¿Qué es CCPA?Todo lo que necesita saber sobre la Ley de Privacidad del Consumidor de California ahora mismo

Que es CCPATodo lo que necesita saber sobre la Ley

El siguiente en la lista de gobiernos decididos a mostrar sus esfuerzos para hacer cumplir las normas estrictas de protección de datos es California. El 1 de enero de 2020, entrará en vigencia la Ley de Privacidad del Consumidor de California (CCPA), con nuevas reglas que establecen un estándar más alto para las empresas que recopilan y comparten datos personales que en cualquier otro lugar de los Estados Unidos.

Históricamente, el Estado Dorado ha sido pionero en la protección de datos: en 1972, los votantes agregaron el derecho a la privacidad a la lista de derechos inalienables de las personas de la Constitución de California, justo al lado del derecho a disfrutar de la vida y la libertad, poseer propiedades o garantizar la seguridad y felicidad. correcto.

Sin embargo, el texto del nuevo proyecto de ley reconoce que la ley de California no ha seguido el ritmo de las nuevas tecnologías: «La proliferación de información personal limita la capacidad de los californianos para proteger y mantener adecuadamente su privacidad», escribió.

Mirar: Guía de cumplimiento de GDPR para profesionales de TI (PDF gratuito)

Por eso se planteó la CCPA. Pero, ¿cuáles son las nuevas reglas, a quién afectarán y cómo pueden las empresas asegurarse de que cumplen?

¿Cómo surgió CCPA?

Después de un proceso inusual, el gobernador del estado, Jerry Brown, promulgó las nuevas reglas el 28 de junio de 2018. Si los ciudadanos de California obtienen suficientes firmas en la petición de la iniciativa, podrían proponer efectivamente una nueva ley sobre futuras votaciones, y en 2018, una petición instando al gobierno a considerar redactar una ley de privacidad reunió 629,000 firmas.

Una vez que los votantes aprueban una iniciativa cívica, se convierte en ley y no se puede enmendar. Entonces, para evitar una votación que resultaría en que las leyes de privacidad nunca se perfeccionaran ni ajustaran, los legisladores redactaron apresuradamente la CCPA y la aprobaron antes de la fecha límite de votación.

Esto ha llevado a algunos a argumentar que las nuevas reglas son apresuradas. Lothar Determann, socio del bufete de abogados Baker & McKenzie, le dijo a MarketingyPublicidad.es: «Esta ley se negoció durante varios días. No se pensó completamente y creo que podría tener consecuencias no deseadas».

La buena noticia es que la CCPA no es definitiva por naturaleza, así que esté atento a este espacio para futuros desarrollos.

¿Cuáles son los principios fundamentales de la nueva Ley?

El objetivo principal de la CCPA es dar a los californianos más control sobre su información personal, otorgándoles algunos derechos básicos: saber qué información personal se recopila sobre ellos; acceder a esta información; saber si se vende y a quién; solicitar la supresión de sus datos personales y negarse a seguir vendiéndolos, y recibir el mismo servicio y precio, aunque haya ejercido previamente su derecho de exclusión.

Los ciudadanos no deberían sufrir precios más altos o un peor servicio por sus opciones de privacidad, que son exclusivas de la CCPA, lo que significa que algunas empresas pueden tener que repensar sus modelos comerciales, por ejemplo, si dependen de la moneda de datos para proporcionar servicios en línea sin cargo.

El nuevo proyecto de ley también brinda seguridad adicional a los menores al prohibir que las empresas vendan información personal de consumidores menores de 16 años, a menos que el menor o sus padres lo autoricen específicamente.

¿Qué empresas se ven afectadas por la CCPA?

Las empresas deben asegurarse de cumplir con la CCPA si se cumplen ambas condiciones. La primera es que, comprensiblemente, la empresa recopila o participa en el procesamiento de información personal en California.

Además, si los ingresos brutos anuales de una empresa superan los 25 millones de dólares, o si la empresa procesa la información personal de al menos 50 000 consumidores, hogares o dispositivos al año, o si el 50 % o más de sus ingresos proviene de la venta de la información personal de los usuarios. — — Entonces, la empresa debe cumplir con la CCPA.

Mirar: Edward Snowden dice que GDPR no entiende el punto

El nuevo proyecto de ley tiene una definición amplia de «venta de información personal», que también incluye compartir datos a cambio de una «consideración valiosa». Esto significa que algunas empresas que no buscan una compensación financiera por compartir datos personales pueden encontrar que aún se encuentran dentro de la definición de «venta» de la CCPA.

Por ejemplo, Determann explicó que un empleador que paga por los servicios para administrar los salarios puede no considerar una transacción como una «venta» de información; sin embargo, es probable que se ajuste a la definición del término de la CCPA. Esto, a su vez, significa que, en teoría, los empleados pueden optar por no «vender» sus datos.
«La definición de venta en esta ley incluye no solo la transferencia de información con fines monetarios», dijo, «sino también la información obtenida de una transacción, lo que a menudo ocurre en la planificación comercial o gubernamental. Es una definición amplia. Necesitamos para pensar en ello.”

¿Qué es información personal según la CCPA?

Esencialmente, cualquier cosa que pueda identificarse o asociarse con un consumidor u hogar específico. Piense en nombres, apodos, direcciones, números de pasaporte o números de seguridad social, pero también datos de geolocalización, información relacionada con el empleo o la educación, y características físicas y de comportamiento.

Hay algunas excepciones: la información personal no incluye ningún dato que se haya hecho público en los registros del gobierno. Además, la ley no se aplica a la información médica protegida, que ya es responsabilidad de otras leyes de California, ni a ninguna información financiera ya regulada por la Ley federal Gramm-Leach-Bliley.

La definición de información personal de la CCPA es más amplia que otras leyes de privacidad existentes. En Europa, por ejemplo, el RGPD no incluye datos de identificación del hogar.

Entonces, ¿qué debe hacer una empresa para cumplir con la CCPA?

Las empresas deben tomar muchas medidas para garantizar que los clientes puedan ejercer sus derechos, comenzando por garantizar que los usuarios puedan solicitar acceso a su información personal. La ley exige al menos dos formas de hacerlo, incluido al menos un número gratuito.

Cuando los usuarios solicitan ver sus datos personales, se les debe otorgar acceso dentro de los 45 días. Si los clientes solicitan que se eliminen sus datos, las empresas deben cumplir. Sin embargo, existen excepciones si la información es necesaria para detectar actividades ilegales o si la eliminación de los datos impediría la libertad de expresión.

La CCPA también establece que las empresas deben advertir a los clientes que están vendiendo información personal, si lo hacen, y proporcionar un enlace claro en su sitio web llamado «No vender mi información personal» para permitir que los usuarios opten por no participar.

Nuevamente, estas reglas parecen ser más estrictas que el RGPD, que otorga a las personas el derecho de restringir u objetar el procesamiento de sus datos personales y eliminarlos, pero solo en ciertas circunstancias. La legislación europea deja claro que estos derechos no son en realidad «absolutos».

¿Cómo pueden prepararse realmente las empresas?

Se espera que las empresas cumplan de inmediato una vez que la ley entre en vigencia el 1 de enero de 2020, un año y medio después de que se aprobó la CCPA. «Un año y medio no es mucho tiempo, cualquiera que haya trabajado en el cumplimiento del RGPD de la UE lo sabe», dijo Determann.

Explicó que lo primero que deben hacer las empresas es averiguar si están vendiendo información personal según lo definido por la CCPA y determinar si pueden cambiar su modelo comercial para evitar el intercambio de información por «consideraciones valiosas».

Mirar: Las estrictas normas de protección de datos se han globalizado

De lo contrario, las empresas deben asegurarse de tener una lista detallada de información personal sobre los residentes de California que sea accesible para los usuarios. Además de crear líneas telefónicas gratuitas y enlaces de «No vender mi información personal», las empresas deben actualizar sus políticas de privacidad para tener en cuenta los nuevos derechos de los californianos.

Por último, pero no menos importante, las empresas deberán redoblar sus esfuerzos para evitar las filtraciones de datos con programas de seguridad más sólidos.

¿Qué sucede si las empresas no cumplen?

Violaciones de la CCPA Cada violación puede costarle a una empresa hasta $7,500. El acceso no autorizado a datos personales o las violaciones de datos también están penados por la ley. En caso de robo o violación de datos, las empresas pueden imponer multas de hasta $750 por consumidor por incidente.

Como tal, el proyecto de ley podría impulsar a las empresas a implementar la minimización de datos, lo que incluye eliminar cualquier información no esencial que se haya recopilado. Determann recomienda que las empresas revisen sus políticas de recopilación y retención para decidir si se pueden eliminar más datos.

¿Qué pasa con otras leyes?

La CCPA no es la única ley de privacidad, no solo en California sino en todo Estados Unidos. Por ejemplo, diferentes estados tienen diferentes leyes sobre notificaciones de violación de datos. Inevitablemente, a veces las reglas nuevas entran en conflicto con las antiguas.

Determann argumenta que existe la necesidad de armonizar «docenas de leyes de privacidad existentes» que crean una «complejidad innecesaria» dentro y fuera de California, un problema que la CCPA ha reconocido.

Mirar: RGPD: solo un tercio de las empresas cumplen; esto es lo que las frena

El nuevo proyecto de ley establece que en caso de conflicto con otra ley, debe regir la ley que otorgue «la mayor protección a la privacidad del consumidor».

Con la entrada en vigor de las nuevas reglas en California, es probable que vuelva a surgir la pregunta de si EE. UU. necesita leyes federales de privacidad. «Creo que la creación de una legislación nacional sobre privacidad es la esperanza de muchas personas, ya sea que estén en contra de la CCPA oa favor de ella», dijo Determann. «En cualquier caso, la CCPA influirá fuertemente en cualquier legislación futura».

¿Que sigue?

Ya sea que estén siendo impulsados ​​por la nueva ley de privacidad de California o no, otros estados de EE. UU. han estado elaborando sus propias leyes.

En mayo pasado, por ejemplo, Nevada aprobó una enmienda a su ley de privacidad en línea que requeriría que las empresas ofrecieran a los usuarios la opción de optar por no vender su información personal, aunque a diferencia de la CCPA, la definición de «venta» se limita a las transacciones monetarias.

Nueva York también presentó un proyecto de ley de privacidad este año basado en principios similares a la CCPA. Sin embargo, tanto en Washington como en Texas, los proyectos de ley de privacidad no se han convertido en ley.

Mirar: Facebook dice que estamos listos mientras California se prepara para una nueva ley de privacidad

Si bien la CCPA está a punto de entrar en vigencia ahora, podría cambiar en el futuro; expertos como Determann creen que debería hacerlo. Argumenta que la ley debe adaptarse mejor a las necesidades de algunas empresas, especialmente aquellas que dependen de más, en lugar de menos, datos para implementar tecnologías como la inteligencia artificial o los automóviles autónomos.

Sus preocupaciones fueron compartidas por el profesor de derecho de la Universidad de Santa Clara, Eric Goldman, quien dijo que la CCPA se redactó teniendo en cuenta un número limitado de casos de uso, pero «se aplica a miles de personas que no tuvieron voz en el proceso de redacción y ahora deben Cumplir con cuestiones que no les correspondan.

Para Determann, en última instancia, se trata de definir qué es lo mejor para el consumidor. «Hemos adoptado muchos servicios innovadores que quizás nunca obtengan una masa crítica o se desarrollen si las empresas tienen que depender de las tarifas de los consumidores para su lanzamiento inicial», dijo.

«Todos nosotros aquí en California y en otros lugares deberíamos pensar detenidamente sobre… qué tan en serio nos tomamos los servicios gratuitos y el gobierno de datos».

Deja un comentario