¿Prospectas en California? Esta es la nueva versión de la Ley de Privacidad

La Ley de Privacidad del Consumidor de California entra en vigor el 1 de enero de 2020. Dado que las principales empresas tecnológicas tienen su sede en California, la ley puede establecer normas en todo Estados Unidos.

Veamos con más detalle los requisitos de la nueva ley y en qué se diferencia del GDPR.

¿Qué es la Ley de Privacidad del Consumidor de California?

La Ley de Privacidad del Consumidor de California, CCPA para abreviar, fue aprobada por el Gobernador del Estado de California allá por 2018. Regula las formas en que se está utilizando la información personal en un sentido transaccional, es decir, cuando una empresa obtiene un beneficio con los datos del consumidor.

Además, parece que se refiere al uso puntual de la información personal, a diferencia del GDPR que controla el procesamiento de datos.

Vea el seminario web de Woodpecker sobre los fundamentos del GDPR >>

¿A quién afecta la ley de privacidad de California?

La ley ofrece a los californianos un mayor conocimiento y control sobre la forma en que las empresas utilizan su información personal. Esto se parece un poco al GDPR, que regula el procesamiento de datos personales.

Sin embargo, las empresas deben cumplir un par de requisitos para verse afectadas por la CCPA.

Deben operar con fines de lucro

Sus ingresos brutos anuales deben ser superiores a 25 millones de dólares

Tratan datos de 50 mil o más consumidores, hogares o dispositivos

Deben obtener al menos el 50% de sus ingresos anuales de la venta de información personal

La CCPA se aplica no sólo a las empresas situadas en California, sino también a las que están situadas fuera de California y recogen datos de residentes que viven en California, por ejemplo, con fines de generación de contactos o de marketing.

¿Qué es la información personal?

La CCPA protege a las personas físicas. Entiende por información personal “la información que identifica, se relaciona, describe, puede asociarse o podría vincularse razonablemente, de forma directa o indirecta, con un consumidor u hogar concreto”.

La ley va más allá de la información estándar que identifica a una persona específica, sino que también incluye un tipo de información que apunta a una persona. La información que puede estar implícita en el número de la Seguridad Social, las direcciones IP o los datos de geolocalización también se considera información personal.

El GDPR, por otro lado, define los datos personales como cualquier pieza de datos personales en base a la cual se puede identificar a una persona.

Una nota rápida: Woodpecker cumple tanto con el GDPR como con la CCPA.

¿Cuál es la principal diferencia entre el GDPR y la ley de privacidad de California?

El GDPR pone límites al periodo de tiempo en el que se pueden procesar los datos. También identifica motivos basados en el consentimiento para utilizar los datos.

Vea la parte de nuestro seminario web en la que hablamos de la limitación del almacenamiento según el GDPR >>

La CCPA concede a los residentes de California una serie de derechos con los que pueden ejercer un mayor control sobre el uso de su información personal.

¿Cuáles son los derechos que otorga la ley de privacidad de California?

La Ley de Privacidad del Consumidor de California permite a los consumidores algunos derechos importantes para proteger su privacidad.

Derecho a ser informado

Los consumidores de California tienen derecho a saber qué información, o qué categoría de información, está recogiendo una empresa sobre ellos. Asimismo, pueden solicitar que una empresa comparta las fuentes de las que se recoge esa información y la finalidad de su recogida y venta. Y tienen derecho a saber con quién se comparte la información.

Las empresas están obligadas a informar al consumidor de qué información recogen y por qué lo hacen justo después de que el consumidor lo solicite (la solicitud tiene que ser verificable). Un mismo consumidor no puede pedir información más de dos veces al año.

Las empresas tienen 45 días para facilitar la información que les pide un consumidor. El plazo puede ampliarse a 90 días si hay una razón de peso para el retraso. Sólo puede ampliarse si el consumidor fue informado de ello durante esos 45 días.

Derecho a solicitar el borrado de información

Los californianos tienen derecho a solicitar que una empresa borre su información. Las empresas no pueden discriminar a los residentes que hayan hecho esa petición.

Sin embargo, eso no se aplica en situaciones en las que la información personal es necesaria para prestar un servicio, como en la comunicación interna entre el servicio y un cliente. Lo mismo ocurre con la protección de los derechos humanos de una persona, como la libertad de expresión o la libertad de seguridad personal.

Sin embargo, no es lo mismo que el derecho al olvido recogido en el GDPR.

Derecho a oponerse a la venta de información personal

La CCPA otorga a las personas el derecho a pedir a una empresa que deje de vender su información personal. Las empresas están obligadas a respetar esa petición y no pueden tratar a esos consumidores de forma diferente.

La venta de información personal de menores de 16 años está prohibida.

De vuelta a usted

La CCPA es un gran paso hacia la seguridad de los datos personales de los ciudadanos de California. Al igual que el GDPR lo es para los ciudadanos de la UE. Dependiendo de quiénes sean tus clientes potenciales, debes asegurarte de cumplir con la normativa aplicable.

Si quieres saber más sobre la ejecución de una campaña de correo electrónico frío legal, echa un vistazo a esta publicación del blog:

Guía legal rápida para el envío de correos electrónicos: 6 reglas a seguir>>

***

Este artículo ha sido escrito en colaboración con Margaret Sikora, responsable de protección de datos de Woodpecker.co