El Ley de Privacidad del Consumidor de California (CCPA) es una de las leyes de privacidad en línea más estrictas y completas del país y sin duda un presagio de una legislación similar que probablemente será aprobada por otros estados y, en última instancia, por el gobierno federal. Por lo tanto, incluso si su empresa no tiene su sede en California, es una buena idea prestar atención a lo que sucede en la costa izquierda.
El ley CCPA, que entró en vigor a principios de 2020, exige un conjunto de protecciones de privacidad en línea para los residentes de California. Según la ley, las personas tienen derecho a saber qué tipo de información almacenan las empresas sobre ellas y decidir cómo se pueden compartir algunos de esos datos.
Una enmienda a la ley, la Ley de Derechos de Privacidad de California (CPRA), que se aprobó a finales de 2020 y entrará en vigor en 2023, fortalece y amplía aún más las protecciones originales de la CCPA. Según la nueva enmienda CPRA, los consumidores obtienen aún más control sobre una gama aún más amplia de información sobre ellos mismos.
Gran parte de estos datos se recopilan para la orientación publicitaria personalizada en varios canales en función de la información obtenida sobre un consumidor a través de diferentes aplicaciones o servicios. Al prohibir el intercambio de esta información, los consumidores evitarán, en esencia, ser blanco de anuncios basados en datos obtenidos de sus historiales de búsqueda, navegador y compras, cómo se comportan cuando navegan por sitios web, así como dónde están geolocalizados sus dispositivos y sus configuración del dispositivo.
Juntas, la CCPA y la CPRA formarán un conjunto integral de leyes de privacidad de datos en el estado de California.
‘Información personal’ versus ‘Información personal confidencial’
La CCPA original protegía “informacion personal”, que se definió en términos generales como cualquier dato que pueda vincularse con un consumidor u hogar en particular e incluye detalles obvios como nombres, direcciones y correos electrónicos.
La nueva enmienda de la CPRA define el derecho a la privacidad en línea para incluir además una nueva categoría denominada “información personal sensible”que cubre números de Seguro Social y de licencia de conducir, geolocalización, raza, origen étnico, religión, orientación sexual, datos de salud/biométricos/genéticos, datos financieros y más. (De esta manera, la ley ampliada se parece mucho más a las protecciones de privacidad mucho más amplias en la Unión Europea bajo el Reglamento General de Protección de Datos o GDPR)
Vender vs. Intercambio
Otra forma importante en la que la CCPA original se amplió aún más con la enmienda a la CRPA es que se trazó una línea clara entre vender la información de un consumidor y compartirla.
La ley original sólo cubría la venta y daba a los consumidores un botón para optar por no vender su información personal. La nueva ley define el intercambio como la divulgación de información personal de los consumidores para “publicidad conductual multicontexto” a un tercero con el fin de orientar la publicidad, incluso si no se intercambia dinero.
En pocas palabras, las empresas que actualmente requieren tener un enlace de exclusión voluntaria de “No vender mi información personal” en sus sitios web tendrán que agregar las palabras “O compartir” en 2023, por lo que los consumidores ahora verán un botón que dice: “No vender mi información personal”. Vender o compartir mi información personal”.
En 2023, las empresas también deberán ofrecer a los consumidores un botón “Limitar el uso de mi información personal confidencial”.
La gran conclusión para los especialistas en marketing es que los residentes de California tendrán derecho a evitar que tanto su información personal como la confidencial se utilicen para hacer el tipo de inferencias que guían la toma de decisiones publicitarias automatizadas para los consumidores objetivo. Obviamente, esto obligará a los especialistas en marketing, que dependen en gran medida de este tipo de datos, a repensar sus estrategias para cumplir con la ley.
Responsabilidad por violación de datos
Según la primera ley CCPA, la responsabilidad de las empresas en caso de violación de datos era algo ambigua. Una empresa podría ser demandada por una violación de datos que resultó en información personal comprometida. Sin embargo, no se explicó exactamente qué debían hacer las empresas para implementar medidas de seguridad razonables.
La CPRA actualizada refuerza este problema y articula que la empresa puede ser considerada responsable si una violación de datos compromete la dirección de correo electrónico de un consumidor y su contraseña o pregunta/respuesta de seguridad.
Derecho a corregir
Una nueva faceta de la enmienda de privacidad actualizada que no está presente en la ley original es que los consumidores podrán corregir información personal inexacta y sensible sobre ellos que esté en poder de las empresas. Se trata de una ampliación de las protecciones de privacidad anteriores que garantizaban el derecho a saber, eliminar, optar por no participar y no enfrentar discriminación por optar por no participar.
Nuevos mecanismos de aplicación
Actualmente, según la CCPA, las violaciones de la privacidad son ejecutables por el Fiscal General del estado, con multas que alcanzan un máximo de $2,500 por violaciones regulares y $7,500 por violaciones intencionales o imprudentes.
Según los asesores de Red Clover:
“Debido a que la supervisión regulatoria requiere una enorme cantidad de tiempo y recursos, la ley actualizada exige y financia la creación de un nuevo organismo gubernamental estatal, la Agencia de Protección de la Privacidad. Su cometido será hacer cumplir la CPRA y otras leyes relacionadas con la privacidad. Es probable que las empresas vean mayores esfuerzos de auditoría y aplicación de la ley una vez que se establezca la nueva agencia en 2023”.
¿Qué empresas deben cumplir la ley?
Otro cambio entre las dos leyes es qué tipos de empresas deben cumplir las políticas. La CCPA original se aplicaba a todas las empresas con fines de lucro que operan en California (ya sea que tengan su sede en el estado o no), recopilan información personal de los residentes de California y determinan cómo se recopila, utiliza y comparte esa información.
La ley actualizada refuerza esa definición para esencialmente dar a las pequeñas empresas más flexibilidad al exigir que cumplan sólo las empresas más grandes. El nuevo umbral es que la nueva ley sólo cubrirá a las empresas que obtengan más de 25 millones de dólares en ingresos al año, que obtengan la mitad de sus ingresos anuales de la venta de información personal de los consumidores, o que recopilen o procesen 100.000 registros de consumidores al año (frente a 50.000 en el ley original.)
Además, los proveedores y contratistas que manejan este tipo de datos en nombre de estas empresas también deben cumplir con la ley.
¿Que sigue?
Varios estados, incluidos Nueva York, Hawái, Maryland y Massachusetts, han introducido leyes similares a la CCPA y el RGPD. Otros estados como Virginia, Washington y Nueva York están cada vez más cerca de promulgar leyes de privacidad del consumidor. A nivel federal, el Congreso está ganando impulso para abordar la legislación nacional sobre privacidad.
