¿Qué es la California Privacy Rights Act (CPRA)?

Cómo surgió la CPRA

La CPRA fue la Propuesta 24, una iniciativa por votación popular de California en 2020 liderada por el mismo grupo que impulsó la CCPA original. Los votantes la aprobaron, las disposiciones sustantivas entraron en vigor el 1 de enero de 2023 y la aplicación comenzó el 1 de julio de 2023. La CPRA no sustituyó a la CCPA: la modificó. La ley que cumplen hoy los negocios es técnicamente la CCPA en su redacción tras la CPRA.

Información personal sensible

La adición más relevante de la CPRA es una categoría separada de «información personal sensible» (SPI, sensitive personal information) con protecciones más fuertes. La SPI incluye:

• Identificadores gubernamentales (número de la Seguridad Social, carnet de conducir, pasaporte)
• Credenciales de inicio de sesión de cuenta y números de cuenta financiera (con códigos de seguridad o acceso)
• Geolocalización precisa
• Origen racial o étnico, creencias religiosas, afiliación sindical
• El contenido de correos postales, electrónicos y mensajes de texto cuando el negocio no es el destinatario
• Datos genéticos e información biométrica usada para identificar a una persona
• Información de salud
• Información sobre la vida sexual o la orientación sexual

Los consumidores tienen derecho a limitar el uso de SPI a lo necesario para prestar el servicio solicitado. Si un negocio usa SPI para fines más allá de ese ámbito esencial (como marketing o profiling), debe ofrecer un enlace «Limit the Use of My Sensitive Personal Information» («Limitar el uso de mi información personal sensible») en su página de inicio.

El derecho a rectificar

La CPRA añadió un nuevo derecho del consumidor que no estaba en la CCPA original: el derecho a solicitar la rectificación de información personal inexacta. Los negocios que reciban una solicitud verificada de rectificación deben hacer esfuerzos comercialmente razonables para corregir la información.

La distinción del «compartir»

La CPRA añadió un concepto separado de «compartir» junto al de «venta». Compartir cubre divulgar información personal a un tercero para publicidad conductual entre contextos, con independencia de si hay dinero de por medio. Esto cerró un agujero importante de la CCPA, donde los negocios alegaban que pasar datos a socios de ad-tech no era una «venta» porque no había contraprestación monetaria.

Ahora los negocios deben ofrecer a los consumidores oposición al «compartir» junto a la oposición a la «venta». La información y el enlace de la página de inicio se amplió a «Do Not Sell or Share My Personal Information» («No vendan ni compartan mi información personal»).

La CPPA

La CPRA creó la California Privacy Protection Agency (CPPA), el primer regulador estatal de privacidad dedicado en EE. UU. La CPPA tiene un consejo de cinco miembros, autoridad reglamentaria y poder de aplicación compartido con el Fiscal General de California.

La CPPA ha estado redactando y revisando reglamentos activamente desde 2022, incluyendo reglas detalladas sobre tecnología de toma de decisiones automatizada (ADMT), evaluaciones de riesgo, auditorías de ciberseguridad y mecanismos de derechos del consumidor. Las prioridades de aplicación han incluido el cumplimiento de señales de oposición, los dark patterns en los flujos de consentimiento y las obligaciones de los data brokers.

Otros cambios destacados

La CPRA introdujo otros cambios significativos:

• Minimización de datos: los negocios deben recopilar, usar, conservar y compartir información personal solo en la medida razonablemente necesaria para el propósito informado.
• Limitación de almacenamiento: los negocios deben informar de cuánto tiempo conservan cada categoría de información personal o los criterios para determinar la conservación.
• Evaluaciones de riesgo: los negocios cuyo tratamiento presenta un riesgo significativo para la privacidad del consumidor deben realizar evaluaciones de riesgo periódicas y enviarlas a la CPPA.
• Auditorías de ciberseguridad: el mismo desencadenante exige auditorías de ciberseguridad anuales.
• Datos de empleados y B2B: las exenciones temporales de la CCPA para datos de empleados y de contacto de negocio expiraron el 1 de enero de 2023. Estas categorías están ahora plenamente cubiertas.
• Sanciones más altas por datos de menores: las infracciones que afectan a consumidores menores de 16 años conllevan automáticamente la sanción elevada de 7.500 dólares.
• Obligaciones del contratista: los proveedores de servicios y contratistas tienen obligaciones directas bajo la ley, similar a cómo funcionan los business associates de HIPAA.

Mecanismos universales de oposición

Los reglamentos de la CPPA exigen a los negocios respetar los mecanismos universales de oposición como el Global Privacy Control (GPC), una señal del navegador que comunica la elección de oposición del consumidor a cada sitio que visita. Los negocios no pueden exigir a los consumidores oponerse sitio por sitio si hay una señal global disponible.

Información personal sensible vs categorías especiales de datos

Si ya cumples las reglas de categorías especiales de datos del RGPD (artículo 9 del RGPD), la lista de SPI de la CPRA te resultará familiar. Se solapan mucho, pero no son idénticas. Las categorías especiales del RGPD incluyen datos que revelan opiniones políticas, que la CPRA no clasifica como SPI. La CPRA incluye geolocalización precisa, que el RGPD no incluye en su categoría especial.

Implicación práctica: los negocios con exposición tanto en la UE como en California deben mapear sus datos contra ambas listas por separado.