¿Qué es la CCPA y qué cambios trae consigo la CPRA?

¿Qué es la CCPA y qué cambios trae consigo la CPRA?

California Consumer Protection Act la nueva ley de protección de la privacidad americana

 

Lo primero es lo primero. ¿Qué es la CCPA? La Ley de Privacidad del Consumidor de California, o CCPA por sus siglas en inglés, representó un paso de gigante en la protección de los datos personales en Estados Unidos y, en particular, en el Estado de California. Aprobada en junio 2018, entra en vigor el 1 de enero de 2020 estableciendo todo un nuevo catálogo de derechos para los consumidores californianos con el objetivo de dotarlos de un mayor control sobre sus datos y un abanico de obligaciones para las empresas que pretendan tanto recopilar cómo procesar, transferir o vender sus datos. 

No obstante, uno de los principales escollos fue la poca precisión en lo referido al propio tratamiento de datos personales, algo que ha dado lugar a que las consecuencias de este tratamiento queden un tanto abiertas a interpretación y, finalmente, abocando a la aprobación y próxima entrada en vigor de la CPRA en 2023 (California Privacy Rights Act). Novedosa ley que trataremos más avanzado el artículo analizando todas las reformas que trae consigo.

Sin ahondar en demasía, ya que como hemos adelantado, su contenido será próximamente reformado, podemos señalar aquellos elementos más importantes de la CCPA:

De naturaleza estatal, destaca primeramente su alcance extraterritorial, regulando el tratamiento de datos por parte de cualquier empresa, independientemente de su localización, de ciudadanos residentes en California.

 Venta definida como “vender, alquilar, difundir, revelar, diseminar, hacer disponible, transferir o de otra manera comunicar oralmente, por escrito, de manera electrónica u otros métodos, la información personal del consumidor por el negocio a otra empresa u otra tercera parte por un valor monetario u otro tipo de contraprestación económica.”

Eso sí, no afecta a cualquier negocio comercial, sino que siendo estos quienes determinen el por qué y cómo se tratan los datos, cumplan alguno de los siguientes tres criterios alternos para su sometimiento a la norma:

  • Tener unos ingresos brutos anuales de más de 25 Millones de Dólares;
  • Que compre, venda o reciba información personal de más de 50.000 residentes, hogares o dispositivos de california; o
  • Que obtenga más del 50% de sus ingresos anuales de la venta de información personal de residentes de California.

Por su parte, en esta primera norma, se otorga una serie de derechos a los ciudadanos residentes en california -personas físicas- que podemos desglosar en los conocidos:

  • Derecho de acceso: Significa el derecho a conocer qué datos o categorías de datos tiene una determinada empresa, sus fuentes o categorías de fuentes de obtención de los mismos, los propósitos de su uso y las categorías de datos y de terceros a los que se les comparte o vende dicha información.
  • Derecho de supresión: Capacitando a los residentes de california a solicitar la eliminación de sus datos personales.

  • Derecho de optar por rechazar la venta de sus datos personales a terceros: Una vez ejercitado, la compañía deberá cesar su venta hasta que el ciudadano vuelva a otorgar su consentimiento para ello.

De igual manera, se complementan con el derecho a ser notificados del tratamiento de sus datos y el derecho a la obtención de los mismos servicios y precios sin ser discriminados por el ejercicio de sus derechos. 

En cuanto a la particular definición de información personal, establece la CCPA que se entenderá por tal, toda “información que identifica, relaciona, describe, puede de manera razonable asociarse con, o relacionarse con, directa o indirectamente, un consumidor particular o una unidad familiar”. Abarcando, con esta concepción más amplia, tanto identificadores directos como únicos (nombre real, cookies…), datos biométricos, de geolocalización, datos que permita la re-identificación o deducción de la identidad, la actividad web y, por supuesto, información sensible (información financiera, de salud, religión, etc.) excluyendo únicamente de esta definición la información pública proporcionada por el gobierno. 

Por supuesto, la venta de datos relativos a menores de 16 años está prohibido si no cuentan con la debida autorización. Si es menor de 13, deberán contar con la autorización de los padres o tutores legales. Además, se establecen sanciones que alcanzan los 7.500$ por cada una de las infracciones cometidas. 

¿Qué trae consigo la CPRA?

La Ley de Derechos de Privacidad de California (CPRA por sus siglas en inglés), toma como base las disposiciones de la CCPA para profundizar en la protección de la información personal de los residentes californianos, estableciendo nuevos derechos para los consumidores y mayores requisitos para las empresas que recopilen datos de aquellos sujetos. Aprobada por un 56% de los californianos el 3 de noviembre de 2020, no entrará en vigor hasta el 1 de enero de 2023, concediendo un plazo de gracia de 6 meses para la adaptación de las diferentes compañías que se vean sujetas a su articulado. No sin olvidar, claro, la vigencia y aplicación de la CCPA durante este periodo.

Repasemos ahora los puntos clave:

Se constituye la Agencia de Protección de la Privacidad de California, otorgándole plenos poderes administrativos, normativos, autoridad suficiente y jurisdicción para la implementación, interpretación y aplicación de la normativa de protección de datos. Órgano administrativo dirigido por una mesa de 5 miembros que si bien no desplaza en completo a la autoridad competente hasta la fecha, el Fiscal General de California, se convierte en la primera autoridad regulatoria americana en dedicarse en exclusiva a los asuntos de privacidad de la información.

Siguiendo bajo la misma concepción de consumidor como persona física residente en california, se añaden a la lista de derechos mencionada el derecho de rectificación, el derecho a la portabilidad de los datos, el derecho de autoexclusión y acceso a la información sobre la toma de decisiones automatizadas basada en sus datos personales y el derecho de limitación de uso y divulgación de información personal sensible. Nuevo concepto, el de información personal sensible que introduce la CPRA, y abarca: 

  • El número de la seguridad social de un consumidor, la licencia de conducción, número de pasaporte o número de identificación estatal;
  • Los datos de acceso, datos financieros, números de tarjeta bancaria de crédito o débito, en combinación con la contraseña, cualquier tipo de código de acceso o credencial;
  • Datos de geolocalización precisos;
  • Origen étnico, racial, religión o creencias filosóficas;
  • El contenido de correos electrónicos, físicos o mensajes de telefonía;
  • Información genética del consumidor.

Se incorporan principios propios del RGPD como son el de minimización de datos, limitación de la finalidad y limitación del almacenamiento.

Se reforman los criterios de sujeción a la norma. Con la CPRA, se aumenta a 100.000 (de los 50.000 previos) el número de residentes sobre los que un negocio compre, venda o comparta datos personales y se añaden las empresas que obtengan al menos el 50% de sus ingresos no sólo de la venta sino también de la transmisión de información personal de los californianos.  

Asimismo, se refuerzan los requerimientos en lo referido a los derechos de notificación e información de los consumidores, debiendo detallar el tiempo de retención de los datos (limitándose al tiempo razonablemente necesario para el propósito comercial requerido), los datos sensibles recabados, el propósito y su tiempo de conservación; se debe notificar a los menores de 16 años la intención de vender o compartir sus datos, requiriendo su consentimiento para ello y, en caso de respuesta negativa, deben esperar por lo menos 1 año, o que el menor cumpla 16 años, para volver a solicitar su consentimiento. 

En lo referido a las políticas de privacidad, la CPRA aumenta las exigencias de transparencia, debiendo indicar:

  • Las transferencias de información personal realizadas, incluyendo las categorías de datos y a quién se transfieren;
  • Si se trata, recolecta y transfiere información personal sensible;
  • El tiempo de retención de cada categoría de datos tratados o, en caso de no ser posible su determinación, los criterios empleados para ello.

En el ámbito de la ciberseguridad, la CPRA exige a las organizaciones la realización de evaluaciones periódicas de la seguridad de sus tratamientos de datos y, para aquellas que por su naturaleza pueda suponer un riesgo significativo para la privacidad o seguridad, realizar auditorías de ciberseguridad anuales.

Finalmente, se suma la categoría de “contraseñas de acceso” de los consumidores a la lista de categorías por las cuales un consumidor afectado por una filtración puede interponer acciones civiles si su información personal no encriptada o no suprimida es revelada debido a que una empresa no ha establecido las medidas y prácticas de seguridad adecuadas a la naturaleza de la información manejada.

La adaptación por parte de las empresas a las nuevas normativas no suele ser fácil, en Seifti estamos para ayudarte en la implementación de los requisitos normativos que afecten a tu negocio para que la protección de datos nunca sea un problema.

No Comments

Post a Comment

Ir al contenido