Si te afecta la CCPA (aquí puedes realizar una breve evaluación para ver si es así), puedes utilizar la siguiente lista de verificación para revisar o evaluar rápidamente tu cumplimiento básico de la CCPA.
En primer lugar, recapitulemos, ¿qué es la CCPA? La Ley de Privacidad de los Consumidores de California (CCPA) es la ley de privacidad más reciente de California cuyo objetivo es mejorar los derechos de privacidad de los consumidores residentes en California, Estados Unidos. La CCPA establece nuevos requisitos para tratar la información personal y otorga derechos adicionales a los consumidores de California.
Una de las acciones más importantes que hay que realizar cuando se trata de conformidad legal es revisar honestamente los procesos y sistemas de tu empresa.
Aquí encontrarás algunas preguntas que te ayudarán con la evaluación. Puedes ir marcando las preguntas a medida que las vayas respondiendo.
¿Qué categorías de información personal recopilo y con qué categorías de terceros la comparto?
¿De qué fuentes recopilo esta información y cuáles son sus categorías (por ejemplo, estadísticas)?
¿Cuáles son las razones o los fines de mi recogida de información?
¿Qué derechos del consumidor de la CCPA (si corresponde) no se aplican a mis actividades de tratamiento?
¿Qué excepciones es probable que se apliquen a mi caso?
¿Estoy realizando un seguimiento de todos los proveedores de servicios* que acceden a la información personal de los consumidores en mi nombre?
¿Puedo ponerme en contacto de forma fiable con estas partes para satisfacer cualquier solicitud de supresión?
¿Mantengo un registro fiable de la información personal (y de sus categorías) que recopilo de cada consumidor?
¿Tengo todos los documentos (por ejemplo, política de privacidad o términos y condiciones) que necesito para hacer las divulgaciones requeridas legalmente disponibles en mi sitio web?
*Los proveedores de servicios son entidades que recopilan información personal en nombre de la empresa y no para sus propios fines (es similar a un encargado del tratamiento según el RGPD). Aquí puedes encontrar la definición completa y todas las excepciones: https://www.oag.ca.gov/sites/all/files/agweb/pdfs/privacy/ccpa-proposed-regs.pdf (página14)
Mantener un registro interno del tipo de tratamiento que se realiza (e incluir quiénes son tus proveedores de servicios) para poder incluir detalles relevantes en tu política de privacidad y, potencialmente, en el momento de la recopilación de los datos (por ejemplo, en un formulario de contacto) si corresponde.
Mostrar divulgaciones, instrucciones y un lenguaje relacionados con la CCPA en tu política de privacidad
Actualizar la política de privacidad cada 12 meses
Disponer de una manera para recuperar la información tratada sobre consumidores específicos. Lo importante es ser consciente de qué tratamientos se aplican a determinados grupos de usuarios o transacciones. Así después, podrás compararlos con tu privacidad interna, ventas, bases de datos o registro de consentimientos para recuperar la información relevante.
Contar con los medios necesarios para atender las solicitudes de acceso, ya sea por correo ordinario o electrónicamente (como correo electrónico, descarga de archivos, etc.) en un formato que sea fácil de usar y que permita que la información se transmita fácilmente a otra persona o empresa sin impedimentos.
Mostrar un aviso de recogida de información personal según la CCPA;
Mostrar un enlace “No Vendan Mi Información Personal” (DNSMPI) que permita al consumidor ejercer su derecho de autoexclusión
Facilitar realmente la autoexclusión y detener la acción de venta para el consumidor en concreto
En los casos en que sepas que el consumidor es un menor de 16 años, asegúrate de no vender su información personal a menos que lo autorice explícitamente su progenitor o tutor (para menores de 13 años) o que sea el mismo niño (si tiene entre 13 y 16 años) quien dé expresamente su autorización.
No discriminar a los consumidores que ejercen sus derechos.
