Cuando se les preguntó sobre la gestión de su privacidad en línea, solo el 21% de los adultos en EE. UU. dijeron estar seguros de que aquellos que tienen acceso a su información personal harán lo correcto, según una encuesta realizada por el Pew Research Center.

A medida que las personas comparten más de su información personal con las empresas, están cada vez más preocupadas por lo que esas empresas hacen con sus datos y por qué. Los gobiernos de todo el mundo están tomando nota y aprobando leyes de privacidad de datos, incluida la Regulación General de Protección de Datos (GDPR) de la UE y la Ley de Privacidad del Consumidor de California (CCPA) en los EE. UU.

Entonces, ¿cómo impacta la legislación CCPA a las empresas? Este artículo ofrece una introducción sencilla a los aspectos esenciales de la CCPA, según lo enmendado por la Ley de Derechos de Privacidad de California. Sigue leyendo para saber quién necesita cumplir con la CCPA, qué requiere la ley, penalidades por incumplimiento y más.

¿Qué es la Ley de Privacidad del Consumidor de California (CCPA)?

La Ley de Privacidad del Consumidor de California de 2018 otorga a los residentes de California mayor conocimiento y control sobre cómo las empresas recopilan y usan su información personal.

La ley exige que las empresas implementen una serie de iniciativas de privacidad, desde publicar una política de privacidad fácilmente accesible hasta permitir a los consumidores optar por no participar en la recopilación de datos. La CCPA también otorga a los residentes de California derechos específicos sobre quién puede recopilar o procesar sus datos y con qué propósito.

¿Quién necesita cumplir con la CCPA?

La CCPA se aplica a las organizaciones con fines de lucro que recopilan la información personal de los residentes de California. Pero no todas las empresas están sujetas a la ley de privacidad de datos. Para estar dentro del alcance de la CCPA según lo enmendado por la CPRA, la organización también debe cumplir con uno de estos tres umbrales:

• Supera los $25 millones en ingresos brutos anuales
• Compra, vende, recibe o comparte con fines comerciales la información personal de 100,000 o más consumidores, hogares o dispositivos
• Obtiene el 50% o más de sus ingresos anuales de la venta o el intercambio de datos personales

Definición de información personal según la CCPA

Debido a que la CCPA regula lo que las empresas pueden y no pueden hacer con la información personal, es importante entender qué califica como datos personales. El texto de la CCPA define la información personal como cualquier “información que identifique, se relacione con, describa, esté asociada o pueda razonablemente vincularse, directa o indirectamente, con un consumidor o un hogar en particular.

Para aclarar, la información personal es cualquier cosa que pueda vincularse a un consumidor o un hogar específico. Esto incluye nombres y direcciones, números de Seguro Social e identificadores de dispositivos como direcciones IP.

Los datos personales no incluyen información que sea de acceso público, como los registros de impuestos sobre la propiedad. Los datos agregados tampoco se consideran información personal, ni la información sanitaria que esté regulada por otras legislaciones como HIPAA o la Ley de Confidencialidad de la Información Médica de California.

Derechos del consumidor según la CCPA

Según la CCPA, las organizaciones deben respetar los derechos de los consumidores en relación con sus datos personales. Estos derechos incluyen:

Derecho a Saber

Los consumidores tienen derecho a saber qué información personal suya es vendida o compartida, y con quién. Por lo tanto, si usted recopila información sobre consumidores protegidos por la CCPA, debe informarlos en el momento de la recopilación de datos (o antes).

Derecho de Acceso

Los consumidores tienen derecho a acceder a la información personal que usted ha recopilado de ellos. Si recibe una solicitud de un consumidor, tiene 45 días para proporcionarle la información en un formato fácilmente utilizable, de forma gratuita. Los consumidores también deben tener acceso fácil a su política de privacidad completa. 

Derecho de Supresión

Los consumidores pueden solicitar que se borre su información personal y que sus proveedores de servicios hagan lo mismo. Hay excepciones, como si su negocio está legalmente obligado a mantener la información.

Derecho a Información de Contacto

Las organizaciones están obligadas a facilitar que los consumidores puedan obtener más información sobre su política de privacidad y los esfuerzos para cumplir con la CCPA. Esto incluye la información de contacto para enviar solicitudes relacionadas con los derechos del consumidor. 

Derecho a Oponerse

Si su organización vende o comparte la información personal de un consumidor, está obligado a darle la oportunidad de oponerse. Esto incluye una página web que ofrezca claramente una opción de oposición con un enlace a su política de privacidad. También debe dar a los consumidores el derecho a oponerse a futuros esfuerzos de marketing. 

Derecho a un Trato Justo

Las organizaciones tienen prohibido discriminar contra consumidores que ejercen sus derechos bajo la CCPA. 

Derecho a Corregir

Los consumidores tienen el derecho a corregir información personal inexacta que una empresa tenga sobre ellos. Este es un nuevo derecho otorgado bajo la CPRA.

Derecho a Limitar el Uso y la Divulgación de Información Personal Sensible

Los consumidores también tienen el derecho a limitar el uso y la divulgación de la información personal sensible recopilada sobre ellos. Por ejemplo, pueden instruir a una empresa para que solo use sus datos de geolocalización precisos para proporcionarles los servicios que solicitaron. Este es un nuevo derecho otorgado bajo la CPRA.

CCPA vs CPRA: Comparación de leyes de privacidad de datos

El CPRA es una iniciativa de votación que se aprobó en noviembre de 2020. No reemplaza a la CCPA. La enmienda y agrega protecciones adicionales de privacidad para los consumidores.

La mayoría de las disposiciones del CPRA entraron en vigor el 1 de enero de 2023 y son aplicables hoy en día. Sin embargo, la Agencia de Protección de la Privacidad de California (CPPA) finalizó regulaciones adicionales para especificar los nuevos requisitos de la ley el 29 de marzo de 2023. La aplicación de estas nuevas regulaciones comenzó el 29 de marzo de 2024.

Para ayudarte a comprender y cumplir con los requisitos que son aplicables hoy en día, aquí tienes una descripción general de los cambios clave:

• Estableció la Agencia de Protección de la Privacidad de California (CPPA, por sus siglas en inglés): Esta agencia fue creada para implementar y hacer cumplir la ley. Aunque la CPPA tiene todo el poder administrativo, la autoridad y la jurisdicción para hacerlo, el Fiscal General de California aún retiene autoridad para la aplicación civil.
• Actualizó los criterios de calificación: Dos de los tres criterios para el cumplimiento del CPRA cambiaron. Ahora se aplica a organizaciones con fines de lucro que compran, venden o comparten la información personal de 100,000 o más consumidores o hogares (anteriormente, no se incluía “compartir” y el umbral era de 50,000). También se aplica a organizaciones con fines de lucro que ganan el 50% o más de sus ingresos anuales basado en compartir información personal, no solo en vender.
• Agregó dos derechos del consumidor: El CPRA agrega dos derechos del consumidor adicionales al conjunto original de la CCPA. Estos nuevos derechos son el derecho a corregir información personal inexacta y el derecho a limitar el uso y la divulgación de información personal sensible. Se pueden encontrar más detalles sobre todos los derechos del consumidor de la CCPA a continuación.
• Definió un nuevo subconjunto de información personal: El CPRA define un nuevo subconjunto de información personal conocido como “información personal sensible”. La SPI puede revelar los orígenes raciales o étnicos de una persona, así como números de pasaporte, geolocalización precisa, datos biométricos, mensajes de texto y más. Las organizaciones deben permitir a los consumidores optar por no participar en el uso y la divulgación de su SPI.

Cómo cumplir con los requisitos de la CCPA

Para cumplir con la ley, las empresas deben seguir los requisitos clave a continuación. Estos incluyen los requisitos de la CCPA y el CPRA.

1. Establecer un propósito legítimo para recopilar información personal

La CCPA requiere que las empresas cubiertas revelen el propósito comercial o de negocios para recopilar o vender información personal en el punto de recopilación.

Para cumplir con este requisito, las organizaciones deben primero determinar este propósito.

Propósito comercial significa que la información personal se está utilizando para un propósito operativo de negocios o de un proveedor de servicios. La CCPA define 7 tipos de propósitos comerciales:

• Auditoría de interacciones con los consumidores, como un conteo de impresiones de anuncios
• Detectar y prevenir incidentes de seguridad
• Depuración para identificar y reparar errores en la funcionalidad
• Uso a corto plazo que no implica la creación de un perfil del cliente
• Proporcionar servicios como soporte al cliente y cumplimentación de pedidos
• Realización de investigaciones y desarrollo interno
• Verificación de la calidad y la seguridad de un dispositivo, como la realización de actualizaciones de dispositivos.

Propósito comercial significa que la información personal se utiliza para promover los intereses comerciales o económicos de una persona. Por ejemplo, un negocio puede usar datos personales para inducir a las personas a comprar propiedades, suscribirse a servicios o intercambiar productos. La CCPA no proporciona una lista de propósitos comerciales como lo hace con los propósitos comerciales.

2. Realizar el inventario de datos.

A continuación, realice un inventario exhaustivo de todos los datos recopilados, procesados y almacenados por su organización. Identifique las fuentes de datos, dónde se almacenan, cómo se utilizan y quién tiene acceso a ellos. Durante este proceso, también querrá comprender cuánto tiempo retendrá estos datos.

Puede formalizar esto en una política de retención de datos. Esta política debe especificar cuánto tiempo se conservarán los datos de los consumidores y los procedimientos para eliminar de manera segura los datos que ya no sean necesarios.

3. Agregar un botón de exclusión en el sitio web.

La CCPA requiere que las organizaciones provean a los consumidores la capacidad de optar por no vender o compartir su información personal.

Para cumplir con este requisito, debe publicar un enlace de exclusión "No Vender o Compartir Mi Información Personal" en un lugar claro y visible en su sitio web.

4. Crear un proceso para responder y registrar las solicitudes de los clientes.

También deberá desarrollar procesos para manejar las solicitudes de los consumidores relacionadas con sus derechos sobre los datos. Esto puede incluir solicitudes para:

• Obtener una copia de su información personal.
• Actualizar información personal que sea inexacta o incompleta.
• Optar por no participar o solicitar la limitación de la venta o el intercambio de su información personal.
• Eliminar su información personal.

Estos procesos deben ser eficientes, transparentes y cumplir con los requisitos de la CCPA y la CPRA. Los requisitos varían según la solicitud. Por ejemplo, para las solicitudes de exclusión, las organizaciones deben proporcionar un enlace de exclusión y responder lo antes posible con un máximo de 15 días hábiles desde la fecha en que recibieron la solicitud. Para las solicitudes de conocimiento, eliminación y corrección, las organizaciones deben responder dentro de los 45 días naturales, o 90 días si notifican al consumidor. También deben designar al menos dos métodos para que los consumidores envíen sus solicitudes, como un número de teléfono gratuito, una dirección de correo electrónico, un formulario web o un formulario en papel (a menos que operen exclusivamente en línea).

5. Crear y actualizar una política de privacidad anualmente.

Una política de privacidad debe describir las prácticas de privacidad de su organización y los derechos de privacidad de los consumidores. Esto implica especificar las formas designadas en que los consumidores pueden enviar sus solicitudes para conocer, eliminar y corregir, con instrucciones claras.

Esta política debe actualizarse al menos cada 12 meses para reflejar los procesos actuales de su organización para recopilar, vender, procesar, manejar o compartir los datos de los consumidores.

6. Crear un aviso de privacidad al momento de la recopilación.

Las organizaciones deben tener un aviso de privacidad al momento o antes de la recopilación para informar a los consumidores qué información personal están recopilando. Eso significa que una organización puede enlazar al aviso en su página principal o en una página web donde los consumidores realicen un pedido o proporcionen su información personal por otra razón.

Este aviso debe incluir:

• Las categorías de información personal que ha recopilado sobre ese consumidor.
• Las categorías de fuentes de las cuales se recopila la información personal.
• El propósito comercial o de negocio para recopilar, vender o compartir información personal.
• Las categorías de terceros a quienes la empresa divulga información personal.
• Las piezas específicas de información personal que ha recopilado sobre ese consumidor.

Según lo requerido por una nueva disposición en la CPRA, este aviso también debe incluir:

• las categorías de información sensible recopilada y si se venden o comparten
• el tiempo de retención de cada categoría de información personal, o los criterios que se utilizarían para determinar el período de retención.

Además, el aviso debe contener un enlace a la política de privacidad de su organización para que los consumidores puedan obtener una descripción más completa de sus derechos de privacidad y las prácticas de privacidad de la organización si lo desean.

7. Implementar medidas de protección de datos

La CCPA requiere que las organizaciones implementen medidas de seguridad razonables para proteger la información personal que recolectan. Estas medidas pueden incluir:

• Restringir la recolección de información personal al mínimo necesario
• Encriptar o anonimizar la información personal que recolecte
• Crear una política interna de protección de datos para generar conciencia sobre los roles y responsabilidades de los empleados
• Llevar a cabo evaluaciones de impacto en la protección de datos (esta plantilla puede ayudar)
• Implementar controles de acceso
• Realizar evaluaciones de riesgos y pruebas de vulnerabilidad para identificar y abordar riesgos

8. Gestionar relaciones con terceros

La gestión de riesgos de terceros también es una parte clave del cumplimiento de la CCPA. Las organizaciones deben establecer un acuerdo de procesamiento de datos con proveedores de servicios, contratistas y terceros que puedan recibir información personal de la organización. Estos acuerdos deben estipular términos que cumplan con los requisitos de la CCPA y CPRA, incluyendo el procesamiento de información personal siguiendo las instrucciones de su organización y ayudando a cumplir con las solicitudes de derechos del consumidor.

Las organizaciones también deben completar evaluaciones de riesgos de proveedores para identificar y mitigar cualquier riesgo de seguridad adicional.

9. Completar el entrenamiento sobre la CCPA

El entrenamiento de empleados es otra medida de seguridad que puede implementar para proteger los datos del consumidor.

El entrenamiento sobre la CCPA es obligatorio para todas las personas responsables de manejar consultas de consumidores sobre las prácticas de privacidad de una empresa. Este entrenamiento debe explicar qué derechos tienen los consumidores bajo la ley y cómo pueden ejercer esos derechos.

Todo el personal involucrado en la recolección, almacenamiento, procesamiento, venta o compartición de información personal de los consumidores debe recibir un entrenamiento en privacidad de datos para ayudarles a manejar de manera segura las diferentes categorías de datos personales.

10. Monitorear el cumplimiento

Para asegurar un cumplimiento continuo con los requisitos de la CCPA y CPRA, necesitará monitorear y auditar regularmente las prácticas de datos de su organización y mantenerse al tanto de cualquier actualización o cambio en las regulaciones de la CCPA y CPRA. La automatización puede ayudar a simplificar el monitoreo continuo.

Lista de verificación de cumplimiento de la CCPA

Para ayudarlo a evaluar la preparación de su empresa para el cumplimiento de la CCPA, descargue la lista de verificación de cumplimiento de la CCPA a continuación.

Sanciones por incumplimiento de la CCPA

Las organizaciones deben responder a las solicitudes de los consumidores para ejercer sus derechos bajo el CCPA dentro de los 45 días posteriores a la recepción. Si la organización no aborda una violación dentro de los 30 días posteriores a la notificación, está sujeta a una multa de hasta $7,500 por violación por parte del Fiscal General de California. En caso de una violación de datos, los consumidores pueden buscar daños de hasta $750 por violación.

Si bien las disposiciones de CPRA aún no son aplicables, las empresas que manejan grandes volúmenes de datos personales de los residentes de California aún enfrentan multas y sanciones significativas por violar las disposiciones de CCPA, como el acuerdo de $1.2 millones de Sephora.

CCPA y GDPR: Comparando leyes de privacidad de datos

Tanto el Reglamento General de Protección de Datos (GDPR) como el CCPA son considerados algunas de las leyes de privacidad de datos más estrictas del mundo, y ambos comparten varios principios comunes.

Por un lado, ambas leyes requieren que las organizaciones respeten la solicitud de un cliente de optar por no procesar sus datos personales. GDPR y CCPA también exigen que las organizaciones notifiquen a los consumidores sobre una violación de datos. Ambos protegen los derechos del consumidor para solicitar que sus datos personales sean eliminados y para la portabilidad de datos.

Dicho esto, las dos leyes no son intercambiables. Existen algunas diferencias en los puntos más finos de la legislación. Por ejemplo, GDPR tiene requisitos relacionados con transferencias internacionales de datos a través de mecanismos como las Cláusulas Contractuales Estándar, mientras que CPRA no tiene disposiciones específicas para transferencias internacionales de datos.

Pero la principal diferencia a destacar es que bajo GDPR, la información personal es información que puede vincularse a una persona en particular (sujeto de datos). GDPR tiene una definición amplia de datos personales, abarcando cualquier información que pueda identificar directa o indirectamente a una persona. CCPA también tiene una definición amplia de información personal, pero no se basa únicamente en el vínculo con una persona en particular. También incluye datos relacionados con hogares.

Simplifique el cumplimiento de seguridad y privacidad con Secureframe

Ya sea que su organización deba cumplir con legislación como CCPA o GDPR, necesite obtener un informe SOC 2 para satisfacer las demandas de los clientes, o simplemente quiera construir un programa de ciberseguridad más maduro, Secureframe puede ayudar a su organización a reducir el esfuerzo y los costos de gestionar un programa de privacidad y seguridad de datos.

Con Secureframe, puede:

• Establecer las políticas y procedimientos de privacidad de datos adecuados
• Entregar y rastrear la capacitación de los empleados
• Automatizar la recopilación de evidencia para el cumplimiento de CCPA y otros marcos
• Mantenerse al día con los últimos requisitos de privacidad de datos
• Mapear controles y pruebas que implemente para el cumplimiento de CCPA a otros marcos para acelerar el tiempo de cumplimiento y reducir el trabajo duplicado
• Conectarse a nuestras más de 150 integraciones para monitorear continuamente su pila tecnológica
• Simplificar las revisiones de proveedores, evaluaciones de riesgo y seguimiento de accesos

Para ver por qué el 97% de los usuarios de Secureframe informaron haber fortalecido su postura de seguridad y cumplimiento, solicite una demostración hoy.