Al mismo tiempo que el valor de los datos de los co­n­su­mi­do­res va in crescendo, aumenta también la ex­po­si­ción de los usuarios a la re­co­pi­la­ción de su in­fo­r­ma­ción para fines em­pre­sa­ria­les, sobre todo si se tiene en cuenta la presencia de las nuevas te­c­no­lo­gías e Internet en el día a día. Con el escándalo de Facebook y Cambridge Analytica se pusieron sobre la mesa los riesgos que co­m­po­r­ta­ba el tra­ta­mie­n­to de los datos pe­r­so­na­les por parte de las empresas, au­me­n­ta­n­do la co­n­cie­n­cia­ción de la sociedad al respecto.

Si bien Europa cuenta ya con el conocido Re­gla­me­n­to General de Pro­te­c­ción de Datos (RGDP), un re­gla­me­n­to que tiene como objetivo ga­ra­n­ti­zar la pro­te­c­ción de datos de los usuarios, es ahora el estado de Ca­li­fo­r­nia el que desde enero de 2020 aplica la de­no­mi­na­da Ca­li­fo­r­nia Consumer Privacy Act (CCPA), la le­gi­s­la­ción es­ta­dou­ni­de­n­se más estricta en lo que a pro­te­c­ción de datos y pri­va­ci­dad del co­n­su­mi­dor se refiere. Aunque se acerca al RGDP en algunos puntos, las no­r­ma­ti­vas difieren.

¿Qué es la Ca­li­fo­r­nia Consumer Privacy Act?

Ca­li­fo­r­nia Consumer Privacy Act (CCPA), también de­no­mi­na­da AB 375 es la de­no­mi­na­ción de la ley en materia de pri­va­ci­dad que ha entrado en vigor en Ca­li­fo­r­nia el 1 de enero de 2020. Con ella se pretende delimitar el uso que hacen las empresas de los datos pe­r­so­na­les de los co­n­su­mi­do­res, otorgando a estos un mayor control sobre los mismos y au­me­n­ta­n­do la pro­te­c­ción de su pri­va­ci­dad. De este modo, la CCPA recoge el derecho de los co­n­su­mi­do­res a saber qué in­fo­r­ma­ción recopilan las empresas sobre ellos, para qué propósito y con quién la comparten. Asimismo, los co­n­su­mi­do­res pueden pedir a las empresas la eli­mi­na­ción de sus datos pe­r­so­na­les, así como prohi­bi­r­les su venta o di­vu­l­ga­ción a terceros. De hecho, las empresas deben mostrar en un lugar visible de su página web un enlace con la in­fo­r­ma­ción “Do Not Sell My Personal In­fo­r­ma­tion” (no vender mi in­fo­r­ma­ción personal), para que los co­n­su­mi­do­res puedan ejercer este derecho.

Nota

La CCPA considera datos pe­r­so­na­les (“personal in­fo­r­ma­tion”) cualquier tipo de in­fo­r­ma­ción re­la­cio­na­da con un co­n­su­mi­dor. Desde el nombre, la dirección de correo o postal, el número de pasaporte o la dirección IP hasta la in­fo­r­ma­ción comercial, bio­mé­tri­ca, de geo­lo­ca­li­za­ción, etc. Solo excluye de esta de­fi­ni­ción a la in­fo­r­ma­ción pública pro­po­r­cio­na­da por el gobierno.

Aprobada en agosto de 2018, esta ley supone un referente en la le­gi­s­la­ción es­ta­dou­ni­de­n­se, que se ha ca­ra­c­te­ri­za­do siempre por una mayor laxitud con respecto al tra­ta­mie­n­to de los datos. Además de los derechos re­co­no­ci­dos a los co­n­su­mi­do­res, la CCPA incluye también las obli­ga­cio­nes de las empresas, delimita los negocios que han de acogerse a esta ley y es­pe­ci­fi­ca las sanciones apli­ca­bles en caso de no atenerse a lo dispuesto en ella.

La CCPA y las empresas

La CCPA se aplica sobre las empresas que, con in­de­pe­n­de­n­cia de su domicilio social, traten con datos de re­si­de­n­tes en el estado de Ca­li­fo­r­nia y cumplan con una serie de re­qui­si­tos. Así, las empresas en cuestión deberán contar con un beneficio anual bruto superior a los 25 millones de dólares, tratar con in­fo­r­ma­ción de un mínimo de 50 000 co­n­su­mi­do­res, di­s­po­si­ti­vos u hogares o conseguir como mínimo el 50 por ciento de sus ganancias de la venta de in­fo­r­ma­ción personal.

Todos los negocios que se incluyan en las de­li­mi­ta­cio­nes di­s­pue­s­tas en la CCPA deberán cumplir con una serie de obli­ga­cio­nes para aumentar la tra­n­s­pa­re­n­cia en el tra­ta­mie­n­to que hacen de los datos, entre los que se en­cue­n­tran:

  • Informar a los co­n­su­mi­do­res si tienen intención de vender sus datos. Además, tienen prohibida la venta de datos de menores de 16 años a menos que se autorice.
  • Incluir una política de pri­va­ci­dad en la web donde se es­pe­ci­fi­que la in­fo­r­ma­ción recogida y el propósito.
  • Pro­po­r­cio­nar me­ca­ni­s­mos para que los co­n­su­mi­do­res puedan solicitar in­fo­r­ma­ción acerca de sus datos y responder a las so­li­ci­tu­des sin coste.
  • No di­s­cri­mi­nar a aquellos co­n­su­mi­do­res que deciden eliminar sus datos, impedir su venta o ejercer algún otro derecho. No obstante, las empresas sí pueden ofrecer in­ce­n­ti­vos fi­na­n­cie­ros a los co­n­su­mi­do­res por el tra­ta­mie­n­to de sus datos.

Incumplir con lo dispuesto en la CCPA puede suponer sanciones de hasta 7500 dólares por violación cometida (si se produce de forma in­te­n­cio­na­da). Para aquellas empresas que tratan con datos pe­r­so­na­les de millones de usuarios, el in­cu­m­pli­mie­n­to de la nueva ley puede suponer un coste elevado. Con todo, antes de la im­po­si­ción de la sanción, las empresas tienen hasta 30 días para solventar la situación, una vez han sido no­ti­fi­ca­das de la violación de derechos cometida.

Las empresas frente al RGDP y la CCPA

Muchos bau­ti­za­ron a la Ca­li­fo­r­nia Consumer Privacy Act como la “RGDP americana”, pues se trata de una normativa que persigue regular la pri­va­ci­dad de los co­n­su­mi­do­res en el pro­ce­sa­mie­n­to de sus datos. No obstante, la realidad es que cada una de estas re­gu­la­cio­nes tiene marcos legales di­fe­re­n­tes. Esto implica que aquellas empresas que operen en Ca­li­fo­r­nia y que cumplan ya con el RGPD han de prestar atención a los re­que­ri­mie­n­tos de la CCPA y adaptarse en co­n­se­cue­n­cia. Por eso ¿conoces las si­mi­li­tu­des y las di­ve­r­ge­n­cias entre ambos re­gla­me­n­tos?

Aunque las dos no­r­ma­ti­vas se aplican sobre todas aquellas empresas que realicen una actividad re­la­cio­na­da con el pro­ce­sa­mie­n­to de datos en el te­rri­to­rio de pro­mu­l­ga­ción de la ley, con in­de­pe­n­de­n­cia de dónde se encuentre su sede, la CCPA solo considera a las personas naturales con re­si­de­n­cia en el estado de Ca­li­fo­r­nia como co­n­su­mi­do­res. El RGDP, por su parte, reconoce los derechos de pro­te­c­ción de datos a cualquier persona natural en te­rri­to­rio europeo.

Otra di­fe­re­n­cia guarda relación con el tipo de entidad que debe respetar lo dispuesto en cada una de las re­gu­la­cio­nes. Mientras que la ley ca­li­fo­r­nia­na impone las obli­ga­cio­nes a las empresas que cumplen con de­te­r­mi­na­das ca­ra­c­te­rí­s­ti­cas en relación con el volumen de negocios o la cantidad de datos ana­li­za­dos, el RGDP no hace di­s­ti­n­ción de ningún tipo y se aplica sobre cualquier entidad que procesa datos de los usuarios en te­rri­to­rio europeo.

Además, uno de los rasgos ca­ra­c­te­rí­s­ti­cos del RGDP, que establece como necesario el co­n­se­n­ti­mie­n­to explícito del usuario para que una empresa pueda recopilar sus datos, no se contempla en la CCPA. Las empresas que trabajen con los datos de co­n­su­mi­do­res ca­li­fo­r­nia­nos pueden procesar sus datos sin re­s­tri­c­cio­nes iniciales, aunque deberán respetar el derecho de in­fo­r­ma­ción, de eli­mi­na­ción y prohi­bi­ción de la venta de datos de los co­n­su­mi­do­res, si estos así desean ejercerlo.

Lo que la ley ca­li­fo­r­nia­na sí incluye, pero no se puede encontrar en el re­gla­me­n­to europeo, es la po­si­bi­li­dad de las empresas de pro­po­r­cio­nar in­ce­n­ti­vos fi­na­n­cie­ros a aquellos co­n­su­mi­do­res que permitan re­co­le­c­tar sus datos.

Por favor, ten en cuenta el aviso legal relativo a este artículo.

Ir al menú principal