Actualidad

¿Qué es la CCPA y qué exige que hagan los propietarios de empresas?

Estás leyendo la publicación: ¿Qué es la CCPA y qué exige que hagan los propietarios de empresas?

A estas alturas, probablemente ya haya oído hablar de la CCPA, la próxima ley de privacidad de California que se está comparando con el RGPD. La ley de datos en general puede ser compleja y atascada en la jerga legal, lo que dificulta tener una idea real de los requisitos y lo que se requiere en la práctica. En esta publicación, analizaremos los requisitos principales y describiremos cómo puede cumplirlos de una manera directa y práctica.

¿Qué es la CCPA y qué requiere que usted haga?

La Ley de Privacidad del Consumidor de California (CCPA) es la ley de privacidad más reciente de California destinada a mejorar los derechos de privacidad del consumidor para los residentes de California, Estados Unidos. La ley entrará en vigencia el 1 de enero de 2020 y describe nuevos requisitos para el procesamiento comercial, otorgando derechos adicionales a los consumidores con sede en California. Por lo tanto, la CCPA está destinada a tener un gran impacto en los procesos comerciales y la responsabilidad.

Qué es ? La ley describe la información de identificación personal como cualquier información que identifique, describa o pueda asociarse con un consumidor u hogar en particular, con la excepción de los registros públicos del gobierno. Esto incluye cosas como direcciones IP, correos electrónicos, nombres, geolocalizaciones, biometría, salud, educación, actividad comercial, electrónica, empleo o información de audio y mucho más. (Vea la lista completa aquí)

¿Cuándo se aplica la CCPA y a quién se aplica?

En general, cualquier con fines de lucro las empresas que tienen o podrían tener californianos como parte de su base de usuarios podrían estar sujetas a la CCPA, ya sea que la el negocio tiene su sede en California O no.

Sin embargo, para que la CCPA se aplique a una empresa, alguien de las siguientes condiciones también deben aplicarse:

  • Procesa (compra, vende, recibe, comparte) información de identificación personal de al menos 50 000 residentes de EE. UU. que potencialmente viven en el estado de California por año. –
  • Tu negocio hace al menos la mitad de sus ingresos anuales por compartir la información personal de los consumidores () con terceros para “ (monetaria o no) a la que de otro modo no tendría derecho legalmente”. – Esto puede incluir cosas como el uso de Analytics o la reorientación de anuncios; o
  • Su empresa tiene ingresos brutos anuales que superan los veinticinco millones de dólares ($25,000,000).

¡IMPORTANTE!

CalOPPA no ha sido derogada por la CCPA y aún se aplica. Incluso si la CCPA no se aplica a usted, aún puede estar sujeto a otras leyes de California como CalOPPA o, si la CCPA se aplica a usted, puede estar sujeto a ambas. Puede leer más sobre CalOPPA aquí.

¿Es la CCPA como el RGPD?

Si bien hay algunos derechos que se superponen, el RGPD tiene un alcance más amplio. Aquí hay una infografía útil nos preparamos en CCPA vs GDPR para una comparación rápida.

Para obtener una descripción completa de los derechos del usuario y los requisitos de la CCPA, y cómo puede cumplirlos, continúe leyendo a continuación.

Requisitos de la CCPA

1. El derecho a estar informado

Según la CCPA, los consumidores tienen derecho a ser informados sobre cómo se procesa su información. Esta divulgación debe incluir las categorías de datos procesados, cómo/dónde se obtuvieron y el propósito del procesamiento (más detalles sobre esto en la sección de cumplimiento a continuación).

2. El derecho de acceso

En virtud de la CCPA, los consumidores tienen derecho a acceder a su información personal cuando lo soliciten de manera verificable*. Puede encontrar detalles específicos en la sección de cumplimiento a continuación.

3. El derecho a la portabilidad de los datos

Bajo la CCPA, el derecho a la portabilidad de datos está conectado al derecho de acceso, en la Sección 1798.100 (d). Por lo general, significa que los consumidores tienen derecho a recibir la información solicitada en un formato razonablemente portátil.

Cuando las empresas cumplan con las solicitudes de acceso “electrónicamente”, también se requiere que la información se proporcione al consumidor en “”.

Excepciones y límites:

  • Los consumidores solo pueden realizar 2 solicitudes de portabilidad dentro de un período de 12 meses.
  • Se excluyen las instancias únicas de procesamiento si la información no está vendido o retenido por la empresa o utilizado de cualquier otra forma para volver a identificar a la persona.
  • No es necesario que responda si no ha recopilado información sobre el consumidor que realiza la solicitud.

4. El derecho a ser borrado

La CCPA otorga a los consumidores el derecho a solicitar la eliminación de cualquier información personal que se haya recopilado sobre ellos. Si se recibe una solicitud verificable de eliminación de un consumidor, debe eliminar la información personal del consumidor de sus registros e indicar a los proveedores de servicios relacionados que eliminen la información personal del consumidor de sus registros.

🔥 Recomendado:  El juego de lucha arcade Battle of Olympus lanzará la preventa del token GODLY en Arbitrum el 27 de marzo

Excepciones y límites:

Las empresas no están obligadas a cumplir con la solicitud de eliminación si la información es necesaria:

  • para completar la transacción para la que se recopiló la información personal;
  • para proporcionar un bien o un servicio solicitado por el consumidor, o para llevar a cabo un acuerdo entre la empresa y el consumidor;
  • para detectar incidentes de seguridad, proteger contra actividades maliciosas, engañosas, fraudulentas o ilegales; o enjuiciar a los responsables de esa actividad;
  • depurar para identificar y reparar errores;
  • para ejercer la libertad de expresión, o ejercer el derecho de otro consumidor a la libertad de expresión;
  • para cumplir con la Ley de Privacidad de las Comunicaciones Electrónicas de California (CalECPA);
  • para investigaciones científicas, históricas o estadísticas públicas o revisadas por pares en el interés público;
  • para cumplir con una obligación legal;
  • permitir usos estrictamente internos que estén razonablemente en sintonía con las expectativas del consumidor (basado en la relación del consumidor con la empresa);

5. El derecho a optar por no participar (el derecho a decir no a la venta de sus datos)

Según la CCPA, un consumidor tiene derecho, en cualquier momento, a decirle a una empresa cuál es su información personal a terceros, que deben dejar de vender dicha información personal. Según la CCPA, “vender” simplemente significa compartir los datos con terceros para “cualquier beneficio (monetario o no)” al que de otro modo no tendría derecho legalmente. dentro del contexto de la CCPA, por lo tanto, puede incluir cosas como el uso de Analytics o la reorientación de anuncios.

6. El derecho a participar (consentimiento previo para menores)

Las empresas tienen prohibido vender la información personal de los consumidores si la empresa tiene conocimiento real de que el consumidor es menor de 16 años. En tales casos, las empresas solo pueden vender la información si:

  • el consumidor tiene entre 13 y 16 años y se ha suscrito; o
  • el consumidor tiene menos de 13 años de edad y el padre o tutor del consumidor ha optado por participar en nombre del consumidor.

7. El derecho a no ser discriminado (incluso si el consumidor hace uso de sus derechos de privacidad)

Según la CCPA, las empresas tienen prohibido discriminar a los consumidores por ejercer los derechos que les otorga la ley. Esto incluye:

  • Negar bienes o servicios al consumidor.
  • Cobrar precios diferentes por bienes o servicios, incluso mediante el uso de descuentos u otros beneficios, o imponer sanciones.
  • Proporcionar un nivel o calidad diferente de bienes o servicios a los consumidores que ejercen sus derechos.
  • Sugerir que el consumidor recibirá un precio o tarifa diferente por bienes o servicios o un nivel o calidad diferente de bienes o servicios.

Excepciones (algo)

  • Puede cobrar u ofrecer diferentes precios, tarifas, niveles, calidad de bienes o servicios ÚNICAMENTE en los casos en que esa diferencia sea razonablemente relacionado con el valor proporcionado al consumidor, por los datos del consumidor.
    Para ilustrar mejor este punto complicado, veamos el siguiente ejemplo:
    En este caso, porque la empresa ya no tiene los datos del consumidor que muestran que el consumidor compró previamente el producto, no puede ofrecer razonablemente el descuento estándar del 30 % a ese consumidor en particular.
  • Puede ofrecer incentivos financieros (incluidos pagos) como compensación por la recopilación de información personal, la venta de información personal o la eliminación de información personal. Estos incentivos financieros deben informarse a los usuarios en la página de inicio de su sitio web y dentro de su política de privacidad.

    Las empresas tienen prohibido utilizar prácticas de incentivos financieros que sean “.

Consecuencias por violar la CCPA

Los consumidores tienen el derecho de demandar a las empresas que violen la ley. Las multas asociadas estarán entre $100 y $750, o cualquier monto mayor relacionado con los daños reales (cuando se puedan probar daños mayores). El estado puede presentar cargos de hasta $2,500 por infracción para las empresas que incumplen involuntariamente la CCPA y multas de hasta $7,500 por infracción para las empresas que cometen infracciones intencionales.

Si bien estas multas pueden no parecer mucho en comparación con otras leyes de privacidad, tenga en cuenta que estas multas se aplican por infracción individual y por consumidor. Para una empresa con solo unos pocos clientes, estas multas pueden sumar una suma considerable.

Cómo cumplir con los requisitos de la CCPA

En este punto, probablemente se esté preguntando cuál es la mejor manera de cumplir con los requisitos técnicos algo complicados de la CCPA. La buena noticia es que con la mentalidad y las herramientas adecuadas, cumplir con la CCPA es más sencillo de lo que piensa. Sumerjámonos.

🔥 Recomendado:  ¿Por qué las tarjetas gráficas son tan caras?

Paso 1: evaluar y revisar

Un ejercicio crítico para cumplir con leyes como la CCPA (y otras como el RGPD) es revisar y evaluar honestamente sus procesos y sistemas. Aquí hay algunas preguntas para ayudarlo con esto:

  • ¿Qué categorías de datos personales recopilo y con qué categorías de terceros comparto estos datos?
  • ¿De qué fuentes recopilo esta información y cuáles son sus categorías (por ejemplo, análisis)?
  • ¿Cuáles son los motivos o finalidades de la recogida de mis datos?
  • Qué derechos del consumidor CCPA (si corresponde) no aplicar a mis actividades de procesamiento?
  • ¿Hago un seguimiento de todos los proveedores de servicios que acceden a la información personal de los consumidores en mi nombre?
  • ¿Puedo contactar de manera confiable a estas partes para cumplir con cosas como las solicitudes de eliminación?
  • ¿Mantengo registros confiables de la información y las categorías de información personal que recopilo para cada consumidor?
  • ¿Tengo los documentos (p. ej. política de privacidad o Términos y condiciones) ¿Necesito hacer que las divulgaciones legalmente requeridas estén disponibles en mi sitio web?
  • ¿Qué excepciones se aplican razonable y honestamente a mi escenario?

Paso 2: Haga las divulgaciones requeridas y respete los derechos del consumidor cuando los ejerza

Divulgaciones

Según sus respuestas en el paso anterior, identifique e incluya las declaraciones apropiadas en su sitio web cuando sea necesario.

El derecho a estar informado

Los consumidores tienen derecho a ser informados de la siguiente información.

  • en los últimos 12 meses;
  • el que tiene y/o puede compartir la información personal;
  • desde el cual recopila la información personal de los consumidores;
  • para recopilar o vender la información personal del consumidor;
  • los derechos de los consumidores aplicables y pueden ser ejercitados

Implementación técnica de esto significa mantener registros internos del tipo de procesamiento que realiza (incluido quiénes son sus proveedores de servicios) para que pueda incluir detalles relevantes en su política de privacidad y, potencialmente, en el punto de recopilación de datos (por ejemplo, un formulario de contacto), si corresponde.

Solicitudes de cumplimiento (Acceso, Portabilidad, Eliminación, Opt-out)

Aquí veremos los detalles de qué información o acción se requiere y cómo debe cumplir con estas solicitudes.

El derecho de acceso

Los consumidores tienen derecho a acceder a lo siguiente:

  • las categorías de información personal que ha procesado/recopilado sobre ellos en los últimos 12 meses;
  • la información real y específica recopilada sobre ellos;
  • las categorías de fuentes a través de las cuales recopiló la información;
  • las categorías de información personal compartida/vendida
  • las categorías de terceros con los que se comparte/vende la información personal (por ejemplo, empresas publicitarias);
  • su(s) propósito(s) para recopilar o compartir la información;
  • las categorías particulares de información personal compartida con fines comerciales.

Implementación técnica de esto significa tener un medio para recuperar información procesada sobre consumidores específicos. Un enfoque para esto es simplemente ser consciente de qué procesos se aplican típicamente a grupos de usuarios o transacciones particulares. Desde allí, puede comparar con sus registros internos de privacidad, ventas y/o base de datos para recuperar la información relevante.

El Derecho de Portabilidad

Como se mencionó anteriormente, el derecho de portabilidad se incluye junto con el derecho de acceso en lo que respecta al cumplimiento de una solicitud de Acceso.

Cuando se recibe una solicitud de acceso, debe responder por correo regular o en formato electrónico (como correo electrónico, descarga de archivos, etc.). Si se entrega electrónicamente, la información debe entregarse en un formato que sea fácil de usar y que permita que la información se transmita fácilmente a otra persona o empresa sin obstáculos.

El derecho a ser borrado

Cuando se reciben solicitudes de eliminación, debe eliminar la información personal del consumidor de sus registros e indicar a los proveedores de servicios relacionados que eliminen la información personal del consumidor de sus registros. Debe proporcionar a los consumidores dos o más métodos para enviar solicitudes, incluido, como mínimo, un número de teléfono gratuito y, si la empresa mantiene un sitio web en Internet, una dirección del sitio web. También debe hacer esfuerzos razonables para verificar que la persona que realiza la solicitud es el consumidor sobre el cual se recopiló la información o está autorizado para solicitar esta información en nombre del consumidor, como se describe anteriormente.

El derecho a optar por no participar

Cuando alguien ejerce sus derechos de exclusión voluntaria (el derecho a decir no a la venta de sus datos), debe cumplir al recibir la solicitud. Este derecho debe ser facilitado al tener un enlace “No vender mi información personal” (“DNSMPI”) en su sitio web (obligatorio). El enlace debe ser fácilmente accesible, claramente visible y estar ubicado tanto en la página de inicio de su sitio web como en su política de privacidad (con las divulgaciones correspondientes). El enlace debe llevar al usuario a una página en la que puede cancelar la venta de su información personal. sin necesidad de crear una cuenta primero. Se le permite hospedar y redirigir a los residentes de California a una página de inicio separada con el enlace visible.

🔥 Recomendado:  DressX se asocia con la plataforma Metaverse Zepeto para una colección de moda digital

Implementación técnica de esto significa tener una forma de transmitir las preferencias de privacidad del consumidor a terceros o redes publicitarias que pueda estar utilizando (más información en la sección final a continuación). En los casos en que la venta/compartición sea manual (p. ej., compartir su lista de correo con otra empresa para marketing directo propósitos) podría considerar que su enlace DNCMPI apunte a un breve formulario de contacto mediante el cual los usuarios pueden enviarle directamente sus solicitudes.

Una vez que se recibe una solicitud de exclusión voluntaria, no puede vender/compartir la información personal de ese consumidor a menos que el consumidor dé por la venta de su información personal al volver a participar.

Las empresas sólo pueden solicitar una

Paso 3: No Discrimine a los Consumidores en el Ejercicio de sus Derechos

El servicio, la calidad, los niveles y/o los precios que cobra/ofrece a los consumidores no deben verse influenciados ni depender de si han elegido ejercer o no sus derechos. Las únicas excepciones a esta regla son en los casos en que el valor del servicio o bien ofrecido se basa en los datos recopilados sobre el consumidor (como se explicó anteriormente en la publicación).
También puede ofrecer incentivos financieros (incluidos pagos) a los consumidores a cambio de acceder a su información personal, pero estos incentivos deben ser justos, razonables, no coercitivos ni exorbitantes. consumidores primero debe ser notificado de dichos incentivos a través de la página de inicio de su sitio web.

Paso 4: Revise periódicamente sus procesos

No solo las leyes evolucionan con el tiempo, sino también sus propios propósitos comerciales. Por esta razón, es vital que de vez en cuando revise sus procesos internos, socios, capacidades técnicas y documentos legales, y los mantenga actualizados con los requisitos legales.

Una solución sin dolor

El cumplimiento es un tema complicado que depende en gran medida tanto del entendimiento legal como de la correcta implementación técnica. Hemos tratado de proporcionar información clara e imparcial que puede usar tanto para configurar sus propios sistemas para cumplir con los requisitos como para tomar decisiones informadas sobre qué soluciones podrían funcionar para usted. En iubenda nos especializamos en hacer que el cumplimiento sea accesible y asequible al hacer el trabajo técnico y legal pesado para que pueda concentrarse en hacer crecer su negocio. Nuestras características que pronto se lanzarán para el cumplimiento de la CCPA hacen que la mayoría, si no toda, la implementación técnica de la CCPA sea muy sencilla, por lo que si desea recibir una alerta cuando estas características entren en funcionamiento, déjenos su correo electrónico usando el formulario aquí.

Otros temas interesantes: