¿Qué es la CCPA?

La California Consumer Privacy Act (CCPA), o Ley de Privacidad del Consumidor de California, es una ley de privacidad con alcance estatal que regula cómo las organizaciones pueden gestionar la información personal de los residentes de California.

    ¡Que cumplir no sea un problema!

    Descubre si tu sitio cumple y qué hacer si no.


    La CCPA entró en vigor el 1 de enero de 2020 y es la primera ley integral de protección de datos moderna en los Estados Unidos. La California Privacy Rights Act (CPRA), o Ley de Derechos de Privacidad de California entró en vigor el 1 de enero de 2023, enmendando y expandiendo la CCPA. Más información sobre la CPRA (en inglés).

    ¿Cuándo se aplica la CCPA?

    La CCPA se aplica a empresas con ánimo de lucro, independientemente de si están o no ubicadas en California, que:

    • procesan información personal de más de 50.000 residentes en California anualmente;
    • tengan unos ingresos brutos anuales superiores a los 25 millones de dólares estadounidenses; o
    • derivan más de un 50% de sus ingresos anuales de vender información personal de residentes en California.

    La venta de información personal se define en la CCPA como “vender, alquilar, difundir, revelar, diseminar, hacer disponible, transferir o de otra manera comunicar oralmente, por escrito, de manera electrónica u otros métodos, la información personal del consumidor por el negocio a otra empresa u otra tercera parte por un valor monetario u otro tipo de contraprestación.” (1798.140.t1 – traducido por Cookiebot CMP).

    Bajo la CCPA, los residentes en California (“consumidores”) tienen el derecho a rechazar la venta de sus datos a terceras partes, el derecho a solicitar la comunicación de los datos que ya han sido recogidos (derecho de acceso) y el derecho a exigir la eliminación de la información recopilada.

    Adicionalmente, los residentes en California tienen el derecho a ser notificados y el derecho a no ser discriminados si deciden ejercer sus derechos.

    El incumplimiento de la CCPA puede desembocar en multas para las empresas de 7.500$ por infracción y 750$ por usuario afectado en concepto de daños y perjuicios civiles.

    ¿Cómo puedo cumplir la CCPA?

    Si tu negocio se encuadra en alguno de los tres umbrales legales de la CCPA y tiene un sitio web, se requiere que implementes ciertas notificaciones y funcionalidades.

    Tu web debe informar a los usuarios en el momento o antes de la recogida de datos sobre las categorías de información personal que se recogen y con qué propósitos.

    Tu web debe presentar un enlace de No vender mi información personal con el que los usuarios puedan rechazar la venta de datos a terceras partes (Importante: desde la implementación de la CPRA en la nota debe poner “No vender ni compartir mi información personal”).

    Si tu web tiene visitantes o usuarios menores de 16 años, se requiere que obtengas su consentimiento (opt in) antes de vender o difundir su información personal a terceras partes. Si el menor tiene menos de 13 años, uno de los progenitores o tutor legal deberá dar el consentimiento en su lugar.

    Tu negocio debe además actualizar la política de privacidad de su web para incluir una descripción de los derechos del consumidor y cómo ejercer esos derechos. Tu política de privacidad debe contener además una lista actualizada anualmente de las categorías de información personal que tu empresa recoge, vende y difunde.

    Si tu negocio recibe una petición verificable de un consumidor pidiendo información de los datos suyos que han sido recabados, debes proveer a dicho consumidor de manera gratuita los datos personales recogidos durante los últimos 12 meses, incluidas las fuentes, propósitos comerciales y categorías de terceras partes con las que han sido compartidas.

    Se prohíbe que tu negocio discrimine a un usuario con base en su decisión de ejercer o no su derecho a rechazar, solicitar información o eliminación.

    ¿Cómo se define la información personal?

    La datos personales o información personal se definen en la CCPA como “información que identifica, relaciona, describe, puede de manera razonable asociarse con, o relacionarse con, directa o indirectamente, un consumidor particular o una unidad familiar” (1798.140.o1 – traducido por Cookiebot CMP).

    La información personal bajo la CCPA incluye:

    • identificadores directos, como el nombre real, dirección postal o números de la seguridad social;
    • identificadores únicos, como las cookies, dirección de IP o nombres de usuario;
    • datos biométricos, como el rostro o las grabaciones de voz;
    • datos de geolocalización, como el historial de localización;
    • actividad internauta, como el historial de navegación, búsquedas realizadas, interacción de datos con una web o una aplicación; e
    • información sensible, como los datos sobre salud, características personales, comportamiento, religión, convicciones políticas, preferencias sexuales, datos de empleo y educativos, historial médico o información financiera.

    La información personal también incluye datos que por deducción puedan desembocar en la identificación de un individuo o una unidad familiar.

    Los datos anónimos o agregados están exentos de la CCPA, salvo que se pueden reidentificar de alguna manera. Esto significa que datos que por sí mismos no son información personal pueden serlo bajo la CCPA si pueden ser usados – por deducción o combinación con otros datos – para identificar un individuo o una unidad familiar.

    ¿Qué dice la CCPA sobre las cookies?

    Las cookies y otras tecnologías de seguimiento online se clasifican como identificadores únicos que forman parte de la definición de CCPA de información personal. Las cookies son una de las tecnologías más utilizadas en el mundo por las webs para la recogida de informaciónes personales de los usuarios finales.

    Las cookies propias, establecidas por la web misma, normalmente recogen datos anónimos para sus funciones principales, que son eliminados una vez el usuario cierra el navegador. Las cookies de terceros (aquellas establecidas por compañías tecnológicas y plataformas de redes sociales) a menudo recaban mucha información personal, a veces sensible, de los consumidores que pueden almacenar durante años.

    Los datos recogidos en tu web a través de cookies que puedan en sí mismos no constituir información personal (tales como datos analíticos anonimizados), si por deducción o combinación con otros datos permiten identificar y conectar dispositivos, crear perfiles o servir para publicidad personalizada, pueden, en última instancia, ser considerados información personal bajo la CCPA.

    ¿Qué cambió para empresas y residentes en California el 1 de enero de 2023?

    La nueva California Privacy Rights Act (CPRA), o Ley de Derechos de Privacidad de California, también se aplica a organizaciones con ánimo de lucro que:

    • tienen ingresos brutos anuales de más de 25 M$; o
    • derivan más del 50% de sus ingresos anuales de vender o compartir información personal de residentes en California.

    Sin embargo, la CPRA cambió uno de los tres umbrales de la CCPA. El número mínimo de residentes o unidades familiares de California cuya información personal se trata y/o comparte por estas empresas ha aumentado a 100.000. Bajo la CPRA, los datos B2B también están protegidos, y se ha creadola Agencia de Protección de la Privacidad de California (CPPA, por sus siglas en inglés), la autoridad encargada de la supervisión y la aplicación.

    Mientras que la CCPA solo cubría la venta de información personal, la CPRA también incluye la compartición de los datos. La regulación también amplía y modifica los derechos de los consumidores ya existentes, creando varios nuevos: 

    • derecho a la corrección, a modificar datos propios que sean incorrectos;
    • derecho a limitar el uso de datos categorizados como información personal sensible;
    • derecho a solicitar información sobre la toma de decisiones automatizada y los resultados probables de esos procesos; y
    • derecho a rechazar el uso de las tecnologías de toma de decisiones automatizada en relación a su información personal.

    Más información sobre la CPRA y su alcance (en inglés).

    Las organizaciones que superen cualquiera de los umbrales de la CCPA/CPRA, son responsables de la información personal que recopilen de residentes de California a través de las cookies de su web, en caso de que la información sea vendida o compartida. Los consumidores pueden solicitar la comunicación de su información personal recopilada en una web durante los últimos 12 meses, así como solicitar la corrección o eliminación de estos datos.

    Las organizaciones deben saber qué datos recopila tu web, cómo se recopilan, con qué propósito, y con quién (terceras partes) se comparte esa información.

    Nuestra plataforma de gestión del consentimiento (CMP) ayuda a conseguir y mantener el cumplimiento del RGPD y la Directiva ePrivacy europeas, la CCPA y la CPRA, y otras regulaciones.

    La tecnología CMP escanea en profundidad tu web para descubrir todas las cookies y otras tecnologías de seguimiento, e inmediatamente los controla para que tú y tus usuarios finales podáis estar seguros de saber qué información personal se recoge, con qué propósito y con qué terceras parteras se comparte, en caso de que los usuarios accedan a ello.

    También permitimos a las empresas cumplir con la CCPA y la CPRA, implementando el enlace de No Vender ni Compartir mi Información Personal en la declaración de cookies generada por el escáner, así como ofreciendo los banners de aceptación/rechazo necesarios para los menores de 16 años.

    Prueba Cookiebot CMP gratis ahora

    Fuentes

    Lee más sobre la CCPA

    Lee el texto legal oficial de la CCPA

    Lee más sobre el cumplimiento de la CCPA

    Comprueba los detalles de la definición de información personal de la CCPA

    Lee más sobre la CCPA y las cookies

    Lee más sobre la CCPA y los derechos del consumidor

    Consulta nuestra comparación entre la CCPA y el RGPD

    ¿Qué es el RGPD?

    Lee más sobre el RGPD y los Estados Unidos

    Lee más sobre la CCPA vs. la CPRA

      Mantente al día

      Únete a nuestra comunidad de entusiastas de la privacidad de datos en expansión ahora. Suscríbete a la newsletter de Cookiebot™ para poder recibir las últimas actualizaciones directamente en tu bandeja de entrada.

      Clicando en “Suscribirme” confirmo que quiero suscribirme a la newsletter de Cookiebot™. Puedo retirar este consentimiento clicando en el botón para darme de baja o simplemente escribiendo a [email protected]. Consultar la Política de privacidad.

      Haz que tu uso de cookies y seguimiento online cumpla con la normativa hoy

      PRUÉBALO AHORA GRATIS