El 3 de noviembre de 2020, el 56% de los votantes de California votaron para aprobar la Proposición 24, una boleta electoral que creó la Ley de Derechos de Privacidad de California (CPRA).
Siga leyendo para obtener más información sobre la CPRA y lo que significa para su empresa, lo que incluye:
- Qué es la Ley de Derechos de Privacidad de California
- En qué se diferencia la CPRA de la Ley de Privacidad del Consumidor de California
- Cómo afecta la CPRA a las empresas y cómo prepararse para ella
Ley de Derechos de Privacidad de California
La Ley de Derechos de Privacidad de California (CPRA, por sus siglas en inglés) enmienda la Ley de Privacidad del Consumidor de California de 2018 (CCPA, por sus siglas en inglés) al crear derechos ampliados para los residentes de California y nuevas obligaciones de cumplimiento para las empresas.
La CPRA también introduce una nueva agencia, la Agencia de Protección de la Privacidad de California (CalPPA), que se encarga de implementar las regulaciones, realizar investigaciones y hacer cumplir las acciones.
La CPRA entrará en vigor el 1 de enero de 2023, dando a las empresas dos años para prepararse.
Empresas a las que afecta la CPRA
La Ley de Derechos de Privacidad de California se aplica a las empresas que:
- Ganar $25 millones o más en ingresos brutos anuales
- Comprar, vender o compartir información personal de al menos 100,000 residentes u hogares de California
- Obtener el 50% de sus ingresos anuales de la venta O el intercambio de información personal
La CPRA también es aplicable si su empresa compra información personal de una empresa o recibe esa información con fines de publicidad conductual de contexto cruzado.
La CPRA se aplica a los proveedores de servicios y contratistas de las empresas cubiertas por la CPRA. Impone las mismas obligaciones contractuales y directas a los proveedores de servicios y contratistas y distingue a ambos.
Un proveedor de servicios recibe información personal de una empresa o en su nombre y procesa esa información. Mientras tanto, un contratista solicita información personal de una empresa.
En virtud de la CPRA, los proveedores de servicios y contratistas deben cooperar y ayudar a las empresas a proporcionar o eliminar cualquier información personal solicitada.
CCPA vs. CPRA
La Ley de Derechos de Privacidad de California modifica la Ley de Privacidad del Consumidor de California adoptando un enfoque de gobernanza similar al Reglamento General de Protección de Datos (GDPR), ampliando los derechos individuales y estableciendo una agencia de aplicación. Estas son algunas diferencias clave entre la CCPA y la CPRA.
Tabla 1. Diferencias entre CCPA y CPRA
| CCPA | CPRA (en inglés) |
| La empresa debería tener 25 millones de dólares en ingresos anuales | La empresa debería tener 25 millones de dólares en ingresos anuales |
| compra o vende, O recibe o comparte para fines comerciales de la empresa, información personal de 50,000+ consumidores, hogares o dispositivos | Compra, vende o comparte información personal de 100,000+ consumidores u hogares |
| obtiene al menos el 50% de los ingresos anuales de la venta de información personal del consumidor. | Obtiene al menos el 50% de los ingresos anuales de la venta o el intercambio de información personal del consumidor |
Creación de la Agencia de Protección de la Privacidad de California
Una adición significativa a la Ley de Derechos de Privacidad de California fue el mandato de crear la Agencia de Protección de la Privacidad de California (CalPPA), una nueva agencia de privacidad dedicada a manejar la aplicación de la ley.
Tabla 2. Lo que necesitas saber sobre CalPPA
| Actividad | Implementador | Fecha de entrada en vigor |
| Aplicación de la CCPA | Oficina del Procurador General de California | Hasta el 31 de diciembre de 2022 |
| Creación de la Agencia de Protección de la Privacidad de California | Gobernador de California, Fiscal General de California, Comité de Reglas del Senado, Presidente de la Asamblea | 90 días después de la fecha de entrada en vigor de la CPRA (cinco días después de que el Secretario de Estado presente oficialmente los resultados de las elecciones) |
| Redacción de reglamentos | Agencia de Protección de la Privacidad de California | Comienza el 1 de julio de 2021 (o seis meses después de que la CPPA le diga al Fiscal General que está preparada para comenzar a reglamentar) |
| Normativa final | Agencia de Protección de la Privacidad de California | Debería estar listo para el 1 de julio de 2022 |
La CalPPA será gobernada por una junta de cinco miembros.
Los miembros de la junta deben ser expertos en el campo de la tecnología, la privacidad y los derechos del consumidor. Los miembros pueden ejercer sus funciones por un máximo de ocho años y pueden ser destituidos por la autoridad nominadora en cualquier momento.
Derechos ampliados del consumidor en la CPRA
La Ley de Derechos de Privacidad de California amplía el alcance y la definición de ciertos elementos de la Ley de Privacidad del Consumidor de California.
Tabla 3. La diferencia en los derechos ampliados
| CCPA | CPRA (en inglés) | |
| Derecho de acceso a la información | Información que una empresa ha recopilado sobre una persona en los últimos 12 meses | Información que una empresa ha recopilado sobre una persona, independientemente de cuándo se recopiló. |
| Derecho a optar por no compartir información | La definición de «vender» no incluye explícitamente el intercambio de información con terceros. | La definición de venta incluye tanto la venta como el intercambio de información a terceros. |
| Derecho a demandar a las empresas | Cuando una empresa expone información personal a través de una violación de datos. | Cuando una empresa expone información personal (incluido un nombre de usuario y una contraseña) a través de una violación de datos. |
Los consumidores pueden acceder a la información
Según la CCPA, una persona puede solicitar acceso a cualquier información personal que una empresa haya recopilado sobre ella en los últimos 12 meses.
La CPRA amplía este derecho para que cualquier persona pueda solicitar cualquier tipo de información recopilada, independientemente de cuándo se recopiló. La excepción es si hacerlo fuera imposible o implicara un esfuerzo desproporcionado.
Básicamente, según la CPRA, los usuarios pueden solicitar acceso a su información personal en cualquier momento (y no solo en los últimos 12 meses).
Los consumidores pueden optar por no compartir información con terceros
La definición de «vender» de la CCPA no incluye explícitamente el intercambio. La Ley de Derechos de Privacidad de California amplía la definición de «vender» de la CCPA para aclarar que las personas tienen derecho a optar por no participar en empresas que vendan y compartan su información personal con terceros.
Los consumidores pueden demandar a las empresas cuando exponen información personal
La CCPA aprendió del escándalo de Cambridge Analytica, una violación de seguridad de Facebook que expuso a 50 millones de usuarios. La ley permitió a las personas demandar a las empresas cuando su información personal queda expuesta durante una violación de datos.
La expansión de este derecho de la CPRA incluye violaciones de datos con información personal que revela un nombre de usuario o contraseña.
Novedades de la CPRA y lo que significa para su empresa
La Ley de Derechos de Privacidad de California modifica la Ley de Privacidad del Consumidor de California para incluir nuevos derechos que las empresas deben cumplir. Esto se debe a que el 46% de los consumidores sienten que han perdido el control sobre sus datos.
Solo el 10% de los consumidores sienten que tienen control total sobre su información personal.
Las empresas que infrinjan la CPRA recibirán una multa de hasta $2,500 por cada infracción y de hasta $7,500 por cada infracción intencional (o infracciones que involucren a cualquier persona menor de 16 años).
Los consumidores pueden determinar el uso de la información y corregir la información inexacta
Al igual que con la CCPA, las personas tienen derecho a preguntar a las empresas cómo se utiliza su información personal. Sin embargo, en virtud de la CPRA, las empresas deben explicar si comparten información personal (por ejemplo, si la comparten con terceros con fines de publicidad conductual de contexto cruzado).
Las personas también tienen derecho a pedir a las empresas que corrijan la información inexacta registrada una vez que descubran que los datos son incorrectos.
Impacto en las empresas: En virtud de la Ley de Derechos de Privacidad de California, los clientes han ampliado los derechos de los consumidores, incluido el derecho a determinar dónde se utiliza su información. Los consumidores también tienen derecho a corregir la información personal inexacta que una empresa tiene sobre ellos.
Hay algunas excepciones, pero las empresas están obligadas a cumplir con estas regulaciones.
Recuerde que la CPRA también se aplica a las empresas que proporcionan o solicitan datos a contratistas o proveedores de servicios. Revise los contratos con estos proveedores externos para determinar si necesitan incluir las disposiciones requeridas por la CPRA.
Lo que tu empresa puede hacer:
- Realizar una auditoría de datos. Cree una base de datos con la siguiente información:
- Fuentes de toda la información que tu empresa utiliza y recopila
- Categorías de información personal
- Finalidades de la recopilación
- Lista de entidades a las que tu empresa divulga información personal
- Período de retención o criterios utilizados para determinar el período de retención de la información
- Medidas de seguridad aplicadas para proteger la información personal
- Actualice los avisos de privacidad para reflejar las prácticas de su empresa con respecto a la información personal. Considere el medio que utilizará su empresa para entregar estos avisos: a través del sitio web de su empresa, la aplicación, el correo electrónico, en persona o por teléfono.
- Implementar procedimientos para revisar y procesar solicitudes. Según la CPRA, las empresas en línea que participan en publicidad basada en intereses deben publicar un nuevo enlace titulado «No vender ni compartir mi información personal». Los consumidores pueden optar por no compartir su información personal con socios publicitarios.
Las empresas tienen minimización de datos y limitación de almacenamiento
En la medida de lo posible, se requiere que las empresas limiten o minimicen el uso, la retención y el intercambio de información personal a lo que sea necesario.
Impacto en las empresas: La CPRA prohíbe a las empresas retener información personal durante más tiempo del necesario. Las empresas también están obligadas a revelar los períodos de retención para cada categoría de datos personales recopilados.
Qué puede hacer su empresa: su empresa debe determinar si va a retener los datos durante más tiempo del necesario. Las políticas de su empresa deben incluir plazos para la eliminación de datos y garantizar que se cumplan.
Los consumidores pueden recibir avisos de las empresas
Un cambio notable en la CPRA es la definición de «información personal confidencial», que difiere de la definición de datos personales confidenciales del GDPR.
Según la CPRA, la información personal confidencial se convierte en un conjunto de datos regulado. Debido a eso, los usuarios tienen nuevos derechos diseñados para limitar el uso de información personal confidencial por parte de las empresas.
Las empresas están obligadas a dar un aviso especial cuando planean recopilar o utilizar «información personal confidencial» como:
- Número de tarjeta de crédito, número de seguro social, licencia de conducir o pasaporte
- Inicio de sesión de la cuenta
- Geolocalización exacta
- Contenido de correos electrónicos y mensajes de texto
- Información biométrica para identificar a alguien
- Datos genéticos
- Información sobre la salud, la vida sexual o la orientación sexual de una persona
- Raza u origen étnico, creencias religiosas o filosóficas, o afiliación sindical
Impacto en las empresas: Las empresas deben identificar la «información personal confidencial» que tienen y cómo la utilizan. También deben estar preparados para cumplir con las solicitudes de los clientes para eliminar su información y dejar de venderla, compartirla y usarla.
Lo que tu empresa puede hacer:
- Incluya un enlace al sitio web con información sobre cómo los consumidores pueden ejercer sus derechos con respecto a su información personal confidencial
- Cumplir con las solicitudes de los clientes para que se elimine su información
- Considere cambiar la forma en que su empresa estructura los datos para que puedan eliminarse fácilmente una vez que un cliente lo solicite
Asegúrese de que todos estos cambios y actualizaciones se comuniquen a sus empleados. Incluya los cambios y actualizaciones en el manual de su empresa y a través de programas de capacitación para que sus empleados sepan cómo abordar cualquier brecha de cumplimiento en el futuro.
La Ley de Derechos de Privacidad de California ha sido aprobada y sustituirá a la Ley de Privacidad del Consumidor de California cuando entre en vigor oficialmente el 1 de enero de 2023. Las empresas que están sujetas a la CPRA deben mirar hacia adelante y comenzar a prepararse para cumplir con la CPRA.
¿Necesitas ayuda para crear un sitio web que cumpla con las normas? Echa un vistazo a los planes de alojamiento de servicio completo de Bluehost hoy mismo.
Escriba un comentario