La fecha límite para cumplir con la Ley de Privacidad del Consumidor de California (CCPA) ha pasado. Aquí está todo lo que necesita saber sobre cómo mantenerse conforme a estas nuevas regulaciones.
En junio de 2018, California aprobó la Ley de Privacidad del Consumidor de California (CCPA). La CCPA exige que las empresas muestren todos los datos que tienen sobre los consumidores residentes en California, incluida una lista completa de todos los terceros que tienen acceso a esos datos. Esto resultó en que las empresas se vieron obligadas a revisar sus métodos de recolección de datos y causó tumulto para muchos.
Las empresas que están dentro o fuera del estado de California deben cumplir con la CCPA ahora que la fecha límite, 1 de enero de 2020, ha pasado. Este es un paso positivo hacia los derechos del consumidor, y una de las características clave de estas nuevas regulaciones es que las empresas deben notificar a los consumidores sobre el intento de generar ganancias con sus datos y también otorgarles un medio para no participar en esa monetización.
A pesar de tener cerca de dos años para prepararse, muchas empresas aún luchan por cumplir. Para proporcionarle una comprensión completa de lo que se espera y cómo ser conforme, la siguiente guía cubre:
La CCPA se aplica a cualquier negocio que genere ganancias vendiendo, compartiendo o recolectando datos personales de residentes de California. Si bien esto suena un poco vago, la CCPA enumera criterios para las empresas que deben cumplir, incluyendo:
Antes de profundizar en cómo funciona el cumplimiento, es importante entender cómo la CCPA define los datos personales. A continuación se incluye la definición incluida en la ley:
“Información que identifica, se relaciona con, describe, es razonablemente capaz de asociarse con, o podría razonablemente ser vinculada, directa o indirectamente, con un consumidor o hogar particular.”
Aunque esto parece una forma alarmantemente vaga de definir datos personales, la CCPA elabora sobre la definición. A continuación se presentan las diferentes categorías de datos personales así como ejemplos concretos de cada una:
Tener todos los datos personales bien organizados y a la mano es esencial para cumplir con la CCPA. Esto es porque los consumidores tienen el derecho de solicitar todos los datos que una empresa tiene sobre ellos dos veces al año sin costo alguno. Este es solo uno de los muchos derechos del consumidor bajo la CCPA, otros incluyen:
Estos son los derechos más importantes en términos de cómo pueden impactar su negocio. Puede ver la lista completa de derechos de los consumidores bajo la CCPA aquí.
Tener acceso a toda esta información de forma que sea posible para que los clientes ejerzan sus derechos puede ser un desafío. Para ayudarlo a adaptarse a los nuevos cambios que trae la CCPA, hemos preparado una lista rápida de actividades.
Tenga un registro de los datos personales que ha recolectado sobre cada cliente en los últimos 12 meses. Cuando los clientes se acerquen a usted con una solicitud de sus datos, asegúrese de que las consultas sean gratuitas.
Si uno de sus consumidores le pide que revele o elimine los datos personales sobre ellos, asegúrese de responder dentro de los primeros diez días a la solicitud. El plazo se puede extender a 45 días si es necesario.
Proporcione a sus consumidores la opción de decidir qué datos personales puede almacenar. Esto incluye dar a sus consumidores el derecho a ejercer su derecho de optar por no participar en la venta de sus datos. En caso de que decidan optar por no participar, evite discriminarlos. Esto incluye proporcionar beneficios y calidad de servicio igualitarios independientemente de si optan por participar o no.
Si uno de sus consumidores tiene entre 13 y 16 años, recuerde obtener su consentimiento antes de vender sus datos personales. En el caso de niños menores de 13 años, debe obtener el consentimiento de sus padres.
Recuerde actualizar su política de privacidad e incluir todas las modificaciones que exige la CCPA.
Una de las diferencias más importantes entre la CCPA y la GDPR es que la CCPA otorga explícitamente a los consumidores el derecho a demandar a las empresas si el personal no autorizado tiene acceso a sus datos personales
Si bien la gama de multas es de $100 a $750 por cada evento, los consumidores pueden reclamar mucho más dependiendo del daño causado. En los términos exactos que utiliza la CCPA, los consumidores pueden:
“Recuperar daños en un monto no menor de cien dólares (US$100) y no mayor de setecientos cincuenta (US$750) por consumidor por incidente o daños reales, lo que sea mayor.”
Las sanciones civiles también deben ser consideradas. El Fiscal General también puede procesar una empresa por violaciones generales de la CCPA, incluso si no ha habido violaciones bajo la CCPA. La multa máxima es de $7,500 por violaciones no intencionales y $2,500 cuando las violaciones son accidentales.
Si ya está familiarizado con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, puede que ya haya notado algunas similitudes.
Tanto la CCPA como la GDPR fueron creadas para otorgar a los sujetos de datos ciertos derechos con respecto a sus datos personales, incluyendo:
Ambas leyes también contemplan el alcance de la extraterritorialidad. Esto significa que las regulaciones afectarán a cualquier negocio en el mundo siempre que se cumplan ciertos requisitos. Para la CCPA, cualquier empresa que comercie con datos de consumidores de más de 50,000 residentes de California debe cumplir. En el caso de la GDPR, no importa dónde esté la empresa, siempre que ofrezca servicios a individuos dentro de la UE.
Si bien hay muchas similitudes en los objetivos de ambas reformas, hay una gran diferencia en las multas. Las multas de la CCPA son impuestas por el Fiscal General de California, oscilando entre $2,500 y $7,500 por violación. Por otro lado, las multas de la GDPR son impuestas por la Autoridad de Protección de Datos de los estados miembros de la UE, y varían desde el 4% de la facturación anual global de una empresa hasta €20 millones.
Al comparar la CCPA y el GDPR, ambos buscan mejorar la transparencia entre los consumidores y las empresas en relación con el uso de datos personales. Para las empresas globales en industrias reguladas donde conocer a su cliente es un requisito, cumplir con ambos frentes es crítico.
Utilizar un socio de verificación de identidad puede ayudarle a gestionar los datos personales de manera que sea segura y cumpla con regulaciones como el GDPR y la CCPA. Veriff ayuda a empresas internacionales como Turo, Blockchain y más a verificar usuarios y satisfacer las demandas regulatorias. Aprenda más sobre cómo podemos ayudar planificando una demostración con uno de nuestros especialistas en productos.