El 74% de los consumidores en todo el mundo sienten que tienen poco o ningún control sobre sus datos personales, según una investigación del Instituto Ponemon. Incluso más estadounidenses (81%) sienten que tienen poco o ningún control sobre sus datos personales una vez que se comparten con las empresas, según un estudio de Wakefield Research.

Los gobiernos de todo el mundo han introducido importantes leyes de privacidad de datos en respuesta a las crecientes preocupaciones de los consumidores sobre compartir su información personal. Las más notables son el Reglamento General de Protección de Datos (GDPR) en la Unión Europea y la Ley de Privacidad del Consumidor de California, enmendada por la Ley de Derechos de Privacidad de California (CPRA), en los Estados Unidos.

Entender cómo se comparan estas leyes en términos de a quién se aplican, qué tipos de información protegen y qué requieren es esencial para el crecimiento de las organizaciones. A continuación, cubriremos todo lo que necesita saber sobre CCPA vs GDPR.

CCPA vs GDPR

La Ley de Privacidad del Consumidor de California (CCPA) es una legislación de privacidad de datos que se aprobó en 2018 para dar a los residentes de California una mayor visión y control sobre cómo las empresas recopilan y utilizan su información personal. El Reglamento General de Protección de Datos (GDPR) es una ley aprobada en 2016 por la Unión Europea para ayudar a mantener los datos seguros mientras se brinda a los consumidores una mayor visión y control sobre quién puede procesar sus datos personales y por qué.

Tanto la CCPA como el GDPR se consideran algunas de las leyes de privacidad de datos más estrictas del mundo, y ambas comparten varias similitudes. Sin embargo, no son intercambiables.

A continuación se presentan las principales similitudes y diferencias a conocer.

Fecha de vigencia

La CCPA entró en vigor el 1 de enero de 2020. Fue enmendada por la CPRA, una iniciativa de votación aprobada en noviembre de 2020. La CPRA enmendó la CCPA actualizando los criterios de calificación y agregando derechos adicionales de privacidad del consumidor, entre otros cambios. Las disposiciones de la CPRA que estaban en la iniciativa de votación entraron en vigor el 1 de enero de 2023. Desde entonces, la Agencia de Protección de la Privacidad de California finalizó regulaciones adicionales para concretar los nuevos requisitos de la ley el 29 de marzo de 2023. La aplicación de estas nuevas regulaciones no comenzará hasta el 29 de marzo de 2024.

El GDPR entró en vigor el 25 de mayo de 2018.

A quién afecta la legislación

La CCPA se aplica a cualquier organización con fines de lucro que recopile la información personal de los residentes de California y que también cumpla con uno de los tres umbrales a continuación, así como a sus proveedores de servicios.

• Exceda los $25 millones en ingresos brutos anuales
• Compre, venda, reciba o comparta con fines comerciales la información personal de 100,000 o más consumidores, hogares o dispositivos
• Gane el 50% o más de sus ingresos anuales de la venta o el intercambio de datos personales.

El RGPD se aplica a los responsables y encargados del tratamiento de datos que tratan los datos personales de los residentes en la UE. Los responsables del tratamiento de datos son organizaciones que deciden cómo y por qué tratar los datos personales. Los encargados del tratamiento de datos son organizaciones que tratan los datos personales en nombre de los responsables del tratamiento de datos.

Alcance

Ambas leyes se aplican a empresas que están ubicadas fuera de sus fronteras. Cualquier organización que sirva a residentes de la UE o de California necesita entender sus obligaciones bajo estas leyes de privacidad de datos.

Qué se considera datos personales

El RGPD define los datos personales como cualquier información que se relacione con un individuo que pueda ser identificado, ya sea directa o indirectamente. Ejemplos incluyen nombres, fechas de nacimiento, números de teléfono, números de cliente, direcciones IP, números de teléfono o de tarjetas de crédito, datos de ubicación o biométricos.

La CCPA adopta un enfoque más amplio a la privacidad de datos, definiendo los datos personales como cualquier información que puede ser vinculada a un consumidor, hogar o dispositivo particular, ya sea directa o indirectamente. Ejemplos incluyen nombres y direcciones, números de Seguridad Social, historiales de compras e identificadores de dispositivos como direcciones IP.

Datos sensibles

El RGPD define una categoría especial de datos personales que está sujeta a condiciones específicas de tratamiento. Estos “datos sensibles” personales pueden revelar el origen racial o étnico de una persona, opiniones políticas o orientación sexual, entre otros identificadores, y solo pueden ser tratados por razones muy concretas, como el establecimiento de reclamaciones legales.

Bajo la CCPA enmendada por la CPRA, no existe una categoría especial de datos separada. Sin embargo, hay tipos de datos que caen bajo la definición de la CCPA de información personal que se consideran categorías especiales bajo el RGPD. Estos incluyen origen racial o étnico de una persona, así como números de pasaporte, geolocalización precisa, datos biométricos, mensajes de texto, entre otros. Las organizaciones deben permitir a los consumidores optar por no usar y divulgar su información personal sensible.

Derechos del sujeto de los datos

Tanto la CCPA, enmendada por la CPRA, como el RGPD otorgan a los sujetos de datos derechos similares, incluyendo:

• Derecho a saber qué datos personales se están recolectando
• Derecho a acceder a los datos personales
• Derecho a solicitar la eliminación de los datos personales
• Derecho a corregir información personal inexacta que una empresa tiene sobre ellos
• Derecho a la portabilidad de datos

Algunos de estos son solo en términos generales similares pero tienen algunas diferencias. Por ejemplo, el derecho de acceso de un sujeto de datos bajo la CCPA se limita a obtener una divulgación por escrito de su información personal. Este derecho bajo el RGPD permite un acceso más amplio.

Otros derechos de los sujetos de datos son sustancialmente diferentes entre las dos leyes. Por ejemplo, solo bajo la CCPA, los sujetos de datos tienen el:

• Derecho a optar por no vender información personal
• Derecho a limitar el uso y la divulgación de información personal sensible
• Derecho a la información de contacto para presentar solicitudes relacionadas con los derechos del consumidor
• Derecho a la no discriminación por ejercer los derechos de los sujetos de datos (aunque esto se implica en el RGPD)

Solo bajo el RGPD los sujetos de datos tienen el:

• Derecho a restringir el procesamiento de datos personales bajo ciertas circunstancias
• Derecho a oponerse al procesamiento de datos personales para ciertos fines, incluido el procesamiento automatizado y la elaboración de perfiles

Lo que se requiere

Además de respetar los derechos del consumidor con respecto a sus datos personales, las organizaciones tienen responsabilidades adicionales bajo la CCPA y el RGPD.

En efecto, ambas leyes requieren que las organizaciones tengan una razón legítima para recopilar y procesar información personal. Bajo la CCPA, las organizaciones deben establecer un propósito comercial válido para la recolección y/o procesamiento de datos personales. Bajo el RGPD, las organizaciones deben establecer una base legal para procesar los datos y obtener el consentimiento expreso de los consumidores.

Ambas leyes requieren que una organización implemente y mantenga prácticas y procedimientos de seguridad razonables para ayudar a garantizar que cualquier información personal que recopile esté segura de una violación de datos. Si bien ninguna especifica qué medidas de seguridad razonables son, ejemplos incluyen el cifrado de datos, cortafuegos, controles de acceso, capacitación de seguridad para empleados y mantener una política de privacidad actualizada.

Opt-ins y cookies

La CCPA tiene requisitos menos estrictos en torno al opt-in que el RGPD. Bajo la CCPA, las empresas solo están obligadas a obtener el consentimiento expreso de los usuarios menores de 16 años. El opt-in no es requerido a menos que sean menores de 16 años. Las empresas tampoco necesitan obtener el consentimiento expreso para las cookies que rastrean datos personales. Solo necesitan ofrecer una opción en su sitio web para que los usuarios opten por no usar cookies que venden su información personal.

Bajo el RGPD, los consumidores deben tomar una decisión clara e informada para optar por el procesamiento de datos. Las empresas no pueden coaccionar a los consumidores para que acepten compartir sus datos negándoles el acceso a productos o servicios, y no pueden engañar a los consumidores para que acepten ocultar el opt-in o mediante el uso de un lenguaje confuso.

Las empresas también deben obtener el consentimiento expreso para las cookies que rastrean datos personales y proporcionar una opción clara para que los usuarios opten por no utilizarlas para cumplir con el RGPD.

Restricciones de transferencia de datos

El GDPR incluye disposiciones específicas para transferir datos personales fuera de la UE o el Área Económica Europea (EEA). En casos donde se realizan transferencias de datos, se aplican condiciones estrictas para garantizar una protección de datos adecuada.

Por otro lado, el CCPA no regula la transferencia de información personal a través de las fronteras internacionales.

Quién hace cumplir la ley

El cumplimiento del CCPA es supervisado por el Fiscal General de California. El cumplimiento del GDPR es supervisado por las autoridades de protección de datos en los estados miembros de la UE.

Sanciones por violaciones de incumplimiento

El GDPR y el CCPA son leyes de protección de datos estrictas, con potenciales multas significativas por no cumplir.

Las empresas que no cumplan con los requisitos del CCPA pueden recibir multas del Fiscal General de California, de hasta $7,500 por violación. Sephora fue multada con $1.2 millones en 2022 por no informar a los consumidores que vendía su información personal. Fue la primera empresa penalizada bajo el CCPA.

Las organizaciones que violan el GDPR pueden pagar un precio mucho más alto, especialmente para violaciones intencionales.

El incumplimiento del GDPR puede significar sanciones financieras significativas — multas de hasta 20 millones de euros, o el 4% de los ingresos anuales globales de una empresa del año financiero anterior, lo que sea mayor. Amazon fue multada con $888 millones en 2021 por rastrear datos de clientes sin el debido consentimiento y Google ha pagado varias sanciones por violación que ascienden a más de $200 millones.

Cumpla con GDPR y CCPA con Secureframe

Nuestra plataforma de automatización de seguridad y cumplimiento hace que sea rápido y fácil garantizar su cumplimiento con la legislación de privacidad de datos, incluyendo GDPR y CCPA. Obtenga acceso a procedimientos y políticas revisadas por expertos en GDPR y CCPA, capacitación propietaria para el cumplimiento automático de los empleados, acceso a expertos internos y todo lo que necesita para obtener y mantener el cumplimiento. También nos mantenemos actualizados sobre las últimas regulaciones de privacidad de datos para usted, para que pueda concentrarse en lo que más importa: servir a sus clientes y hacer crecer su negocio.

Para obtener más información sobre nuestras ofertas de GDPR y CCPA, programe una demostración con uno de nuestros expertos en productos.