Los californianos votaron en noviembre para ampliar sus derechos a la privacidad de los datos más allá de las disposiciones de la CCPA. La nueva Ley de Derechos de Privacidad de California de 2020 (CPRA, por sus siglas en inglés) es una ampliación de la CCPA, diseñada para reforzar y aclarar los requisitos de privacidad, y alinearse más estrechamente con las normas internacionales de privacidad, concretamente con el GDPR. Las disposiciones más significativas de la CPRA se centran en tres áreas: intercambio y venta de información personal, proveedores de servicios y contratistas, y derechos de los consumidores. Además, la ley adopta ciertos principios del GDPR, como la minimización de datos, la limitación de la finalidad y la limitación del almacenamiento. La CPRA también añade músculo a la CCPA al crear una nueva agencia gubernamental -la Agencia de Protección de la Privacidad de California- dedicada a gestionar la aplicación y el cumplimiento de la nueva normativa.
Aunque la mayoría de las disposiciones de la CPRA no entran en vigor hasta 2023, no esperes para iniciar el proceso de cumplimiento. La CPRA puede estar marcando el camino para futuras normativas estadounidenses sobre privacidad a mayor escala. He aquí un vistazo a las nuevas disposiciones de la CPRA, cómo se comparan con la CCPA – y lo que puedes hacer ahora para prepararte.
| CCPA | CPRA | |
|---|---|---|
| Umbral | Para empresas que cumplan alguna de las siguientes condiciones
|
Para empresas que cumplan alguna de las siguientes condiciones
|
| Fecha de entrada en vigor | 1 de enero de 2020 | 1 de enero de 2023. Sólo se aplica a la información personal recopilada a partir del 1 de enero de 2022, excepto a las solicitudes de acceso. |
| Exenciones por cuenta ajena y B2B | Expira el 1 de enero de 2021 | Expira el 1 de enero de 2023 |
| Derechos de los consumidores |
|
Todos los derechos de la CCPA, más:
|
| Definiciones de «vendido» y «compartido» | «Vender» significa vender a cambio de una contraprestación monetaria u otra contraprestación valiosa. | «Vender» se ha ampliado a «vendido o compartido», como en compartido por una empresa con un tercero en beneficio de la empresa con o sin intercambio de dinero. |
| Terceros | Un «proveedor de servicios» es una entidad que procesa información en nombre de una empresa en virtud de un contrato escrito. | Se han ampliado los requisitos de «proveedor de servicios» y se ha añadido una categoría paralela de «contratista». |
| Información personal | «Información personal» es la información que identifica, se refiere, describe o podría vincularse razonablemente a un consumidor u hogar concreto. | Abarca la información personal, así como la «información personal sensible», que incluye el SSN, el número del carné de conducir, las credenciales de inicio de sesión, la información biométrica, la geolocalización precisa y el origen racial/étnico. |
| Información personal de menores | Las multas son las mismas que para otros tipos de información personal: 2.500 $ por cada infracción intencionada y 7.500 $ por cada infracción no intencionada. | Impone una multa automática de 7.500 $ por cada infracción relacionada con la información personal de un menor. |
| Conservación de datos | No impone requisitos específicos para que las empresas revelen sus prácticas de retención a los consumidores. | La recogida, conservación y uso de datos debe limitarse a lo que sea razonablemente necesario para proporcionar bienes y servicios. |
| Toma de decisiones automatizada | NA | Los consumidores pueden excluirse del uso de su información personal para la toma de decisiones automatizada, que incluye la «elaboración de perfiles» en relación con evaluaciones o decisiones sobre el rendimiento laboral, la situación económica, la salud, la fiabilidad, etc. de un consumidor. |
| Ejecución |
|
|
Es posible que algunas de estas disposiciones se perfeccionen en futuras normativas publicadas por la recién creada Agencia de Protección de la Privacidad de California. Mientras tanto, aquí tienes tres medidas que debes tomar ahora:
- Respeta los opt-ins y opt-outs. Asegúrate de que dispones de un proceso para promulgar rápidamente las solicitudes de privacidad.
- Cumple la CCPA independientemente de la ubicación física de tu empresa. El cumplimiento de la CCPA se extiende más allá de las fronteras estatales para incluir a cualquier residente en California, independientemente de su ubicación. Si un residente de California puede acceder a tu sitio web, debes cumplir la CCPA.
- Comprender las complejidades de la información personal y cómo se define. Mantener el cumplimiento legal mientras se llevan a cabo iniciativas de marketing es un proceso continuo, no un control puntual. Revisa periódicamente cómo se utiliza la información personal identificable cada vez que se modifique o actualice la normativa sobre privacidad de
.
Con la aprobación de la CPRA, la ley de privacidad del consumidor más sólida del país se ha reforzado considerablemente, y lo que está en juego es mucho más importante. Y si las lecciones de la CPRA, la CCPA y el GDPR son un indicio del futuro, espera que más estados y países desarrollen sus propios requisitos de privacidad. Mientras tanto, pon en marcha las políticas, los procedimientos y la tecnología adecuados para que puedas ajustar tus prácticas de privacidad en consecuencia. El tiempo corre.
Para obtener más información sobre una solución de cumplimiento eficaz, descarga nuestro libro electrónico, Transformar el cumplimiento de Check the Box a Champion.
