¿Qué es la California Consumer Privacy Act (CCPA)?

Qué hace la CCPA

La CCPA entró en vigor el 1 de enero de 2020 y fue la primera ley integral de privacidad del consumidor en Estados Unidos. Otorga a los residentes de California (llamados «consumidores» en la ley, aunque la definición es más amplia que el sentido cotidiano) un conjunto de derechos sobre la información personal que los negocios guardan sobre ellos.

Los derechos centrales son:

• Derecho a saber: los consumidores pueden pedir las categorías y las piezas concretas de información personal que un negocio ha recopilado sobre ellos, las fuentes, los propósitos y los terceros con quienes se ha compartido.
• Derecho a eliminar: los consumidores pueden pedir que un negocio elimine su información personal, con excepciones específicas (obligaciones legales, prevención del fraude, completar transacciones, etc.).
• Derecho a oponerse a la venta: los consumidores pueden ordenar a un negocio que no venda su información personal a terceros.
• Derecho a la no discriminación: los negocios no pueden penalizar a los consumidores por ejercer sus derechos CCPA, aunque pueden ofrecer incentivos económicos por la recopilación de datos dentro de límites estrictos.

A quién afecta

La CCPA aplica a los negocios con ánimo de lucro que operan en California, recopilan información personal de residentes de California y cumplen al menos uno de tres umbrales:

• Ingresos brutos anuales superiores a 25 millones de dólares
• Comprar, vender o compartir información personal de 100.000 o más consumidores u hogares de California al año
• Obtener el 50 % o más de los ingresos anuales de la venta de información personal de consumidores

Los umbrales son alternativos, no acumulativos. Un negocio pequeño sin ingresos en California pero que compra datos de 100.000 consumidores californianos sigue estando dentro del alcance.

Qué cuenta como información personal

La CCPA define la información personal de forma amplia. Incluye lo obvio (nombre, dirección, número de la Seguridad Social, carnet de conducir, números de cuenta) y mucho más: direcciones IP, historial de navegación, datos de geolocalización, información biométrica, información laboral, expedientes académicos e «inferencias extraídas de cualquiera de la información anterior para crear un perfil sobre un consumidor».

Cualquier cosa que identifique, se relacione con, describa o pueda razonablemente vincularse con un residente u hogar de California concreto está dentro del alcance. Esto es deliberadamente más amplio que la PHI de HIPAA o los datos del titular bajo PCI.

La definición de venta

La definición de «venta» en la CCPA causó dolores de cabeza reales a los negocios cuando entró en vigor la ley. Cubre vender, alquilar, liberar, divulgar, diseminar, poner a disposición, transferir o comunicar de cualquier otro modo información personal «a cambio de una contraprestación monetaria u otra contraprestación de valor».

Esa última frase metió en el saco muchísima actividad que los negocios no consideraban venta: pasar datos a proveedores de ad-tech a cambio de analítica, compartir datos con socios de marketing para promociones cruzadas o usar trackers de terceros en sitios web. La CPRA (la enmienda de 2023) añadió un concepto separado de «compartir» para la publicidad conductual entre contextos, lo que cerró algunos de los huecos.

Información y avisos obligatorios

Los negocios sujetos a la CCPA deben publicar una política de privacidad que describa:

• Categorías de información personal recopiladas en los últimos 12 meses
• Categorías de fuentes
• Fines de negocio o comerciales para la recopilación o venta
• Categorías de terceros con los que se comparte la información
• Piezas concretas de información personal recopiladas, a petición del consumidor
• Cómo pueden los consumidores ejercer sus derechos
• Los métodos para enviar solicitudes (normalmente un número gratuito y un formulario web)

Si el negocio vende información personal, la página de inicio debe incluir un enlace claro y visible «Do Not Sell My Personal Information» («No vendan mi información personal»). La CPRA amplió esto para incluir la oposición al «compartir» para publicidad conductual.

Aplicación y sanciones

Originalmente, el Fiscal General de California era el único encargado de hacer cumplir la ley. La CPRA creó la California Privacy Protection Agency (CPPA), que ahora comparte la autoridad de aplicación. Las sanciones civiles son de 2.500 dólares por infracción, subiendo a 7.500 dólares para infracciones intencionadas o que afecten a consumidores menores de 16 años. No hay tope legal.

La CCPA también creó una acción privada para que los consumidores cuya información personal no cifrada y no redactada se vea afectada por una brecha debido al fallo del negocio en implementar una seguridad razonable. Los daños estatutarios van de 100 a 750 dólares por consumidor y por incidente, o los daños reales si son mayores. Las acciones colectivas bajo esta disposición son habituales.

Pasos prácticos de cumplimiento

Los negocios sujetos a la CCPA suelen tener que:

• Mapear los flujos de datos: qué información personal se recopila, adónde va, con quién se comparte y por qué
• Actualizar la política de privacidad con la información obligatoria
• Crear un proceso para gestionar las solicitudes de derechos del consumidor dentro del plazo de 45 días
• Implementar los mecanismos de «Do Not Sell» y «Do Not Share»
• Formar al personal que gestiona las solicitudes de los consumidores
• Examinar a los proveedores y establecer contratos de service-provider que limiten cómo pueden usar los datos los proveedores
• Mantener prácticas de seguridad razonables para limitar la exposición a brechas