Iubenda logo
Genera tus documentos

Documentación

Tabla de contenidos

Guía de conformidad de la Ley de Privacidad de los Consumidores de California (CCPA)

¿Qué es la Ley de Privacidad de los Consumidores de California (CCPA) y cómo puedes adaptarte a ella? Te lo aclaramos todo en las siguientes secciones (¡sin jerga legal!).

La CCPA es la ley de privacidad de California más reciente y tiene como objetivo mejorar los derechos de los consumidores para los residentes del estado de California (Estados Unidos). La ley entró en vigor el 1 de enero de 2020 y se aplica plenamente desde el 1 de julio de 2020.

La CCPA (también conocida como el “RGPD de California”) establece nuevos requisitos para el tratamiento de la información personal y garantiza a los consumidores nuevos derechos al respecto. Por lo tanto, es probable que tenga un impacto significativo tanto en los procesos empresariales como en la responsabilidad corporativa en general.

¿Cuándo se aplica la CCPA?

En general, la CCPA se aplica cuando se reúnen estas dos condiciones:

  • Tienes una empresa; y
  • te diriges a los consumidores californianos.

Definiciones clave

Consumidor

Según la CCPA, un “consumidor” es una persona física que reside en California.

Empresa

En el ámbito de aplicación de la CCPA, se define a la “empresa” como una organización con ánimo de lucro que recopila la información personal de los consumidores, determina los fines y el método de tratamiento, se dirige a los residentes de California (independientemente de si la empresa tiene o no su sede en California) y cumple al menos uno de los siguientes requisitos:

  • tiene unos ingresos brutos anuales superiores a 25 millones de dólares ($25.000.000); o
  • al menos el 50% de sus ingresos anuales se derivan de la venta de información personal de los consumidores; o
  • compra, recibe, vende o comparte la información personal de al menos 50,000 consumidores cada año con fines comerciales. Dado que las direcciones IP se consideran información personal, y “fines comerciales” simplemente significa promover intereses comerciales o económicos, es probable que cualquier sitio web que reciba al menos 50.000 visitas únicas de California en un año se encuentre comprendido en su ámbito de aplicación.

Información personal

Según la CCPA, información personal significa: “información que identifica, hace referencia, describe, puede asociarse o razonablemente podría estar vinculada, directa o indirectamente, a un consumidor u hogar específico.”

La CCPA ofrece más detalles sobre lo que se puede considerar información personal, concepto que incluye (entre otros):

  • los elementos de identificación como el nombre real, el seudónimo, la dirección postal, la identificación personal única, la dirección IP, la dirección de correo electrónico, el nombre de usuario, el número de la Seguridad Social, el número del permiso de conducir, el número del pasaporte y otros datos de identificación similares;
  • la información comercial, incluidos registros de bienes, productos o servicios comprados, obtenidos o considerados, y otros historiales o tendencias de compras o consumo;
  • la información biométrica;
  • la información sobre las actividades en la red (Internet o de otro tipo), incluido el historial de navegación, las búsquedas realizadas y los datos relacionados con la interacción con un sitio web, una aplicación o un anuncio;
  • los datos de geolocalización;
  • la información de audio, electrónica, visual, térmica, olfativa o similar;
  • la información profesional o relacionada con el empleo;
  • la información educativa (excepto la de dominio público, según se define aquí); o
  • cualquier conclusión extraída de la información antes mencionada que se utilice para crear el perfil de un consumidor con el fin de reflejar sus preferencias, características, tendencias psicológicas, predisposiciones, comportamientos, actitudes, inteligencia, habilidades y aptitudes.

Ventas

Las ventas en el contexto de la CCPA se definen como: “vender, arrendar, divulgar, hacer pública, difundir, poner a disposición, transferir o comunicar oralmente, por escrito o por medios electrónicos o de cualquier otro tipo la información personal de un consumidor por parte de una empresa a otra empresa o a un tercero a cambio de una retribución monetaria o de otro tipo (“contraprestación económica“)”.

Contraprestación económica

Si bien la CCPA actualmente no define de forma expresa qué significa “contraprestación económica”, según la legislación sobre contratos de California se define como “[c]ualquier beneficio conferido por un tercero o que dicho tercero haya acordado conferir al promitente al que este último no tenga derecho legal, o cualquier perjuicio experimentado por este tercero, o que este haya acordado soportar, que suponga una ventaja para el promitente y sea distinto de cualquier otro perjuicio que, en el momento del consentimiento, el tercero esté legalmente obligado a soportar, constituye una razón legal válida para un contrato.” (Código Civil de California, artículo 1605).

En este contexto, por lo tanto, “contraprestación económica” puede interpretarse en sentido amplio como cualquier contrato en el que se intercambie información personal y mediante el cual la entidad que la transfiere obtiene un beneficio al que no tendría derecho desde el punto de vista jurídico si no existiera dicho contrato.

Importante

La CalOPPA no ha sido derogada por la CCPA y aún sigue en vigor. Ten en cuenta que, incluso si no te encuentras comprendido en la definición de “empresa” citada anteriormente, es posible que debas cumplir con la CalOPPA o con ambas normas. Puedes obtener más información sobre la CalOPPA aquí

Los derechos del consumidor bajo la CCPA

¿Qué exige exactamente la CCPA?

El derecho a ser informado

Según la CCPA, los consumidores tienen derecho a ser informados sobre los métodos de tratamiento de su información antes o durante el acto de recogida.

Según la Ley de Privacidad del Consumidor de California, debes especificar:

  • las categorías de información personal que la empresa recopila, vende o comparte;
  • las categorías de terceros con los que la empresa comparte información personal;
  • las categorías de las fuentes de las que proviene dicha información;
  • los fines empresariales y/o comerciales de la recogida o venta de información personal;
  • los derechos de los consumidores y las formas en que pueden ejercerse; y
  • en caso de que se venda información personal, la manera en que el consumidor puede oponerse a la venta de su información mediante el enlace “No Vendan Mi Información Personal“.

El derecho de acceso

Según la CCPA, los consumidores que realizan una solicitud verificable* tienen derecho a acceder a su información personal.

En concreto, los consumidores tienen derecho de acceso a:

  • las categorías de información personal del consumidor recopiladas en los últimos 12 meses;
  • la información específica recopilada sobre ellos;
  • las categorías de las fuentes de las que la empresa ha recogido dicha información;
  • los fines de la recogida o venta de la información;
  • las categorías de terceros con los que se comparte la información personal;
  • las categorías de información personal vendida y las categorías de terceros a los que se ha vendido;
  • las categorías de información personal comunicada con fines empresariales.

*Solicitar de forma verificable o una “solicitud verificable del consumidor” significa una solicitud realizada por un consumidor (por cuenta propia o por la de un menor de edad), por una persona física o por una persona inscrita ante la Secretaría de Estado, autorizada por el consumidor para actuar en su nombre, y que la empresa pueda verificar … que es el consumidor cuya información personal ha recogido. Código Civil de California, artículo 1798.140, letra y)

Debes proporcionar a los consumidores al menos dos métodos para presentar dichas solicitudes de acceso, incluido, como mínimo, un número de teléfono gratuito y, si la empresa tiene un sitio web, la dirección del mismo. Además, debes realizar todos los esfuerzos razonables para comprobar que el solicitante es realmente el consumidor cuya información se recopiló o que, en cualquier caso, es una persona autorizada por este para actuar en su nombre según lo descrito anteriormente.

El derecho a la portabilidad de la información

Según la CCPA, el derecho a la portabilidad de la información se combina con el derecho de acceso, según el artículo 1798.100, letra d).

Cuando una empresa atienda una solicitud de acceso en formato electrónico, también se exige que la información se entregue al consumidor en un formato “fácilmente utilizable, portátil y, en la medida en que sea técnicamente posible, que permita al consumidor transferir esa información a otra empresa sin dificultad“.

Las solicitudes verificables de los consumidores deben atenderse gratuitamente dentro de los 45 días posteriores a su recepción. Si fuera necesario, este plazo puede ser objeto de una única prórroga de 45 días adicionales, siempre que se informe de ello al consumidor dentro de los 45 días posteriores a su solicitud.

Los datos facilitados en respuesta a dicha solicitud deben cubrir los 12 meses anteriores a la recepción de la solicitud.

Formato de entrega

Las empresas deben responder por correo ordinario o en formato electrónico (por ejemplo, mediante correo electrónico, descarga de archivos, etc.). En caso de envío en formato electrónico, la ley establece que la información debe ser “portátil”, es decir, que debe entregarse en un formato fácil de usar y que permita su transferencia a otra empresa sin ningún impedimento.

Excepciones y límites

  • Los consumidores pueden presentar un máximo de 2 solicitudes dentro de un plazo de 12 meses.
  • Las actividades de tratamiento puntuales están excluidas si: la empresa no vende ni almacena la información en cuestión, o si esta no se utiliza para volver a identificar a esa persona.
  • Si la empresa no ha recopilado información sobre el consumidor en cuestión, no está obligada a responder a la solicitud.

El derecho de supresión

La CCPA otorga a los consumidores el derecho a solicitar la supresión de cualquier tipo de información personal recopilada sobre ellos. Si se recibe una solicitud verificable de supresión, se debe eliminar la información personal del consumidor de los registros y pedir a todos los proveedores de servicios relacionados que hagan lo mismo.

Debes proporcionar a los consumidores al menos dos métodos para presentar solicitudes, incluido, como mínimo, un número de teléfono gratuito y, si la empresa tiene un sitio web, la dirección del mismo. Además, debes realizar todos los esfuerzos razonables para comprobar que el solicitante es realmente el consumidor cuya información se recopiló o que, en cualquier caso, es una persona autorizada por este para actuar en su nombre según lo descrito anteriormente.

Esta solicitud verificable del consumidor debe atenderse de forma gratuita dentro de los 45 días posteriores a su recepción. Si fuera necesario, este plazo puede ser objeto de una única prórroga de 45 días adicionales, siempre que se informe al consumidor dentro de los 45 días posteriores a su solicitud.

Excepciones y límites

Las empresas no están obligadas a atender las solicitudes de supresión si la información se utiliza para:

  • llevar a cabo la transacción para la que se recopiló la información personal;
  • el suministro de un bien o servicio solicitado por el consumidor, o para ejecutar un contrato entre la empresa y el consumidor;
  • identificar incidencias de seguridad, protegerse contra actividades maliciosas, engañosas, fraudulentas o ilegales, o enjuiciar a los responsables;
  • identificar y corregir cualquier error;
  • ejercer el derecho a la libertad de expresión (propio o de otro consumidor);
  • cumplir con la Ley de Privacidad de las Comunicaciones Electrónicas de California (CalECPA);
  • investigación científica, histórica o estadística pública o sometida a revisión por pares en interés público;
  • cumplir con una obligación legal;
  • permitir usos exclusivamente internos que se ajusten a las expectativas del consumidor en función de su relación con la empresa;
  • un uso exclusivamente interno que sea lícito y compatible con el contexto en el que el consumidor ha facilitado la información.

El derecho de autoexclusión (derecho de autoexclusión de la venta de información)

Según la CCPA, el consumidor tiene derecho a impedir, en cualquier momento y mediante una simple comunicación a la empresa, la venta de su información personal a terceros.

¿A qué se refiere la CCPA con “venta” y cómo se vende la información personal?

Como ya hemos mencionado anteriormente, según la CCPA, “venta”, “vender” o “vendido” significa “vender, arrendar, divulgar, hacer pública, difundir, poner a disposición, transferir o comunicar oralmente, por escrito o por medios electrónicos o de cualquier otro tipo la información personal de un consumidor por parte de una empresa a otra empresa o a un tercero a cambio de una retribución monetaria o de otro tipo (“contraprestación económica“)”.

Dos ejemplos menos obvios de lo que la CCPA podría* considerar como una “venta” (de información personal) son:

  • compartir datos del usuario con redes publicitarias y otros terceros para mostrar publicidad dirigida con el fin de obtener beneficios (incluido el económico); o
  • utilizar una herramienta de análisis estadístico de terceros para retargeting o bien para crear un perfil de un usuario con el objetivo de venderle bienes o servicios.

* Ten en cuenta que, a medida que se perfecciona la ley, algunos aspectos de esta pueden cambiar en la presente fase de aplicación.

Debes informar a tus consumidores de que vendes su información personal a terceros, manifestando también que tienen derecho a autoexcluirse de esta venta (como sucede con el derecho a ser informado que ya hemos mencionado anteriormente).

No se puede exigir a un consumidor que cree una cuenta para ejercer su derecho de autoexclusión. Al contrario, debe facilitarse este proceso mediante el enlace “No Vendan Mi Información Personal” (“DNSMPI“) que debe estar situado en tu sitio web o en tu política de privacidad.

Cuando una empresa reciba el aviso de un consumidor indicando que no desea que se venda su información personal, esta deberá abstenerse de dicha acción, salvo que posteriormente el consumidor conceda una autorización expresa para la venta de su información personal (decisión de participación).

Las empresas solo pueden volver a solicitar la autorización del consumidor una vez más, y solo 12 meses después de que este haya ejercido su derecho de autoexclusión.

El derecho de participación (consentimiento previo para menores)

Las empresas tienen prohibido vender la información personal de los consumidores si tienen conocimiento efectivo de que el consumidor es menor de 16 años. En tales casos, las empresas solo pueden vender la información si:

  • el consumidor tiene entre 13 y 16 años y ha dado su consentimiento; o
  • el consumidor es menor de 13 años, pero su progenitor o tutor ha prestado consentimiento en su nombre.

El derecho a la no discriminación (incluso si el consumidor ejerce sus derechos de privacidad)

Según la CCPA, las empresas tienen prohibido discriminar a los consumidores por el hecho de ejercer sus derechos conforme a la ley. Las formas de discriminación prohibidas incluyen:

  • Negar bienes o servicios al consumidor.
  • Aplicar diferentes precios o tarifas para los mismos bienes o servicios, incluyendo, entre otros, el uso de descuentos u otros beneficios, o la imposición de penalizaciones.
  • Suministrar a los consumidores bienes o servicios con un nivel de calidad diferente si el consumidor ejerce sus derechos por este concepto.
  • Sugerir que el consumidor recibirá bienes o servicios con un precio o un nivel de calidad diferentes.

Excepciones y límites

  • Una empresa solo puede aplicar u ofrecer diferentes precios, tarifas, niveles o calidades de bienes o servicios en los casos en los que esta diferencia esté razonablemente relacionada con el valor proporcionado al consumidor por la información relativa a este último.

    Por ejemplo, una empresa ofrece un descuento estándar del 30% en un producto como incentivo para realizar una nueva compra, un mes después de la primera compra del mismo producto efectuada por el consumidor. Durante este período, el consumidor ejerce su derecho de supresión y solicita que se borre su información personal. En este caso, dado que la empresa ya no dispone de la información del consumidor que demuestre que este ha comprado previamente el producto, es razonable que no pueda ofrecer el 30% de descuento a ese consumidor en concreto.

  • Una empresa puede ofrecer incentivos financieros (incluidos pagos) a los consumidores como compensación por la recogida, venta o supresión de información personal. En tales casos, se informará de estos incentivos financieros a los usuarios a través de la página de inicio del sitio web y en la política de privacidad.

    Las empresas tienen prohibido emplear incentivos financieros que sean “de carácter injusto, poco razonable, coercitivo o usurario”.

Breve comparación entre la CCPA y el RGPD

Hay quien llama a la CCPA el “RGPD de California”. Aquí comparamos estas dos leyes de privacidad:

CCPA RGPD
Órgano responsable de la aplicación de la ley El fiscal general del estado de California, EE. UU. Autoridades responsables de la protección de datos a nivel nacional (Estados miembros de la UE).
¿A quién se aplica? A todas las empresas con ánimo de lucro que se dirigen a los consumidores de California y que:
  • tratan la información personal de al menos 50.000 consumidores californianos (las direcciones IP se consideran información personal, por lo que esto se aplicaría a cualquier sitio web que reciba al menos 50.000 visitas al año de consumidores californianos); u
  • obtienen al menos el 50% de sus ingresos compartiendo información personal de consumidores californianos con ánimo de lucro, con independencia de si la contraprestación es monetaria o de otro tipo; o
  • tienen unos ingresos anuales brutos iguales o superiores a 25 millones de dólares.
Cualquier entidad (incluso sin ánimo de lucro, como ONG, particulares, organismos públicos, etc.) que se dirige a los consumidores de la UE o que tiene su sede en la Unión Europea.
¿Qué tipo de datos protege? Cualquier dato que se relacione o pueda asociarse con un consumidor u hogar específicos, salvo los registros públicos del gobierno. Todos los datos que puedan llevar a la identificación de un individuo.
¿Se consideran las direcciones IP datos personales?
¿Se requiere el consentimiento antes del tratamiento? Solo para menores y en casos en los que se haya ejercido previamente el derecho de autoexclusión. Sí, a menos que se aplique legítimamente otra base jurídica.
¿Están obligadas las empresas a ofrecer a los consumidores la posibilidad de autoexcluirse o de retirar el consentimiento? Sí, se debe proporcionar un enlace DNSMPI y satisfacer las solicitudes de ejercicio del derecho de autoexclusión. Los usuarios tienen derecho tanto a retirar el consentimiento como a oponerse al tratamiento (también puede aplicarse en los casos en que el tratamiento esté justificado por una base jurídica distinta del consentimiento).
¿Resulta también aplicable la protección ofrecida en un contexto B2B? La CCPA solo protege a los consumidores. El RGPD no distingue entre B2B y B2C, sino que simplemente aplica su protección a los “interesados“, es decir, a cualquier “persona física identificable” que resida en la UE.
¿Existen requisitos de seguridad? La CCPA no establece requisitos de seguridad específicos, pero otorga a los consumidores un derecho expreso a emprender acciones legales por los daños y perjuicios resultantes de la falta de implementación de medidas de seguridad adecuadas por parte de una empresa. El RGPD exige que tanto los responsables como los encargados del tratamiento establezcan medidas de seguridad adecuadas para el riesgo particular existente. Las medidas de seguridad deben ser “de vanguardia”, lo que implica que deben ajustarse a los estándares más recientes.
¿Existen sanciones por incumplimiento? Multas de hasta 7.500$ por cada infracción. La CCPA también otorga a los consumidores el derecho a demandar a las empresas por daños y perjuicios. Multas de hasta 20 millones de euros o del 4% de la facturación mundial anual (lo que sea mayor), posibles auditorías y sanciones. El RGPD también otorga a los interesados ​​el derecho a emprender acciones legales en caso de violación de sus derechos.
Resumen de los derechos del usuario
Derecho a ser informado
El derecho de acceso
El derecho a la portabilidad de la información
El derecho de rectificación ×
El derecho de supresión
El derecho de oposición Parcialmente cubierto por el derecho de autoexclusión

Consecuencias del incumplimiento

Los consumidores tienen derecho a demandar* a las empresas que violen la ley. Las multas asociadas oscilan entre los 100 y 750 dólares o cualquier importe mayor en relación con los daños y perjuicios reales (cuando se pueda acreditar la existencia de daños y perjuicios de mayor importe).
* Esto solo se aplica a las propias empresas y no a los “proveedores de servicios” que actúan en su nombre.

El estado puede imponer multas de hasta 2.500 dólares a las empresas que infrinjan involuntariamente la CCPA, y de hasta 7.500 dólares si la infracción es intencionada.

Aunque estas sanciones no parecen particularmente elevadas (especialmente si se comparan con las previstas por otras normativas de protección de la privacidad), ten en cuenta que se aplican por cada infracción individual y por cada consumidor. Incluso para una empresa con pocos clientes, estas multas pueden llegar a suponer una suma considerable.

Cómo cumplir con la CCPA

Al igual que sucede con otras leyes de protección de la privacidad, el cumplimiento de la CCPA es un proceso complejo que requiere una evaluación honesta, una buena planificación y una implementación concreta tanto desde un punto de vista técnico como jurídico. La mayoría de las veces, la fase más complicada es la de implementación.

Aquí es donde entra en juego iubenda. La implementación puede ser complicada. Para ayudarte ofrecemos potentes soluciones de software, respaldadas por nuestro equipo jurídico internacional y personalizables cuando sea necesario, que te permiten gestionar, en unos pocos clics, las situaciones más complejas (más información aquí sobre nuestras soluciones y cómo pueden ayudarte).

Independientemente de cómo decidas abordar el proceso de implementación, también hay otros aspectos fundamentales a los que debes prestar atención de forma previa. Echemos un vistazo a todos ellos, así como al resto del proceso de implementación, a continuación.

Evaluar y revisar

Quizás uno de los pasos más importantes es revisar y evaluar de forma honesta tus propios procesos y sistemas.

Aquí tienes algunas preguntas que deberías plantearte:

  • ¿Qué categorías de información personal recopilo y con qué categorías de terceros la comparto?
  • ¿De qué fuentes recopilo esta información y cuáles son sus categorías (por ejemplo, estadísticas)?
  • ¿Cuáles son las razones o los fines de mi recogida de información?
  • ¿Cuáles son los derechos del consumidor de la CCPA que se aplican a mis actividades de tratamiento?
  • ¿Soy capaz de atender técnicamente las solicitudes de los consumidores en relación con sus derechos, por ejemplo, las referidas al derecho de supresión y de acceso?
    • ¿Cómo puedo saber cuándo se han cumplido estas solicitudes?
    • ¿Estoy realizando un seguimiento de todos los proveedores de servicios que acceden a la información personal de los consumidores en mi nombre?
    • ¿Puedo ponerme en contacto de forma fiable con estas partes para satisfacer cualquier solicitud de supresión?
    • ¿Mantengo un registro fiable de la información personal (y de sus categorías) que recopilo de cada consumidor?
  • ¿Dispongo de los documentos necesarios para ofrecer la información exigida por la ley?
  • ¿Qué excepciones es probable que se apliquen a mi caso?

Proporciona la información requerida

En base a tus respuestas a las preguntas anteriores, redacta e incluye las cláusulas relevantes en tu política de privacidad y, en su caso, en los puntos de recogida de información (por ejemplo, un formulario de contacto).

Asegúrate de incluir:

  • las categorías de información personal que has recopilado, vendido o compartido en los últimos 12 meses;
  • las categorías de terceros con los que has compartido y/o puedes compartir información personal;
  • las categorías de las fuentes de las que proviene la información personal de tus consumidores;
  • los fines empresariales o comerciales de la recogida o venta de información personal de los consumidores;
  • los derechos de los consumidores aplicables y cómo pueden ejercitarse

Respeta los derechos de los consumidores

Los derechos de acceso, portabilidad y supresión deben cumplirse, sin coste para el consumidor, dentro de los 45 días posteriores a la recepción de una solicitud verificable. Si es necesario, se puede prorrogar el plazo (una sola vez) otros 45 días, siempre que se informe al consumidor.

Cuando se atiendan las solicitudes de acceso y portabilidad, la información devuelta al consumidor debe facilitarse en un formato que sea fácil de usar y de transferir.

Cuando un consumidor ejerza su derecho de autoexclusión (es decir, su derecho a oponerse a la venta de su información), debes atender la solicitud en cuanto la recibas.

En los casos en los que sepas que el consumidor es un menor de 16 años, no debes vender su información personal a menos que lo autorice explícitamente su progenitor o tutor (para menores de 13 años) o que sea el mismo niño (si tiene entre 13 y 16 años) quien dé expresamente su autorización.

Añade un Aviso de Venta y un enlace “DNSMPI” a tu sitio web

Como requisito para el derecho de autoexclusión del consumidor, es necesario proporcionar un enlace de fácil acceso, claramente visible y con las palabras “No Vendan Mi Información Personal” (“DNSMPI“) en la página de inicio de tu sitio web y en tu política de privacidad (acompañado de información sobre el derecho del consumidor).

El enlace debe llevar al usuario a una página en la que pueda optar por que no se venda su información personal.

Cuando sea técnicamente posible, se permite que los residentes de California sean redirigidos a una página separada con un enlace “DNSMPI“.

No discriminar a los consumidores que ejercen sus derechos

El servicio, la calidad, los niveles y/o los precios que ofreces o cobras a los consumidores no deben depender de que hayan optado o no por ejercer sus derechos. Las únicas excepciones a esta regla son en los casos en que el valor del servicio o bien ofrecido se basa en los datos recopilados sobre el consumidor (consulta el ejemplo citado anteriormente)

Es posible ofrecer incentivos económicos (incluidos pagos) a los consumidores a cambio del acceso a su información personal. Sin embargo, dichos incentivos deben ser justos, razonables, no coercitivos y no excesivos. En todos estos casos, se debe informar a los consumidores de la existencia de dichos incentivos en la página de inicio de tu sitio web.

Revisa periódicamente tus procesos

Las leyes, al igual que las personas, las necesidades y los ideales a los que aspiran, están sujetos a cambios constantes. Asimismo, tus propios fines empresariales, tus socios y los procesos internos de tu empresa pueden cambiar con el tiempo.

Por esta razón, es de vital importancia revisar y evaluar periódicamente tus procesos internos, capacidades técnicas, documentos legales, etc. y mantener todo actualizado según exige la normativa.

Cómo te puede ayudar iubenda a cumplir con la CCPA

Cumplir con la ley, en general, puede ser complicado: descubrir la forma correcta de aplicarla y hacer que las especificaciones técnicas funcionen para tu sitio web y tu empresa puede resultar un gran desafío.

Nuestras soluciones eliminan las incertidumbres del cumplimiento ya que realizamos un gran esfuerzo técnico y jurídico para que tú puedas concentrarte en hacer crecer tu empresa.

Generador de Políticas de Privacidad y de Cookies conforme a la CCPA

Todas las políticas de privacidad generadas con iubenda te permiten cumplir con la CCPA, ya que incluyen las opciones necesarias para aplicar fácilmente los estándares legales de la CCPA a los usuarios californianos.

Nuestra solución te facilita el cumplimiento de los requisitos más exigentes al:

  • Mostrar la terminología, la información a divulgar y las instrucciones de acuerdo con los requisitos de la CCPA;
  • Indicar los servicios activos en tu sitio web que podrían considerarse como una venta de información personal según la CCPA (como exige la ley); y
  • Actualizar automáticamente tu política de privacidad integrada con el texto de la CCPA una vez activada dentro del generador, ¡sin necesidad de volver a integrar el código en tu sitio web!

💡 Más información sobre nuestro Generador de Políticas de Privacidad y de Cookies.

Cookie Solution para la CCPA: muestra el aviso de recogida de información y el enlace “No vender”

Nuestra solución te ayuda a cumplir con el requisito de la CCPA de informar a los usuarios californianos sobre cualquier actividad de venta al visitar el sitio web y también les permite ejercer su derecho de autoexclusión (como exige la ley).

Más concretamente, la Cookie Solution te permite hacer lo siguiente:

  • Mostrar un aviso de recogida de información personal según la CCPA;
  • Mostrar un enlace “No Vendan Mi Información Personal” (DNSMPI) en el aviso de recogida (como exige la ley) y también te permite añadirlo en cualquier otro lugar del sitio web para facilitar el acceso de los usuarios a este (como exige la ley), lo que respalda el derecho de autoexclusión de la venta de los usuarios;
  • Detectar la ubicación y aplicar automáticamente los estándares correctos (incluso cuando hay más de uno) basándose en dicha ubicación. Nuestra solución te permite aplicar los estándares de la CCPA y el RGPD a los mismos usuarios cuando lo exija la ley.
  • Apoyar el Marco de Cumplimiento de la CCPA de IAB, un protocolo que permite a los editores y sus socios adaptarse a las nuevas regulaciones referidas a la venta de información de consumidores a empresas que operan en el sector tecnológico.
  • Bloquear manualmente los scripts que no se ajusten al Marco de Cumplimiento de la CCPA de IAB. Gracias al etiquetado manual, nuestra solución te permite bloquear automáticamente los scripts a los que el usuario opte por oponerse.

💡 Más información sobre cómo activar estas funciones.

La Consent Solution y la Internal Privacy Management Solution permiten mantener registros actualizados

Como hemos mencionado anteriormente, la CCPA otorga a los consumidores el derecho de autoexclusión. Si el tratamiento es de alguna manera manual (es decir, no está conectado con los scripts, como en el caso del Direct Email Marketing), es posible que las empresas deban cumplir manualmente las solicitudes de ejercicio del derecho de autoexclusión.

Además, la CCPA establece que no se puede contactar a los usuarios que se hayan autoexcluido durante los 12 meses siguientes a la solicitud. Por este motivo, es recomendable llevar un registro que incluya detalles del derecho de autoexclusión, como el usuario, la fecha y los subcontratistas a los que se debe informar en caso de recibir una solicitud.

Consent Solution

Nuestra Consent Solution se integra con tus formularios para que puedas transferir automáticamente datos de las preferencias del consumidor (incluida la exclusión voluntaria) a un dashboard intuitivo mediante una API.

Puedes registrar todos los datos relevantes, incluida la fecha y hora de la exclusión voluntaria, la versión de la política de privacidad que se mostraba al usuario en el momento de la solicitud, la identificación de usuario, el correo electrónico e incluso la dirección IP, con el fin de ayudarte con la verificación de solicitudes.

💡 Obtén más información sobre nuestra Consent Solution.

Internal Privacy Management Solution

Nuestra Internal Privacy Management Solution te permite registrar con precisión los datos relevantes necesarios para atender las solicitudes de los consumidores.

Nuestra solución almacena:

  • datos relacionados con la seguridad, como qué miembros de tu organización tienen acceso a los datos del usuario;
  • cualquier subcontratista registrado que trate datos personales en tu nombre;
  • los fines del tratamiento agregados manualmente;
  • los métodos de recogida de datos y mucho más.

💡 Obtén más información sobre nuestra Internal Privacy Management Solution.

Más información