Si bien no todas las empresas estadounidenses se verán afectadas, nuevas Ley de Protección al Consumidor de Californiao CCPA, seguramente tendrá un impacto en muchas empresas fuera de California.
A partir del 1 de enero de 2020, las empresas elegibles cumplirán con los estándares de seguridad y privacidad de datos actualmente requeridos solo por los 28 estados miembros de la UE. Dado el riesgo de incumplimiento, las empresas ahora deben tomarse el tiempo para analizar y considerar si la CCPA se aplica a ellos y, de ser así, qué cambios se requieren en sus operaciones y protección de información personal (PI).
Tabla de Contenidos
¿Qué es la CCPA?
La privacidad ha sido un gran problema en California durante años. De hecho, en 1972, la gente votó a favor de enmendar la Constitución de California para incluir la «privacidad» como un derecho constitucional fundamental.
¡Piense en 1972, un mundo con computadoras, y mucho menos sin Internet, aplicaciones móviles o Facebook! Por supuesto, dado que California ha sido durante mucho tiempo un estado líder en tecnología de la información, comercio electrónico y redes sociales, parece razonable que sea el primer estado en establecer estándares más altos para la protección de la información personal.
Esto es aún más comprensible dado el alcance internacional del Reglamento General de Privacidad de Datos de la Unión Europea, que entró en vigor en mayo de 2018, imponiendo una pesada carga a las empresas de todo el mundo con respecto al procesamiento de datos personales de los residentes de la UE.
Sin profundizar en el RGPD, a partir de este escrito, ningún tribunal de los EE. UU. ha abordado la cuestión de si el RGPD se aplica a las empresas de los EE. UU. y en qué medida. Por lo menos, uno podría preguntarse: ¿Cómo se aplican las obligaciones legales del RGPD a otros países? Obviamente, esa es una pregunta para otra columna para otro día.
¿Qué empresas están cubiertas por la CCPA?
La CCPA define un «negocio» como una entidad que hace negocios en California (ya sea que la corporación tenga o no presencia física en el estado) que cumple con uno de los siguientes tres umbrales:
- Ingreso bruto anual superior a $25 millones;
- Comprar, recibir, vender o compartir la información personal de 50 000 o más consumidores, hogares o dispositivos cada año, individualmente o en combinación, para los fines comerciales de la empresa; o
- El 50% o más de sus ingresos anuales proviene de la venta de información personal de los consumidores.
Suponiendo que su negocio no entre en una de estas categorías, teóricamente debería estar «seguro» en 2020. Sin embargo, el umbral puede cambiar en el futuro a medida que surjan las enmiendas propuestas a la CCPA. Estén atentos, ya que la CCPA puede volverse más complicada.
¿Qué PI están cubiertos por la CCPA?
A partir del 1 de enero de 2020, las empresas cubiertas deberán monitorear, rastrear, divulgar y eliminar cierta PI del consumidor que recopilan o comparten. La solicitud de un consumidor generaría la obligación de que una empresa divulgue «las categorías y la información personal específica que recopila sobre los consumidores, las categorías de fuentes de las que se recopiló, el propósito comercial para el que se recopiló o vendió, y las categorías de terceros con los que se compartió.”
Además, la CCPA otorga a los consumidores el derecho a solicitar que se elimine su PI. La CCPA también protege a los menores al exigir que las empresas obtengan el consentimiento de los padres (para menores de 13 años) o el consentimiento explícito (para menores de entre 13 y 16 años) antes de recopilar IP.
Las empresas también deben proporcionar un enlace en su sitio web (similar a un enlace para «darse de baja» incrustado en un correo electrónico) que informe a los consumidores sobre sus derechos en virtud de la CCPA.
Específicamente, la página de inicio debe proporcionar un enlace titulado «El derecho a decir no a la venta de información personal», que permite a los consumidores optar por no participar y especifica claramente el método para enviar una solicitud de exclusión, incluido un número gratuito. Por supuesto, la CCPA faculta a los consumidores a optar por no vender su PI sin pagar tarifas ni multas.
¿Cuáles son las sanciones por no cumplir con la CCPA?
No existe un tipo de factor «razonable» en la CCPA, lo que significa que las empresas deben cumplir estrictamente. Las empresas deben tomarse en serio sus obligaciones y cumplir con la CCPA.
Para garantizar el cumplimiento, las empresas necesitan una comprensión integral de qué datos recopilan, dónde y cómo se recopilan, cómo se almacenan, cómo se utilizan, con quién se comparten y cómo fluyen a través de la organización. En la industria de TI, esto se denomina «mapeo de datos».
Cumplir con CCPA y GDPR requiere que las empresas profundicen en sus procesos de recopilación y gestión de datos para mapear todo el ciclo de vida de datos de PI del consumidor. Luego, las empresas deben evaluar su gráfico de datos junto con las políticas prescritas para garantizar que existan procedimientos para identificar, almacenar, recuperar y eliminar correctamente la PI del consumidor de manera oportuna y eficiente.
La CCPA tiene sanciones muy claras para las empresas que no cumplan. Otorga a los consumidores el derecho a presentar una reclamación por incumplimientos e impone una sanción legal fija por cada incumplimiento. Proporciona a los consumidores los siguientes derechos:
- No menos de $100 y no más de $750 en daños por consumidor por incidente, o daños reales, lo que sea mayor;
- medida cautelar o declaratoria; y
- cualquier otra reparación que el tribunal considere apropiada.
Además de los reclamos de los consumidores, el Fiscal General de California también puede presentar reclamos de ejecución en virtud de la CCPA contra las empresas que no corrigen las infracciones dentro de los 30 días. Estos negocios están sujetos a sanciones adicionales, que incluyen medidas cautelares y sanciones civiles de $2500 por infracción o $7500 por infracción intencional. Sin embargo, la implementación puede retrasarse seis meses hasta el 1 de julio de 2020.
El tribunal evaluará los daños legales evaluando «la gravedad de la mala conducta, el número de infracciones, la continuación de la mala conducta, el tiempo durante el cual ocurrió la mala conducta, el grado de intencionalidad de la mala conducta del acusado y la mala conducta del acusado. » Activos, pasivos y patrimonio neto. «
Las empresas pueden buscar el asesoramiento del Fiscal General si surgen dudas sobre el cumplimiento o la interpretación de las normas.
Además, debido al amplio alcance e impacto de la CCPA, la regulación brinda a las empresas un puerto seguro de un año para cumplir con la mayoría de las obligaciones de datos de los empleados. Esta es solo una de las muchas enmiendas propuestas a la CCPA durante el período legislativo más reciente de California. Las últimas enmiendas están a la espera de la aprobación final del gobernador. Si se aprueba, las modificaciones entrarán en vigor el 1 de julio de 2020.