es decir, no pueden ser discriminados basándose en su elección para el ejercicio de sus derechos).
El incumplimiento de la CCPA puede desembocar en multas para las empresas de 7.500$ por infracción y 750$ por usuario afectado en concepto de daños y perjuicios civiles.
El poder para hacer cumplir la CCPA recae en la oficina del Fiscal general de California, quien, hasta julio de 2020 tiene que especificar la regulación de dicha aplicación.
Sin embargo, el periodo provisional entre enero y julio de 2020 no se convierte en un periodo de gracia y las empresas están sujetas a demandas civiles por la recogida y venta de datos desde el 1 de enero de 2020.
¿Qué implica la CCPA para mi web?
Si tu negocio se encuadra en alguno de los tres umbrales legales de la CCPA mencionados anteriormente y tiene un dominio online, se requiere que implementes ciertos cambios en tu web.
Tu web debe informar a sus usuarios en el momento o antes de la recogida de datos sobre las categorías de información personal que se recoge y con qué propósitos.
Tu web debe presentar un enlace de No vender mi información personal con el que los usuarios puedan rechazar la venta de datos a terceras partes.
Si tu web tiene entre sus usuarios a menores de 16 años, se requiere que obtengas su consentimiento (opt in) antes de vender o difundir su información personal a terceras partes. Si el menor tiene menos de 13 años, uno de los progenitores o tutor legal deberá optar en su lugar.
Tu negocio debe además actualizar la política de privacidad de su web para incluir una descripción de los derechos del consumidor y cómo ejercer esos derechos. Tu política de privacidad debe contener además una lista actualizada anualmente de las categorías de información personal que tu empresa recoge, vende y difunde.
Si tu negocio recibe una petición verificable de un consumidor pidiendo información de los datos suyos que han sido recabados, debes proveer a dicho consumidor de manera gratuita los datos personales recogidos durante los últimos 12 meses (incluidas las fuentes, propósitos comerciales y categorías de terceras partes con las que han sido compartidas).
Se prohíbe que tu negocio discrimine en base a la elección del consumidor de ejercer su derecho a rechazar, solicitar información o eliminación.
¿Cómo se define información personal?
La información personal está definida en la CCPA como “información que identifica, relaciona, describe, puede de manera razonable asociarse con, o relacionarse con, directa o indirectamente, un consumidor particular o una unidad familiar” (1798.140.o1 – traducido por Cookiebot CMP).
La información personal bajo la CCPA incluye identificadores directos (como el nombre real, alias, dirección postal, números de la seguridad social), identificadores únicos (como las cookies, dirección de IP y nombres de usuario), datos biométricos (como el rostro y las grabaciones de voz), datos de geolocalización (como el historial de localización), actividad internauta (como el historial de navegación, búsquedas realizadas, interacción de datos con una web o una aplicación) e información sensible (como los datos sobre salud, características personales, comportamiento, religión, convicciones políticas, preferencias sexuales, datos de empleo y educativos, historial médico, información financiera).
La información personal también incluye datos que por deducción puedan desembocar en la identificación de un individuo o una unidad familiar, además de datos que puedan ser de cualquier modo re-identificables.
Esto significa que datos que por sí mismos no son información personal pueden serlo bajo la CCPA si pueden ser usados – por deducción o combinación con otros datos – para identificar un individuo o una unidad familiar.
¿Qué dice la CCPA sobre las cookies?
Las cookies y otras tecnologías de seguimiento online se clasifican como identificadores únicos que forman parte de la definición de CCPA de información personal. Las cookies son una de las tecnologías más utilizadas en el mundo por las webs para la recogida de informaciónes personales de los usuarios finales.
Las cookies propias (aquellas establecidas por la web misma) normalmente recogen datos anónimos para sus funciones principales, que son eliminados una vez que el usuario cierra el navegador, pero las cookies de terceras partes (aquellas establecidas por compañías tecnológicas y plataformas de redes sociales) a menudo recaban mucha información personal, a veces sensible, de los consumidores que pueden almacenar durante años.
Incluso los datos recogidos en tu web a través de cookies que puedan en sí mismos no constituir información personal (tales como datos analíticos anonimizados), si por deducción o combinación con otros datos permiten identificar y conectar dispositivos, crear perfiles o servir para publicidad personalizada, pueden, en última instancia, ser considerados información personal bajo la CCPA.
¿Qué cambiará para empresas y residentes en California a partir del 1 de enero de 2023?
La nueva California Privacy Rights Act (CPRA), o Ley de Derechos de Privacidad de California, también se aplica a organizaciones con ánimo de lucro que tienen ingresos brutos anuales de más de 25 M$, o que obtenga más del 50% de sus ingresos anuales de vender o compartir información personal de residentes de California. Sin embargo, la CPRA cambia uno de los tres umbrales: el número mínimo de residentes o unidades familiares de California cuya información personal se trata y/o comparte por estas empresas ha aumentado a 100.000. Bajo la CPRA, los datos B2B también están protegidos, y se ha creado el organismo de supervisión: la Agencia de Protección de la Privacidad de California (CPPA, por sus siglas en inglés).
Mientras que la CCPA solo cubre la venta de información personal, la CPRA también incluye la compartición de los datos. La regulación también amplía y modifica los derechos de los consumidores ya existentes, y crea varios nuevos: el derecho a la corrección, a modificar datos sobre ellos que sean incorrectos; el derecho a limitar el uso de datos categorizados como información personal sensible; el derecho a solicitar información sobre la toma de decisiones automatizada y los resultados probables de esos procesos, y el derecho a rechazar el uso de las tecnologías de toma de decisiones automatizada en relación a su información personal. Más información sobre la CPRA y su alcance (en inglés).
Si tu empresa cumple cualquiera de los umbrales de la CCPA/CPRA, eres responsable de cualquier información personal que recopiles de residentes de California a través de las cookies de tu web, en caso de que la información sea vendida o compartida. Los consumidores pueden solicitar la revelación de su información personal recopilada en tu web durante los últimos 12 meses, así como solicitar que se corrijan o eliminen estos datos.
En consecuencia, debes saber qué datos recopila tu web, cómo se recopilan, con qué propósito, y con quién (terceras partes) se comparte esa información.
Nuestra plataforma de gestión del consentimiento (CMP) te ayuda a conseguir el cumplimiento del RGPD y la Directiva ePrivacy europeas, la CCPA y la CPRA, y otras regulaciones
La tecnología CMP escanea en profundidad tu web para descubrir todas las cookies y rastreadores similares, e inmediatamente los controla para que tú y tus usuarios finales podáis estar seguros de saber qué información personal se recoge y con qué terceras parteras se comparte, en caso de que los usuarios accedan a ello.
También permitimos a las empresas cumplir con la CCPA y la CPRA, implementando el enlace de No Vender ni Compartir mi Información Personal en la declaración de cookies generada por el escáner, así como ofreciendo los banners de consentimiento necesarios para los menores de 16 años.
Prueba Cookiebot CMP gratis ahora
Fuentes
Lee el texto legal oficial de la CCPA
Lee más sobre el cumplimiento de la CCPA
Comprueba los detalles de la definición de información personal de la CCPA
Lee más sobre la CCPA y las cookies
Lee más sobre la CCPA y los derechos del consumidor
Consulta nuestra comparación entre la CCPA y el RGPD