Safetica > Resources > Cumplimiento de la CCPA: qué es la CCPA y cuándo debe importarte

Cumplimiento de la CCPA: qué es la CCPA y cuándo debe importarte

nov 1, 2023

El 63 % de los usuarios de Internet cree que la mayoría de las empresas no son transparentes sobre cómo se utilizan los datos de sus consumidores. Con la cantidad de información que se recopila sobre ellos cada día y lo valiosa que puede ser, las personas tienen motivos para preocuparse por la privacidad y la seguridad de su información personal. Para responder a estas preocupaciones, muchos países han aprobado leyes de privacidad que protegen a los consumidores y sus datos personales del uso indebido, como GDPR en la UE o CCPA en California.

Centrémonos ahora en la California Consumer Privacy Act: qué es, a quién afecta y cómo puedes hacer que tu empresa cumpla con la CCPA.

¿Qué es la CCPA?

La California Consumer Privacy Act (CCPA) es una ley estatal que otorga a los consumidores de California varios nuevos derechos de privacidad para darles más control sobre sus datos. La CCPA es, además, la primera ley integral de privacidad del consumidor de su tipo en Estados Unidos. Fue aprobada por la California State Legislature y firmada por el gobernador de California, Jerry Brown, el 28 de junio de 2018, y entró en vigor el 1 de enero de 2020.

La CCPA fue posteriormente modificada por la California Privacy Rights Act (CPRA, también conocida como Proposal 24), que entró en vigor el 1 de enero de 2023. La información de este artículo ya incluye los cambios introducidos por la CPRA.

safetica-ccpa-article-california

¿Sustituye la CPRA a la CCPA?

Para que quede claro, queremos explicar que la CPRA no es una ley nueva, sino un conjunto de revisiones de la CCPA. Lo que ahora se conoce como CCPA incluye todos los cambios y ampliaciones procedentes de la CPRA. Cualquier parte de la CCPA que la CPRA no haya tocado se mantiene tal y como estaba antes de la CPRA.

Como ya hemos mencionado en este artículo, cuando hablamos de la CCPA siempre nos referimos a la CCPA modificada por la CPRA.

Bien, aclarado esto, veamos qué derechos concretos se han otorgado a los consumidores:

Under the CCPA, California citizens have these consumer privacy rights:

  • The right to know about the personal information a business collects about them and how it is used or shared with other organizations
  • The right to delete personal information collected from them
  • The right to opt out of the sale of their personal information
  • The right to non-discrimination for using their CCPA rights
  • The right to sue a company for breaches that violated their CCPA rights
  • The right to correct inaccurate personal information
  • The right to limit the use and disclosure of sensitive personal information

 

Además, la CPRA introdujo una disposición crucial conocida como el principio de «finalidad limitada». Este principio exige que las empresas solo recopilen los datos necesarios para cumplir objetivos explícitamente declarados y conserven esa información durante el tiempo requerido. Las empresas deben informar de forma expresa a los consumidores sobre el tipo de datos recopilados, las finalidades comerciales específicas para las que se utilizan y cómo se emplearán.

¿Qué datos están protegidos por la CCPA y la CPRA?

Aunque la CCPA suele considerarse una versión menos estricta de la ley europea de privacidad, en algunos puntos la ley californiana va incluso más allá: la definición de información personal es uno de esos casos.

La CCPA define la información personal como

  «cualquier información que identifique, esté relacionada con, describa, sea capaz de asociarse o pueda razonablemente vincularse, directa o indirectamente, con un consumidor u hogar concretos.»  

 

La versión modificada de la CCPA incluye la incorporación de otro subconjunto: la información personal sensible.

El conjunto de datos que entran en la categoría de «información personal» en la CCPA incluye:

  • Identificadores personales como el nombre real del consumidor, dirección postal, número de teléfono, número de la seguridad social o permiso de conducir.
  • Identificadores online que permitan rastrear la presencia online de un consumidor hasta él, como cookies, direcciones IP, direcciones de correo electrónico, nombres de cuentas, nombres de usuario, etc.
  • Datos biométricos como la huella dactilar, escáner facial o de retina, así como grabaciones de voz o muestras de escritura.
  • Geolocalización, como geoetiquetas en imágenes o historial de ubicación.
  • Actividad en internet, como historial de búsquedas o actividad en apps.
  • Información sensible como rasgos personales, comportamiento, convicciones religiosas o políticas, preferencias sexuales, empleo, ciudadanía o estatus migratorio y datos de educación.

En otras palabras, si la información recopilada puede identificar a una persona, se considera información personal y queda dentro del ámbito de la CCPA y la CPRA. No obstante, hay algunas excepciones a la protección de la CCPA y la CPRA.

Tomemos, por ejemplo, un número de teléfono. Normalmente entra en la CCPA como «identificador directo». Sin embargo, si compartiste tu número de teléfono añadiéndolo a la información de contacto de tu web o de tu cuenta en redes sociales, entonces se considera «información disponible públicamente» y, en ese caso, la protección de la CCPA no se aplica. Del mismo modo, todo lo almacenado en registros públicos, como registros de propiedad o licencias profesionales, o la información que ya esté cubierta por otras leyes vigentes (como datos médicos o financieros), tampoco se considera información personal bajo la CCPA.

¿A qué empresas y organizaciones se aplica la CCPA?

En comparación con otras regulaciones como el GDPR, que se aplican a la mayoría de empresas y organizaciones, la CCPA se dirige principalmente a empresas medianas y grandes. Las organizaciones sin ánimo de lucro y los gobiernos están, en general, exentos del cumplimiento, aunque también hay algunas excepciones.

Entonces, ¿quién está exactamente sujeto a la CCPA? Las empresas sujetas a la normativa CCPA son entidades legales con ánimo de lucro que operan en California y cumplen uno o más de los siguientes criterios:

  • Buy, receive, sell, or share for commercial purposes the personal information of 100,000 or more consumers or households per year.
  • Have an annual gross revenue exceeding $25 million.
  • Derive more than 50% of their annual revenue from selling the personal information of California residents.
  • Share common branding with another business that falls under the CCPA.

 

¿Qué significa el requisito de «operar en California»? ¿Quiere decir que solo las empresas que trabajan dentro del estado están obligadas a cumplir la ley californiana de privacidad? No exactamente.

El requisito de «operar en California» abarca cualquier actividad empresarial en la que residentes en California compartan información personal con empresas y dichas empresas recopilen esa información con fines comerciales, independientemente de la ubicación física de la compañía. Esta definición ampliada implica que las webs, las tiendas online, las apps móviles y los proveedores de servicios online también quedan bajo la ley californiana siempre que cumplan uno o más de los criterios principales, sin importar dónde tengan su sede.

Tomemos como ejemplo una tienda minorista con sede en Francia. Si vende sus productos a personas que viven en California, entonces ya cumple con el criterio de «operar en California». Aun así, no tendrá que seguir la normativa CCPA mientras sus ingresos estén por debajo de 25 millones de dólares y su número de clientes californianos sea inferior a 100 000.

Sin embargo, si tras analizar las métricas de su última campaña de suscripción a la newsletter la tienda descubre que ha ganado varios clientes nuevos en California y ha alcanzado el umbral de 100 000 consumidores, la situación cambia. Como ahora la tienda cumple el umbral de consumidores y utiliza los datos con fines comerciales, queda legalmente obligada a cumplir la CCPA.

 

¿Qué deben hacer las empresas para cumplir con la CCPA?

Lo primero, para saber si tu empresa tiene que cumplir con las reglas de la CCPA, revisa los principales criterios de aplicación y comprueba si tu negocio encaja. Más allá del «hacer negocios en California», cumplir cualquiera de los otros criterios principales significa que estás legalmente obligado a cumplir con la CCPA.

Una vez que has revisado estas reglas, las has comparado con tus métricas de negocio y has determinado que entras en el ámbito de la CCPA, la siguiente pregunta es cómo asegurarte de que tu empresa cumple.

Los principales requisitos de cumplimiento que la CCPA impone a las empresas incluyen:

  1. Política de privacidad: las empresas están obligadas a mantener una política de privacidad online (que incluya detalles sobre la conservación de los datos) actualizada al menos cada 12 meses.
  2. Avisos de privacidad: es obligatorio que las empresas añadan un aviso de privacidad en su web y apps móviles que indique a los consumidores cómo se usará y manejará su información personal.
  3. Política de cookies: las empresas deben incluir una política de cookies en su web que informe a los consumidores sobre los datos que recopilan, cómo y por qué.
  4. Inventario de datos: las empresas deben llevar un registro del historial de sus actividades de tratamiento de datos, manteniendo un inventario completo de la información recopilada.
  5. Gestión de derechos del consumidor: los consumidores tienen derecho a solicitar el acceso, modificar, corregir o eliminar sus datos personales. Las empresas deben proporcionar formularios de solicitud de acceso del interesado para que los consumidores puedan ejercer sus derechos.
  6. Solicitudes de oposición (opt-out): las empresas deben crear y mostrar de forma destacada los enlaces «Do Not Sell My Personal Information» y «Limit the Use of My Sensitive Personal Information» en la página de inicio de su web.

Para cumplir con la normativa, tu empresa puede que necesite cambiar algunos de sus procesos de negocio, especialmente cómo recopila, almacena y protege la información personal procedente de ciudadanos californianos. Para darte algunas ideas sobre por dónde empezar, hemos esbozado algunos puntos clave para preparar tu negocio de cara al cumplimiento:

 

Realiza una auditoría de datos

Lo primero a la hora de buscar el cumplimiento de la CCPA es averiguar qué información personal y sensible recopilas de tus consumidores y dónde se almacena. Como parte de la auditoría, también deberías comprobar cómo trabajan tus empleados con los datos: quién tiene acceso a qué información, cómo la usan y cómo se comparten los documentos o archivos entre empleados.

 

Clasifica tus datos

Una vez que sabes qué tipo de datos hay en tu negocio, puedes empezar a clasificarlos en función de su importancia o sensibilidad. Es un paso esencial, ya que algunas categorías de datos (especialmente la información personal sensible) requerirán un nivel de seguridad mucho más alto y unas pautas específicas para su manejo.

Para evitar la pérdida o fuga de datos, es buena idea restringir el acceso a los archivos más críticos solo a los empleados que lo necesiten para su función y, además, fijar límites sobre lo que pueden hacer al trabajar con esos archivos.

 

Desarrolla un conjunto de prácticas para la gestión de datos

La auditoría de datos debería mostrarte con claridad los problemas más significativos en tu organización. Ahora toca desarrollar pautas de gestión de datos para todos tus empleados. Las pautas deben describir cómo se espera que los empleados gestionen los datos de los clientes, cuál es el proceso principal para responder a las solicitudes de los consumidores, las principales pautas de seguridad y quién es responsable de manejar la información especialmente sensible o confidencial. Un manual así también es un buen lugar para indicar a tus empleados cómo reaccionar ante una pérdida o brecha de datos.

 

Revisa y actualiza tus medidas de seguridad de datos

Bajo la CCPA, los consumidores pueden demandar por daños y perjuicios si su información personal se ha visto comprometida porque la empresa no implementó ni mantuvo medidas de seguridad razonables. Eso significa que cualquier brecha de datos puede ser un problema importante para tu organización, tanto por las elevadas multas como por el daño reputacional.

Por tanto, mientras realizas la auditoría, fíjate también en tus medidas de seguridad: por ejemplo, con qué frecuencia se hacen copias de seguridad, si utilizas un cifrado adecuado, si exiges autenticación de dos factores y si tienes un sistema de respuesta para saber cómo actuar ante actividades sospechosas.

Read further: What is phishing | ISO 27001 international standard for setting up an effective information security management system

 

Actualiza tu política de privacidad online

Las políticas de privacidad y los avisos de cookies son componentes esenciales de la CCPA, y no tenerlos en tu web o app puede contar como una infracción de inmediato. Pero, aunque ya tengas una política de privacidad en tu web o app, lo más probable es que necesite una actualización para cumplir con los requisitos de la CCPA.

 

¿Cuáles son las multas por incumplir la CCPA?

En línea con muchas otras leyes de privacidad de datos, la California Consumer Privacy Act contempla sanciones bastante severas por incumplimiento.

Las infracciones intencionadas de la California Consumer Privacy Act pueden conllevar sanciones civiles de hasta 7500 dólares por cada infracción, mientras que para infracciones menos graves la multa es de 2500 dólares por cada infracción. Si la infracción afecta a menores de 16 años, cada infracción puede acarrear una multa de 7500 dólares, no solo las intencionadas.

Además, los consumidores afectados por la brecha pueden emprender acciones legales y reclamar daños establecidos por ley, entre 100 y 750 dólares «por consumidor por incidente o por los daños reales, lo que sea mayor». Puede no parecer mucho en comparación con las famosas multas del GDPR, que alcanzan varios millones de dólares. Sin embargo, debes saber que la normativa CCPA considera cada infracción por separado e impone sanciones en consecuencia.

Zoom lo aprendió por las malas después de que millones de usuarios de Zoom demandaran a la empresa alegando que se habían violado sus derechos como consumidores cuando Zoom vendió sus datos personales a compañías de redes sociales. Para llegar a un acuerdo y cerrar el litigio, Zoom aceptó pagar 85 millones de dólares. Es más, Zoom también se comprometió a añadir más medidas de seguridad a su plataforma (como avisar a los usuarios cuando los anfitriones u otros participantes de la reunión usan apps de terceros durante las reuniones) y a formar a sus empleados en privacidad y manejo de datos.

Lo más importante es que no hay un límite máximo para las multas de la CCPA. Así que, si una empresa del tamaño de Facebook (con 18 millones de usuarios en California) fuera sancionada por una infracción de la CCPA, las sanciones podrían alcanzar los 45 000 millones de dólares, y eso solo en escenarios de infracción menos graves y sin contar los daños establecidos por ley.

 

¿Cómo puede ayudarte Safetica?

Hacer que tu empresa cumpla con la CCPA puede parecer abrumador al principio: hay que hacer una auditoría de datos, una clasificación, asegurar los archivos especialmente sensibles, formar a tus empleados en las nuevas pautas y gestionar también las consultas de los consumidores.

Con Safetica, tu empresa puede ocuparse de todos esos pasos y cumplir con la CCPA de forma mucho más sencilla. Así es como podemos ayudarte:

  • Con Safetica puedes realizar rápidamente una auditoría de datos y averiguar qué tipos de datos se utilizan en tu organización.
  • Safetica puede ofrecerte una visión completa de la información sensible o confidencial almacenada en tu organización y ayudarte a categorizar y proteger esos datos. Por ejemplo, puedes establecer rápidamente quién tiene acceso a qué tipo de información y bloquear todas las actividades procedentes de otras cuentas.
  • Tras fijar tus políticas y pautas internas de seguridad, Safetica vigilará todo lo que hacen tus empleados al manejar los datos y se asegurará de que cumplen con los procedimientos y las políticas de seguridad. Además, recibirás una alerta en tiempo real ante cualquier incumplimiento de políticas o actividad sospechosa, como copiar archivos sensibles a un dispositivo desconocido.
  • Como Safetica monitoriza todas las actividades de los empleados al manejar datos, puede identificar riesgos, actividades ilegales y amenazas y bloquearlas antes de que conduzcan a brechas o pérdidas de datos.
 
 

Es más, Safetica también puede ayudarte a formar a tus compañeros sobre cómo clasificar datos, detectar, prevenir y responder a incidentes de seguridad, además de seguir cumpliendo con la CCPA (y otras normativas). Así puedes estar seguro de que la información de tu empresa está perfectamente a salvo y de que tu personal sabe cómo prevenir y responder a cualquier problema o amenaza relacionado con los datos.

 

Conclusión

La CCPA es la primera ley integral de privacidad del consumidor en EE. UU. y, en algunos aspectos, es incluso más estricta que su contraparte europea, el GDPR. No obstante, no se aplica a todas las organizaciones: si no alcanzas el umbral de ingresos o de datos, no necesitas cumplir con la ley CCPA. Sin embargo, aunque aún no cumplas los requisitos, siempre es mejor empezar con tiempo para no tener que correr más adelante.

Con Safetica a tu lado, puedes hacer que cumplir los estándares sea mucho más rápido y fácil, ya que te ayuda tanto a auditar tus datos y proteger tus archivos más importantes como a aumentar la concienciación sobre seguridad de datos entre tus compañeros.

Por tanto, tanto si necesitas cumplir con la normativa ahora como si estás planificándolo de cara al futuro, con Safetica puedes hacer que el proceso de cumplimiento sea más fácil y asegurarte de que seguirás cumpliendo en los próximos años.

 

Hablemos

Similar posts