¿Qué sigue para la privacidad? Preguntas frecuentes sobre el RGPD y la CCPA
Publicado: 2020-01-29
Habiendo entrado en vigencia el 1 de enero de 2020, la Ley de Privacidad del Consumidor de California (CCPA) es ampliamente considerada como una de las leyes de privacidad más amplias en los Estados Unidos hasta la fecha. La CCPA impone limitaciones a la recopilación y venta de la información personal de un cliente, al mismo tiempo que brinda ciertas protecciones legales cuando se trata de esa misma información personal. Pero la CCPA no es solo una versión estadounidense del Reglamento general de protección de datos (RGPD) de la UE. Si bien no tendrá que comenzar de nuevo si está preparado para GDPR, eso no significa que tenga todas sus bases cubiertas para CCPA.
En este blog, cubriremos los conceptos básicos de CCPA, cómo se compara con GDPR y algunas de las preguntas frecuentes que han surgido en torno a cada uno y su implementación en las empresas estadounidenses que trabajan a nivel nacional e internacional.
¿A quién se aplica la CCPA?
La CCPA se aplica a cualquier negocio que satisfaga una o más de las siguientes condiciones:
- Hace negocios en el estado de California
- Y cumple uno de los siguientes criterios:
- Ingresos brutos anuales superiores a $25 millones;
- Solo o en combinación, compra, recibe anualmente para fines comerciales del negocio, vende o comparte con fines comerciales, solo o en combinación, la información personal de al menos 50,000 consumidores, hogares o dispositivos; o
- Obtiene al menos el 50 por ciento de sus ingresos anuales de la venta de información personal de los consumidores.
Las mayores diferencias entre el RGPD y la CCPA radican en el alcance de la aplicación, el alcance de las limitaciones de recopilación y las reglas sobre la responsabilidad por infracciones y desafíos por incumplimiento. En este cuadro, verá algunas de las diferencias sutiles pero importantes entre el RGPD y la CCPA.
| RGPD | CCPA | |
| Alcance | Protege a los residentes de la UE de empresas ubicadas dentro o fuera de la UE. Abarca el procesamiento y la recopilación y aplicación de datos personales. | Protege a los residentes de CA y se aplica a empresas con ingresos superiores a $25 millones, obtiene el 50 % de los ingresos de la información personal del cliente o procesa información de >50 000 residentes Cubre la recopilación, el procesamiento y la venta de información personal. |
| Información/datos personales | Se define como cualquier información relacionada con una persona, incluidos los datos disponibles públicamente. | Definida como información que relaciona, describe o puede vincularse directa o indirectamente con una persona u hogar. |
| Derechos de acceso/divulgación | Requiere que las empresas informen a los clientes de los derechos en el punto de recolección. | Requiere que las empresas informen a los clientes en o antes del punto de recopilación sobre las categorías de Información personal que se recopilará y los propósitos de la recopilación. |
| Optar por no | Los clientes pueden solicitar la restricción de cualquier tipo de datos personales. | Las empresas deben proporcionar un aviso de los derechos de exclusión voluntaria y proporcionar a los consumidores el derecho de optar por no vender la PI, pero no la recopilación de la misma. Deben proporcionar un enlace 'No vender mi información personal' en su página de inicio. |
| Evaluación de impacto de protección de datos (DPIA) | Requiere una DPIA para cualquier procesamiento que pueda poner en riesgo los derechos de datos de un sujeto. | No se requiere DPIA, pero es responsabilidad de la empresa implementar y mantener las medidas de seguridad adecuadas para proteger la información de un cliente. |
Preguntas frecuentes
¿Esto se aplica a las empresas que no están ubicadas en California?
No es necesario que una empresa esté ubicada en el estado de California para estar sujeta a la CCPA. Esto significa cualquier negocio que esté 'haciendo negocios' a través de transacciones en línea con residentes de California o que tenga empleados que vivan en el estado.
¿Se puede multar a las empresas por incumplimiento?
El derecho privado de acción en la CCPA se limita a las violaciones de datos. Bajo el derecho privado de acción, los daños pueden oscilar entre $100 y $750 por incidente por consumidor. El AG de California también puede hacer cumplir la CCPA en su totalidad con la capacidad de imponer una sanción civil de no más de $2500 por infracción o $7500 por infracción intencional.
No creo que realmente recopilemos información personal. ¿Se aplica la CCPA?
CCPA tiene una descripción extremadamente amplia de lo que constituye información personal. Si recopila currículums para ofertas de trabajo, su sitio web rastrea cookies o si tiene un formulario de "Contáctenos" en su sitio web, está recopilando información personal.
¿Existe una exención para las empresas B2B?
Algo así como. Las empresas B2B tienen un aplazamiento limitado del cumplimiento de cada uno de los requisitos de la CCPA en lo que respecta a las transacciones y comunicaciones con otras organizaciones, empresas y agencias gubernamentales. La información personal que se recopila en el curso de comunicaciones o transacciones B2B de o sobre un empleado, propietario, director, funcionario o contratista de una empresa o agencia gubernamental está exenta de la mayoría de los requisitos de la CCPA. Pero esta exención caducará a fines de 2020. Incluso si su empresa B2B no vende información de contacto comercial, aún debe determinar en qué medida la información que recopila con fines de marketing debe cumplir con CCPA.
¿Cómo cubrir tus bases?
La CCPA requiere que las empresas mantengan registros detallados de todas las categorías de información personal desde el 1 de enero de 2019. Debe comenzar a hacer un inventario de todos los datos que ha recopilado desde esa fecha. También deberá actualizar sus avisos de privacidad y agregar un enlace "No vender mi información personal" en su página de inicio.
Recursos adicionales para propietarios de negocios
Magento también proporciona una guía excelente y más detallada para asegurarse de que su sitio cumpla con el RGPD y la CCPA. Está disponible aquí.
Para una revisión aún más profunda de la ley CCPA, consulte este excelente artículo de National Law Review .
Si bien la CCPA tiene algunas restricciones que actualmente la limitan al estado de California, no hay duda de que tendrá repercusiones en los EE. UU. y el mundo. California es, después de todo, la quinta economía más grande del mundo. Con algo tan complicado como esta nueva ley y tan importante como su negocio, le recomendamos que consulte con su abogado para confirmar si la CCPA se aplica a su negocio antes de tomar medidas de cumplimiento.
Ponerse en contacto
¡Conéctese con uno de nuestros expertos hoy para discutir sus necesidades de comercio electrónico!
Contáctenos