CPRA: Introducción a la CCPA 2.0 y cómo te afecta. En 2020 se promulgó la Ley de Protección de los Consumidores de California (CCPA) para abordar la creciente preocupación por la venta y recopilación de información personal en California.
La actual CCPA concede varios derechos a los residentes de California y regula las acciones de las empresas que venden o recopilan información personal. Sin embargo, deja las consecuencias del tratamiento de datos de los consumidores por parte de terceros un tanto abiertas a la interpretación. Esto dio lugar a una modificación de la CCPA, que ha pasado a conocerse como la Ley de Derechos de Privacidad de California (CPRA, por sus siglas en inglés).
💡 La CPRA se basa en las disposiciones existentes de la CCPA, establece nuevos derechos para los consumidores y añade nuevos requisitos para las empresas que recopilan datos personales de los residentes de California.
Se han actualizado los criterios para definir lo que es una empresa; comprueba si te puedes definir como tal respondiendo a las siguientes preguntas:
¿Cumple tu empresa una o varias de las siguientes condiciones?
(A) Tiene unos ingresos brutos anuales superiores a 25 millones de dólares ($25.000.000).
(B) Compra, recibe, vende o comparte la información personal de al menos 100.000 consumidores cada año con fines comerciales, de forma individual o conjunta.
(C) Al menos el 50% de sus ingresos anuales se derivan de la venta de información personal de los consumidores.
Si tu respuesta es sí, según la CPRA, tu organización podría definirse como una empresa.
Debido a algunos cambios en los criterios, las entidades que estarían sujetas a la CPRA pueden ser diferentes de las que entran en los criterios de la CCPA.
La CPRA introdujo una categoría diferente de datos protegidos: la información personal sensible (IPS). Esta idea es bastante similar al artículo 9 del Reglamento General de Protección de Datos (RGPD), que pide un mayor nivel de protección de datos debido a la sensibilidad de la información personal.
¿Qué se considera información personal sensible según la CPRA? Consulta aquí la lista de verificación completa (haz clic en “as amended November 3, 2020” y desplázate hacia abajo hasta la definición Enmienda del 2020). La IPS que está “disponible públicamente” no puede considerarse información personal sensible o información personal.
La CPRA establece normas y límites particulares a la IPS, proporcionando a los consumidores un mayor control sobre el uso que las organizaciones hacen de su información personal.
Comprueba si tus actividades de tratamiento de datos personales sensibles entran en el ámbito de aplicación de dichas excepciones.
Con la implementación de la IPS, las empresas, tal y como lo especifica la CPRA anteriormente, deben ser especialmente cuidadosas a la hora de proteger este tipo de datos y responder adecuadamente cuando un cliente desee la autoexclusión. Deben establecerse normas adicionales si una empresa tiene previsto tratar IPS de los consumidores. Las empresas que tratan IPS, por ejemplo, deben tener un enlace claro y visible en sus sitios web con la leyenda “Limitar el uso de mis datos personales sensibles” que permita a los consumidores limitar el tratamiento de su IPS.
A continuación se presentan cinco derechos de privacidad del consumidor establecidos en la CCPA y que la CPRA ha actualizado.
Ahora que hemos dado un vistazo a los cinco cambios en los derechos de privacidad del consumidor de la CCPA, vamos a revisar los cuatro derechos de privacidad del consumidor adicionales añadidos por la CPRA: (y no incluidos en la CCPA)
Las empresas deben asegurarse de que están preparadas para cumplir con los nuevos y mejorados derechos de privacidad de los consumidores incluidos en la CPRA.
Tendrán que establecer sistemas y controles sólidos para garantizar que son capaces y están preparados para responder rápidamente a las peticiones de los clientes. Para prepararse para dar cumplimiento a la CPRA, es posible que muchas empresas tengan que realizar importantes modificaciones en sus medidas de seguridad y privacidad existentes, contratar personal adicional o contratar servicios de terceros.
👉 Ten en cuenta que, según la CPRA, las empresas deben esperar 12 meses después de que un consumidor se haya negado a vender o compartir su información personal antes de solicitar otra aprobación del consentimiento.
👉 Además, como empresa, debes proporcionar a los consumidores dos o más métodos para presentar sus solicitudes. Estos métodos pueden variar de una empresa a otra, pero deben incluir, como mínimo, un número de teléfono gratuito y, si la empresa tiene un sitio web, la dirección del mismo. Sin embargo, una empresa puede evitar proporcionar este número de teléfono gratuito si: “opera exclusivamente online”; y si tiene una “relación directa con un consumidor del que recoge información personal”.
La CPRA te obliga a cumplir con la COPPA, que regula los derechos de privacidad de los niños, con una referencia específica a la venta y el intercambio de información personal de los niños.
Por lo tanto, si tu empresa vende o comparte la información personal de consumidores:
Los siguientes conceptos no forman parte de la CCPA, pero ahora están incorporados como parte de la CPRA:
Al incorporar explícitamente estos principios en la CPRA, California ha facultado al regulador estatal para hacer cumplir y potencialmente sancionar a las empresas que no lo hagan:
Como consecuencia de estos principios, la CPRA incluye un nuevo requisito. Se requiere un permiso de participación tras una autoexclusión decidida previamente. Las empresas deben permitir a los consumidores:
CCPA – En el caso de una filtración de datos, los consumidores tienen el derecho privado de demandar si su información personal no encriptada o no suprimida es revelada debido a que una empresa no ha establecido las medidas y prácticas de seguridad adecuadas a la naturaleza de la información manejada.
CPRA – El “derecho” no cambia de orientación; añade las contraseñas de acceso de los consumidores a la lista de categorías de información personal que pueden ser objeto de acción en virtud de la ley.
La ampliación del ámbito de aplicación de la CPRA para incluir las credenciales de inicio de sesión como una violación de la seguridad de la información personal legalmente procesable podría ser una reacción a la actual oleada de ataques de autenticación que afectan a los clientes. Muchas empresas pueden optar por imponer la autenticación multifactor como una capa de seguridad adicional, además de niveles más avanzados de cifrado de datos.
Según la CPRA, cabe señalar que las empresas también deben permitir y procesar las señales de preferencias de autoexclusión de los consumidores.
💡 Por señales de preferencias de autoexclusión se entiende una señal enviada por una plataforma, tecnología o mecanismo, en nombre del consumidor, que comunica su elección de autoexclusión de la venta y el intercambio de información personal. La señal se excluirá automáticamente de todos los sitios web que el usuario visite sin que tenga que hacer solicitudes individuales.
La CPRA se suma a los requisitos de la CCPA. Esta es la lista completa de la información que debes incluir en tu política de privacidad.
Añadir una declaración sobre si tu empresa sabe que vende o comparte la información personal de los usuarios menores de 16 años.
Incluir las categorías de información personal que tu empresa ha divulgado (con fines comerciales) a terceros en los últimos 12 meses, una lista de los terceros pertinentes y la finalidad de tu empresa. También deberás informar sobre si no has divulgado información personal de los consumidores en los 12 meses anteriores.
Indicar si tu empresa utiliza o divulga información personal sensible para fines distintos de los especificados en la ley.
Proporcionar cualquier enlace a formularios o portales de solicitud online para que tus usuarios puedan realizar solicitudes relativas a la recopilación, divulgación o venta de su información personal.
Proporcionar medios para que los usuarios puedan solicitar la corrección de información personal inexacta.
Incluir, si tu empresa utiliza o divulga información personal sensible por motivos distintos a los mencionados en la ley, información sobre el derecho de los consumidores a limitar el uso o divulgación de su información personal sensible y cómo ejercerlo.
Proporcionar información sobre el derecho de los usuarios a la no discriminación para el ejercicio de sus derechos de privacidad.
Añadir una descripción general del proceso que tu empresa aplica para verificar las solicitudes de los usuarios de conocer, eliminar y corregir su información, cuando sea necesartio, incluyendo cualquier otra información que el usuario deba proporcionar.
Explicar cómo se procesará una señal de preferencia de autoexclusión para el usuario (es decir, si la señal se aplica al dispositivo, al navegador, a la cuenta del consumidor y/o a las ventas offline, y en qué circunstancias) y cómo el usuario puede utilizar una señal de preferencia de autoexclusión.
Proporcionar requisitos adicionales de información (sección 7102 del reglamento) si tu empresa recoge grandes cantidades de información personal.
La CPRA se convierte en ley el 1 de enero de 2023 y se aplicará a partir del 1 de julio de 2023.
En iubenda, como siempre, estaremos atentos a las últimas actualizaciones y nos aseguraremos de que todas nuestras soluciones estén alineadas con los últimos requisitos para así ayudarte a cumplir la normativa.
Si ya has implementado procedimientos para cumplir con la CCPA, puede ser una buena idea empezar a revisar tus procesos y tener en cuenta algunas consideraciones:
Como con cualquier nueva ley, es una buena idea mantenerte informado de los cambios para poder tomar las medidas adecuadas. Como siempre, estamos para ayudarte a que estos cambios se produzcan sin complicaciones, por lo que te mantendremos al tanto durante los próximos meses.
Mejor aún, una vez que hayas configurado tus políticas, todas las actualizaciones de la CPRA se insertarán automáticamente.
