La Ley de Privacidad del Consumidor de California (CCPA) entró en vigor el 1 de enero de 2020. Esto significa que California se convirtió en el primer estado en introducir una ley de privacidad clara y bien definida. Diseñada para mejorar los derechos de privacidad y la protección del consumidor para los residentes del estado de California, la CCPA adopta una visión amplia de lo que constituye datos privados. Sigue leyendo para conocer todo sobre la CCPA y cómo afecta a tu negocio o información personal.
¿Qué es la CCPA?
Oficialmente llamada AB-375, la Ley de Privacidad del Consumidor de California fue redactada con el propósito de establecer protección para un grupo específico de ciudadanos estadounidenses contra la recolección y venta de su información personal sin su conocimiento. El proyecto de ley fue aprobado y firmado el 28 de junio de 2018. Conocida a menudo como el "GDPR de California", esta ley de privacidad de datos de California promete traer cambios necesarios en cuanto a la seguridad de datos y la protección de la privacidad del consumidor. Aunque esta ley aplica únicamente a negocios que venden bienes o servicios a residentes de California, su aplicación fuera de los EE. UU. podría acelerar la adopción de legislación similar en todo el mundo.
Por supuesto, dado que esta ley de seguridad de datos de California fue creada para un lugar diferente al GDPR, existen varias diferencias clave entre ambas. La principal diferencia es el alcance general y la cobertura territorial de cada ley, además de las definiciones relacionadas con los datos protegidos. Específicamente, la CCPA, en algunos casos, considera únicamente la información proporcionada por los usuarios, mientras que el GDPR siempre abarca todos los datos personales independientemente de su fuente o si la información era pública. Esto hace que el GDPR sea una ley más amplia que la CCPA.
¿A qué empresas afecta la CCPA?
La ley de protección de datos de California define claramente a qué tipo de empresas aplica. La ley afecta a todas las empresas que operan en California, y la única forma de evitar su aplicación es cesar las operaciones. Esta ley será aplicable a cualquier empresa que trate con consumidores californianos y cumpla al menos uno de los siguientes requisitos de la CCPA:
- Tener ingresos brutos anuales superiores a $25 millones;
- Poseer una base de datos de 50,000 o más usuarios, hogares o dispositivos;
- Obtener más de la mitad de sus ingresos anuales de la venta de datos de los usuarios.
Además de estos tres umbrales, los requisitos de la política de privacidad de California establecen que toda organización debe "implementar y mantener procedimientos y prácticas de seguridad razonables" para garantizar la protección de los datos del usuario. Cualquier empresa que caiga en una de estas categorías y no cumpla con los requisitos de la CCPA podría enfrentar las siguientes sanciones:
- Multas de hasta $7,500 por cada violación intencional y hasta $2,500 por cada violación no intencional;
- Derecho de los consumidores y organizaciones a optar por no participar en la venta de sus datos;
- Indemnización por daños legales o reales en caso de robo de datos o brechas de seguridad.
Incluso grandes empresas como Facebook y Google, cuyos modelos de negocio dependen de la recopilación de información personal, podrían enfrentar dificultades si una fracción de sus usuarios comienza a exigir acceso y eliminación de los datos recopilados. Facebook, en particular, ha enfrentado críticas severas, y será interesante ver cómo manejarán esta legislación.
Una forma sencilla de prevenir brechas de datos y multas por incumplimiento es utilizar la Solución Empresarial de Hideez. Nuestras características de seguridad cumplen con la CCPA e incluyen prevención de phishing, aprovisionamiento centralizado de credenciales y revocación para ex-empleados. Nuestra solución integral de gestión de identidad y acceso garantiza que solo usuarios autorizados accedan a datos sensibles, minimizando el factor humano sin complicar la rutina diaria de los empleados.
¿Qué datos cubre la CCPA?
Podemos resumir esta regulación como "información personal que identifica o podría estar vinculada a residentes o hogares de California." Según la CCPA, esta frase incluye:
- Identificadores individuales como nombre real, dirección, número de seguridad social, número de licencia, número de pasaporte, dirección IP, correo electrónico o cualquier identificador único similar;
- Información comercial como registros de productos o servicios adquiridos;
- Historial de navegación, tendencias de búsqueda e interacciones en sitios web o aplicaciones;
- Datos biométricos, información educativa o relacionada con el empleo;
- Datos de geolocalización.
Es importante recordar que la CCPA cubre a todos los residentes de California, incluso si viajan a otros estados de EE. UU. Esto amplía el alcance de la legislación.
¿Qué significa la CCPA para la seguridad?
Aunque algunas empresas han expresado preocupación de que los requisitos de la CCPA serán difíciles de implementar, muchas ya han comenzado a cambiar sus políticas de datos. La CCPA mejorará significativamente la protección de datos actual.
Las estadísticas sobre privacidad del consumidor muestran una creciente preocupación por la privacidad en línea. La CCPA garantizará que las leyes de venta de información personal sean aplicadas de manera transparente. Las empresas deberán revelar información y dar la opción de excluirse y eliminar datos personales de sus bases de datos.
Las enmiendas posteriores a la CCPA ya han comenzado. Aunque queda por ver su impacto final, esta ley cambiará la forma en que las empresas tratan los datos de los usuarios.