La California Consumer Privacy Act (CCPA) es una norma histórica que refuerza los derechos de privacidad y la protección de los residentes de California. Fue promulgada en junio de 2018 y se hizo efectiva en enero de 2020. En noviembre de 2020 se aprobó la California Privacy Rights Act (CPRA), que modificó la CCPA y añadió protecciones adicionales que comenzaron a aplicarse en enero de 2023. La CCPA se aplica a todas las empresas (u organizaciones con ánimo de lucro) que operen en California y cumplan al menos uno de los siguientes requisitos- beneficio bruto que exceda los 25 millones de dólares, que compra, reciba, venda o ceda información personal de 100,000 o más residentes en California, hogares o dispositivos; o que más del 50% de su beneficio annual se derive de vender información personal de residentes en California.
The CCPA ofrece a los residentes de California control sobre la información personal que tratan las empresas.
La CCPA proporciona a los residentes de California control sobre la información personal que tratan las empresas y establece nuevos derechos de privacidad, como el derecho de saber, el derecho de supresión y el derecho de objeción a la venta o cesión de su información personal, el derecho a corregir información imprecisa, el derecho a limitar el uso y cesión de su información sensible o el derecho a no discriminación por ejercer los derechos de la CCPA. Las empresas sujetas a la CCPA deben responder a las solicitudes de derechos e incluir la explicación relevante en sus políticas de privacidad.
La CCPA tiene como objetivo principal mejorar la transparencia hacia el consumidor, al requerir a las empresas que lleven a cabo inventorios detallados para responder de manera precisa al ejercicio de los derechos de los consumidores.
A fin de cumplir con la CCPA, es esencial recordar que su principal objetivo es promover la transparencia en las políticas de gestión de información personal y proteger los derechos de privacidad de los residentes de California. A estos efectos, comprender el ámbito de la CCPA en lo que respecta a tu empresa es el primer paso para comenzar a adoptar los procesos y prácticas, lo cual en muchos casos conllevará la realización de un inventario detallado para identificar la información personal que se recoge, las finalidades para las que se trata, los dispositivos y localizaciones de almacenamiento y las partes a las que se ceden o venden los datos. Este mapa de datos es fundamental para poder responder de manera precisa a las solicitudes de derechos de los sujetos, como aquellas de acceso y supresión, y para comprender el alcance de las normas aplicables. En aquellos casos en los que la empresa utilice proveedores de servicios, lo que sería el equivalente a los encargados de tratamiento bajo el RGPD, ambas partes deberán contar con un acuerdo de tratamiento que contenga el tipo de datos y las finalidades de tratamiento conforme al acuerdo, pues únicamente podrán abarcarse aquellos datos que sean necesarios y relevantes para los servicios concretos. Además, se deberá garantizar la implementación de las adecuadas medidas de seguridad.
También será necesario actualizar las correspondientes políticas de privacidad, lo que incluirá la obligación de ofrecer una descripción de los derechos garantizados bajo la CCPA y una explicación de los medios habilitados para ejercerlos, así como listar las categorías de información personal que la empresa ha recogido, vendido o cedido en los últimos doce meses, entre otros aspectos. Las empresas deberán de establecer procedimientos para responder al ejercicio de los derechos por parte de los residentes de California, lo cual incluirá identificar y proporcional los medios adecuados y desarrollar métodos para verificar la identidad como sea preciso, dentro del plazo de respuesta de 45 días. En este sentido, la formación de los empleados jugará un papel esencial, pues deberán comprender tanto la normativa como las prácticas concretas de la empresa en lo que respecta a la privacidad. Por otro lado, se deberá priorizar la implementación de medidas de seguridad para proteger la información personal de cualquier acceso, cesión o destrucción no autorizados.
El cumplimiento con la CCPA permite a las empresas generar confianza en los consumidores y evitar posibles consecuencias derivadas de brechas de seguridad.
Es necesario destacar que además de ser un requisito legal, el cumplimiento con la CCPA también presenta una gran oportunidad para que las empresas generen confianza en sus consumidores. Demostrar compromiso con la privacidad puede ser un elemento diferenciador y mejorar las relaciones y reputación de una empresa. Mientras que el proceso de adaptación a la CCPA requiere tiempo y recursos, los beneficios que se pueden derivar de ello compensan dichos esfuerzos adicionales. Por otro lado, también hay sanciones en caso de incumplimiento, con sanciones civiles de $7,500 por infracción intencionada y $2,500 por infracción no intencionada.