California Consumer Privacy Act (CCPA): la Ley de Privacidad del Consumidor de California ha entrado en vigor

Al mismo tiempo que el valor de los datos de los consumidores va in crescendo, aumenta también la exposición de los usuarios a la recopilación de su información para fines empresariales, sobre todo si se tiene en cuenta la presencia de las nuevas tecnologías e Internet en el día a día. Con el escándalo de Facebook y Cambridge Analytica se pusieron sobre la mesa los riesgos que comportaba el tratamiento de los datos personales por parte de las empresas, aumentando la concienciación de la sociedad al respecto.

Si bien Europa cuenta ya con el conocido Reglamento General de Protección de Datos (RGDP), un reglamento que tiene como objetivo garantizar la protección de datos de los usuarios, es ahora el estado de California el que desde enero de 2020 aplica la denominada California Consumer Privacy Act (CCPA), la legislación estadounidense más estricta en lo que a protección de datos y privacidad del consumidor se refiere. Aunque se acerca al RGDP en algunos puntos, las normativas difieren.

¿Qué es la California Consumer Privacy Act?

California Consumer Privacy Act (CCPA), también denominada AB 375 es la denominación de la ley en materia de privacidad que ha entrado en vigor en California el 1 de enero de 2020. Con ella se pretende delimitar el uso que hacen las empresas de los datos personales de los consumidores, otorgando a estos un mayor control sobre los mismos y aumentando la protección de su privacidad. De este modo, la CCPA recoge el derecho de los consumidores a saber qué información recopilan las empresas sobre ellos, para qué propósito y con quién la comparten. Asimismo, los consumidores pueden pedir a las empresas la eliminación de sus datos personales, así como prohibirles su venta o divulgación a terceros. De hecho, las empresas deben mostrar en un lugar visible de su página web un enlace con la información “Do Not Sell My Personal Information” (no vender mi información personal), para que los consumidores puedan ejercer este derecho.

Nota

La CCPA considera datos personales (“personal information”) cualquier tipo de información relacionada con un consumidor. Desde el nombre, la dirección de correo o postal, el número de pasaporte o la dirección IP hasta la información comercial, biométrica, de geolocalización, etc. Solo excluye de esta definición a la información pública proporcionada por el gobierno.

Aprobada en agosto de 2018, esta ley supone un referente en la legislación estadounidense, que se ha caracterizado siempre por una mayor laxitud con respecto al tratamiento de los datos. Además de los derechos reconocidos a los consumidores, la CCPA incluye también las obligaciones de las empresas, delimita los negocios que han de acogerse a esta ley y especifica las sanciones aplicables en caso de no atenerse a lo dispuesto en ella.

La CCPA y las empresas

La CCPA se aplica sobre las empresas que, con independencia de su domicilio social, traten con datos de residentes en el estado de California y cumplan con una serie de requisitos. Así, las empresas en cuestión deberán contar con un beneficio anual bruto superior a los 25 millones de dólares, tratar con información de un mínimo de 50 000 consumidores, dispositivos u hogares o conseguir como mínimo el 50 por ciento de sus ganancias de la venta de información personal.

Todos los negocios que se incluyan en las delimitaciones dispuestas en la CCPA deberán cumplir con una serie de obligaciones para aumentar la transparencia en el tratamiento que hacen de los datos, entre los que se encuentran:

  • Informar a los consumidores si tienen intención de vender sus datos. Además, tienen prohibida la venta de datos de menores de 16 años a menos que se autorice.
  • Incluir una política de privacidad en la web donde se especifique la información recogida y el propósito.
  • Proporcionar mecanismos para que los consumidores puedan solicitar información acerca de sus datos y responder a las solicitudes sin coste.
  • No discriminar a aquellos consumidores que deciden eliminar sus datos, impedir su venta o ejercer algún otro derecho. No obstante, las empresas sí pueden ofrecer incentivos financieros a los consumidores por el tratamiento de sus datos.

Incumplir con lo dispuesto en la CCPA puede suponer sanciones de hasta 7500 dólares por violación cometida (si se produce de forma intencionada). Para aquellas empresas que tratan con datos personales de millones de usuarios, el incumplimiento de la nueva ley puede suponer un coste elevado. Con todo, antes de la imposición de la sanción, las empresas tienen hasta 30 días para solventar la situación, una vez han sido notificadas de la violación de derechos cometida.

Las empresas frente al RGDP y la CCPA

Muchos bautizaron a la California Consumer Privacy Act como la “RGDP americana”, pues se trata de una normativa que persigue regular la privacidad de los consumidores en el procesamiento de sus datos. No obstante, la realidad es que cada una de estas regulaciones tiene marcos legales diferentes. Esto implica que aquellas empresas que operen en California y que cumplan ya con el RGPD han de prestar atención a los requerimientos de la CCPA y adaptarse en consecuencia. Por eso ¿conoces las similitudes y las divergencias entre ambos reglamentos?

Aunque las dos normativas se aplican sobre todas aquellas empresas que realicen una actividad relacionada con el procesamiento de datos en el territorio de promulgación de la ley, con independencia de dónde se encuentre su sede, la CCPA solo considera a las personas naturales con residencia en el estado de California como consumidores. El RGDP, por su parte, reconoce los derechos de protección de datos a cualquier persona natural en territorio europeo.

Otra diferencia guarda relación con el tipo de entidad que debe respetar lo dispuesto en cada una de las regulaciones. Mientras que la ley californiana impone las obligaciones a las empresas que cumplen con determinadas características en relación con el volumen de negocios o la cantidad de datos analizados, el RGDP no hace distinción de ningún tipo y se aplica sobre cualquier entidad que procesa datos de los usuarios en territorio europeo.

Además, uno de los rasgos característicos del RGDP, que establece como necesario el consentimiento explícito del usuario para que una empresa pueda recopilar sus datos, no se contempla en la CCPA. Las empresas que trabajen con los datos de consumidores californianos pueden procesar sus datos sin restricciones iniciales, aunque deberán respetar el derecho de información, de eliminación y prohibición de la venta de datos de los consumidores, si estos así desean ejercerlo.

Lo que la ley californiana sí incluye, pero no se puede encontrar en el reglamento europeo, es la posibilidad de las empresas de proporcionar incentivos financieros a aquellos consumidores que permitan recolectar sus datos.

Por favor, ten en cuenta el aviso legal relativo a este artículo.

Artículos similares

El derecho de marcas: aprende a proteger la identidad de tu empresa

El derecho de marcas: aprende a proteger la identidad de tu empresa

  • Derecho digital

La protección de las marcas es algo que compete y afecta a todos los negocios. De esta manera, tanto la propia empresa como sus secciones jurídicas pueden protegerse de numerosos inconvenientes y no se les da a los competidores ninguna posibilidad de aprovecharse de su buen nombre y de su imagen. Las empresas jóvenes también se ven afectadas por esta situación, por lo que, asimismo, también…

El derecho de marcas: aprende a proteger la identidad de tu empresa
Información sobre los derechos sobre la imagen en Internet

Información sobre los derechos sobre la imagen en Internet

  • Derecho digital

El hecho de que una imagen u obra gráfica en Internet sea de libre acceso no significa que se pueda utilizar para fines propios. Normalmente, son necesarios tanto la autorización del autor como el pago de las tasas de licencia. Las pautas y normas que hay que respetar no solo son de aplicación a la hora de publicar material ajeno, sino que se extienden al uso del material propio.

Información sobre los derechos sobre la imagen en Internet
Diseño industrial: ¿cómo puedo proteger y registrar mis diseños?

Diseño industrial: ¿cómo puedo proteger y registrar mis diseños?

  • Derecho digital

Mientras que los clientes consideran que un diseño de calidad es un distintivo de prestigio o lujo o un símbolo de categoría social, el reconocimiento por medio del aspecto visual de calidad es un factor económico muy importante. Las multinacionales como Apple muestran continuamente que el diseño es un componente esencial para la identidad corporativa (CI) y, por lo tanto, para la competencia. La…

Diseño industrial: ¿cómo puedo proteger y registrar mis diseños?
Requisitos legales para tiendas online: seguridad en el eCommerce

Requisitos legales para tiendas online: seguridad en el eCommerce

  • Vender en Internet

Dado el aumento del consumo en línea y el crecimiento del mercado electrónico en todo el mundo, es fundamental que empresas y autónomos estén al tanto de la normativa relativa a aspectos legales, tales como la protección de datos, el aviso legal, la política de devoluciones, entre otros. Atender a los requisitos legales para las tiendas online garantiza la seguridad jurídica del negocio,…

Requisitos legales para tiendas online: seguridad en el eCommerce
Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración de su navegador en nuestra. Política de Cookies.