La Ley de Privacidad del Consumidor de California entra en vigor el 1 de enero de 2020. Dado que las principales empresas tecnológicas tienen su sede en California, la ley puede establecer normas en todo Estados Unidos.
Veamos con más detalle los requisitos de la nueva ley y en qué se diferencia del GDPR.
¿Qué es la Ley de Privacidad del Consumidor de California?
La Ley de Privacidad del Consumidor de California, CCPA para abreviar, fue aprobada por el Gobernador del Estado de California allá por 2018. Regula las formas en que se está utilizando la información personal en un sentido transaccional, es decir, cuando una empresa obtiene un beneficio con los datos del consumidor.
Además, parece que se refiere al uso puntual de la información personal, a diferencia del GDPR que controla el procesamiento de datos.
Vea el seminario web de Woodpecker sobre los fundamentos del GDPR >>
¿A quién afecta la ley de privacidad de California?
La ley ofrece a los californianos un mayor conocimiento y control sobre la forma en que las empresas utilizan su información personal. Esto se parece un poco al GDPR, que regula el procesamiento de datos personales.
Sin embargo, las empresas deben cumplir un par de requisitos para verse afectadas por la CCPA.
Deben operar con fines de lucro
Sus ingresos brutos anuales deben ser superiores a 25 millones de dólares
Tratan datos de 50 mil o más consumidores, hogares o dispositivos
Deben obtener al menos el 50% de sus ingresos anuales de la venta de información personal
La CCPA se aplica no sólo a las empresas situadas en California, sino también a las que están situadas fuera de California y recogen datos de residentes que viven en California, por ejemplo, con fines de generación de contactos o de marketing.
¿Qué es la información personal?
La CCPA protege a las personas físicas. Entiende por información personal “la información que identifica, se relaciona, describe, puede asociarse o podría vincularse razonablemente, de forma directa o indirecta, con un consumidor u hogar concreto”.
La ley va más allá de la información estándar que identifica a una persona específica, sino que también incluye un tipo de información que apunta a una persona. La información que puede estar implícita en el número de la Seguridad Social, las direcciones IP o los datos de geolocalización también se considera información personal.
El GDPR, por otro lado, define los datos personales como cualquier pieza de datos personales en base a la cual se puede identificar a una persona.
Una nota rápida: Woodpecker cumple tanto con el GDPR como con la CCPA.
¿Cuál es la principal diferencia entre el GDPR y la ley de privacidad de California?
El GDPR pone límites al periodo de tiempo en el que se pueden procesar los datos. También identifica motivos basados en el consentimiento para utilizar los datos.
Vea la parte de nuestro seminario web en la que hablamos de la limitación del almacenamiento según el GDPR >>
La CCPA concede a los residentes de California una serie de derechos con los que pueden ejercer un mayor control sobre el uso de su información personal.
¿Cuáles son los derechos que otorga la ley de privacidad de California?
La Ley de Privacidad del Consumidor de California permite a los consumidores algunos derechos importantes para proteger su privacidad.
Derecho a ser informado
Los consumidores de California tienen derecho a saber qué información, o qué categoría de información, está recogiendo una empresa sobre ellos. Asimismo, pueden solicitar que una empresa comparta las fuentes de las que se recoge esa información y la finalidad de su recogida y venta. Y tienen derecho a saber con quién se comparte la información.
Las empresas están obligadas a informar al consumidor de qué información recogen y por qué lo hacen justo después de que el consumidor lo solicite (la solicitud tiene que ser verificable). Un mismo consumidor no puede pedir información más de dos veces al año.
Las empresas tienen 45 días para facilitar la información que les pide un consumidor. El plazo puede ampliarse a 90 días si hay una razón de peso para el retraso. Sólo puede ampliarse si el consumidor fue informado de ello durante esos 45 días.
Derecho a solicitar el borrado de información
Los californianos tienen derecho a solicitar que una empresa borre su información. Las empresas no pueden discriminar a los residentes que hayan hecho esa petición.
Sin embargo, eso no se aplica en situaciones en las que la información personal es necesaria para prestar un servicio, como en la comunicación interna entre el servicio y un cliente. Lo mismo ocurre con la protección de los derechos humanos de una persona, como la libertad de expresión o la libertad de seguridad personal.
Sin embargo, no es lo mismo que el derecho al olvido recogido en el GDPR.
Derecho a oponerse a la venta de información personal
La CCPA otorga a las personas el derecho a pedir a una empresa que deje de vender su información personal. Las empresas están obligadas a respetar esa petición y no pueden tratar a esos consumidores de forma diferente.
La venta de información personal de menores de 16 años está prohibida.
De vuelta a usted
La CCPA es un gran paso hacia la seguridad de los datos personales de los ciudadanos de California. Al igual que el GDPR lo es para los ciudadanos de la UE. Dependiendo de quiénes sean tus clientes potenciales, debes asegurarte de cumplir con la normativa aplicable.
Si quieres saber más sobre la ejecución de una campaña de correo electrónico frío legal, echa un vistazo a esta publicación del blog:
Guía legal rápida para el envío de correos electrónicos: 6 reglas a seguir>>
***
Este artículo ha sido escrito en colaboración con Margaret Sikora, responsable de protección de datos de Woodpecker.co
READ ALSO
Account Based Sales Development 101: What Is It? How Does It Work?
If you're doing outbound sales, you've probably heard about the ABSD (Account Based Sales Development) trend lately. Is it new? Is it for everyone? Is it a revolutionary approach that will bring you $$$ as soon as your sales team adopts it? What is it, really? Check out the short introduction to ABSD in simple words.
Guía legal rápida para la divulgación por correo electrónico: 6 reglas a seguir
Al igual que con cualquier forma de comunicación empresarial, hay un par de reglas que debes seguir para que tu difusión por correo electrónico sea profesional. Me tomé un tiempo para investigar los requisitos para un alcance de correo electrónico adecuado en países como Canadá, China, Australia, Nueva Zelanda, por no hablar de los Estados Unidos (con la ley de California recientemente actualizada), Noruega, Alemania, Suiza y, por supuesto, el resto de los países que forman parte de la Unión Europea (lea sobre el GDPR aquí).
GDPR After Brexit: How It May Affect Cold Email?
There's a lot of uncertainty around the United Kingdom leaving the European Union. Since some of you target the UK, I think you wonder what will happen there in terms of GDPR. Will GDPR be still relevant after Brexit? Let's see.