La Ley de Privacidad del Consumidor de California (CCPA) se aprobó para proteger la privacidad y la seguridad de los datos de los residentes de California.

Las empresas que no están físicamente ubicadas en California o en los Estados Unidos aún pueden estar dentro del alcance de la CCPA. Eso significa que las empresas de todo el mundo pueden necesitar cumplir con los requisitos de la CCPA.

Sin embargo, existen exenciones. Sigue leyendo para saber qué organizaciones y tipos de datos están exentos de esta ley de privacidad de datos.

¿Qué organizaciones deben cumplir con la CCPA?

Cualquier organización con fines de lucro que recopile la información personal de los residentes de California y cumpla con uno de los siguientes requisitos de umbral debe cumplir con la CCPA:

• Supera los $25 millones en ingresos brutos anuales: Todos los ingresos globales cuentan para los $25 millones, no solo los ingresos provenientes de California. Eso significa que las organizaciones nacionales y multinacionales que procesan información personal sobre un pequeño número de residentes de California podrían estar bajo la ley.
• Compra, vende, recibe o comparte con fines comerciales la información personal de 50,000 o más consumidores, hogares o dispositivos: Este total podría abarcar el número de registros de información personal que una organización compró de un corredor de datos, el número de visitantes del sitio web que tuvo en el último año y/o el número de contactos en su CRM.
• Obtiene el 50% o más de sus ingresos anuales de vender datos personales: Los ingresos conectados a la publicidad basada en intereses, como los anuncios de retargeting, cuentan para este porcentaje.

Ejemplo

Debido al alcance de la CCPA relevante a los datos personales de los residentes de California, esta legislación puede impactar a las empresas de todo el mundo. Sin embargo, muchas empresas subestiman su alcance.

Echemos un vistazo a un ejemplo de una empresa que debe cumplir con la CCPA a continuación. Esto se basa en un ejemplo de caso de aplicación de la CCPA publicado por la Oficina del Fiscal General en California.

Un negocio que proporciona una plataforma de citas en línea tiene sede en Colorado. Vende la información personal de más de 50,000 usuarios que tienen una cuenta. Estos usuarios viven en todo el país, incluyendo California. ¿La CCPA se aplica a este negocio?

Sí, la CCPA se aplica a este negocio porque recopila y vende la información personal de más de 50,000 consumidores, algunos de los cuales viven en California.

¿Por qué se crearon las exenciones de la CCPA?

Bajo la CCPA, las definiciones de información personal, negocios y consumidores son amplias. Por ejemplo, el término “consumidor” se refiere a cualquier residente de California, no solo a clientes. Esto plantea preguntas complicadas, como si la información personal de empleados y solicitantes de empleo está sujeta a la CCPA. Si lo estuviera, gestionar esta información personal aumentaría la carga de cumplimiento en las empresas, especialmente en aquellas con recursos limitados.

Para abordar estas complejidades, la legislatura de California añadió exenciones a la CCPA, algunas de las cuales son temporales.

En 2019, la CCPA se enmendó para incluir exenciones temporales para la información personal de los empleados y las comunicaciones B2B. Estas exenciones temporales se extendieron con la aprobación de la Ley de Derechos de Privacidad de California (CPRA) y están actualmente programadas para expirar el 1 de enero de 2023. Sin embargo, en febrero de 2022, se introdujeron dos proyectos de ley para extender el plazo de las exenciones hasta el 1 de enero de 2026 o indefinidamente.

Echemos un vistazo más de cerca a qué negocios y categorías de información personal están exentos de la CCPA.

¿Qué negocios están exentos de la CCPA?

Hay algunos negocios que están completamente exentos de la CCPA tal como está escrita actualmente, incluso si recopilan información personal de los residentes de California y cumplen uno de los requisitos de umbral descritos anteriormente. Estos negocios son:

• Organizaciones sin fines de lucro: Las organizaciones sin fines de lucro están exentas porque no entran dentro de la definición de negocio.
• Agencias gubernamentales: Las agencias gubernamentales están exentas porque pueden necesitar información personal para investigaciones, citaciones y convocatorias; leyes federales, estatales y locales; u otros asuntos. El término agencia gubernamental es amplio y, por lo tanto, está abierto a interpretación. Probablemente abarcaría agencias federales, estatales y locales, así como organismos gubernamentales en todos los niveles, incluidas las escuelas públicas.
• Instituciones de seguros, agentes y organizaciones de apoyo: La CCPA exime a ciertos negocios que están regulados por otras leyes. Esto incluye instituciones de seguros, agentes y organizaciones de apoyo que están sujetas a la Ley de Protección de Información y Privacidad de Seguros de California (IIPPA).

¿Qué tipos de datos están exentos de la CCPA?

Además de los negocios exentos, también hay categorías exentas de información personal. Estas incluyen las siguientes categorías.

Información relacionada con el empleo

La CCPA incluye una exención limitada para la información personal de empleados y solicitantes de empleo que las empresas recopilan y usan únicamente en el contexto del rol de esa persona o de su rol anterior. Entonces, si un consumidor es tanto empleado como cliente de una empresa de comercio electrónico, por ejemplo, cualquier información personal recopilada mientras actúa como cliente está cubierta por la CCPA.

La exención para empleados de la CCPA es temporal y está actualmente programada para expirar el 1 de enero de 2023. Las empresas que dependen de esta exención para el cumplimiento de la CCPA deben planificar en consecuencia.

Comunicaciones B2B

Parte de la información personal recopilada durante las transacciones con otras empresas y organizaciones está parcialmente exenta de la CCPA. Esto incluye la información de contactos B2B manejada únicamente en el contexto de la diligencia debida o transacciones donde se provee o recibe un producto o servicio.

La exención B2B de la CCPA es otra exención temporal que vence el 1 de enero de 2023. Las empresas que dependen de esta exención para el cumplimiento de la CCPA deberían planificar en consecuencia.

Datos sujetos a otras leyes estadounidenses

Las entidades a continuación no están completamente exentas de la CCPA, pero algunos tipos de datos que recopilan sí lo están porque están sujetos a otras leyes.

1. Información financiera

La CCPA exime la información recopilada por instituciones financieras y empresas de servicios financieros que esté sujeta a la Ley Gramm-Leach-Bliley (GLBA) o a la Ley de Privacidad de la Información Financiera de California (CalFIPA).

2. Información de salud protegida

La CCPA exime la información de salud protegida (PHI) recopilada por entidades cubiertas o asociados de negocio y que esté sujeta a HIPAA. También exime la información médica sujeta a la ley análoga de California, la Ley de Confidencialidad de la Información Médica (CMIA).

3. Información de ensayos clínicos

La CCPA exime la información recopilada como parte de un ensayo clínico u otro estudio de investigación biomédica que esté sujeto a la Política Federal para la Protección de los Sujetos Humanos, también conocida como la Regla Común.

4. Información de informes de consumidores

La CCPA exime la recopilación, mantenimiento, divulgación, venta, comunicación o uso de cualquier información personal sujeta a la Ley de Información de Crédito Justo (FCRA) siempre que la actividad esté autorizada por la FCRA.

5. Información de conductores

La CCPA exime los datos procesados conforme a la Ley de Protección de Privacidad del Conductor de 1994 (DPPA).

Información de garantía y retiro

La información de garantía y retiro en cualquier industria está exenta de la CCPA.

Además, la información del vehículo o de propiedad retenida o compartida entre un concesionario de autos nuevo y el fabricante está exenta siempre y cuando esa información se comparta para efectuar una reparación cubierta por una garantía escrita o retiro.

Información personal recopilada y utilizada completamente fuera del estado de California

La CCPA no aplica a actividades que ocurren totalmente fuera de California. Así que si una empresa recopila la información personal de un consumidor cuando están fuera de California, esto no está sujeto a la CCPA. Si su información personal es recopilada cuando están en California pero no se vende, esto tampoco está sujeto a la CCPA. Finalmente, si ninguna parte de la venta de la información personal del consumidor ocurre en California, entonces no está sujeta a la CCPA.

Esta exención es probablemente la más difícil de aplicar en la práctica ya que la CCPA no especifica cómo se supone que una empresa debe determinar cuando un consumidor está fuera de California.

Cómo Secureframe puede eliminar las conjeturas en el cumplimiento de la CCPA

Al igual que el RGPD, la CCPA es una ley emblemática de privacidad de datos que brinda a los consumidores más control sobre la información personal que las empresas recopilan sobre ellos.

Aunque tiene grandes implicaciones sobre cómo las empresas pueden manejar los datos personales de los residentes de California, no se aplica a todas las empresas ni a todos los tipos de información personal. Estas exenciones pueden dificultar que las empresas operacionalicen la ley.

Ahí es donde entra Secureframe. Podemos ayudarlo a entender cómo la CCPA impacta su negocio y verificar el cumplimiento. Hacemos que el proceso de cumplimiento sea claro al proporcionar procedimientos y políticas revisadas por expertos en CCPA, capacitación exclusiva en CCPA para el cumplimiento automatizado de los empleados, acceso a expertos internos y actualizaciones sobre los últimos requisitos de la CCPA.

 Para tener total confianza en su estrategia de cumplimiento de la CCPA, agende una demostración de nuestra plataforma hoy mismo.