• blogangle-right
  • Lista de Verificación de Cumplimiento de CPRA: Cambios Clave y Cómo Implementarlos en su Negocio

Table of Contents

Lista de Verificación de Cumplimiento de CPRA: Cambios Clave y Cómo Implementarlos en su Negocio

  • February 29, 2024

En el panorama en constante evolución de la privacidad digital, la Ley de Derechos de Privacidad de California (CPRA) marca un hito significativo para las empresas y los consumidores por igual en el Estado Dorado. Promulgada para mejorar y expandir los fundamentos establecidos por la Ley de Privacidad del Consumidor de California (CCPA), la CPRA introduce una nueva era de estándares estrictos de protección de datos y derechos de privacidad del consumidor.

A medida que las empresas navegan por las complejidades del cumplimiento, comprender los requisitos de la CPRA se convierte no solo en una obligación legal, sino en un elemento crucial para construir confianza y transparencia con los clientes.

A continuación, explicamos los aspectos esenciales del cumplimiento de la CPRA, ofreciendo una guía completa para ayudar a las organizaciones a alinear sus prácticas con las disposiciones de la ley. Cubriremos los aspectos clave del cumplimiento de la CPRA, desde comprender los derechos del consumidor hasta implementar medidas robustas de protección de datos, para ayudar a su empresa a cumplir con las obligaciones legales y adoptar la privacidad de los datos como un valor central.

Explicación de la Ley de Derechos de Privacidad de California (CPRA)

La CPRA es una nueva legislación que enmienda y amplía la CCPA existente para brindar a los consumidores californianos protecciones de privacidad de datos más fuertes. Fue promulgada el 3 de noviembre de 2020, después de ser aprobada por los votantes de California a través de una iniciativa de voto durante las elecciones generales.

La CPRA amplía la definición de información personal establecida por la CCPA y crea nuevos derechos para los consumidores, incluyendo el derecho a:

  • Corregir información personal inexacta
  • Eliminar información personal
  • Saber qué información personal se recopila y cómo se usa
  • Optar por no vender su información personal

Si la CCPA ya otorgó a los residentes de California protecciones de privacidad de datos, ¿por qué es necesaria la CPRA y cuál es su propósito? La CPRA se promulgó por varias razones:

  1. Fortalecer los derechos de privacidad del consumidor: La CPRA brinda a los residentes de California un mayor control sobre su información personal, como el derecho a corregir información inexacta y el derecho a limitar el uso de información personal sensible.
  2. Abordar nuevos desafíos de privacidad: A medida que la tecnología y las prácticas de datos evolucionan, surgen nuevos desafíos de privacidad. La CPRA fue diseñada para abordar estos desafíos actualizando y ampliando el marco regulatorio para proteger mejor a los consumidores en un panorama digital en rápida evolución.
  3. Fortalecer la aplicación: La CPRA estableció la Agencia de Protección de Privacidad de California (CPPA), una nueva agencia reguladora dedicada a hacer cumplir las leyes de privacidad del estado. Este movimiento tenía como objetivo fortalecer la aplicación de los derechos de privacidad y garantizar que las empresas cumplan con la ley.
  4. Aclarar y expandir las regulaciones: La CPRA también buscó aclarar ciertos aspectos de la CCPA que eran ambiguos o sujetos a interpretaciones variadas. También cierra lagunas en la legislación que podrían haberse explotado en detrimento de la privacidad del consumidor.
  5. Alienarse con los estándares de privacidad globales: Con la tendencia global hacia protecciones de privacidad más fuertes, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, la CPRA tenía como objetivo acercar las leyes de privacidad de California a los estándares internacionales.

Lecturas recomendadas

Cumplimiento de CCPA: Una guía para la ley de privacidad de datos de California según enmienda CPRA

¿Qué empresas deben cumplir con la CPRA?

Al igual que la CCPA, la CPRA se aplica a cualquier organización con fines de lucro que recopile o procese la información personal de los consumidores californianos. Esto incluye:

  • Empresas de tecnología, como redes sociales, tecnología publicitaria, tecnología educativa y servicios en la nube
  • Empresas de comercio electrónico y minoristas en línea
  • Fintech e instituciones financieras como bancos y cooperativas de crédito
  • Empresas de viajes y hospitalidad, incluyendo hoteles, aerolíneas y agencias de viajes
  • Servicios de suscripción como proveedores de streaming, publicaciones en línea y programas de membresía
  • Negocios inmobiliarios y plataformas en línea
  • Corredores de datos y firmas de marketing que compran, venden o comparten información personal

Existen ciertas exenciones para las pequeñas empresas que:

  • Tienen un ingreso bruto anual de menos de 25 millones de dólares
  • Compran, venden o procesan la información personal de menos de 100,000 consumidores o hogares al año
  • Derivan menos del 50% de su ingreso anual de la venta o compartición de la información personal de los consumidores

CPRA vs CCPA vs GDPR: Comparación de Regulaciones de Privacidad de Datos

CCPA CPRA GDPR
Affects California residents California residents EU residents
Applicable to For-profit businesses that collect California residents' personal information For-profit businesses that collect California residents' personal information Organizations that process the personal data of EU residents
Consumer rights Rights to access, delete, and know about personal information collected, sold, or disclosed; right to opt-out of the sale of personal information Grants additional rights to correct inaccuracies and limit the use of sensitive personal information Rights regarding access, rectification, erasure, restriction of processing, data portability, objection, and rights related to automated decision-making and profiling
Data protection requirements Focus on transparency, accountability, and giving consumers control over their personal information Introduces more specific requirements for risk assessments and cybersecurity audits for high-risk activities and sensitive data Emphasizes data protection by design and requires data controllers and processors to implement appropriate technical and organizational measures to ensure and demonstrate compliance
Data sharing restrictions No specific provisions regarding cross-border data transfers but requires contracts with service providers and third parties to ensure protections extend to data processed on behalf of businesses No specific provisions regarding cross-border data transfers but requires contracts with service providers and third parties to ensure protections extend to data processed on behalf of businesses Imposes strict requirements for transferring personal data outside the EU, ensuring such transfers only occur to countries deemed to provide an adequate level of data protection or through approved mechanisms like Standard Contractual Clauses (SCCs)
Enforcement Enforced by the California Attorney General, with provisions for civil penalties and a limited private right of action for data breaches Establishes the California Privacy Protection Agency (CPPA) for enforcement, expands the private right of action, and introduces administrative fines Enforced by data protection authorities in each EU member state, with provisions for substantial fines up to €20 million or 4% of annual global revenue, whichever is higher

¿Qué tipos de información personal están protegidos por la CPRA?

Al igual que la CCPA, la CPRA define "información personal" de manera bastante amplia. Incluye varios tipos de datos que podrían vincularse a un consumidor o hogar específico, ya sea directa o indirectamente. La información personal bajo la CPRA incluye:

Identificadores:

  • Nombre o alias
  • Dirección postal
  • Identificador personal único o identificador en línea
  • Dirección IP
  • Correo electrónico
  • Nombre de cuenta
  • Número de Seguridad Social
  • Número de licencia de conducir
  • Número de pasaporte

Información de registros de clientes:

  • Nombre
  • Firma
  • Número de Seguridad Social
  • Características o descripción física
  • Dirección postal
  • Número de teléfono
  • Número de pasaporte
  • Número de licencia de conducir o identificación estatal
  • Número de póliza de seguro
  • Historial educativo o laboral
  • Números de cuenta bancaria, tarjeta de crédito y tarjeta de débito, o cualquier otra información financiera
  • Información médica o de seguro de salud

Clasificaciones protegidas:

  • Raza
  • Religión
  • Orientación sexual
  • Identidad o expresión de género
  • Edad
  • Discapacidad

Información comercial:

  • Registros de propiedad personal
  • Productos o servicios comprados, obtenidos o considerados
  • Historias o tendencias de compra o consumo

Información de actividad en internet u otra red electrónica:

  • Historial de navegación y búsqueda
  • Información sobre interacciones con un sitio web, aplicación o anuncio en línea

Información biométrica y sensorial:

  • Huellas dactilares, impresiones faciales y de voz
  • Escaneos del iris o retina
  • Pautas físicas como pulsaciones de teclas o estilo de andar
  • Datos de sueño, salud o ejercicio que contengan información de identificación
  • Información de audio, electrónica, visual, térmica, olfativa o similar

Datos de geolocalización:

  • Información de ubicación geográfica precisa sobre un individuo o dispositivo particular

Información de empleo o educativa:

  • Historial de trabajo y evaluaciones de desempeño
  • Información que no está disponible públicamente información de identificación personal como se define en la Ley de Derechos Educativos y Privacidad de la Familia (FERPA)

Inferencias extraídas:

  • Perfiles de consumidores creados para reflejar las preferencias, características, tendencias psicológicas, predisposiciones, comportamiento, actitudes, inteligencia, habilidades y aptitudes del consumidor

Esta definición expansiva de información personal bajo la CPRA subraya el enfoque amplio de la ley hacia la privacidad y la protección de datos, lo que requiere que las empresas consideren cuidadosamente los datos del consumidor que recopilan, utilizan y comparten para garantizar el cumplimiento de la ley.

Sin embargo, no toda la información del consumidor se considera información personal protegida bajo la CPRA y la CCPA. Las categorías de datos que no se consideran información personal incluyen:

  • Información Disponible Públicamente: Información que está legalmente disponible en registros del gobierno federal, estatal o local.
  • Información Desidentificada, Agregada o Anonimizada: Datos que no pueden usarse razonablemente para inferir información sobre, o de otro modo estar vinculados a, un consumidor o hogar en particular.
  • Información Excluida Bajo Otras Leyes: Cierta información personal está cubierta por leyes de privacidad específicas del sector y, por lo tanto, no se considera información personal bajo la CPRA. Los ejemplos incluyen:
  • -Información de salud o médica cubierta por la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) y la Ley de Confidencialidad de la Información Médica de California (CMIA)
  • -Información personal recopilada, procesada, vendida o divulgada bajo la Ley Gramm-Leach-Bliley (GLBA) sobre instituciones y servicios financieros
  • -Información personal cubierta por la Ley de Informes de Crédito Justos (FCRA)
  • -Información personal recopilada, procesada, vendida o divulgada bajo la Ley de Protección de la Privacidad del Conductor de 1994

¿Qué califica como información personal sensible según la CPRA?

La CPRA introduce el concepto de "información personal sensible", que se considera más privada y tiene un mayor riesgo de causar daño si se usa o divulga incorrectamente. Esta nueva categoría de información personal incluye:

  • Licencia de conducir, identificación estatal, pasaporte o número de Seguro Social
  • Cuenta financiera, número de tarjeta de débito o crédito en combinación con cualquier código de seguridad o acceso requerido, contraseña o credenciales
  • Geolocalización precisa
  • Origen racial o étnico
  • Creencias religiosas o filosóficas
  • Afiliación a sindicatos
  • El contenido del correo, correo electrónico y mensajes de texto de un consumidor, a menos que la empresa sea el destinatario previsto de la comunicación
  • Datos genéticos
  • Información biométrica que puede identificar de manera única a un consumidor
  • Información personal recopilada y analizada relacionada con la salud, la vida sexual o la orientación sexual de un consumidor

La CPRA otorga a los consumidores nuevos derechos específicamente relacionados con la información personal sensible, junto con obligaciones más estrictas para las empresas que manejan este tipo de datos.

Derecho a Limitar el Uso y la Divulgación: Los consumidores tienen el derecho de dirigir a las empresas a limitar el uso de su información personal sensible solo a aquellos fines necesarios para realizar los servicios o proporcionar los bienes solicitados por el consumidor. Por ejemplo, realizar una transacción, proporcionar bienes o servicios solicitados, garantizar la seguridad y la integridad, y llevar a cabo actividades para verificar o mantener la calidad o seguridad de un servicio o dispositivo.

Requisitos de Transparencia: Las empresas están obligadas a proporcionar divulgaciones claras a los consumidores sobre sus derechos con respecto a la información personal sensible, incluido el derecho a limitar su uso.

Limitación de Propósito: Las empresas deben limitar el uso de la información personal sensible solo a aquellos fines necesarios para realizar los servicios o proporcionar los bienes acordados, a menos que reciban el consentimiento explícito del consumidor para usos adicionales.

Plantilla de Aviso de Privacidad

Descargue nuestra plantilla de aviso de privacidad, modifique el contenido en función de cómo utiliza los datos y luego publique el aviso para cumplir con los requisitos de la CPRA.

Derechos de los consumidores bajo la CPRA

La CPRA otorga a los consumidores derechos significativos con respecto a su información personal. Estos derechos se basan en los establecidos por la CCPA e introducen nuevas disposiciones para mejorar la privacidad del consumidor.

Aquí hay una visión general de los derechos del consumidor bajo la CPRA y la CCPA:

Derecho a Saber: Los consumidores tienen derecho a saber: 

  • Qué información personal se está recopilando sobre ellos
  • Las fuentes de la información recopilada
  • El propósito de recopilar o vender la información
  • Las categorías de terceros con los que se comparte la información

Derecho a Acceder: Los consumidores pueden solicitar acceso a la información personal específica que una empresa ha recopilado sobre ellos.

Derecho a Eliminar: Los consumidores tienen derecho a solicitar la eliminación de su información personal en posesión de una empresa y, por extensión, de los proveedores de servicios de la empresa.

Derecho a Corregir: Un nuevo derecho bajo la CPRA permite a los consumidores corregir información personal inexacta que una empresa tiene sobre ellos.

Derecho a Optar por No Participar en la Venta o Compartición: Los consumidores pueden optar por no participar en la venta o compartición de su información personal. La CPRA amplía este derecho para incluir la compartición de información personal para publicidad conductual en diferentes contextos.

Derecho a Limitar el Uso y la Divulgación de Información Personal Sensible: Los consumidores pueden solicitar a las empresas que limiten el uso de su información personal sensible solo a lo que sea necesario para realizar los servicios o proporcionar los bienes solicitados por el consumidor.

Derecho a la Portabilidad de los Datos: A petición, los consumidores tienen derecho a recibir una copia de su información personal en un formato portátil y de fácil uso que les permita transmitir la información a otra entidad.

Derecho a No Sufrir Discriminación: Las empresas no pueden discriminar contra los consumidores por ejercer sus derechos bajo la CPRA, incluyendo denegar bienes o servicios, cobrar precios o tarifas diferentes, o proporcionar un nivel o calidad diferente de bienes o servicios.

Derecho a Optar por No Participar en la Toma de Decisiones Automatizada: La CPRA introduce un derecho para que los consumidores opten por no participar en la toma de decisiones automatizada, incluido el perfilado en ciertos contextos.

Derecho a Restringir Información Personal Sensible: Los consumidores tienen derecho a restringir el uso de su información personal sensible para fines distintos de los que permite explícitamente la CPRA, como realizar los servicios o proporcionar los bienes solicitados por el consumidor.

Penalidades por incumplimiento de las leyes de privacidad de datos de California

La CPPA es principalmente responsable de hacer cumplir la CPRA. Tiene la autoridad para auditar empresas en cuanto a cumplimiento, investigar posibles violaciones y emitir multas y penalidades por incumplimiento. La creación de la CPPA es un desarrollo significativo en las regulaciones de privacidad, ya que es la primera agencia en los Estados Unidos dedicada exclusivamente a la privacidad del consumidor.

Aunque la CPPA es el órgano principal de cumplimiento, el Fiscal General de California también conserva la autoridad para hacer cumplir la CPRA, particularmente en casos donde se puedan solicitar penalidades civiles.

Dependiendo de la gravedad de la violación, el incumplimiento de la CPRA puede resultar en las siguientes penalidades:

  • Multas Administrativas: La CPPA puede imponer multas administrativas de hasta $2,500 por cada violación y hasta $7,500 por cada violación intencional o violaciones que involucren información personal de menores. Estas multas se evalúan por violación, lo que puede sumar sanciones considerables para problemas generalizados o sistémicos.
  • Multas Civiles: Además de las multas administrativas, las empresas pueden enfrentar sanciones civiles a través de acciones legales iniciadas por el Fiscal General de California. El potencial de sanciones civiles añade otra capa de riesgo financiero para las empresas que no cumplan con las normas.
  • Derecho de Acción Privada: En el caso de una violación de datos que resulte de la falta de una empresa para implementar y mantener procedimientos y prácticas de seguridad razonables, los consumidores pueden buscar daños estatutarios entre $100 y $750 por consumidor por incidente, o daños reales, lo que sea mayor. Esta disposición permite a los individuos tomar acciones legales independientemente de las actividades de aplicación de la CPPA o del Fiscal General.

Qué deben hacer las organizaciones que cumplen con CCPA para cumplir con CPRA

Si su organización ya es cumplidora con la CCPA, ha establecido una base sólida para las prácticas de privacidad de datos. Sin embargo, dada la mayor amplitud de la CPRA y los poderes de aplicación de la CPPA, es esencial abordar proactivamente los nuevos requisitos. Para asegurar el cumplimiento completo de la CPRA, deberá tomar los siguientes pasos:

  1. Comprender las mejoras de la CPRA: Familiarícese con las definiciones y conceptos ampliados de la CPRA, como la información personal sensible, el intercambio de información personal y los nuevos derechos del consumidor.
  2. Capacitar a los empleados: Proporcione capacitación actualizada en privacidad de datos a los empleados que manejan información personal o consultas de consumidores sobre las prácticas de privacidad de su organización, asegurándose de que sean conscientes de los requisitos de la CPRA y cómo cumplir con ellos.
  3. Revisar y actualizar el inventario de datos: Realice una revisión exhaustiva de la información personal que su organización recopila, procesa, almacena y comparte. Preste especial atención a cualquier información personal sensible y asegúrese de que el manejo de los datos cumpla con los nuevos requisitos más estrictos.
  4. Actualizar avisos y políticas de privacidad: Revise sus políticas de privacidad y avisos a los consumidores para incluir los derechos y protecciones adicionales bajo la CPRA, tales como el derecho a corregir inexactitudes y el derecho a limitar el uso de información personal sensible. Asegúrese de que sus políticas comuniquen claramente cómo los consumidores pueden ejercer sus derechos.
  5. Evaluar y fortalecer la seguridad de los datos: Dado el derecho de acción privada ampliado para violaciones de datos, es importante evaluar sus medidas de seguridad actuales para identificar y cerrar cualquier brecha para proteger contra el acceso, divulgación y uso no autorizados de la información personal.
  6. Revisar contratos con proveedores y terceros: Examine los acuerdos con proveedores de servicios, contratistas y terceros para asegurarse de que incluyan términos que cumplan con los requisitos de la CPRA. Esto incluye obligaciones para cumplir con las disposiciones de la CPRA, procesar la información personal según las instrucciones de su organización y ayudar en el cumplimiento de las solicitudes de derechos de los consumidores.
  7. Implementar procesos para los nuevos derechos del consumidor: Desarrolle e implemente procesos para acomodar los derechos de los consumidores a corregir su información personal y a limitar el uso y la divulgación de su información personal sensible. Esto puede implicar ajustar sus sistemas existentes para manejar las solicitudes de los consumidores bajo la CCPA.
  8. Realizar auditorías internas de cumplimiento regulares: Audite periódicamente sus esfuerzos de cumplimiento de la CPRA para identificar y rectificar cualquier brecha o debilidad y asegurar el cumplimiento continuo con la ley.
  9. Esfuerzos de cumplimiento de documentos: Mantenga registros detallados de sus actividades de cumplimiento, incluyendo mapeo de datos, evaluaciones de riesgos, actualizaciones de políticas, capacitación de empleados y procesamiento de solicitudes de derechos del consumidor. Esta documentación puede ser crucial para demostrar el cumplimiento en caso de consultas regulatorias o auditorías.

Lista de Verificación de Cumplimiento de CPRA

Obtenga una lista de verificación paso a paso que lo guiará a través del proceso de lograr el cumplimiento de CPRA y CCPA.

Asegure el cumplimiento de la privacidad de datos con la automatización GRC de Secureframe

La automatización está cambiando fundamentalmente el panorama de seguridad, privacidad y cumplimiento, haciendo que sea más rápido y fácil construir y mantener su programa de privacidad de datos y asegurar el cumplimiento con un panorama regulatorio en evolución.

Con Secureframe, puede:

  • Establecer las políticas y procedimientos correctos de privacidad de datos
  • Ofrecer y rastrear la capacitación de empleados
  • Automatizar la recopilación de evidencia de cumplimiento de CPRA
  • Mantenerse al día con los últimos requisitos de privacidad de datos

Una plataforma de automatización también facilita lograr y demostrar el cumplimiento con múltiples regulaciones de privacidad de datos, incluyendo GDPR. En lugar de comenzar desde cero, el software de cumplimiento puede ayudar a mapear lo que ya ha hecho para el CPRA y CCPA a otras regulaciones y marcos de seguridad de información.

Para obtener más información sobre las capacidades de Secureframe, programe una demostración con un experto en el producto hoy.

Use la confianza para acelerar el crecimiento

Solicitar una demostraciónangle-right
cta-bg

Preguntas Frecuentes

¿Cómo es CPRA diferente de CCPA?

Aquí hay algunas de las principales formas en que el CPRA difiere del CCPA:

  1. Derechos Mejorados del Consumidor: El CPRA introduce nuevos derechos para los consumidores, como el derecho a corregir información personal inexacta, el derecho a limitar el uso y divulgación de información personal sensible, y el derecho a optar por no participar en la toma de decisiones automatizadas.
  2. Obligaciones Más Estrictas para las Empresas: El CPRA impone obligaciones adicionales a las empresas, incluyendo requisitos relacionados con la minimización de datos, limitación de propósito y la protección de información personal sensible. También actualiza los umbrales para que las empresas estén sujetas a la ley, potencialmente ampliando su aplicabilidad.
  3. Establecimiento de la CPPA: El CPRA crea la Agencia de Protección de la Privacidad de California, un nuevo organismo regulador responsable de hacer cumplir la ley, que reemplaza a la oficina del Fiscal General de California como la principal autoridad de cumplimiento.
  4. Alcance Amplio de la Ejecución y las Penalidades: El CPRA amplía el alcance de la ejecución y las penalidades, incluyendo la introducción de multas administrativas por violaciones y la expansión del derecho privado de acción para incluir infracciones que involucren la dirección de correo electrónico del consumidor en combinación con una contraseña o pregunta de seguridad y respuesta.
  5. Nuevos Requisitos para Proveedores de Servicios, Contratistas y Terceros: La CPRA introduce obligaciones específicas para proveedores de servicios, contratistas y terceros que procesan información personal en nombre de las empresas, incluidas obligaciones contractuales y directas establecidas por la ley.

¿La CPRA reemplaza a la CCPA?

La Ley de Derechos de Privacidad de California (CPRA) es una enmienda a la Ley de Privacidad del Consumidor de California (CCPA). No reemplaza la CCPA, pero extiende la ley de varias maneras significativas. La CPRA, aprobada por los votantes de California en noviembre de 2020, amplía los derechos de privacidad del consumidor, introduce nuevos requisitos regulatorios y establece una nueva agencia de aplicación, la Agencia de Protección de la Privacidad de California (CPPA).

¿Qué empresas deben cumplir con la CPRA?

La CPRA establece umbrales específicos para determinar qué empresas deben cumplir con sus disposiciones. El cumplimiento es obligatorio para las empresas que operan en California y cumplen con cualquiera de los siguientes criterios:

  • Tiene ingresos brutos anuales superiores a $25 millones
  • La empresa compra, vende o comparte la información personal de 100,000 o más consumidores o hogares
  • La empresa obtiene el 50% o más de sus ingresos anuales de la venta o el intercambio de información personal de los consumidores

Las regulaciones de la CPRA también extienden ciertas obligaciones a proveedores de servicios, contratistas y terceros que procesan información personal en nombre de las empresas cubiertas, así como a "empresas conjuntas" y "sociedades" donde dos o más empresas cumplen conjuntamente con los criterios de umbral. Esto asegura que las protecciones del consumidor se extiendan a todo el ecosistema de procesamiento de información personal relacionado con los servicios ofrecidos a los residentes de California.

¿Cuál es la diferencia entre la CPRA y el GDPR?

Aquí hay algunas diferencias clave entre la CPRA y el GDPR:

  1. Ámbito Geográfico:
  2. CPRA: Se aplica específicamente a las empresas que recopilan información personal de los californianos y cumplen con ciertos umbrales.
  3. GDPR: Se aplica a todas las organizaciones que operan dentro de la UE y el EEE, así como a las organizaciones fuera de estas regiones que ofrecen bienes o servicios a los residentes de la UE o monitorean su comportamiento.
  4. Aplicabilidad y Umbrales:
  5. CPRA: Está dirigida a empresas con más de $25 millones en ingresos brutos anuales, aquellas que compran, venden o comparten la información personal de 100,000 o más consumidores o hogares, o aquellas que obtienen el 50% o más de sus ingresos anuales de la venta o el intercambio de información personal de los consumidores.
  6. GDPR: Se aplica ampliamente a cualquier entidad que procese datos personales de residentes de la UE, independientemente del tamaño de la organización o del volumen de datos que procese.
  7. Derechos del Consumidor:
  8. CPRA: Mejora los derechos introducidos por la CCPA, como los derechos a saber, eliminar y optar por no vender o compartir información personal, e introduce nuevos derechos como el derecho a corregir información inexacta y limitar el uso de datos sensibles.
  9. GDPR: Establece derechos integrales para las personas, incluyendo el derecho a ser informado, el derecho de acceso, el derecho de rectificación, el derecho a la eliminación ("derecho al olvido"), el derecho a restringir el procesamiento, el derecho a la portabilidad de datos, el derecho a oponerse y derechos en relación con la toma de decisiones automatizadas y la elaboración de perfiles.
  10. Medidas de Protección de Datos:
  11. CPRA: Introduce conceptos como la minimización de datos, la limitación de propósito y la limitación de almacenamiento, requiriendo que las empresas recopilen solo la información personal necesaria para los fines declarados en el momento de la recopilación y la conserven solo durante el tiempo necesario para dichos fines.
  12. GDPR: Enfatiza los principios de protección de datos desde el diseño y por defecto, requiriendo que los controladores y procesadores de datos implementen medidas técnicas y organizativas adecuadas para asegurar y demostrar el cumplimiento, incluyendo la minimización de datos e integrando las salvaguardas necesarias en el procesamiento.
  13. Autoridad Regulatoria:
  14. CPRA: Establece la Agencia de Protección de la Privacidad de California (CPPA) como la autoridad reguladora dedicada a hacer cumplir la nueva ley.
  15. GDPR: Es aplicada por las autoridades de protección de datos (DPAs) en cada estado miembro de la UE, con mecanismos de coordinación y coherencia proporcionados por el Comité Europeo de Protección de Datos (EDPB).
  16. Transferencias de Datos Transfronterizas:
  17. CPRA: No se enfoca específicamente en las transferencias de datos transfronterizas, pero requiere que los contratos con terceros, proveedores de servicios y contratistas incluyan ciertas disposiciones para asegurar la protección de la información personal.
  18. GDPR: Incluye requisitos estrictos para transferir datos personales fuera de la UE, asegurando que dichas transferencias solo se realicen a países que proporcionen un nivel adecuado de protección de datos o a través de mecanismos que aseguren la protección de los datos transferidos, como las Cláusulas Contractuales Tipo (SCCs) o las Normas Corporativas Vinculantes (BCRs).
  19. Aplicación y Sanciones:
  20. CPRA: Impone multas por violaciones y proporciona un derecho de acción privada para los consumidores en caso de violaciones de datos que involucren información personal no cifrada y no redactada.
  21. GDPR: Impone multas significativas por incumplimiento, de hasta 20 millones de euros o el 4% de la facturación global anual del año financiero anterior, lo que sea mayor, y prevé reclamaciones individuales de compensación por daños.