La Ley de Privacidad del Consumidor de California de 2018 (CCPA) es una ley adoptada por California para proteger los datos y la privacidad de sus residentes. La CCPA no reemplaza las leyes de privacidad actuales de California, sino que funcionará junto con ellas.
Según la CCPA, las empresas deben ser más abiertas sobre lo que recopilan y cómo se utilizan. También deben obtener el consentimiento de los menores antes de vender su información. Además, los usuarios ahora pueden evitar que las empresas vendan sus datos.
Sin embargo, la CCPA no significa que ya no pueda vender la información que recopila sobre usted. Sin embargo, cuando se trata de residentes de California, tendrás que dar algunas vueltas más.
La CCPA entrará en vigor el 1 de enero de 2020, pero las empresas tienen hasta el 1 de julio de 2020 para cumplir plenamente con los requisitos. Esto no es una excusa para posponerlo. Sin embargo, dado que las acciones de cumplimiento no comenzarán en unos meses, las empresas tienen tiempo para ajustar sus políticas, procesos y sitios web.
¿Qué considera la CCPA «información personal»?
Los datos personales son todo lo que describe o identifica a una persona o está relacionado de alguna manera con una persona o un hogar. Esto incluye:
- Correos electrónicos
- Informacion de Empleo
- Geolocalizaciones
- Direcciones IP
- nombres
Técnicamente información disponible públicamente no son considerados información personal por la CCPA. Sin embargo, esta es un área gris, y es mejor errar por el lado del cumplimiento total en lugar de arriesgarse. Además, incluso si los datos personales de un usuario están disponibles públicamente, esto no se aplica a todos los demás usuarios. Todavía tienes que seguir todas las reglas.
¿CCPA afecta su negocio?
CCPA afecta su negocio si recopila y procesa datos de los residentes de California. Su empresa, casa matriz o subsidiaria también debe cumplir con una o más de las siguientes condiciones:
- Su ingreso bruto anual es de al menos $ 25 millones
- Cada año, compra, recibe o vende información personal de 50 000 o más dispositivos, hogares o residentes de California
- Al menos el 50 % de sus ingresos anuales proviene de la venta de información personal de los residentes de California
No necesita tener una empresa en California para alcanzar estos umbrales. Los residentes de California pueden visitar su sitio sin importar de dónde sean. Las empresas en otros estados de EE. UU., así como las empresas de todo el mundo, deben tener en cuenta la CCPA.
Tampoco importa el tamaño de su negocio, salvo en relación con los umbrales. Incluso las empresas individuales y las pequeñas empresas deben cumplir con la CCPA. Sin embargo, las empresas que procesan datos de 4 millones o más de consumidores deben cumplir requisitos adicionales. Por ejemplo, tienen pautas más estrictas en lo que respecta al mantenimiento de registros.
Si alcanza el umbral pero no recopila datos (no tiene ninguna herramienta de seguimiento en su sitio), técnicamente cumple con los requisitos de la CCPA. Por otro lado, si está recopilando información de clientes de California pero aún no alcanza los umbrales, tiene sentido prepararse para la CCPA. Si su negocio crece rápidamente, sin darse cuenta podría superar los $ 25 millones en ingresos o 50,000 residentes de California antes de cumplir con la CCPA.
¿Cómo se define un residente de California?
De acuerdo a ley de californiaun residente es una persona que:
- está en California por cualquier motivo que no sea temporal o temporal
- Vive en California, a pesar de que actualmente no está en California por una razón temporal o temporal.
Una persona puede vivir en California y no ser residente, o vivir fuera de California y seguir siendo residente. Para protegerse, siga la CCPA si tiene alguna razón para creer que una gran proporción de su negocio proviene de residentes de California.
Cómo hacer que su empresa cumpla con la CCPA
Su empresa debe tomar varios pasos para cumplir con los requisitos de la CCPA, muchos de los cuales implicarán cambios en las políticas y los procesos. Aquí le mostramos cómo hacer que su empresa cumpla con la CCPA:
Actualice su política de privacidad para aclarar cómo recopila, usa y cambia sus datos
Es posible que ya tenga una política de privacidad, pero le llevará algo de trabajo lograr que cumpla con la CCPA. Básicamente, su política de privacidad les dice a los usuarios qué datos recopila y qué hace con ellos. Con CCPA, debe ser más transparente que antes en lo que respecta a las prácticas de datos. Estas son las adiciones que debe hacer a su política de privacidad:
- Qué, por qué y cómo recopila y procesa datos personales
- Cómo los usuarios pueden acceder, cambiar o eliminar su información personal que ha recopilado
- Su método de verificación de la identidad del usuario que realiza una de estas solicitudes
- Cómo se venden los datos personales y cómo puede optar por no vender sus datos personales
Recuerda que estos son los requisitos mínimos de la CCPA. Si cree que hay más sobre el proceso de recopilación de datos que los usuarios quieren saber, agréguelo.
Obtener el consentimiento de los menores
Debe obtener el consentimiento de menores de 13 a 16 años o de los padres de niños menores de 13 años. Puede solicitar el consentimiento tan pronto como ingrese a su sitio o antes de vender sus datos. De cualquier manera, no puede vender sus datos antes de obtener su consentimiento. Conservar todas las respuestas recibidas, incluso si el usuario ha declinado el consentimiento. Excepto en el caso de los menores, no es necesario el consentimiento del usuario antes de la recogida y uso de los datos.
Permitir que los usuarios cambien su información
Parte de la CCPA es permitir que los usuarios de California accedan, cambien, transfieran o eliminen su información personal. Debe crear un método mediante el cual los usuarios puedan enviar este tipo de solicitudes, y uno de esos métodos debe ser un número gratuito. Luego puede agregar un formulario de contacto a su sitio web o proporcionar una dirección de correo electrónico o postal.
Verificar la identidad del usuario al enviar la solicitud
Cuando los usuarios se ponen en contacto con usted para cambiar su información, necesita una forma de verificar que son quienes dicen ser. No puede solicitar una identificación utilizando un documento emitido por el gobierno, como una licencia de conducir. En su lugar, puede utilizar el mismo tipo de autenticación que utilizó cuando la persona envió sus datos. También puede intentar verificar su identidad solicitando la confirmación de la información que ha proporcionado en el pasado.
Si una empresa no puede verificar la identidad de un usuario, debe hacerlo lo mejor que pueda. Por ejemplo, suponga que un usuario desea eliminar su información pero la empresa no puede verificar la identidad del usuario. En lugar de eliminar su información, la conservan pero permiten que el usuario opte por no venderla. Si no se pueden cumplir los requisitos, la empresa puede rechazar la solicitud.
Agregue un enlace «No vender mis datos personales» a su página de inicio
Debe colocar un enlace «No vender mi información personal» en un lugar destacado en la página de inicio de su sitio web. Para que los usuarios puedan hacer clic si quieren evitar que vendas sus datos personales. El proceso de optar por no vender datos de usuario debe ser lo más simple y fácil posible. La empresa también debe responder a las solicitudes de exclusión voluntaria. De acuerdo a hoja informativa oficial de la CCPA«… las empresas deben tratar la configuración de privacidad habilitada por el usuario que señala la decisión de exclusión voluntaria del consumidor como una solicitud de exclusión voluntaria presentada correctamente».
Además, no puede exigir a las personas que creen una cuenta para que puedan optar por no participar. Si bien algunas empresas pueden requerir una cuenta como medio para identificarlo, la CCPA evita que esto sea un requisito previo para optar por no participar. Si el usuario ya tiene una cuenta y puede verificar su identidad de esta manera, está bien.
Mantener registros de los intercambios con los clientes.
Las empresas deben mantener registros de todas las solicitudes de los usuarios, y deben registrar y registrar las respuestas dadas a los usuarios. Mantenga sus registros durante al menos 24 meses; para estar más seguro, adhiérase a ellos indefinidamente.
No discriminar en base a solicitudes de privacidad.
La CCPA dice que las empresas no pueden discriminar a los usuarios que ejercen sus derechos de privacidad. Esto significa que si un usuario afirma que no puede vender sus datos, no puede negarle los servicios ni ajustar el precio como represalia.
Es posible que las empresas ofrezcan incentivos a las personas que permitan que se vendan sus datos. En este caso, debe divulgar los detalles del incentivo, incluida la forma en que se calcula el valor de los datos personales.
Sanciones por incumplimiento de la CCPA
Si no cumple con la CCPA antes del 1 de julio de 2020, el Fiscal General se lo notificará. Tendrá 30 días para responder y obtener información sobre el cumplimiento. Si no lo hace dentro de estos 30 días, puede estar sujeto a una demanda civil. A partir de ahí, podría enfrentarse a una multa de 7.500 por violaciónlo que significa para un usuario de California. Por ejemplo, si recopila datos de 2000 residentes de California, podría recibir una multa de $ 7500 x 2000, por un total de $ 15 000 000. ¡Este es un proyecto de ley que definitivamente querrás evitar!
Diferencias entre CCPA y RGPD
Si bien las pautas de la CCPA suenan similares al RGPD, ambas tienen diferencias clave. Incluso si su empresa actualmente cumple con GDPR, eso no significa automáticamente que cumplirá con CCPA. Puede cumplir con algunas de las pautas de la CCPA, pero no con todas. Algunas de las pautas de la CCPA que pueden exceder el RGPD incluyen:
- Agregar un enlace «No vender mis datos personales» en la página de inicio
- Cree una forma para que los usuarios soliciten que se cambien o eliminen sus datos
- Identificación de la persona que presenta este tipo de solicitud
- Obtener el consentimiento de los menores antes de vender su información
Si bien es posible que algunos procesos ya estén configurados para el RGPD, vale la pena verificar que sus métodos también cumplan con la CCPA. Hay pequeñas pero importantes diferencias entre ellos. Por ejemplo, según la CCPA, debe mostrar las categorías de datos personales que ha vendido durante un período de 12 meses; esto no es un requisito del RGPD. Por otro lado, la CCPA no tiene el requisito de consentimiento de cookies que tiene GDPR.
Pensamientos finales
El primer paso es evaluar si su empresa debe cumplir con la CCPA a partir del 1 de enero de 2020. O considere si su empresa crecerá hasta el punto en que deberá cumplir en el futuro. Si es así, es mejor organizar todo ahora para que no tenga que luchar más tarde y arriesgarse a una multa. La forma en que su sitio web cumple con la CCPA depende de sus procesos en curso y su fuerza laboral. Puede automatizar tanto como sea posible o, si no espera demasiados cambios o solicitudes de eliminación, puede tener varios empleados que respondan directamente a los usuarios.
Si aún no tiene una política de privacidad, esta es una gran oportunidad para escribir una, ya sea que esté interesado o no en la CCPA. Consulte nuestro artículo sobre cómo crear una política de privacidad para su sitio web.
Imagen destacada a través de Sammby / shutterstock.com
