California Consumer Privacy Act of 2018 (CCPA)

Share

La Ley de Privacidad del Consumidor de California (CCPA por sus siglas en inglés) es una ley estatal destinada a mejorar los derechos de privacidad y la protección del consumidor para los residentes en California, Estados Unidos. Su impulsor, Alastair Mactaggart, es un magnate inmobiliario, Fundador de la asociación «Californians for Consumer Privacy» y Presidente de su Junta; La asociación ha sido la entidad impulsora del referéndum de la Ley de Privacidad del Consumidor de California (CCPA).

Mactaggart y la Ley de Privacidad del Consumidor de California (CCPA)

Presentada a referendum en 2016, obtuvo el respaldo de 690 mil ciudadanos, siendo el mínimo para iniciar un procedimiento legislativo de 500 mil. La Ley de Privacidad fue aprobada en 2018 por la Legislatura del Estado de California y por el gobernador de California, Jerry Brown. El CCPA otorga a casi 40 millones de personas en California los derechos de privacidad de datos más sólidos del país y ha entrado en vigor en enero de 2020. Los californianos ahora tienen derecho a saber qué datos se recopilan sobre ellos, a prohibir la venta de sus datos a terceros, a demandar a las empresas que recopilan sus datos y sufren una violación de seguridad, y a eliminar los datos recopilados sobre ellos. El CCPA también prohibirá la discriminación contra los consumidores que opten por no participar en la recopilación de datos.

  • Saber si una empresa recolecta tus datos.
  • Conocer qué datos han sido recopilados sobre ti en los últimos 12 meses.
  • Expresar tu rechazo a la recolección de datos.
  • Prohibir que los datos recopilados sean cedidos o vendidos a terceros.

Para ello, toda página web o aplicación debe contar con un «botón» que de forma clara permita al usuario ejercer estos derechos. Se trata de un éxito sin precedentes, que abre la puerta a una legislación a nivel federal sobre los derechos de privacidad en Internet, pero también ha provocado la respuesta inmediata de la industria tecnológica de Silicon Valley. A través de diferentes cauces ya ha presentado una serie de enmiendas a la CCPA de cara a diluir su efecto real en el tratamiento y gestión de datos de los usuarios. Google además advierte del daño a las pequeñas empresas y emprendedores que acarreará la implementación de la CCPA, alega que se trata de matizar el lenguaje de la ley para permitir la subsistencia de los actuales modelos de negocio basados en los datos de sus usuarios. Por ejemplo, el texto de la ley limita y lista actividades específicas en las que se permite la cesión de los dados tratados, entre ellos «auditoría y seguridad» y propone que sea sustituido por «negocios cuyos propósitos incluyan» abriendo la puerta a mantener el actual status quo. Por ello, Mactaggart ha anunciado que se encuentra trabajando en la elaboración de un nuevo texto base para conseguir ampliar las garantías de la CCPA. La CCPA, señala, se centra en la venta de datos personales, pero no aborda directamente el uso de esos datos por la fuente que los recogió originalmente. Su nueva propuesta busca proteger la «información personal confidencial». Los datos que estarían cubiertos por esa definición incluyen información de geolocalización, números de Seguro Social, números de pasaporte y datos sobre raza, religión, afiliación sindical, y orientación sexual, entre otras categorías». Propone además la creación de una nueva agencia de protección de datos independiente, inspirada en el organismo regulador de la Unión Europea.

Derechos recogidos en la CCPA

La Ley de Privacidad del Consumidor de California (CCPA), promulgada en 2018, crea nuevos derechos de los consumidores relacionados con el acceso, la eliminación, y la cesión de información personal, que se recaba por las empresas.Es decir, la CCPA recoge el derecho de los consumidores a saber qué información recopilan las empresas sobre ellos, para qué propósito y con quién la comparten. Los usuarios podrán solicitar a las empresas la eliminación de sus datos personales, y manifestar su deseo de no permitir su venta o divulgación a terceros. Por su parte, las empresas deberán mostrar en un lugar visible de su página web o aplicación un enlace con el texto «Do Not Sell My Personal Information», para que los consumidores puedan ejercer estos derechos.La CCPA se aplica sobre las empresas que, con independencia de su domicilio social, traten con datos de residentes en el estado de California y cumplan los siguientes requisitos:

  • Contar con un beneficio anual bruto superior a 25 millones de dólares;
  • Tratar con información de un mínimo de 50.000 usuarios, dispositivos u hogares, o;
  • Obtener como mínimo el 50 por ciento de sus ganancias de la venta de información personal.

Toda actividad comercial que se incluya en las condiciones establecidas por la CCPA deberá cumplir con una serie de obligaciones para aumentar la transparencia en el tratamiento que hacen de los datos, entre los que se encuentran:

  • Informar a los consumidores si tienen intención de vender sus datos. Además, tienen prohibida la venta de datos de menores de 16 años a menos que se autorice.
  • Incluir una política de privacidad en la web donde se especifique la información recogida y el propósito.
  • Proporcionar mecanismos para que los consumidores puedan solicitar información acerca de sus datos y responder a las solicitudes sin coste.
  • No discriminar a aquellos consumidores que deciden eliminar sus datos, impedir su venta o ejercer algún otro derecho. No obstante, las empresas sí pueden ofrecer incentivos financieros a los consumidores por el tratamiento de sus datos.

Información personal

La información personal bajo la CCPA incluye:

  1. Identificadores directos (tales como el nombre real, alias, dirección postal, números de la seguridad social);
  2. Identificadores únicos (cookies, dirección de IP y nombres de usuario);
  3. Datos biométricos (como el rostro y las grabaciones de voz);
  4. Datos de geolocalización (tales como el historial de localización);
  5. Actividad internauta (historial de navegación, búsquedas realizadas, interacción de datos con una web o una aplicación);
  6. Información sensible (datos sobre salud, características personales, comportamiento, religión, convicciones políticas, preferencias sexuales, empleo o datos educativos, historial médico o información financiera).

La información personal también incluye datos que por deducción pueda desembocar en la identificación de un individuo o una unidad familiar, además de datos que pueda ser de cualquier modo re-identificable. Esto significa que datos que por sí mismos no son información personal pueden serlo bajo la CCPA si pueden ser usados -por deducción o combinación con otros datos- para identificar un individuo o una unidad familiar.

Incumplimiento y sanciones

El incumplimiento de la CCPA puede desembocar en multas para las empresas de 7.500$ por infracción y 750$ por usuario afectado en concepto de daños y perjuicios civiles.El poder para hacer cumplir la CCPA recae en la oficina del Fiscal general de California, quien, hasta julio de 2020 tiene que especificar la regulación de dicha aplicación. Sin embargo, el periodo provisional entre enero y julio de 2020 no se convierte en un periodo de gracia y las empresas están sujetas a demandas civiles por la recogida y venta de datos desde el 1 de enero de 2020.

Enmiendas a la CCPA

El Procurador General de California ha preparado el siguiente título y resumen del propósito y los puntos de la medida propuesta: Modifica las leyes de privacidad del consumidor. Estatuto de la iniciativa. Permite a los consumidores:

  1. Evitar que las empresas compartan información personal;
  2. Corregir la información personal inexacta;
  3. Limitar el uso de «información personal sensible» por parte de las empresas, como por ejemplo geolocalización; raza; etnia; religión; datos genéticos; afiliación sindical; comunicaciones privadas; y cierta orientación sexual, salud e información biométrica.

Además,

  • Cambia los criterios para los cuales los negocios deben cumplir con estas leyes.
  • Prohíbe la retención de información personal por parte de las empresas durante más tiempo del razonablemente necesario.
  • Triplica las penas máximas para las violaciones relativas a consumidores menores de 16 años.
  • Establece la Agencia de Protección de la Privacidad de California para hacer cumplir y implementar las leyes de privacidad del consumidor, e imponer multas administrativas.
  • Requiere la adopción de reglamentos sustantivos.

En cuanto a la estimación del impacto fiscal en los gobiernos estatales y locales, la fiscalía apunta a:

  • Aumento de los costos estatales anuales de aproximadamente $10 millones de dólares para una nueva agencia estatal que supervise el cumplimiento y la aplicación de la privacidad del consumidor leyes.
  • El aumento de los costos estatales, que potencialmente alcanzarían los millones de dólares anuales, por el aumento de la carga de trabajo administrativo y de los tribunales estatales, que se compensaría en parte o en su totalidad con ingresos por multas.
  • Imposibilidad de establecer el impacto en los ingresos tributarios estatales y locales causados por los efectos económicos resultantes de los nuevos requisitos de las empresas para proteger la información de los consumidores.