Iubenda logo
Genera tus documentos

Documentación

Tabla de contenidos

CPRA: Introducción a la CCPA 2.0 y cómo te afecta

CPRA: Introducción a la CCPA 2.0 y cómo te afecta. En 2020 se promulgó la Ley de Protección de los Consumidores de California (CCPA) para abordar la creciente preocupación por la venta y recopilación de información personal en California.

La actual CCPA concede varios derechos a los residentes de California y regula las acciones de las empresas que venden o recopilan información personal. Sin embargo, deja las consecuencias del tratamiento de datos de los consumidores por parte de terceros un tanto abiertas a la interpretación. Esto dio lugar a una modificación de la CCPA, que ha pasado a conocerse como la Ley de Derechos de Privacidad de California (CPRA, por sus siglas en inglés).

💡 La CPRA se basa en las disposiciones existentes de la CCPA, establece nuevos derechos para los consumidores y añade nuevos requisitos para las empresas que recopilan datos personales de los residentes de California.

📌 Actualizaciones de la definición de empresa según la CPRA

Se han actualizado los criterios para definir lo que es una empresa; comprueba si te puedes definir como tal respondiendo a las siguientes preguntas:

  1. ¿Eres una organización legal que opera con fines de lucro?
  2. ¿Recopilas información personal (IP) de los consumidores de California?
  3. ¿Defines por tu propia cuenta los fines y los medios para el tratamiento de la información personal?

¿Cumple tu empresa una o varias de las siguientes condiciones?

(A) Tiene unos ingresos brutos anuales superiores a 25 millones de dólares ($25.000.000).

(B) Compra, recibe, vende o comparte la información personal de al menos 100.000 consumidores cada año con fines comerciales, de forma individual o conjunta.

(C) Al menos el 50% de sus ingresos anuales se derivan de la venta de información personal de los consumidores.

Si tu respuesta es sí, según la CPRA, tu organización podría definirse como una empresa.

¿Qué significa esto para mi negocio?

Debido a algunos cambios en los criterios, las entidades que estarían sujetas a la CPRA pueden ser diferentes de las que entran en los criterios de la CCPA.

📌 La información personal sensible según la CPRA

La CPRA introdujo una categoría diferente de datos protegidos: la información personal sensible (IPS). Esta idea es bastante similar al artículo 9 del Reglamento General de Protección de Datos (RGPD), que pide un mayor nivel de protección de datos debido a la sensibilidad de la información personal.

¿Qué se considera información personal sensible según la CPRA? Consulta aquí la lista de verificación completa (haz clic en “as amended November 3, 2020” y desplázate hacia abajo hasta la definición Enmienda del 2020). La IPS que está “disponible públicamente” no puede considerarse información personal sensible o información personal.

La CPRA establece normas y límites particulares a la IPS, proporcionando a los consumidores un mayor control sobre el uso que las organizaciones hacen de su información personal.

  1. Requisitos de información actualizados. Tu empresa debe proporcionar a los consumidores la siguiente información sobre la IPS en la política de privacidad: si la información será vendida o compartida y la duración de la conservación.
  2. Limitación de la finalidad. Tienes que informar sobre la finalidad adicional y específica para la que la información personal sensible puede ser utilizada o divulgada a terceros.
  3. Limitar el uso y la divulgación. Proporciona un enlace claro y visible como este: “Limitar el uso de mi información personal sensible”, en tu página de inicio y un aviso del derecho a limitar el uso/divulgación de la información personal sensible. Sin embargo, hay casos en los que una empresa no está obligada a ofrecer a los consumidores el derecho a limitar el uso/divulgación de la IPS y mostrar el aviso pertinente, a saber, siempre que se trate información personal sensible:
  • para prestar servicios o suministrar bienes (solo para el uso razonablemente esperado por un consumidor medio);
  • para prevenir, detectar e investigar incidentes de seguridad que comprometan la disponibilidad, autenticidad, integridad o confidencialidad de la información personal almacenada o transmitida;
  • para oponerse a acciones maliciosas, engañosas, fraudulentas o ilegales dirigidas contra la empresa y perseguir a los responsables de dichas acciones;
  • para garantizar la seguridad física de las personas físicas;
  • para un uso transitorio a corto plazo, incluida, entre otras cosas, la publicidad no personalizada mostrada como parte de la interacción actual del consumidor con la empresa, siempre que la información personal no se divulgue a terceros y no se utilice para crear un perfil sobre el consumidor o alterar de otro modo la experiencia del consumidor fuera de la interacción actual con la empresa;
  • para prestar servicios en nombre de la empresa (por ejemplo, atención al cliente, tramitación o cumplimiento de pedidos y transacciones, procesamiento de pagos, etc.);
  • para verificar o mantener la calidad o seguridad de un producto, servicio o dispositivo propiedad de la empresa, fabricado por ella o controlado por ella, y para mejorar, actualizar o perfeccionar el servicio o dispositivo propiedad de la empresa, fabricado por ella o controlado por ella; y
  • para fines que no infieran características sobre el consumidor.

Comprueba si tus actividades de tratamiento de datos personales sensibles entran en el ámbito de aplicación de dichas excepciones.

¿Qué significa esto para mi negocio?

Con la implementación de la IPS, las empresas, tal y como lo especifica la CPRA anteriormente, deben ser especialmente cuidadosas a la hora de proteger este tipo de datos y responder adecuadamente cuando un cliente desee la autoexclusión. Deben establecerse normas adicionales si una empresa tiene previsto tratar IPS de los consumidores. Las empresas que tratan IPS, por ejemplo, deben tener un enlace claro y visible en sus sitios web con la leyenda “Limitar el uso de mis datos personales sensibles” que permita a los consumidores limitar el tratamiento de su IPS.

📌 Se han ampliado los derechos de privacidad de los consumidores

A continuación se presentan cinco derechos de privacidad del consumidor establecidos en la CCPA y que la CPRA ha actualizado.

  1. Derecho de autoexclusión de la venta y el intercambio de información personal con terceros:

    1. CCPA – En virtud de la CCPA, los clientes tienen la opción de autoexcluirse para que las empresas no vendan sus datos personales.
    2. CPRA – Además de la venta, la CPRA amplía este derecho para incluir también el intercambio de información personal.

  2. El derecho a saber

    1. CCPA – En virtud de la CCPA, las empresas deben responder a las solicitudes de los consumidores, por información personal obtenida durante los 12 meses previos.
    2. CPRA – En algunas situaciones, la CPRA amplía este periodo, permitiendo a los consumidores buscar información personal recogida con posterioridad al límite establecido de 12 meses. Las empresas deben informar a los consumidores sobre su derecho a solicitar la divulgación de los datos personales que se venden o comparten y a quién.

  3. El derecho de supresión

    1. CCPA – Los residentes de California pueden utilizar la CCPA para solicitar que una empresa suprima su información personal si ya no es necesaria para satisfacer uno de los objetivos especificados en Cal. Civil Código Sec. 1798.105
    2. CPRA – Las empresas deben informar a los consumidores sobre su derecho a solicitar la eliminación de sus datos personales y conceder dichas solicitudes, a menos que la información sea razonablemente necesaria para que la empresa pueda completar la transacción, cumplir una garantía, retirar un producto o garantizar la seguridad e integridad.

  4. El derecho a la transferencia de datos

    1. CCPA – Contiene el “derecho a saber”, que implica que los clientes tienen derecho a obtener una copia de su información personal por correo electrónico u online.
    2. CPRA – Un cliente puede ahora solicitar que una empresa transfiera cierta información personal a otra organización.

Ahora que hemos dado un vistazo a los cinco cambios en los derechos de privacidad del consumidor de la CCPA, vamos a revisar los cuatro derechos de privacidad del consumidor adicionales añadidos por la CPRA: (y no incluidos en la CCPA)

  1. Derecho a corregir la información: Un consumidor tiene derecho a solicitar que se corrija cualquier información personal incorrecta proporcionada por una empresa.
  2. Derecho a restringir el uso y la divulgación de los datos personales sensibles: Un consumidor tiene derecho a restringir el uso y la divulgación de su IPS al “uso que sea necesario para ejecutar los servicios o entregar los productos que razonablemente espera un consumidor ordinario que solicita dichos bienes y servicios.”
  3. Acceso a la información sobre la toma de decisiones automatizadas: Un consumidor tiene derecho a obtener “información significativa sobre la lógica implicada en tales procesos de toma de decisiones, así como una descripción del resultado esperado del proceso con respecto al consumidor.”
  4. Derecho de autoexclusión de la tecnología de toma de decisiones automatizadas: El consumidor tiene derecho a autoexcluirse de la tecnología de toma de decisiones automatizada.

¿Qué significa esto para mi negocio?

Las empresas deben asegurarse de que están preparadas para cumplir con los nuevos y mejorados derechos de privacidad de los consumidores incluidos en la CPRA.

Tendrán que establecer sistemas y controles sólidos para garantizar que son capaces y están preparados para responder rápidamente a las peticiones de los clientes. Para prepararse para dar cumplimiento a la CPRA, es posible que muchas empresas tengan que realizar importantes modificaciones en sus medidas de seguridad y privacidad existentes, contratar personal adicional o contratar servicios de terceros.

👉 Ten en cuenta que, según la CPRA, las empresas deben esperar 12 meses después de que un consumidor se haya negado a vender o compartir su información personal antes de solicitar otra aprobación del consentimiento.

👉 Además, como empresa, debes proporcionar a los consumidores dos o más métodos para presentar sus solicitudes. Estos métodos pueden variar de una empresa a otra, pero deben incluir, como mínimo, un número de teléfono gratuito y, si la empresa tiene un sitio web, la dirección del mismo. Sin embargo, una empresa puede evitar proporcionar este número de teléfono gratuito si: “opera exclusivamente online”; y si tiene una “relación directa con un consumidor del que recoge información personal”.

📌 Los derechos de los menores

La CPRA te obliga a cumplir con la COPPA, que regula los derechos de privacidad de los niños, con una referencia específica a la venta y el intercambio de información personal de los niños.

Por lo tanto, si tu empresa vende o comparte la información personal de consumidores:

  • menores de 13 años, tu empresa debe obtener el consentimiento y mantener un registro de que dicho consentimiento para la venta o el intercambio de la información personal de los niños proviene de sus padres o tutores.
  • de 13 a 16 años, tu empresa debe permitir a los usuarios la opción de participar en la venta o el intercambio de su información personal y mantener un registro de dicha opción. Cuando tu empresa reciba una solicitud de participación, deberá informar al usuario de su derecho de autoexclusión. 

📌 Incorporación de los principios del RGPD 

Los siguientes conceptos no forman parte de la CCPA, pero ahora están incorporados como parte de la CPRA:

  • Minimización de los datos
  • Limitación de la finalidad
  • Limitación del almacenamiento

¿Qué significa esto para mi negocio?

Al incorporar explícitamente estos principios en la CPRA, California ha facultado al regulador estatal para hacer cumplir y potencialmente sancionar a las empresas que no lo hagan:

  1. limitar razonablemente la recopilación de información personal a lo que es necesario para la finalidad para la que se recopiló, y;
  2. limitar la permanencia de la información personal al menor tiempo posible para cumplir con la finalidad para la que fue recogida.

Como consecuencia de estos principios, la CPRA incluye un nuevo requisito. Se requiere un permiso de participación tras una autoexclusión decidida previamente. Las empresas deben permitir a los consumidores:

  1. optar por participar en la venta o el intercambio de información personal después de haber optado por la autoexclusión; y 
  2. notificar a los consumidores que optaron por autoexcluirse de la venta o el intercambio de información personal siempre que los consumidores inicien una transacción o intenten utilizar un producto que implique la venta o el intercambio de información personal, que la acción requiere la venta o el intercambio de información personal, y proporcionar instrucciones sobre cómo participar.

📌 Ampliación de los datos legalmente procesables en una filtración de datos

CCPA – En el caso de una filtración de datos, los consumidores tienen el derecho privado de demandar si su información personal no encriptada o no suprimida es revelada debido a que una empresa no ha establecido las medidas y prácticas de seguridad adecuadas a la naturaleza de la información manejada.

CPRA – El “derecho” no cambia de orientación; añade las contraseñas de acceso de los consumidores a la lista de categorías de información personal que pueden ser objeto de acción en virtud de la ley.

¿Qué significa esto para mi negocio?

La ampliación del ámbito de aplicación de la CPRA para incluir las credenciales de inicio de sesión como una violación de la seguridad de la información personal legalmente procesable podría ser una reacción a la actual oleada de ataques de autenticación que afectan a los clientes. Muchas empresas pueden optar por imponer la autenticación multifactor como una capa de seguridad adicional, además de niveles más avanzados de cifrado de datos.

📌 Requisitos de autoexclusión 

Según la CPRA, cabe señalar que las empresas también deben permitir y procesar las  señales de preferencias de autoexclusión de los consumidores.

💡 Por señales de preferencias de autoexclusión se entiende una señal enviada por una plataforma, tecnología o mecanismo, en nombre del consumidor, que comunica su elección de autoexclusión de la venta y el intercambio de información personal. La señal se excluirá automáticamente de todos los sitios web que el usuario visite sin que tenga que hacer solicitudes individuales. 

📌 Política de privacidad 

La CPRA se suma a los requisitos de la CCPA. Esta es la lista completa de la información que debes incluir en tu política de privacidad. 

Incluir las categorías de información personal que tu empresa ha vendido o compartido con terceros en los últimos 12 meses, una lista de terceros pertinentes y la finalidad de tu empresa. También debes divulgar si no has vendido o compartido la información personal de los usuarios en los últimos 12 meses.

Añadir una declaración sobre si tu empresa sabe que vende o comparte la información personal de los usuarios menores de 16 años.

Incluir las categorías de información personal que tu empresa ha divulgado (con fines comerciales) a terceros en los últimos 12 meses, una lista de los terceros pertinentes y la finalidad de tu empresa. También deberás informar sobre si no has divulgado información personal de los consumidores en los 12 meses anteriores.

Indicar si tu empresa utiliza o divulga información personal sensible para fines distintos de los especificados en la ley.

Proporcionar cualquier enlace a formularios o portales de solicitud online para que tus usuarios puedan realizar solicitudes relativas a la recopilación, divulgación o venta de su información personal.

Proporcionar medios para que los usuarios puedan solicitar la corrección de información personal inexacta.

Incluir, si tu empresa utiliza o divulga información personal sensible por motivos distintos a los mencionados en la ley, información sobre el derecho de los consumidores a limitar el uso o divulgación de su información personal sensible y cómo ejercerlo.

Proporcionar información sobre el derecho de los usuarios a la no discriminación para el ejercicio de sus derechos de privacidad.

Añadir una descripción general del proceso que tu empresa aplica para verificar las solicitudes de los usuarios de conocer, eliminar y corregir su información, cuando sea necesartio, incluyendo cualquier otra información que el usuario deba proporcionar.

Explicar cómo se procesará una señal de preferencia de autoexclusión para el usuario (es decir, si la señal se aplica al dispositivo, al navegador, a la cuenta del consumidor y/o a las ventas offline, y en qué circunstancias) y cómo el usuario puede utilizar una señal de preferencia de autoexclusión.

Proporcionar requisitos adicionales de información (sección 7102 del reglamento) si tu empresa recoge grandes cantidades de información personal.

¿Cómo prepararse para la CPRA?

La CPRA se convierte en ley el 1 de enero de 2023 y se aplicará a partir del 1 de julio de 2023.

En iubenda, como siempre, estaremos atentos a las últimas actualizaciones y nos aseguraremos de que todas nuestras soluciones estén alineadas con los últimos requisitos para así ayudarte a cumplir la normativa.

Si ya has implementado procedimientos para cumplir con la CCPA, puede ser una buena idea empezar a revisar tus procesos y tener en cuenta algunas consideraciones:

  1. Describe los datos que tratas contemplados por la definición de información personal de la CPRA.
  2. Revisa el proceso que tienes para actualizar a tus usuarios sobre cualquier cambio en tu política de privacidad; asegúrate de que dispones de un sistema implementado. Una vez que actualices tu política de privacidad, tendrás que informar a tus usuarios.
  3. Si trabajas con encargados del tratamiento de datos o cuentas con encargados que trabajan en tu nombre, puedes considerar la posibilidad de notificarles cualquier cambio en los requisitos (especialmente si tienen su sede fuera de Estados Unidos).

Como con cualquier nueva ley, es una buena idea mantenerte informado de los cambios para poder tomar las medidas adecuadas. Como siempre, estamos para ayudarte a que estos cambios se produzcan sin complicaciones, por lo que te mantendremos al tanto durante los próximos meses.

👋
¿Quieres cumplir con la normativa hoy mismo?

Mejor aún, una vez que hayas configurado tus políticas, todas las actualizaciones de la CPRA se insertarán automáticamente.

Genera tus documentos