Te informamos de que la Ley de Privacidad de los Consumidores de California (CCPA) ha sido modificada por la Ley de Derechos de Privacidad de California (CPRA), la cual ya está en vigor. Echa un vistazo a la guía CPRA: Introducción a la CCPA 2.0 y cómo te afecta para consultar la información sobre lo que necesitas hacer y las implicaciones que esta ley tiene para ti.
La información que consta a continuación hace referencia a la CCPA y está en parte desactualizada.
La Ley de Derechos de Privacidad de California (CPRA) amplía la actual Ley de Privacidad de los Consumidores de California (CCPA) y profundiza en la protección de la privacidad de los consumidores. La CPRA complementa el marco actual que proporciona la CCPA, sin sustituirlo ni derogarlo.
La CCPA otorga varios derechos a los residentes de California y regula las acciones de los negocios que recogen o venden información personal. No obstante, de alguna forma deja las consecuencias del tratamiento por parte de terceros de los datos del consumidor abiertas a posibles interpretaciones. Esta circunstancia impulsó la modificación de la CCPA, que se ha materializado en la Ley de Derechos de Privacidad de California (CPRA).
La CPRA entró en vigor en enero de 2023 y amplía algunos de los elementos clave de la CCPA, por lo que puede considerarse una reproducción más exhaustiva de la ley inicial.
💡 Nuestros productos se han actualizado para estar en consonancia con las últimas modificaciones incluidas en la CPRA. Aquí puedes consultar todo lo que tienes que hacer para cumplirlas.
En general, la CCPA se aplica cuando se reúnen estas dos condiciones:
Según la CCPA, un “consumidor” es una persona física que reside en California.
En el ámbito de aplicación de la CCPA, se define a la “empresa” como una organización con ánimo de lucro que recopila la información personal de los consumidores, determina los fines y el método de tratamiento, se dirige a los residentes de California (independientemente de si la empresa tiene o no su sede en California) y cumple al menos uno de los siguientes requisitos:
Según la CCPA, información personal significa: “información que identifica, hace referencia, describe, puede asociarse o razonablemente podría estar vinculada, directa o indirectamente, a un consumidor u hogar específico.”
La CCPA ofrece más detalles sobre lo que se puede considerar información personal, concepto que incluye (entre otros):
Las ventas en el contexto de la CCPA se definen como: “vender, arrendar, divulgar, hacer pública, difundir, poner a disposición, transferir o comunicar oralmente, por escrito o por medios electrónicos o de cualquier otro tipo la información personal de un consumidor por parte de una empresa a otra empresa o a un tercero a cambio de una retribución monetaria o de otro tipo (“contraprestación económica“)”.
Si bien la CCPA actualmente no define de forma expresa qué significa “contraprestación económica”, según la legislación sobre contratos de California se define como “[c]ualquier beneficio conferido por un tercero o que dicho tercero haya acordado conferir al promitente al que este último no tenga derecho legal, o cualquier perjuicio experimentado por este tercero, o que este haya acordado soportar, que suponga una ventaja para el promitente y sea distinto de cualquier otro perjuicio que, en el momento del consentimiento, el tercero esté legalmente obligado a soportar, constituye una razón legal válida para un contrato.” (Código Civil de California, artículo 1605).
En este contexto, por lo tanto, “contraprestación económica” puede interpretarse en sentido amplio como cualquier contrato en el que se intercambie información personal y mediante el cual la entidad que la transfiere obtiene un beneficio al que no tendría derecho desde el punto de vista jurídico si no existiera dicho contrato.
La CalOPPA no ha sido derogada por la CCPA y aún sigue en vigor. Ten en cuenta que, incluso si no te encuentras comprendido en la definición de “empresa” citada anteriormente, es posible que debas cumplir con la CalOPPA o con ambas normas. Puedes obtener más información sobre la CalOPPA aquí
¿Qué exige exactamente la CCPA?
Según la CCPA, los consumidores tienen derecho a ser informados sobre los métodos de tratamiento de su información antes o durante el acto de recogida.
Según la Ley de Privacidad del Consumidor de California, debes especificar:
Según la CCPA, los consumidores que realizan una solicitud verificable* tienen derecho a acceder a su información personal.
En concreto, los consumidores tienen derecho de acceso a:
*Solicitar de forma verificable o una “solicitud verificable del consumidor” significa una solicitud realizada por un consumidor (por cuenta propia o por la de un menor de edad), por una persona física o por una persona inscrita ante la Secretaría de Estado, autorizada por el consumidor para actuar en su nombre, y que la empresa pueda verificar … que es el consumidor cuya información personal ha recogido. Código Civil de California, artículo 1798.140, letra y)
Debes proporcionar a los consumidores al menos dos métodos para presentar dichas solicitudes de acceso, incluido, como mínimo, un número de teléfono gratuito y, si la empresa tiene un sitio web, la dirección del mismo. Además, debes realizar todos los esfuerzos razonables para comprobar que el solicitante es realmente el consumidor cuya información se recopiló o que, en cualquier caso, es una persona autorizada por este para actuar en su nombre según lo descrito anteriormente.
Según la CCPA, el derecho a la portabilidad de la información se combina con el derecho de acceso, según el artículo 1798.100, letra d).
Cuando una empresa atienda una solicitud de acceso en formato electrónico, también se exige que la información se entregue al consumidor en un formato “fácilmente utilizable, portátil y, en la medida en que sea técnicamente posible, que permita al consumidor transferir esa información a otra empresa sin dificultad“.
Las solicitudes verificables de los consumidores deben atenderse gratuitamente dentro de los 45 días posteriores a su recepción. Si fuera necesario, este plazo puede ser objeto de una única prórroga de 45 días adicionales, siempre que se informe de ello al consumidor dentro de los 45 días posteriores a su solicitud.
Los datos facilitados en respuesta a dicha solicitud deben cubrir los 12 meses anteriores a la recepción de la solicitud.
Las empresas deben responder por correo ordinario o en formato electrónico (por ejemplo, mediante correo electrónico, descarga de archivos, etc.). En caso de envío en formato electrónico, la ley establece que la información debe ser “portátil”, es decir, que debe entregarse en un formato fácil de usar y que permita su transferencia a otra empresa sin ningún impedimento.
La CCPA otorga a los consumidores el derecho a solicitar la supresión de cualquier tipo de información personal recopilada sobre ellos. Si se recibe una solicitud verificable de supresión, se debe eliminar la información personal del consumidor de los registros y pedir a todos los proveedores de servicios relacionados que hagan lo mismo.
Debes proporcionar a los consumidores al menos dos métodos para presentar solicitudes, incluido, como mínimo, un número de teléfono gratuito y, si la empresa tiene un sitio web, la dirección del mismo. Además, debes realizar todos los esfuerzos razonables para comprobar que el solicitante es realmente el consumidor cuya información se recopiló o que, en cualquier caso, es una persona autorizada por este para actuar en su nombre según lo descrito anteriormente.
Esta solicitud verificable del consumidor debe atenderse de forma gratuita dentro de los 45 días posteriores a su recepción. Si fuera necesario, este plazo puede ser objeto de una única prórroga de 45 días adicionales, siempre que se informe al consumidor dentro de los 45 días posteriores a su solicitud.
Las empresas no están obligadas a atender las solicitudes de supresión si la información se utiliza para:
Según la CCPA, el consumidor tiene derecho a impedir, en cualquier momento y mediante una simple comunicación a la empresa, la venta de su información personal a terceros.
Como ya hemos mencionado anteriormente, según la CCPA, “venta”, “vender” o “vendido” significa “vender, arrendar, divulgar, hacer pública, difundir, poner a disposición, transferir o comunicar oralmente, por escrito o por medios electrónicos o de cualquier otro tipo la información personal de un consumidor por parte de una empresa a otra empresa o a un tercero a cambio de una retribución monetaria o de otro tipo (“contraprestación económica“)”.
Dos ejemplos menos obvios de lo que la CCPA podría* considerar como una “venta” (de información personal) son:
* Ten en cuenta que, a medida que se perfecciona la ley, algunos aspectos de esta pueden cambiar en la presente fase de aplicación.
Debes informar a tus consumidores de que vendes su información personal a terceros, manifestando también que tienen derecho a autoexcluirse de esta venta (como sucede con el derecho a ser informado que ya hemos mencionado anteriormente).
No se puede exigir a un consumidor que cree una cuenta para ejercer su derecho de autoexclusión. Al contrario, debe facilitarse este proceso mediante el enlace “No Vendan Mi Información Personal” (“DNSMPI“) que debe estar situado en tu sitio web o en tu política de privacidad.
Cuando una empresa reciba el aviso de un consumidor indicando que no desea que se venda su información personal, esta deberá abstenerse de dicha acción, salvo que posteriormente el consumidor conceda una autorización expresa para la venta de su información personal (decisión de participación).
Las empresas solo pueden volver a solicitar la autorización del consumidor una vez más, y solo 12 meses después de que este haya ejercido su derecho de autoexclusión.
Las empresas tienen prohibido vender la información personal de los consumidores si tienen conocimiento efectivo de que el consumidor es menor de 16 años. En tales casos, las empresas solo pueden vender la información si:
Según la CCPA, las empresas tienen prohibido discriminar a los consumidores por el hecho de ejercer sus derechos conforme a la ley. Las formas de discriminación prohibidas incluyen:
Una empresa solo puede aplicar u ofrecer diferentes precios, tarifas, niveles o calidades de bienes o servicios en los casos en los que esta diferencia esté razonablemente relacionada con el valor proporcionado al consumidor por la información relativa a este último.
Por ejemplo, una empresa ofrece un descuento estándar del 30% en un producto como incentivo para realizar una nueva compra, un mes después de la primera compra del mismo producto efectuada por el consumidor. Durante este período, el consumidor ejerce su derecho de supresión y solicita que se borre su información personal. En este caso, dado que la empresa ya no dispone de la información del consumidor que demuestre que este ha comprado previamente el producto, es razonable que no pueda ofrecer el 30% de descuento a ese consumidor en concreto.
Una empresa puede ofrecer incentivos financieros (incluidos pagos) a los consumidores como compensación por la recogida, venta o supresión de información personal. En tales casos, se informará de estos incentivos financieros a los usuarios a través de la página de inicio del sitio web y en la política de privacidad.
Las empresas tienen prohibido emplear incentivos financieros que sean “de carácter injusto, poco razonable, coercitivo o usurario”.
Hay quien llama a la CCPA el “RGPD de California”. Aquí comparamos estas dos leyes de privacidad:
| CCPA | RGPD | |
|---|---|---|
| Órgano responsable de la aplicación de la ley | El fiscal general del estado de California, EE. UU. | Autoridades responsables de la protección de datos a nivel nacional (Estados miembros de la UE). |
| ¿A quién se aplica? | A todas las empresas con ánimo de lucro que se dirigen a los consumidores de California y que:
|
Cualquier entidad (incluso sin ánimo de lucro, como ONG, particulares, organismos públicos, etc.) que se dirige a los consumidores de la UE o que tiene su sede en la Unión Europea. |
| ¿Qué tipo de datos protege? | Cualquier dato que se relacione o pueda asociarse con un consumidor u hogar específicos, salvo los registros públicos del gobierno. | Todos los datos que puedan llevar a la identificación de un individuo. |
| ¿Se consideran las direcciones IP datos personales? | ||
| ¿Se requiere el consentimiento antes del tratamiento? | Solo para menores y en casos en los que se haya ejercido previamente el derecho de autoexclusión. | Sí, a menos que se aplique legítimamente otra base jurídica. |
| ¿Están obligadas las empresas a ofrecer a los consumidores la posibilidad de autoexcluirse o de retirar el consentimiento? | Sí, se debe proporcionar un enlace DNSMPI y satisfacer las solicitudes de ejercicio del derecho de autoexclusión. | Los usuarios tienen derecho tanto a retirar el consentimiento como a oponerse al tratamiento (también puede aplicarse en los casos en que el tratamiento esté justificado por una base jurídica distinta del consentimiento). |
| ¿Resulta también aplicable la protección ofrecida en un contexto B2B? | La CCPA solo protege a los consumidores. | El RGPD no distingue entre B2B y B2C, sino que simplemente aplica su protección a los “interesados“, es decir, a cualquier “persona física identificable” que resida en la UE. |
| ¿Existen requisitos de seguridad? | La CCPA no establece requisitos de seguridad específicos, pero otorga a los consumidores un derecho expreso a emprender acciones legales por los daños y perjuicios resultantes de la falta de implementación de medidas de seguridad adecuadas por parte de una empresa. | El RGPD exige que tanto los responsables como los encargados del tratamiento establezcan medidas de seguridad adecuadas para el riesgo particular existente. Las medidas de seguridad deben ser “de vanguardia”, lo que implica que deben ajustarse a los estándares más recientes. |
| ¿Existen sanciones por incumplimiento? | Multas de hasta 7.500$ por cada infracción. La CCPA también otorga a los consumidores el derecho a demandar a las empresas por daños y perjuicios. | Multas de hasta 20 millones de euros o del 4% de la facturación mundial anual (lo que sea mayor), posibles auditorías y sanciones. El RGPD también otorga a los interesados el derecho a emprender acciones legales en caso de violación de sus derechos. |
| Resumen de los derechos del usuario | ||
| Derecho a ser informado | ||
| El derecho de acceso | ||
| El derecho a la portabilidad de la información | ||
| El derecho de rectificación | × | |
| El derecho de supresión | ||
| El derecho de oposición | Parcialmente cubierto por el derecho de autoexclusión | |
Los consumidores tienen derecho a demandar* a las empresas que violen la ley. Las multas asociadas oscilan entre los 100 y 750 dólares o cualquier importe mayor en relación con los daños y perjuicios reales (cuando se pueda acreditar la existencia de daños y perjuicios de mayor importe).
* Esto solo se aplica a las propias empresas y no a los “proveedores de servicios” que actúan en su nombre.
El estado puede imponer multas de hasta 2.500 dólares a las empresas que infrinjan involuntariamente la CCPA, y de hasta 7.500 dólares si la infracción es intencionada.
Aunque estas sanciones no parecen particularmente elevadas (especialmente si se comparan con las previstas por otras normativas de protección de la privacidad), ten en cuenta que se aplican por cada infracción individual y por cada consumidor. Incluso para una empresa con pocos clientes, estas multas pueden llegar a suponer una suma considerable.
Al igual que sucede con otras leyes de protección de la privacidad, el cumplimiento de la CCPA es un proceso complejo que requiere una evaluación honesta, una buena planificación y una implementación concreta tanto desde un punto de vista técnico como jurídico. La mayoría de las veces, la fase más complicada es la de implementación.
Aquí es donde entra en juego iubenda. La implementación puede ser complicada. Para ayudarte ofrecemos potentes soluciones de software, respaldadas por nuestro equipo jurídico internacional y personalizables cuando sea necesario, que te permiten gestionar, en unos pocos clics, las situaciones más complejas (más información aquí sobre nuestras soluciones y cómo pueden ayudarte).
Independientemente de cómo decidas abordar el proceso de implementación, también hay otros aspectos fundamentales a los que debes prestar atención de forma previa. Echemos un vistazo a todos ellos, así como al resto del proceso de implementación, a continuación.
Quizás uno de los pasos más importantes es revisar y evaluar de forma honesta tus propios procesos y sistemas.
Aquí tienes algunas preguntas que deberías plantearte:
En base a tus respuestas a las preguntas anteriores, redacta e incluye las cláusulas relevantes en tu política de privacidad y, en su caso, en los puntos de recogida de información (por ejemplo, un formulario de contacto).
Asegúrate de incluir:
Los derechos de acceso, portabilidad y supresión deben cumplirse, sin coste para el consumidor, dentro de los 45 días posteriores a la recepción de una solicitud verificable. Si es necesario, se puede prorrogar el plazo (una sola vez) otros 45 días, siempre que se informe al consumidor.
Cuando se atiendan las solicitudes de acceso y portabilidad, la información devuelta al consumidor debe facilitarse en un formato que sea fácil de usar y de transferir.
Cuando un consumidor ejerza su derecho de autoexclusión (es decir, su derecho a oponerse a la venta de su información), debes atender la solicitud en cuanto la recibas.
En los casos en los que sepas que el consumidor es un menor de 16 años, no debes vender su información personal a menos que lo autorice explícitamente su progenitor o tutor (para menores de 13 años) o que sea el mismo niño (si tiene entre 13 y 16 años) quien dé expresamente su autorización.
Como requisito para el derecho de autoexclusión del consumidor, es necesario proporcionar un enlace de fácil acceso, claramente visible y con las palabras “No Vendan Mi Información Personal” (“DNSMPI“) en la página de inicio de tu sitio web y en tu política de privacidad (acompañado de información sobre el derecho del consumidor).
El enlace debe llevar al usuario a una página en la que pueda optar por que no se venda su información personal.
Cuando sea técnicamente posible, se permite que los residentes de California sean redirigidos a una página separada con un enlace “DNSMPI“.
El servicio, la calidad, los niveles y/o los precios que ofreces o cobras a los consumidores no deben depender de que hayan optado o no por ejercer sus derechos. Las únicas excepciones a esta regla son en los casos en que el valor del servicio o bien ofrecido se basa en los datos recopilados sobre el consumidor (consulta el ejemplo citado anteriormente)
Es posible ofrecer incentivos económicos (incluidos pagos) a los consumidores a cambio del acceso a su información personal. Sin embargo, dichos incentivos deben ser justos, razonables, no coercitivos y no excesivos. En todos estos casos, se debe informar a los consumidores de la existencia de dichos incentivos en la página de inicio de tu sitio web.
Las leyes, al igual que las personas, las necesidades y los ideales a los que aspiran, están sujetos a cambios constantes. Asimismo, tus propios fines empresariales, tus socios y los procesos internos de tu empresa pueden cambiar con el tiempo.
Por esta razón, es de vital importancia revisar y evaluar periódicamente tus procesos internos, capacidades técnicas, documentos legales, etc. y mantener todo actualizado según exige la normativa.
Cumplir con la ley, en general, puede ser complicado: descubrir la forma correcta de aplicarla y hacer que las especificaciones técnicas funcionen para tu sitio web y tu empresa puede resultar un gran desafío.
Nuestras soluciones eliminan las incertidumbres del cumplimiento ya que realizamos un gran esfuerzo técnico y jurídico para que tú puedas concentrarte en hacer crecer tu empresa.
Todas las políticas de privacidad generadas con iubenda te permiten cumplir con la CCPA, ya que incluyen las opciones necesarias para aplicar fácilmente los estándares legales de la CCPA a los usuarios californianos.
Nuestra solución te facilita el cumplimiento de los requisitos más exigentes al:
💡 Más información sobre nuestro Generador de Políticas de Privacidad y de Cookies.
Nuestra solución te ayuda a cumplir con el requisito de la CCPA de informar a los usuarios californianos sobre cualquier actividad de venta al visitar el sitio web y también les permite ejercer su derecho de autoexclusión (como exige la ley).
Más concretamente, Privacy Controls and Cookie Solution te permite hacer lo siguiente:
💡 Más información sobre cómo activar estas funciones.
Como hemos mencionado anteriormente, la CCPA otorga a los consumidores el derecho de autoexclusión. Si el tratamiento es de alguna manera manual (es decir, no está conectado con los scripts, como en el caso del Direct Email Marketing), es posible que las empresas deban cumplir manualmente las solicitudes de ejercicio del derecho de autoexclusión.
Además, la CCPA establece que no se puede contactar a los usuarios que se hayan autoexcluido durante los 12 meses siguientes a la solicitud. Por este motivo, es recomendable llevar un registro que incluya detalles del derecho de autoexclusión, como el usuario, la fecha y los subcontratistas a los que se debe informar en caso de recibir una solicitud.
Nuestra Consent Database se integra con tus formularios para que puedas transferir automáticamente datos de las preferencias del consumidor (incluida la exclusión voluntaria) a un dashboard intuitivo mediante una API.
Puedes registrar todos los datos relevantes, incluida la fecha y hora de la exclusión voluntaria, la versión de la política de privacidad que se mostraba al usuario en el momento de la solicitud, la identificación de usuario, el correo electrónico e incluso la dirección IP, con el fin de ayudarte con la verificación de solicitudes.
💡 Obtén más información sobre nuestra Consent Database.
Nuestro Registro de las actividades de tratamiento te permite registrar con precisión los datos relevantes necesarios para atender las solicitudes de los consumidores.
Nuestra solución almacena:
💡 Obtén más información sobre nuestro Registro de las actividades de tratamiento.
