El 63 % de los usuarios de Internet cree que la mayoría de las empresas no son transparentes sobre cómo se utilizan los datos de sus consumidores. Con la cantidad de información que se recopila sobre ellos cada día y lo valiosa que puede ser, las personas tienen motivos para preocuparse por la privacidad y la seguridad de su información personal. Para responder a estas preocupaciones, muchos países han aprobado leyes de privacidad que protegen a los consumidores y sus datos personales del uso indebido, como GDPR en la UE o CCPA en California.
Centrémonos ahora en la California Consumer Privacy Act: qué es, a quién afecta y cómo puedes hacer que tu empresa cumpla con la CCPA.
La California Consumer Privacy Act (CCPA) es una ley estatal que otorga a los consumidores de California varios nuevos derechos de privacidad para darles más control sobre sus datos. La CCPA es, además, la primera ley integral de privacidad del consumidor de su tipo en Estados Unidos. Fue aprobada por la California State Legislature y firmada por el gobernador de California, Jerry Brown, el 28 de junio de 2018, y entró en vigor el 1 de enero de 2020.
La CCPA fue posteriormente modificada por la California Privacy Rights Act (CPRA, también conocida como Proposal 24), que entró en vigor el 1 de enero de 2023. La información de este artículo ya incluye los cambios introducidos por la CPRA.
Para que quede claro, queremos explicar que la CPRA no es una ley nueva, sino un conjunto de revisiones de la CCPA. Lo que ahora se conoce como CCPA incluye todos los cambios y ampliaciones procedentes de la CPRA. Cualquier parte de la CCPA que la CPRA no haya tocado se mantiene tal y como estaba antes de la CPRA.
Como ya hemos mencionado en este artículo, cuando hablamos de la CCPA siempre nos referimos a la CCPA modificada por la CPRA.
Bien, aclarado esto, veamos qué derechos concretos se han otorgado a los consumidores:
Además, la CPRA introdujo una disposición crucial conocida como el principio de «finalidad limitada». Este principio exige que las empresas solo recopilen los datos necesarios para cumplir objetivos explícitamente declarados y conserven esa información durante el tiempo requerido. Las empresas deben informar de forma expresa a los consumidores sobre el tipo de datos recopilados, las finalidades comerciales específicas para las que se utilizan y cómo se emplearán.
Aunque la CCPA suele considerarse una versión menos estricta de la ley europea de privacidad, en algunos puntos la ley californiana va incluso más allá: la definición de información personal es uno de esos casos.
La CCPA define la información personal como
| «cualquier información que identifique, esté relacionada con, describa, sea capaz de asociarse o pueda razonablemente vincularse, directa o indirectamente, con un consumidor u hogar concretos.» |
La versión modificada de la CCPA incluye la incorporación de otro subconjunto: la información personal sensible.
El conjunto de datos que entran en la categoría de «información personal» en la CCPA incluye:
En otras palabras, si la información recopilada puede identificar a una persona, se considera información personal y queda dentro del ámbito de la CCPA y la CPRA. No obstante, hay algunas excepciones a la protección de la CCPA y la CPRA.
Tomemos, por ejemplo, un número de teléfono. Normalmente entra en la CCPA como «identificador directo». Sin embargo, si compartiste tu número de teléfono añadiéndolo a la información de contacto de tu web o de tu cuenta en redes sociales, entonces se considera «información disponible públicamente» y, en ese caso, la protección de la CCPA no se aplica. Del mismo modo, todo lo almacenado en registros públicos, como registros de propiedad o licencias profesionales, o la información que ya esté cubierta por otras leyes vigentes (como datos médicos o financieros), tampoco se considera información personal bajo la CCPA.
En comparación con otras regulaciones como el GDPR, que se aplican a la mayoría de empresas y organizaciones, la CCPA se dirige principalmente a empresas medianas y grandes. Las organizaciones sin ánimo de lucro y los gobiernos están, en general, exentos del cumplimiento, aunque también hay algunas excepciones.
Entonces, ¿quién está exactamente sujeto a la CCPA? Las empresas sujetas a la normativa CCPA son entidades legales con ánimo de lucro que operan en California y cumplen uno o más de los siguientes criterios:
¿Qué significa el requisito de «operar en California»? ¿Quiere decir que solo las empresas que trabajan dentro del estado están obligadas a cumplir la ley californiana de privacidad? No exactamente.
El requisito de «operar en California» abarca cualquier actividad empresarial en la que residentes en California compartan información personal con empresas y dichas empresas recopilen esa información con fines comerciales, independientemente de la ubicación física de la compañía. Esta definición ampliada implica que las webs, las tiendas online, las apps móviles y los proveedores de servicios online también quedan bajo la ley californiana siempre que cumplan uno o más de los criterios principales, sin importar dónde tengan su sede.
Tomemos como ejemplo una tienda minorista con sede en Francia. Si vende sus productos a personas que viven en California, entonces ya cumple con el criterio de «operar en California». Aun así, no tendrá que seguir la normativa CCPA mientras sus ingresos estén por debajo de 25 millones de dólares y su número de clientes californianos sea inferior a 100 000.
Sin embargo, si tras analizar las métricas de su última campaña de suscripción a la newsletter la tienda descubre que ha ganado varios clientes nuevos en California y ha alcanzado el umbral de 100 000 consumidores, la situación cambia. Como ahora la tienda cumple el umbral de consumidores y utiliza los datos con fines comerciales, queda legalmente obligada a cumplir la CCPA.
Lo primero, para saber si tu empresa tiene que cumplir con las reglas de la CCPA, revisa los principales criterios de aplicación y comprueba si tu negocio encaja. Más allá del «hacer negocios en California», cumplir cualquiera de los otros criterios principales significa que estás legalmente obligado a cumplir con la CCPA.
Una vez que has revisado estas reglas, las has comparado con tus métricas de negocio y has determinado que entras en el ámbito de la CCPA, la siguiente pregunta es cómo asegurarte de que tu empresa cumple.
Los principales requisitos de cumplimiento que la CCPA impone a las empresas incluyen:
Para cumplir con la normativa, tu empresa puede que necesite cambiar algunos de sus procesos de negocio, especialmente cómo recopila, almacena y protege la información personal procedente de ciudadanos californianos. Para darte algunas ideas sobre por dónde empezar, hemos esbozado algunos puntos clave para preparar tu negocio de cara al cumplimiento:
Lo primero a la hora de buscar el cumplimiento de la CCPA es averiguar qué información personal y sensible recopilas de tus consumidores y dónde se almacena. Como parte de la auditoría, también deberías comprobar cómo trabajan tus empleados con los datos: quién tiene acceso a qué información, cómo la usan y cómo se comparten los documentos o archivos entre empleados.
Una vez que sabes qué tipo de datos hay en tu negocio, puedes empezar a clasificarlos en función de su importancia o sensibilidad. Es un paso esencial, ya que algunas categorías de datos (especialmente la información personal sensible) requerirán un nivel de seguridad mucho más alto y unas pautas específicas para su manejo.
Para evitar la pérdida o fuga de datos, es buena idea restringir el acceso a los archivos más críticos solo a los empleados que lo necesiten para su función y, además, fijar límites sobre lo que pueden hacer al trabajar con esos archivos.
La auditoría de datos debería mostrarte con claridad los problemas más significativos en tu organización. Ahora toca desarrollar pautas de gestión de datos para todos tus empleados. Las pautas deben describir cómo se espera que los empleados gestionen los datos de los clientes, cuál es el proceso principal para responder a las solicitudes de los consumidores, las principales pautas de seguridad y quién es responsable de manejar la información especialmente sensible o confidencial. Un manual así también es un buen lugar para indicar a tus empleados cómo reaccionar ante una pérdida o brecha de datos.
Bajo la CCPA, los consumidores pueden demandar por daños y perjuicios si su información personal se ha visto comprometida porque la empresa no implementó ni mantuvo medidas de seguridad razonables. Eso significa que cualquier brecha de datos puede ser un problema importante para tu organización, tanto por las elevadas multas como por el daño reputacional.
Por tanto, mientras realizas la auditoría, fíjate también en tus medidas de seguridad: por ejemplo, con qué frecuencia se hacen copias de seguridad, si utilizas un cifrado adecuado, si exiges autenticación de dos factores y si tienes un sistema de respuesta para saber cómo actuar ante actividades sospechosas.
Las políticas de privacidad y los avisos de cookies son componentes esenciales de la CCPA, y no tenerlos en tu web o app puede contar como una infracción de inmediato. Pero, aunque ya tengas una política de privacidad en tu web o app, lo más probable es que necesite una actualización para cumplir con los requisitos de la CCPA.
En línea con muchas otras leyes de privacidad de datos, la California Consumer Privacy Act contempla sanciones bastante severas por incumplimiento.
Las infracciones intencionadas de la California Consumer Privacy Act pueden conllevar sanciones civiles de hasta 7500 dólares por cada infracción, mientras que para infracciones menos graves la multa es de 2500 dólares por cada infracción. Si la infracción afecta a menores de 16 años, cada infracción puede acarrear una multa de 7500 dólares, no solo las intencionadas.
Además, los consumidores afectados por la brecha pueden emprender acciones legales y reclamar daños establecidos por ley, entre 100 y 750 dólares «por consumidor por incidente o por los daños reales, lo que sea mayor». Puede no parecer mucho en comparación con las famosas multas del GDPR, que alcanzan varios millones de dólares. Sin embargo, debes saber que la normativa CCPA considera cada infracción por separado e impone sanciones en consecuencia.
Zoom lo aprendió por las malas después de que millones de usuarios de Zoom demandaran a la empresa alegando que se habían violado sus derechos como consumidores cuando Zoom vendió sus datos personales a compañías de redes sociales. Para llegar a un acuerdo y cerrar el litigio, Zoom aceptó pagar 85 millones de dólares. Es más, Zoom también se comprometió a añadir más medidas de seguridad a su plataforma (como avisar a los usuarios cuando los anfitriones u otros participantes de la reunión usan apps de terceros durante las reuniones) y a formar a sus empleados en privacidad y manejo de datos.
Lo más importante es que no hay un límite máximo para las multas de la CCPA. Así que, si una empresa del tamaño de Facebook (con 18 millones de usuarios en California) fuera sancionada por una infracción de la CCPA, las sanciones podrían alcanzar los 45 000 millones de dólares, y eso solo en escenarios de infracción menos graves y sin contar los daños establecidos por ley.
Hacer que tu empresa cumpla con la CCPA puede parecer abrumador al principio: hay que hacer una auditoría de datos, una clasificación, asegurar los archivos especialmente sensibles, formar a tus empleados en las nuevas pautas y gestionar también las consultas de los consumidores.
Con Safetica, tu empresa puede ocuparse de todos esos pasos y cumplir con la CCPA de forma mucho más sencilla. Así es como podemos ayudarte:
Es más, Safetica también puede ayudarte a formar a tus compañeros sobre cómo clasificar datos, detectar, prevenir y responder a incidentes de seguridad, además de seguir cumpliendo con la CCPA (y otras normativas). Así puedes estar seguro de que la información de tu empresa está perfectamente a salvo y de que tu personal sabe cómo prevenir y responder a cualquier problema o amenaza relacionado con los datos.
La CCPA es la primera ley integral de privacidad del consumidor en EE. UU. y, en algunos aspectos, es incluso más estricta que su contraparte europea, el GDPR. No obstante, no se aplica a todas las organizaciones: si no alcanzas el umbral de ingresos o de datos, no necesitas cumplir con la ley CCPA. Sin embargo, aunque aún no cumplas los requisitos, siempre es mejor empezar con tiempo para no tener que correr más adelante.
Con Safetica a tu lado, puedes hacer que cumplir los estándares sea mucho más rápido y fácil, ya que te ayuda tanto a auditar tus datos y proteger tus archivos más importantes como a aumentar la concienciación sobre seguridad de datos entre tus compañeros.
Por tanto, tanto si necesitas cumplir con la normativa ahora como si estás planificándolo de cara al futuro, con Safetica puedes hacer que el proceso de cumplimiento sea más fácil y asegurarte de que seguirás cumpliendo en los próximos años.