Cumpliendo con la Ley de Privacidad del Consumidor de California

En junio de 2018, California aprobó la Ley de Privacidad del Consumidor de California (CCPA). La CCPA exige que las empresas muestren todos los datos que tienen sobre los consumidores residentes en California, incluida una lista completa de todos los terceros que tienen acceso a esos datos. Esto resultó en que las empresas se vieron obligadas a revisar sus métodos de recolección de datos y causó tumulto para muchos.

Las empresas que están dentro o fuera del estado de California deben cumplir con la CCPA ahora que la fecha límite, 1 de enero de 2020, ha pasado. Este es un paso positivo hacia los derechos del consumidor, y una de las características clave de estas nuevas regulaciones es que las empresas deben notificar a los consumidores sobre el intento de generar ganancias con sus datos y también otorgarles un medio para no participar en esa monetización.

A pesar de tener cerca de dos años para prepararse, muchas empresas aún luchan por cumplir. Para proporcionarle una comprensión completa de lo que se espera y cómo ser conforme, la siguiente guía cubre:

1. Las empresas afectadas por la CCPA
2. Cómo la CCPA define los datos personales
3. Los derechos del consumidor bajo la CCPA
4. Su lista de verificación de cumplimiento de la CCPA
5. Multas de la CCPA
6. CCPA vs. GDPR
7. Cómo la subcontratación de la verificación de identidad puede ayudar

1. Las empresas afectadas por la CCPA

La CCPA se aplica a cualquier negocio que genere ganancias vendiendo, compartiendo o recolectando datos personales de residentes de California. Si bien esto suena un poco vago, la CCPA enumera criterios para las empresas que deben cumplir, incluyendo:

1. Almacenan datos personales de más de 50,000 consumidores, dispositivos o hogares
2. Más del 50% de sus ingresos anuales provienen de la venta de datos personales
3. Sus ingresos anuales brutos superan los $25 millones

2. Cómo la CCPA define los datos personales

Antes de profundizar en cómo funciona el cumplimiento, es importante entender cómo la CCPA define los datos personales. A continuación se incluye la definición incluida en la ley:

“Información que identifica, se relaciona con, describe, es razonablemente capaz de asociarse con, o podría razonablemente ser vinculada, directa o indirectamente, con un consumidor o hogar particular.”

Aunque esto parece una forma alarmantemente vaga de definir datos personales, la CCPA elabora sobre la definición. A continuación se presentan las diferentes categorías de datos personales así como ejemplos concretos de cada una:

1. Identificadores: nombre real, alias, dirección postal, identificador personal único, identificador en línea, dirección de Protocolo de Internet, dirección de correo electrónico, nombre de cuenta, número de seguro social, número de licencia de conducir, número de pasaporte u otros identificadores similares
2. Características de las clasificaciones protegidas bajo la ley de California o federal: edad, expresión de género, orientación sexual, raza, religión, identidad de género.
3. Información comercial: registros de propiedad personal, productos o servicios comprados, obtenidos o considerados, o otros historiales o tendencias de compra o consumo
4. Datos personales de los consumidores de California que las empresas recopilan: dirección, número de hijos, qué tan rápido conduce un consumidor, personalidad del consumidor, hábitos de sueño, información biométrica y de salud, información financiera, información de geolocalización, red social, etc.
5. Información biométrica: huella dactilar, altura, reconocimiento facial, voz, color de cabello, etc.
6. Información sobre la actividad en Internet u otra red electrónica: historial de navegación, historial de búsqueda e información sobre la interacción del consumidor con un sitio web de Internet, aplicación o anuncio
7. Datos de geolocalización
8. Información audio, electrónica, visual, térmica, olfativa o similar.
9. Información profesional o relacionada con el empleo
10. Información educativa
11. Interferencias: información identificada para crear un perfil sobre un consumidor que refleja las preferencias, características, tendencias psicológicas, preferencias, predisposiciones, comportamiento, actitudes, inteligencia, habilidades y aptitudes del consumidor

3. Derechos de los consumidores bajo la CCPA 

Tener todos los datos personales bien organizados y a la mano es esencial para cumplir con la CCPA. Esto es porque los consumidores tienen el derecho de solicitar todos los datos que una empresa tiene sobre ellos dos veces al año sin costo alguno. Este es solo uno de los muchos derechos del consumidor bajo la CCPA, otros incluyen:

• El derecho a negarse a la venta de sus datos personales
• Derecho a demandar a las empresas que recolectaron sus datos cuando ocurre una violación
• El derecho a solicitar la eliminación de sus datos personales
• El derecho a conocer el propósito de la recolección de los datos personales de un individuo
• El derecho a conocer las fuentes de información de donde se adquirieron los datos personales del consumidor
• Los terceros con quienes se comparten los datos personales

Estos son los derechos más importantes en términos de cómo pueden impactar su negocio. Puede ver la lista completa de derechos de los consumidores bajo la CCPA aquí.

4. Su lista de verificación de cumplimiento de la CCPA

Tener acceso a toda esta información de forma que sea posible para que los clientes ejerzan sus derechos puede ser un desafío. Para ayudarlo a adaptarse a los nuevos cambios que trae la CCPA, hemos preparado una lista rápida de actividades.

4.1. Mantener registros de datos personales

Tenga un registro de los datos personales que ha recolectado sobre cada cliente en los últimos 12 meses. Cuando los clientes se acerquen a usted con una solicitud de sus datos, asegúrese de que las consultas sean gratuitas.

4.2. Sea receptivo

Si uno de sus consumidores le pide que revele o elimine los datos personales sobre ellos, asegúrese de responder dentro de los primeros diez días a la solicitud. El plazo se puede extender a 45 días si es necesario.

4.3. Asegúrese de que puedan optar por no participar

Proporcione a sus consumidores la opción de decidir qué datos personales puede almacenar. Esto incluye dar a sus consumidores el derecho a ejercer su derecho de optar por no participar en la venta de sus datos. En caso de que decidan optar por no participar, evite discriminarlos. Esto incluye proporcionar beneficios y calidad de servicio igualitarios independientemente de si optan por participar o no.

4.4. Asegúrese de obtener el consentimiento

Si uno de sus consumidores tiene entre 13 y 16 años, recuerde obtener su consentimiento antes de vender sus datos personales. En el caso de niños menores de 13 años, debe obtener el consentimiento de sus padres.

4.5. Mantenga su política de privacidad actualizada

Recuerde actualizar su política de privacidad e incluir todas las modificaciones que exige la CCPA.

5. Multas de la CCPA

Una de las diferencias más importantes entre la CCPA y la GDPR es que la CCPA otorga explícitamente a los consumidores el derecho a demandar a las empresas si el personal no autorizado tiene acceso a sus datos personales

Si bien la gama de multas es de $100 a $750 por cada evento, los consumidores pueden reclamar mucho más dependiendo del daño causado. En los términos exactos que utiliza la CCPA, los consumidores pueden:

“Recuperar daños en un monto no menor de cien dólares (US$100) y no mayor de setecientos cincuenta (US$750) por consumidor por incidente o daños reales, lo que sea mayor.”

Las sanciones civiles también deben ser consideradas. El Fiscal General también puede procesar una empresa por violaciones generales de la CCPA, incluso si no ha habido violaciones bajo la CCPA. La multa máxima es de $7,500 por violaciones no intencionales y $2,500 cuando las violaciones son accidentales.

6. CCPA vs. GDPR

Si ya está familiarizado con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, puede que ya haya notado algunas similitudes.

Tanto la CCPA como la GDPR fueron creadas para otorgar a los sujetos de datos ciertos derechos con respecto a sus datos personales, incluyendo:

• El derecho de acceso
• El derecho a ser informado
• El derecho a la portabilidad
• El derecho a la eliminación

Ambas leyes también contemplan el alcance de la extraterritorialidad. Esto significa que las regulaciones afectarán a cualquier negocio en el mundo siempre que se cumplan ciertos requisitos. Para la CCPA, cualquier empresa que comercie con datos de consumidores de más de 50,000 residentes de California debe cumplir. En el caso de la GDPR, no importa dónde esté la empresa, siempre que ofrezca servicios a individuos dentro de la UE.

Si bien hay muchas similitudes en los objetivos de ambas reformas, hay una gran diferencia en las multas. Las multas de la CCPA son impuestas por el Fiscal General de California, oscilando entre $2,500 y $7,500 por violación. Por otro lado, las multas de la GDPR son impuestas por la Autoridad de Protección de Datos de los estados miembros de la UE, y varían desde el 4% de la facturación anual global de una empresa hasta €20 millones.

7. Cómo un socio de verificación de identidad puede ayudar

Al comparar la CCPA y el GDPR, ambos buscan mejorar la transparencia entre los consumidores y las empresas en relación con el uso de datos personales. Para las empresas globales en industrias reguladas donde conocer a su cliente es un requisito, cumplir con ambos frentes es crítico.

Utilizar un socio de verificación de identidad puede ayudarle a gestionar los datos personales de manera que sea segura y cumpla con regulaciones como el GDPR y la CCPA. Veriff ayuda a empresas internacionales como Turo, Blockchain y más a verificar usuarios y satisfacer las demandas regulatorias. Aprenda más sobre cómo podemos ayudar planificando una demostración con uno de nuestros especialistas en productos.