Safetica > Resources > GDPR vs CCPA: ventajas clave y diferencias

GDPR vs CCPA: ventajas clave y diferencias

sep 7, 2022

¿Sabes cuántos datos se generan cada día? De media, 2,5 trillones de bytes de datos. Para 2025, se estima que se generarán 463 exabytes de datos al día. Una gran parte de esa cantidad son datos personales: lo que les gusta a los usuarios online, lo que buscan y lo que compran. Esta información es prácticamente incalculable para organizaciones de todos los tamaños y sectores, ya que les permite entender mejor a sus clientes y lo que esperan de las marcas. El problema era que los usuarios de internet apenas tenían control sobre quién recopilaba sus datos y cómo se utilizaban.

 

Aunque existían varias leyes de privacidad (como la EU Personal Data Directive de 1995), el principal problema era que la normativa y los derechos de los usuarios online a menudo variaban de un país a otro, lo que con frecuencia conducía al uso indebido de los datos personales.

Sin embargo, desde 2018 la situación ha cambiado con el General Data Protection Regulation de la Unión Europea y la California Consumer Privacy Act, que limitan tanto la cantidad de datos que las organizaciones pueden recopilar como lo que pueden hacer con ellos.

Aunque CCPA y GDPR cubren temas similares y persiguen el mismo objetivo, hay algunas cosas que hacen de forma distinta. ¿Cuáles? Te contamos todo lo que necesitas saber sobre estas dos normativas de privacidad en este artículo de comparación GDPR vs. CCPA.

 

¿Qué es el GDPR?

El GDPR (General Data Protection Regulation) es un conjunto europeo de regulaciones de protección de datos que se aplica a todas las empresas del mundo que recopilan y almacenan datos personales sobre ciudadanos europeos.

El objetivo principal de la ley era limitar lo que las empresas pueden hacer con los datos que recopilan, proteger los derechos de privacidad de los consumidores y dar a las personas más control sobre cómo se utilizan sus datos personales. Bajo el General Data Protection Regulation, cualquier información que pueda identificar a una persona física viva se considera dato personal y, por tanto, queda dentro del alcance de la ley de protección de datos del consumidor: desde el nombre, el número de teléfono o la dirección hasta los hábitos de navegación o las compras anteriores. Los «interesados» (data subjects, es decir, las personas físicas a las que pertenecen los datos) también pueden, en cualquier momento, pedir a una empresa una copia de los datos que ha recopilado sobre ellos o solicitar que la empresa deje de utilizarlos.

Diseñado para sustituir a la algo desfasada directiva de protección de datos de 1995, el conjunto del GDPR contiene once capítulos y 99 artículos independientes. Estos capítulos se centran en los derechos de los titulares de los datos, las obligaciones de las empresas en cuanto al almacenamiento y tratamiento de los datos, las medidas necesarias de seguridad de los datos, las sanciones por incumplimiento y también en cómo se pueden ceder los datos a otras empresas. Esto hace de la ley europea de privacidad una de las más completas y, a la vez, una de las más estrictas del mundo.

Bajo el General Data Protection Regulation, las personas tienen derecho a:

  • Acceder a sus datos: un interesado tiene derecho a solicitar el acceso a sus datos y a preguntar cómo los utiliza la empresa. Las organizaciones también deben proporcionar una copia de la información personal del consumidor, gratuitamente, siempre que el titular de los datos lo solicite.

  • Que se eliminen sus datos: los interesados pueden pedir que se eliminen de las bases de datos de las empresas los datos recopilados sobre ellos.

  • Mover sus datos a otro lugar: los usuarios particulares pueden solicitar que sus datos de consumidor actuales se transfieran de un entorno a otro, por ejemplo, de un proveedor de servicios a otro.

  • Ser informados sobre la recopilación de sus datos: bajo el GDPR, las empresas deben facilitar un «aviso de privacidad» a los consumidores en el que les expliquen por qué recopilan y almacenan los datos y durante cuánto tiempo se conservarán. Las empresas también deben pedir el consentimiento del consumidor antes de recopilar los datos.

  • Corregir su información personal en cualquier momento: los consumidores que descubran que sus datos personales son incorrectos o están incompletos pueden pedir a las empresas que los actualicen.

  • Limitar o prohibir a las empresas el tratamiento de sus datos: siempre que un consumidor solicite a una empresa que deje de utilizar sus datos para determinados fines (por ejemplo, mensajes de marketing), la empresa debe cumplirlo de inmediato. Las empresas también deben dejar claro que los consumidores pueden retirar su consentimiento cuando lo deseen y darles una forma sencilla de hacerlo.

 

¿Cuándo tienes que aplicar el GDPR?

Cuando se trata de quién debe cumplir con la ley europea de privacidad, los requisitos del GDPR son muy claros.

En esencia, cualquier entidad que recopile o trate los datos personales de residentes en la UE debe cumplir con la normativa, independientemente de dónde esté ubicada la organización.

Las organizaciones que emplean a más de 250 personas también están obligadas automáticamente a cumplir con el GDPR. Las que tienen menos de 250 empleados no necesitan llevar registro de todas sus actividades de tratamiento de datos a menos que:

  • la recopilación y el tratamiento de datos con fines empresariales sea una de sus tareas principales
  • recopilen tipos específicos de datos mencionados en la normativa (como antecedentes penales)
  • afecten a los derechos y libertades de los interesados.

safetica-article-gdpr-image5

Esto puede sonar bastante amplio, así que veamos un ejemplo: una empresa de logística cualquiera con sede en Florida. Mientras solo trabajaran con clientes y empresas de EE. UU. y no tuvieran relaciones comerciales con compañías europeas, solo estarían obligadas a cumplir con la ley local. La situación cambia en cuanto empiecen a trabajar con empresas europeas: a partir de ese momento estarán legalmente obligadas a cumplir con la normativa GDPR.

Como todos los sitios web recopilan algún tipo de información del usuario, la ley GDPR también se les aplica. La única excepción son los sitios web restringidos geográficamente que no pueden ser consultados por nadie fuera de la ubicación especificada, por ejemplo, una versión estadounidense del sitio web de una marca a la que solo pueden acceder personas residentes en EE. UU.

 

¿Qué es la CCPA?

La California Consumer Privacy Act (CCPA) es una ley estatal aprobada en 2018 que entró en vigor en enero de 2020. La nueva ley, basada en el GDPR, se creó como respuesta a incidentes anteriores en los que se acusó a empresas de manejar mal o explotar información privada. Es la primera ley de su tipo en EE. UU. y otorga a los californianos una protección de privacidad online sin precedentes, incluido el derecho a demandar a empresas en caso de brecha de datos.

Los usuarios californianos también obtuvieron varios derechos nuevos con esta ley emblemática, entre ellos:

  • El derecho a saber qué información personal puede recopilar una empresa sobre ellos y cómo se utiliza.
  • El derecho a acceder en cualquier momento a la información personal que tiene una empresa.
  • El derecho a solicitar la eliminación de su información personal recopilada.
  • El derecho a oponerse a la venta de su información personal.
  • El derecho a ejercer sus derechos bajo la CCPA sin temor a que se les deniegue un servicio, se les cobre un precio más alto o se les ofrezca un nivel diferente de bienes o servicios.

Por la similitud de los derechos de los consumidores con los del General Data Protection Regulation, a la California Consumer Privacy Act se la suele llamar la versión californiana de la ley europea. Hay, no obstante, algunas formas en las que la ley californiana difiere del GDPR; veremos las principales diferencias en un momento.

 

¿Cuándo tienes que aplicar la CCPA?

Cuando se trata de las organizaciones que tienen que cumplir con la nueva ley de privacidad, la ley californiana es claramente menos estricta que la ley europea, ya que se aplica únicamente a cualquier empresa con ánimo de lucro que cumpla una o más de las siguientes condiciones:

  • Tener unos ingresos brutos superiores a 25 millones de dólares.
  • Almacenar datos personales de al menos 50 000 personas.
  • Comprar, vender, recibir o compartir información personal de 50 000 o más residentes en California al año con fines comerciales.
  • Obtener el 50 % o más de los ingresos anuales por la venta de información personal.

Al igual que el GDPR, el cumplimiento de la CCPA también se aplica a empresas fuera de EE. UU. y California. Mientras una empresa maneje cualquier dato personal procedente de residentes en California y cumpla al menos una de las condiciones anteriores, debe cumplir con la California Consumer Privacy Act. Hay, no obstante, excepciones para organizaciones sin ánimo de lucro y agencias gubernamentales.

 

Similitudes entre GDPR y CCPA

La California Consumer Protection Act y el General Data Protection Regulation se parecen en varios aspectos, por lo que se comparan a menudo. Ambas regulaciones se crearon para dar a los consumidores mucho más control sobre cuántos datos personales se recopilan sobre ellos y cómo se utilizan. Las dos leyes también ofrecen a los consumidores derechos casi idénticos: por ejemplo, pedir a las empresas que borren cualquier información que tengan almacenada sobre ellos u oponerse a que vendan sus datos personales.

Además, ninguna de las dos leyes se limita solo a California o Europa. Mientras una empresa maneje datos personales de residentes en la UE o en California, debe cumplir con la normativa GDPR y CCPA, independientemente de la sede principal de la compañía.

 

Diferencias clave entre GDPR y CCPA

Aunque las dos leyes parecen similares en cuanto a derechos y objetivos principales, también existen algunas diferencias importantes. Pasar por alto esos matices puede hacer que ajustar las políticas internas de privacidad de tu empresa y garantizar el cumplimiento normativo sea un poco más complicado. Veamos ahora qué hace exactamente que el General Data Protection Regulation y la California Consumer Protection Act sean únicas.

#1 Alcance de la ley

Primero, veamos cuán amplia es cada ley.

El General Data Protection Act se aplica a cualquier entidad (sea una empresa al uso, una organización sin ánimo de lucro o una agencia gubernamental) siempre que recopile o pueda recopilar en el futuro cualquier dato de cualquier persona ubicada en la UE. Y eso incluye cualquier medio por el que las entidades puedan recopilar datos: correos electrónicos, sitios web, etc. Las únicas exenciones son para empresas más pequeñas que rara vez tratan datos del consumidor y para aquellas sin clientes o usuarios en la UE.

La California Consumer Privacy Act, por su parte, solo cubre:

  • Entidades con ánimo de lucro que hagan negocios en California (con ONG y agencias gubernamentales exentas).
  • Empresas con unos ingresos anuales superiores a 25 millones de dólares.
  • Empresas que obtienen el 50 % o más de sus ingresos de la venta de información.
  • Empresas que comparten marca con o están controladas por una compañía que sí entra en el ámbito de la CCPA.

Esto hace que el GDPR sea una ley mucho más amplia que la CCPA, ya que cubre prácticamente a todas las organizaciones del mundo, sin importar el tamaño o la ubicación: si una empresa recopila cualquier dato de usuarios europeos, queda bajo el General Data Protection Regulation. El alcance de la California Consumer Privacy Act, en cambio, se limita solo a empresas más grandes (principalmente las de Silicon Valley), y las más pequeñas y las ONG no necesitan cumplir con la ley.

#2 Acceso a los datos

Bajo ambas leyes, los consumidores tienen derecho a preguntar a las empresas qué tipo de datos personales han recopilado sobre ellos y a solicitar una copia. Sin embargo, también hay aquí algunas diferencias (aunque pequeñas), por ejemplo, en cuanto al plazo de respuesta. Bajo el GDPR, los consumidores pueden enviar este tipo de solicitudes en cualquier momento, y la empresa que recibe la solicitud debe responder en 30 días hábiles (el plazo se puede ampliar para casos complejos). La CCPA, en cambio, permite 45 días hábiles.

En segundo lugar, el GDPR incluye también un derecho que permite a los consumidores corregir cualquier parte incompleta o incorrecta de sus datos. Los californianos no tenían ese derecho bajo la normativa CCPA, pero, a partir de enero de 2023, también tendrán derecho a corregir su información personal bajo la California Privacy Rights Act (CPRA).

#3 Recopilación de datos

La mayor diferencia entre ambas leyes está en cómo pueden recopilar datos las marcas, siendo la ley europea mucho más estricta que la californiana. Bajo el GDPR, las organizaciones tienen que indicar su «base jurídica» para recopilar los datos del consumidor (es decir, el motivo de la recopilación) y comunicar cómo se utilizarán esos datos posteriormente. Otro requisito es que las organizaciones no pueden recopilar ni utilizar los datos antes de que el consumidor les dé un permiso claro para hacerlo: esto se conoce como «consentimiento opt-in».

Muchas empresas usan casillas de verificación como métodos de opt-in: marcando o desmarcando casillas, los consumidores pueden dar su consentimiento para que se recopilen todos sus datos o pueden dejar algunas en blanco, limitando lo que las empresas pueden hacer con ellos.

Dar al consumidor información clara sobre lo que tiene que hacer para conceder su consentimiento a las organizaciones y sobre cómo y cuándo puede retirarlo es uno de los requisitos clave aquí.

La normativa CCPA, en cambio, no contempla un requisito de «consentimiento expreso» en la ley: las empresas pueden recopilar información personal de usuarios mayores de 16 años directamente, sin tener que pedir antes su permiso. Lo único que se exige bajo esta ley es informar a los consumidores de cómo pueden limitar la cantidad de datos que las empresas pueden recopilar sobre ellos y de qué deben hacer para oponerse (opt-out).

Las empresas que vendan información personal también están obligadas a añadir un enlace «Do Not Sell My Personal Information» en un lugar visible de su web para ofrecer a los consumidores una forma sencilla de oponerse a que sus datos se vendan a otras entidades.

#4 Multas y sanciones por incumplimiento

Por último, cada ley tiene multas y sanciones económicas distintas por incumplimiento. El GDPR es conocido por sus multas administrativas bastante elevadas. Las infracciones más pequeñas y menos graves pueden conllevar sanciones de hasta 10 millones de euros o el 2 % de la facturación anual mundial de la empresa (lo que sea mayor). Las infracciones graves o reiteradas, en cambio, pueden alcanzar los 20 millones de euros o el 4 % de la facturación anual, también lo que sea mayor. Desde 2018, la Unión Europea ha impuesto más de 163 millones de euros en multas totales por GDPR, siendo la mayor de 746 000 000 € impuesta a Amazon Europe Core S.à R.L. el año pasado.

En comparación con las anteriores, las multas de la CCPA pueden parecer mucho más bajas:

  • La sanción civil máxima por infracciones intencionadas es de 7500 dólares.
  • La sanción civil máxima por infracciones no intencionadas es de 2500 dólares.
  • Los consumidores también pueden presentar demandas privadas por daños y perjuicios establecidos por ley, que oscilan entre 100 y 750 dólares por cada incidente de brecha.

En comparación con las multas del GDPR, estas pueden no parecer significativas a primera vista. Sin embargo, debes saber que la normativa CCPA considera cada incidente de infracción por separado y lo multa de forma individual, sin que exista un límite máximo. Las multas por daños reales también se cuentan aparte.

Así, por ejemplo, supongamos que una empresa del tamaño de Facebook no cumple con los requisitos de privacidad y la California Attorney recibe más de 200 000 reclamaciones al respecto. Si las infracciones se consideran intencionadas, la multa final podría llegar a 1500 millones de dólares en total.

Por tanto, aunque las multas por incumplimiento de la CCPA puedan parecer pequeñas a primera vista en comparación con el GDPR, la cantidad puede dispararse rápidamente, especialmente si se suman las multas por daños al consumidor a las ya considerables multas por las infracciones principales.

 

Resumen CCPA vs GDPR

Ahora que hemos analizado más de cerca la California Consumer Privacy Act y el EU General Data Protection Regulation, podemos ver que tienen varias diferencias importantes. Resumámoslas:

  CCPA GDPR
¿Quién está sujeto a la normativa?

La CCPA solo se aplica a:

  • Empresas grandes con una facturación bruta superior a 25 millones al año.
  • Empresas que compran, venden, comparten o utilizan los datos personales de más de 50 000 consumidores al año.
  • Empresas que obtienen más del 50 % de sus ingresos de la venta de información personal.

Las ONG y las agencias gubernamentales están exentas.
  • Todas las empresas del mundo, siempre que tengan cualquier relación comercial o contacto con clientes ubicados en Europa.
  • Las organizaciones de más de 250 empleados también están obligadas a cumplir con la normativa GDPR.
  • No hay exenciones.
¿A quién protege? A los consumidores, definidos como ciudadanos de California que viven o están domiciliados en California. A los interesados (data subjects), definidos como personas físicas que pueden ser identificadas a través de la información personal almacenada.
Cómo puede recopilar datos una empresa bajo la ley Las organizaciones pueden recopilar información personal sin tener que pedir permiso al consumidor. Sin embargo, tienen que indicar claramente cómo pueden los consumidores limitar los datos que las empresas pueden recopilar y cómo pueden oponerse a que sus datos se vendan a terceros. Bajo el GDPR, las organizaciones no pueden recopilar datos a menos que tengan un motivo claro que se ajuste a una de las bases jurídicas del GDPR y el cliente haya dado su permiso para recopilarlos.
Derechos otorgados a las personas cubiertas por la ley
  • El derecho a saber sobre la recopilación, almacenamiento y tratamiento de la información personal.
  • El derecho a acceder a su información personal en poder de una empresa.
  • El derecho a solicitar que las organizaciones eliminen la información personal almacenada.
  • El derecho a oponerse a la venta de su información personal.
  • El derecho a ejercer sus derechos CCPA sin discriminación.
  • Acceder a sus datos en cualquier momento.
  • Que se eliminen sus datos.
  • Ser informados sobre la recopilación de sus datos y dar su consentimiento.
  • Corregir su información personal en cualquier momento.
  • Limitar o prohibir a las empresas el tratamiento de sus datos.
  • Mover sus datos a otro lugar.
Sanciones por incumplimiento
  • Sanción civil máxima de 7500 dólares por cada caso de infracción intencionada.
  • Sanción civil máxima de 2500 dólares por cada caso de infracción no intencionada.
  • Los consumidores también pueden presentar demandas privadas por daños establecidos por ley, entre 100 y 750 dólares por cada incidente de brecha.
  • Hasta 10 millones de euros o el 2 % de la facturación anual (lo que sea mayor) para infracciones leves.
  • Hasta 20 millones de euros o el 4 % de la facturación anual (lo que sea mayor) para infracciones graves o intencionadas.

 

Conclusión

La CCPA y el GDPR comparten una intención similar: proteger la privacidad de los consumidores en el mundo digital y poner fin al uso indebido de sus datos por parte de las empresas. Pero hay diferencias visibles en cómo funciona cada una.

Con el GDPR, todas las organizaciones, sin importar su tamaño o ubicación, deben cumplir con la normativa si tienen o pueden tener clientes en la UE. Como hay tantos requisitos específicos, es posible que tu empresa también tenga que prepararse y adoptar varias medidas organizativas para cumplir.

Los requisitos de la CCPA son algo más laxos, ya que solo necesitas cumplir con la normativa si reúnes una o más condiciones, como almacenar datos de más de 50 000 personas.

No obstante, navegar por los matices de cada ley y tener todo listo para el proceso de cumplimiento puede resultar un poco confuso, especialmente si es la primera vez que entiendes y cumples con los requisitos de privacidad. ¿No sería más fácil todo el proceso si tuvieras a alguien al lado para ayudarte?

Con Safetica de tu lado, puedes entender cómo recopila y almacena los datos tu empresa, asegurarte de que están protegidos y comprender los matices de ambas leyes de privacidad. Cumplir con el GDPR o con la CCPA será entonces pan comido.

dlp_schema-2-05
dlp_schema-2-06 (1)
dlp_schema-2-07

Similar posts