La guía definitiva para el cumplimiento de la Ley de Privacidad del Consumidor de California (CCPA)


La Ley de Privacidad del Consumidor de California de 2018 (CCPA) es una ley aprobada por California para proteger los datos y la privacidad de sus residentes. CCPA no reemplaza las leyes de privacidad actuales de California, sino que funcionará junto con ellas.

Según CCPA, las empresas deben ser más directas sobre lo que recolectan y cómo se usa. También deben obtener el consentimiento de los menores antes de vender su información. Además, los usuarios ahora pueden evitar que las empresas vendan sus datos.

Sin embargo, CCPA no significa que ya no pueda vender la información de usuario que recopila. Sin embargo, cuando se trata de los residentes de California, tendrá que saltar algunos aros más.

CCPA entra en vigencia el 1 de enero de 2020, pero las empresas tienen hasta el 1 de julio de 2020 para cumplir plenamente. Esa no es una excusa para posponer esto. Sin embargo, dado que las acciones de cumplimiento no comenzarán durante unos meses, las empresas tienen tiempo para adaptar sus políticas, procesos y sitio web.

¿Qué considera la CCPA "datos personales"?

Los datos personales son cualquier cosa que describa o identifique a una persona o que de alguna manera esté vinculada a un individuo u hogar. Eso incluye:

  • Correos electrónicos
  • Informacion de Empleo
  • Geolocalizaciones
  • Direcciones IP
  • Nombres

Técnicamente, información disponible públicamente CCPA no considera datos personales. Sin embargo, esa es un área tan gris, y es mejor errar del lado del cumplimiento total en lugar de arriesgarse. Además, incluso si los datos personales de un usuario están disponibles públicamente, eso no se aplica a todos los demás usuarios. Aún debe ser compatible en todos los ámbitos.

¿Afecta CCPA a su negocio?

CCPA afecta su negocio si recopila y procesa datos de residentes de California. Su negocio, o una empresa matriz o subsidiaria, también debe cumplir con uno o más de los siguientes:

  • Su ingreso bruto anual es de $ 25 millones o más
  • Cada año, compra, recibe o vende datos personales de 50,000 o más dispositivos, hogares o residentes de California
  • Un mínimo del 50% de sus ingresos anuales proviene de la venta de datos personales de los residentes de California

No necesita tener una empresa con sede en California para cumplir con estos umbrales. Los residentes de California pueden visitar su sitio web independientemente de dónde opere su negocio. Las empresas en otros estados de EE. UU., Así como las empresas de todo el mundo, deben considerar CCPA.

El tamaño de su negocio tampoco importa, aparte de referirse a los umbrales. Incluso las empresas en solitario y las pequeñas empresas tienen que alinearse con CCPA. Sin embargo, las empresas que procesan datos de 4 millones o más de consumidores deben cumplir requisitos adicionales. Por ejemplo, tienen pautas más estrictas cuando se trata de mantener registros.

Si alcanza un umbral pero no está recopilando datos (no tiene ningún tipo de herramienta de seguimiento en su sitio web), técnicamente cumple con CCPA. Por otro lado, si está recopilando información de clientes de California pero aún no ha alcanzado los umbrales, todavía vale la pena prepararse para CCPA. Si su negocio crece rápidamente, podría exceder accidentalmente $ 25 millones en ingresos o 50,000 residentes de California antes de cumplir con CCPA.

¿Cómo se define un residente de California?

De acuerdo a Ley de California, un residente es una persona que:

  • Está en California por algo más que una razón temporal o transitoria
  • Vive en California, incluso si no se encuentra actualmente en el estado debido a una razón temporal o transitoria.

Una persona puede vivir en California y no ser residente o vivir fuera de California y aún ser residente. Para protegerse, cumpla con CCPA si tiene alguna razón para pensar que gran parte de su negocio proviene de residentes de California.

Cómo hacer que su negocio cumpla con CCPA

Para cumplir con los requisitos de CCPA, su empresa debe tomar varios pasos, muchos de los cuales requerirán políticas y procesos cambiantes. A continuación, le mostramos cómo hacer que su empresa cumpla con CCPA:

Actualice su política de privacidad para aclarar cómo recopila, usa y cambia los datos.

Es probable que ya tenga una política de privacidad, pero necesitará algo de trabajo para que sea compatible con CCPA. Básicamente, su política de privacidad le dice a los usuarios qué datos recopila y qué hace con ellos. Para CCPA, deberá ser más transparente que antes sobre sus prácticas de datos. Estas son las adiciones que debe hacer a su política de privacidad:

  • Qué, por qué y cómo recopila y procesa información personal
  • Cómo los usuarios pueden acceder, cambiar o eliminar sus datos personales que ha recopilado
  • Su método para verificar la identidad de un usuario que realiza una de esas solicitudes
  • Cómo se venden los datos personales y cómo un usuario puede optar por no vender sus datos personales

Tenga en cuenta que estos son los requisitos mínimos de CCPA. Si cree que hay más en su proceso de recopilación de datos que los usuarios quieren saber, agréguelo.

Obtenga el consentimiento de menores

Deberá obtener el consentimiento de menores de entre 13 y 16 años o de padres de niños menores de 13 años. Puede solicitar el consentimiento justo cuando acceden a su sitio web o antes de vender sus datos. De cualquier manera, no puede vender sus datos antes de obtener su consentimiento. Almacene todas las respuestas que reciba, incluso si el usuario rechazó el consentimiento. Además de los menores, no necesita el consentimiento del usuario antes de recopilar y usar datos.

Permitir a los usuarios cambiar su información

Parte de CCPA está dando a los usuarios de California la capacidad de acceder, cambiar, mover o eliminar sus datos personales. Debe crear un método para que los usuarios envíen este tipo de solicitudes, y uno de esos métodos debe ser un número gratuito. Luego puede agregar un formulario de contacto a su sitio web o proporcionar un correo electrónico o una dirección postal.

Verifique la identidad del usuario cuando realice una solicitud

Una vez que los usuarios se ponen en contacto para cambiar su información, necesita una forma de verificar que son quienes dicen ser. No puede solicitar una prueba de identificación a través de un documento emitido por el gobierno, como una licencia de conducir. En cambio, puede usar el mismo tipo de autenticación que usó cuando la persona envió sus datos. También puede intentar verificar su identidad pidiéndoles que confirmen la información que han proporcionado en el pasado.

Si la empresa no puede verificar la identidad del usuario, debe cumplir lo mejor que pueda. Por ejemplo, supongamos que un usuario desea que se elimine su información, pero la empresa no puede verificar la identidad del usuario. En lugar de eliminar su información, la retienen pero permiten que el usuario opte por no vender su información. Si no hay forma de cumplir, la empresa puede denegar la solicitud.

Agregue un enlace "No vender mi información personal" a su página de inicio

Deberá colocar un enlace "No vender mi información personal" a un lugar notable en la página de inicio de su sitio web. Esto es para que los usuarios hagan clic si quieren evitar que vendas sus datos personales. El proceso para optar por no vender datos de usuario debe ser lo más simple y fácil posible. La empresa también tiene que responder a las solicitudes de exclusión. De acuerdo con la hoja de datos oficial de CCPA, "… las empresas deben tratar la configuración de privacidad habilitada por el usuario que indica que el consumidor elige la opción de exclusión voluntaria como una solicitud de exclusión válida"

Además, no puede exigir a las personas que creen una cuenta para que puedan darse de baja. Si bien algunas empresas pueden querer solicitar una cuenta como medio para identificar al usuario, CCPA lo impide como requisito previo para optar por no participar. Si el usuario ya tiene una cuenta y así es como puede verificar su identidad, está bien.

Mantener registros de intercambios con clientes.

Las empresas deben mantener registros de todas las solicitudes de los usuarios, y también deben registrar y guardar sus respuestas a los usuarios. Mantenga sus registros por un mínimo de 24 meses; para estar más seguro, agárrelos indefinidamente.

No discrimine en base a solicitudes de privacidad

CCPA dice que las empresas no pueden discriminar a los usuarios si ejercen sus derechos de privacidad. Eso significa que si un usuario dice que no puede vender sus datos, no puede negarles servicios ni ajustar sus precios en represalia.

Es posible que una empresa ofrezca un incentivo a las personas que permiten la venta de sus datos. En este caso, debe revelar detalles del incentivo, incluida la forma en que calcula el valor de los datos personales.

Sanciones por no cumplir con CCPA

Si no cumple con CCPA antes del 1 de julio de 2020, el Fiscal General lo notificará. Tendrá 30 días para responder y ponerse al día con el cumplimiento. Si no cumple dentro de esos 30 días, podría presentar una demanda civil en su contra. A partir de ahí, podría recibir una multa de $ 7,500 por violación, lo que significa por usuario de California. Por ejemplo, si recopila datos de 2,000 residentes de California, puede recibir una multa de $ 7,500 x 2,000, que es un total de $ 15,000,000. ¡Esa es una factura que definitivamente querrás evitar!

Las diferencias entre CCPA y GDPR

Si bien las pautas de CCPA suenan similares a las de GDPR, las dos tienen diferencias clave. Incluso si su negocio es actualmente Cumple con GDPR, eso no significa que será automáticamente compatible con CCPA. Puede cumplir con algunas pautas de CCPA, pero no con todas. Algunas de las pautas de CCPA que pueden exceder el GDPR son:

  • Agregar un enlace "No vender mi información personal" en la página de inicio
  • Crear un método para que los usuarios soliciten cambios o la eliminación de su información
  • Identificar la identidad de la persona cuando hace ese tipo de solicitud
  • Obtener el consentimiento de menores antes de vender su información

Si bien es posible que algunos de los procesos ya estén configurados para GDPR, querrá verificar que sus métodos también cumplan con CCPA. Hay pequeñas, pero importantes, diferencias entre los dos. Por ejemplo, bajo CCPA, debe mostrar las categorías de información personal que ha vendido durante un período de 12 meses; Este no es un requisito de GDPR. Por otro lado, CCPA no tiene el requisito de consentimiento de cookies que GDPR tiene.

Pensamientos finales

Su primer paso es evaluar si su negocio debe cumplir con CCPA a partir del 1 de enero de 2020. O bien, considere si su negocio crecerá hasta el punto en que tendrá que cumplir en el futuro. Si es así, es mejor poner todo en su lugar ahora para que no tenga que luchar más tarde y arriesgarse a ser multado. La forma exacta en que configura su sitio web para cumplir con CCPA depende de sus procesos actuales y su fuerza laboral. Puede automatizar tanto como sea posible o, si no espera demasiados cambios o solicitudes de eliminación, puede tener algunos empleados que respondan directamente a los usuarios.

Si aún no tiene una política de privacidad, esta es una gran oportunidad para escribir una, ya sea que esté preocupado por CCPA o no. Mira nuestro artículo sobre Cómo crear una política de privacidad para su sitio web.

Imagen destacada a través de Sammby / shutterstock.com