California Consumer Privacy Act (CCPA): la Ley de Privacidad del Consumidor de California ha entrado en vigor

Al mismo tiempo que el valor de los datos de los consumidores va in crescendo, aumenta también la exposición de los usuarios a la recopilación de su información para fines empresariales, sobre todo si se tiene en cuenta la presencia de las nuevas tecnologías e Internet en el día a día. Con el escándalo de Facebook y Cambridge Analytica se pusieron sobre la mesa los riesgos que comportaba el tratamiento de los datos personales por parte de las empresas, aumentando la concienciación de la sociedad al respecto.

Si bien Europa cuenta ya con el conocido Reglamento General de Protección de Datos (RGDP), un reglamento que tiene como objetivo garantizar la protección de datos de los usuarios, es ahora el estado de California el que desde enero de 2020 aplica la denominada California Consumer Privacy Act (CCPA), la legislación estadounidense más estricta en lo que a protección de datos y privacidad del consumidor se refiere. Aunque se acerca al RGDP en algunos puntos, las normativas difieren.

California Consumer Privacy Act (CCPA), también denominada AB 375 es la denominación de la ley en materia de privacidad que ha entrado en vigor en California el 1 de enero de 2020. Con ella se pretende delimitar el uso que hacen las empresas de los datos personales de los consumidores, otorgando a estos un mayor control sobre los mismos y aumentando la protección de su privacidad. De este modo, la CCPA recoge el derecho de los consumidores a saber qué información recopilan las empresas sobre ellos, para qué propósito y con quién la comparten. Asimismo, los consumidores pueden pedir a las empresas la eliminación de sus datos personales, así como prohibirles su venta o divulgación a terceros. De hecho, las empresas deben mostrar en un lugar visible de su página web un enlace con la información “Do Not Sell My Personal Information” (no vender mi información personal), para que los consumidores puedan ejercer este derecho.

Aprobada en agosto de 2018, esta ley supone un referente en la legislación estadounidense, que se ha caracterizado siempre por una mayor laxitud con respecto al tratamiento de los datos. Además de los derechos reconocidos a los consumidores, la CCPA incluye también las obligaciones de las empresas, delimita los negocios que han de acogerse a esta ley y especifica las sanciones aplicables en caso de no atenerse a lo dispuesto en ella.

La CCPA se aplica sobre las empresas que, con independencia de su domicilio social, traten con datos de residentes en el estado de California y cumplan con una serie de requisitos. Así, las empresas en cuestión deberán contar con un beneficio anual bruto superior a los 25 millones de dólares, tratar con información de un mínimo de 50 000 consumidores, dispositivos u hogares o conseguir como mínimo el 50 por ciento de sus ganancias de la venta de información personal.

Todos los negocios que se incluyan en las delimitaciones dispuestas en la CCPA deberán cumplir con una serie de obligaciones para aumentar la transparencia en el tratamiento que hacen de los datos, entre los que se encuentran:

• Informar a los consumidores si tienen intención de vender sus datos. Además, tienen prohibida la venta de datos de menores de 16 años a menos que se autorice.
• Incluir una política de privacidad en la web donde se especifique la información recogida y el propósito.
• Proporcionar mecanismos para que los consumidores puedan solicitar información acerca de sus datos y responder a las solicitudes sin coste.
• No discriminar a aquellos consumidores que deciden eliminar sus datos, impedir su venta o ejercer algún otro derecho. No obstante, las empresas sí pueden ofrecer incentivos financieros a los consumidores por el tratamiento de sus datos.

Incumplir con lo dispuesto en la CCPA puede suponer sanciones de hasta 7500 dólares por violación cometida (si se produce de forma intencionada). Para aquellas empresas que tratan con datos personales de millones de usuarios, el incumplimiento de la nueva ley puede suponer un coste elevado. Con todo, antes de la imposición de la sanción, las empresas tienen hasta 30 días para solventar la situación, una vez han sido notificadas de la violación de derechos cometida.

Muchos bautizaron a la California Consumer Privacy Act como la “RGDP americana”, pues se trata de una normativa que persigue regular la privacidad de los consumidores en el procesamiento de sus datos. No obstante, la realidad es que cada una de estas regulaciones tiene marcos legales diferentes. Esto implica que aquellas empresas que operen en California y que cumplan ya con el RGPD han de prestar atención a los requerimientos de la CCPA y adaptarse en consecuencia. Por eso ¿conoces las similitudes y las divergencias entre ambos reglamentos?

Aunque las dos normativas se aplican sobre todas aquellas empresas que realicen una actividad relacionada con el procesamiento de datos en el territorio de promulgación de la ley, con independencia de dónde se encuentre su sede, la CCPA solo considera a las personas naturales con residencia en el estado de California como consumidores. El RGDP, por su parte, reconoce los derechos de protección de datos a cualquier persona natural en territorio europeo.

Otra diferencia guarda relación con el tipo de entidad que debe respetar lo dispuesto en cada una de las regulaciones. Mientras que la ley californiana impone las obligaciones a las empresas que cumplen con determinadas características en relación con el volumen de negocios o la cantidad de datos analizados, el RGDP no hace distinción de ningún tipo y se aplica sobre cualquier entidad que procesa datos de los usuarios en territorio europeo.

Además, uno de los rasgos característicos del RGDP, que establece como necesario el consentimiento explícito del usuario para que una empresa pueda recopilar sus datos, no se contempla en la CCPA. Las empresas que trabajen con los datos de consumidores californianos pueden procesar sus datos sin restricciones iniciales, aunque deberán respetar el derecho de información, de eliminación y prohibición de la venta de datos de los consumidores, si estos así desean ejercerlo.

Lo que la ley californiana sí incluye, pero no se puede encontrar en el reglamento europeo, es la posibilidad de las empresas de proporcionar incentivos financieros a aquellos consumidores que permitan recolectar sus datos.

Por favor, ten en cuenta el aviso legal relativo a este artículo.