La guía definitiva para el cumplimiento de la Ley de Privacidad del Consumidor de California (CCPA)

La Ley de Privacidad del Consumidor de California de 2018 (CCPA) es una ley aprobada por California para proteger los datos y la privacidad de sus residentes. CCPA no reemplaza las leyes de privacidad actuales de California, sino que funcionará junto con ellas.

Según la CCPA, las empresas deben ser más sinceras sobre lo que recolectan y cómo se usa. También deben obtener el consentimiento de los menores antes de vender su información. Además, los usuarios ahora pueden evitar que las empresas vendan sus datos.

Sin embargo, la CCPA no significa que ya no pueda vender la información de usuario que recopila. Sin embargo, cuando se trata de residentes de California, tendrá que pasar por algunos obstáculos más.

La CCPA entra en vigencia el 1 de enero de 2020, pero las empresas tienen hasta el 1 de julio de 2020 para cumplirla por completo. Eso no es una excusa para posponer esto. Sin embargo, dado que las acciones de cumplimiento no comenzarán hasta dentro de unos meses, las empresas tienen tiempo para adaptar sus políticas, procesos y sitios web.

¿Qué considera la CCPA «datos personales»?

Los datos personales son cualquier cosa que describa o identifique a una persona o que de alguna manera esté vinculada a una persona o un hogar. Eso incluye:

  • Correos electrónicos
  • Informacion de Empleo
  • Geolocalizaciones
  • Direcciones IP
  • nombres

Técnicamente, la CCPA no considera datos personales la información disponible públicamente . Sin embargo, esa es un área tan gris, y es mejor errar por el lado del cumplimiento total en lugar de arriesgarse. Además, incluso si los datos personales de un usuario están disponibles públicamente, eso no se aplica a todos los demás usuarios. Todavía necesita ser compatible en todos los ámbitos.

¿CCPA afecta su negocio?

CCPA impacta su negocio si recopila y procesa datos de los residentes de California. Su negocio, o una empresa matriz o subsidiaria, también debe cumplir con uno o más de los siguientes:

  • Su ingreso bruto anual es de $25 millones o más
  • Cada año, compra, recibe o vende datos personales de 50 000 o más dispositivos, hogares o residentes de California
  • Un mínimo del 50 % de sus ingresos anuales proviene de la venta de datos personales de los residentes de California.

No necesita tener un negocio con sede en California para cumplir con estos umbrales. Los residentes de California pueden visitar su sitio web sin importar desde dónde opere su empresa. Las empresas en otros estados de EE. UU., así como las empresas de todo el mundo, deben considerar la CCPA.

El tamaño de su negocio tampoco importa, aparte de referirse a los umbrales. Incluso las empresas individuales y las pequeñas empresas deben alinearse con CCPA. Sin embargo, las empresas que procesan datos de 4 millones o más de consumidores deben cumplir requisitos adicionales. Por ejemplo, tienen pautas más estrictas en lo que respecta al mantenimiento de registros.

Si alcanza un umbral pero no está recopilando datos (no tiene ningún tipo de herramienta de seguimiento en su sitio web), técnicamente cumple con la CCPA. Por otro lado, si está recopilando información de los clientes de California pero aún no alcanza los umbrales, vale la pena prepararse para la CCPA. Si su negocio crece rápidamente, podría exceder accidentalmente los $25 millones en ingresos o los 50 000 residentes de California antes de cumplir con la CCPA.

¿Cómo se define un residente de California?

Según la ley de California , un residente es una persona que:

  • Está en California por algo que no sea un motivo temporal o transitorio
  • Vive en California, incluso si no está actualmente en el estado debido a una razón temporal o transitoria

Una persona puede vivir en California y no ser residente o vivir fuera de California y seguir siendo residente. Para protegerse, cumpla con la CCPA si tiene alguna razón para pensar que gran parte de su negocio proviene de residentes de California.

Cómo hacer que su empresa cumpla con la CCPA

Para cumplir con los requisitos de CCPA, su empresa debe tomar varios pasos, muchos de los cuales requerirán cambios en las políticas y los procesos. Aquí le mostramos cómo hacer que su negocio cumpla con CCPA:

Actualice su política de privacidad para aclarar cómo recopila, usa y cambia los datos

Lo más probable es que ya tenga una política de privacidad, pero necesitará algo de trabajo para que cumpla con la CCPA. Básicamente, su política de privacidad les dice a los usuarios qué datos recopila y qué hace con ellos. Para CCPA, tendrá que ser más transparente que antes sobre sus prácticas de datos. Estas son las adiciones que debe hacer a su política de privacidad:

  • Qué, por qué y cómo recopila y procesa la información personal
  • Cómo los usuarios pueden acceder, cambiar o eliminar sus datos personales que ha recopilado
  • Su método para verificar la identidad de un usuario que realiza una de esas solicitudes
  • Cómo se venden los datos personales y cómo un usuario puede optar por que no se vendan sus datos personales

Tenga en cuenta que estos son los requisitos mínimos de la CCPA. Si cree que hay más en su proceso de recopilación de datos que los usuarios quieren saber, agréguelo.

Obtener el consentimiento de los menores

Deberá obtener el consentimiento de menores de entre 13 y 16 años o de padres de niños menores de 13 años. Puede solicitar el consentimiento justo cuando acceden a su sitio web o antes de vender sus datos. De cualquier manera, no puede vender sus datos antes de obtener su consentimiento. Almacene todas las respuestas que reciba, incluso si el usuario rechazó el consentimiento. Aparte de los menores, no necesita el consentimiento del usuario antes de recopilar y usar datos. Mientras estamos en el tema de la verificación de edad, podría considerar usar un complemento de verificación de edad .

Permitir que los usuarios cambien su información

Parte de la CCPA les brinda a los usuarios de California la capacidad de acceder, cambiar, mover o eliminar sus datos personales. Debe crear un método para que los usuarios envíen este tipo de solicitudes, y uno de esos métodos debe ser un número gratuito. A continuación, puede agregar un formulario de contacto a su sitio web o proporcionar un correo electrónico o una dirección postal.

Verificar la identidad del usuario cuando realiza una solicitud

Una vez que los usuarios se ponen en contacto para cambiar su información, necesita una forma de verificar que son quienes dicen ser. No puede solicitar una prueba de identificación a través de un documento emitido por el gobierno, como una licencia de conducir. En su lugar, puede usar el mismo tipo de autenticación que usó cuando la persona envió sus datos. También puede intentar verificar su identidad pidiéndoles que confirmen la información que han proporcionado en el pasado.

Si la empresa no puede verificar la identidad del usuario, debe cumplir lo mejor que pueda. Por ejemplo, supongamos que un usuario quiere que se elimine su información, pero la empresa no puede verificar la identidad del usuario. En lugar de eliminar su información, la retienen pero permiten que el usuario opte por no vender su información. Si no hay forma de cumplir, la empresa puede negar la solicitud.

Agregue un enlace «No vender mi información personal» a su página de inicio

Deberá colocar un enlace «No vender mi información personal» en un lugar visible en la página de inicio de su sitio web. Esto si para que los usuarios hagan clic si quieren evitar que vendas sus datos personales. El proceso para optar por no vender datos de usuario debe ser lo más simple y fácil posible. La empresa también tiene que responder a las solicitudes de exclusión. De acuerdo con la hoja informativa oficial de la CCPA , «… las empresas deben tratar la configuración de privacidad habilitada por el usuario que señala la opción de exclusión del consumidor como una solicitud de exclusión válidamente enviada».

Además, no puede exigir a las personas que creen una cuenta para que puedan darse de baja. Si bien algunas empresas pueden querer solicitar una cuenta como medio para identificar al usuario, la CCPA evita que esto sea un requisito previo para optar por no participar. Si el usuario ya tiene una cuenta y así es como puede verificar su identidad, está bien.

Mantener registros de los intercambios con los clientes.

Las empresas deben mantener registros de todas las solicitudes de los usuarios, y también deben registrar y guardar sus respuestas a los usuarios. Mantener sus registros durante un mínimo de 24 meses; para estar más seguro, aférrese a ellos indefinidamente.

No discrimine en función de las solicitudes de privacidad

CCPA dice que las empresas no pueden discriminar a los usuarios si ejercen sus derechos de privacidad. Eso significa que si un usuario dice que no puede vender sus datos, no puede negarle servicios ni ajustar su precio como represalia.

Es posible que una empresa ofrezca un incentivo a las personas que permitan la venta de sus datos. En este caso, debe divulgar los detalles del incentivo, incluida la forma en que calcula el valor de los datos personales.

Sanciones por no cumplir con CCPA

Si no cumple con la CCPA antes del 1 de julio de 2020, el Fiscal General se lo notificará. Tendrá 30 días para responder y ponerse al día con el cumplimiento. Si no cumple dentro de esos 30 días, podría presentar un caso civil en su contra. A partir de ahí, podría recibir una multa de $ 7,500 por infracción , lo que significa por usuario de California. Por ejemplo, si recopila datos de 2000 residentes de California, puede recibir una multa de $ 7500 x 2000, que es un total de $ 15 000 000. ¡Esa es una factura que definitivamente querrás evitar!

Las diferencias entre CCPA y RGPD

Si bien las pautas de CCPA suenan similares a las de GDPR, las dos tienen diferencias clave. Incluso si su empresa actualmente cumple con el RGPD , eso no significa que cumplirá automáticamente con la CCPA. Es posible que cumpla con algunas pautas de la CCPA, pero no con todas. Algunas de las pautas de la CCPA que pueden exceder el RGPD son:

  • Agregar un enlace «No vender mi información personal» en la página de inicio
  • Crear un método para que los usuarios soliciten cambios o eliminación de su información
  • Identificar la identidad de la persona cuando realiza ese tipo de solicitud
  • Obtener el consentimiento de los menores antes de vender su información

Si bien es posible que ya haya configurado parte del proceso para GDPR, querrá volver a verificar que sus métodos también cumplan con CCPA. Hay pequeñas, pero importantes, diferencias entre los dos. Por ejemplo, según la CCPA, debe mostrar las categorías de información personal que ha vendido durante un período de 12 meses; esto no es un requisito de GDPR. Por otro lado, CCPA no tiene el requisito de consentimiento de cookies que tiene GDPR.

Pensamientos finales

Su primer paso es evaluar si su negocio debe cumplir con CCPA a partir del 1 de enero de 2020. O considere si su negocio crecerá hasta el punto en que deberá cumplir en el futuro. Si es así, es mejor poner todo en su lugar ahora para que no tenga que luchar más tarde y correr el riesgo de ser multado. Exactamente cómo configura su sitio web para cumplir con CCPA depende de sus procesos actuales y su fuerza laboral. Puede automatizar tanto como sea posible o, si no espera demasiados cambios o solicitudes de eliminación, puede tener algunos empleados que respondan directamente a los usuarios.

Si aún no tiene una política de privacidad, esta es una gran oportunidad para escribir una, ya sea que le preocupe o no la CCPA. Consulte nuestro artículo sobre cómo crear una política de privacidad para su sitio web .

Imagen destacada a través de Sammby / shutterstock.com