Los californianos votaron en noviembre para ampliar sus derechos de privacidad de datos más allá de las disposiciones de la CCPA. La nueva Ley de Derechos de Privacidad de California de 2020 (CPRA, por sus siglas en inglés) es una ampliación de la CCPA, diseñada para reforzar y clarificar los requisitos de privacidad, y alinearse más estrechamente con las normas internacionales de privacidad, en concreto el GDPR.
Las disposiciones más significativas de la CPRA se centran en tres áreas: compartir y vender información personal, proveedores de servicios y contratistas, y derechos de los consumidores. Además, la ley adopta ciertos principios del GDPR, como la minimización de los datos, la limitación de la finalidad y la limitación del almacenamiento. La CPRA también añade músculo a la CCPA mediante la creación de una nueva agencia gubernamental -la Agencia de Protección de la Privacidad de California- dedicada a gestionar la aplicación y el cumplimiento de la nueva normativa.
Aunque la mayoría de las disposiciones de la CPRA no entran en vigor hasta 2023, no espere a iniciar el proceso de cumplimiento. La CPRA puede marcar el camino de las futuras normativas de privacidad de Estados Unidos a una escala más amplia.
A continuación, le presentamos las nuevas disposiciones de la CPRA, su comparación con la CCPA y lo que puede hacer ahora para prepararse.
| CCPA | CPRA | |
|---|---|---|
| Umbral | Para las empresas que cumplan alguno de los siguientes requisitos:
|
Para las empresas que cumplan alguno de los siguientes requisitos:
|
| Fecha de entrada en vigor | 1 de enero de 2020 | 1 de enero de 2023. Se aplica únicamente a la información personal recopilada a partir del 1 de enero de 2022, excepto para las solicitudes de acceso. |
| Exenciones para los empleados y las empresas | Expira el 1 de enero de 2021 | Expira el 1 de enero de 2023 |
| Derechos del consumidor |
|
Todos los derechos de la CCPA, además:
|
| Definiciones de "vendido" y "compartido" | "Vender" significa vender a cambio de una contraprestación monetaria o de otro tipo de valor. | "Vender" se ha ampliado a "vender o compartir", como en compartir por una empresa con un tercero en beneficio de la empresa con o sin intercambio de dinero. |
| Terceros | Un "proveedor de servicios" es una entidad que procesa información en nombre de una empresa en virtud de un contrato escrito. | Se han ampliado los requisitos del "proveedor de servicios" y se ha añadido una categoría paralela de "contratista". |
| Información personal | "Información personal" es la información que identifica, se relaciona, describe o podría razonablemente vincularse a un consumidor u hogar en particular. | Cubre la información personal, así como la "información personal sensible", que incluye el SSN, el número de licencia de conducir, las credenciales de acceso, la información biométrica, la geolocalización precisa y el origen racial/étnico. |
| Datos personales de los menores | Las multas son las mismas que para otros tipos de información personal: $2.500 por cada infracción intencionada y $7.500 por cada infracción no intencionada. | Impone una multa automática de $7.500 por cada violación que implique la información personal de un menor. |
| Conservación de datos | No impone ningún requisito específico para que las empresas revelen sus prácticas de retención a los consumidores. | La recogida, conservación y utilización de datos debe limitarse a lo que razonablemente necesario para proporcionar bienes y servicios. |
| Toma de decisiones automatizada | NA | Los consumidores pueden optar por no utilizar su información personal para la toma de decisiones automatizada, lo que incluye la "elaboración de perfiles" en relación con las evaluaciones o decisiones sobre el rendimiento laboral del consumidor, su situación económica, su salud, su fiabilidad, etc. |
| Aplicación de la ley |
|
|
Algunas de estas disposiciones pueden ser perfeccionadas por futuras regulaciones publicadas por la recién creada Agencia de Protección de la Privacidad de California. Mientras tanto, he aquí tres medidas que deben tomarse ahora:
- Respete las opciones de inclusión y exclusión. Asegúrese de que dispone de un proceso para promulgar rápidamente las solicitudes de privacidad.
- Cumpla con la CCPA independientemente de la ubicación física de su empresa. El cumplimiento de la CCPA se extiende más allá de las fronteras del estado para incluir a cualquier residente de California sin importar su ubicación. Si un residente de California puede acceder a su sitio web, usted debe cumplir con la CCPA.
- Comprender las complejidades de la información personal y cómo se define. Mantener el cumplimiento legal mientras se llevan a cabo iniciativas de marketing es un proceso continuo, no un punto de control único. Revise periódicamente cómo se utiliza la información personal identificable cada vez que
La normativa sobre privacidad se modifica o actualiza.
Con la aprobación de la CPRA, la ley de privacidad de los consumidores más sólida del país se ha reforzado considerablemente, y lo que está en juego es mucho más importante. Y si las lecciones de la CPRA, la CCPA y el GDPR son una indicación del futuro, espere que más estados y países desarrollen sus propios requisitos de privacidad. Mientras tanto, ponga en marcha las políticas, los procedimientos y la tecnología adecuados para poder ajustar sus prácticas de privacidad en consecuencia.
El tiempo corre.
Para obtener más información sobre una solución de cumplimiento eficaz, descargue nuestro libro electrónico, Transformar el cumplimiento de la normativa en un campeón, en lugar de marcar la casilla.
English 
English (UK) 
Deutsch 
Español 
Português 
Français 