¿Qué es el cumplimiento de la CCPA y cómo afecta a su sitio web?

El 1 de enero de 2020 entró en vigor la Ley de Privacidad del Consumidor de California (CCPA). ¿Tiene que preocuparse por el cumplimiento de la CCPA ? ¿En qué se parece y en qué se diferencia la CCPA del Reglamento General Europeo de Protección de Datos ( RGPD )?

Ambas leyes tienen como objetivo proteger la privacidad de las personas, y ambas conllevan posibles sanciones y multas por incumplimiento. Echemos un vistazo a CCPA y lo que significa para los propietarios de pequeñas empresas en todas partes.


No hace mucho tiempo, cuando entregabas información personal a una empresa, la empresa asumía que era de su propiedad. La propiedad de nuestros datos personales no era algo que la mayoría de nosotros cuestionara o pensara mucho.

Pero esa perspectiva está cambiando. La sociedad está empezando a ver los datos, no como un activo de la empresa, sino como un derecho del consumidor.

Es fundamental que su empresa se adapte a las perspectivas cambiantes y se mantenga al día con las expectativas de sus clientes.

Aquí hay algunos enlaces rápidos a los temas que cubriremos en este artículo.

  • ¿Qué es la CCPA?
  • ¿Tiene que tomar medidas para garantizar el cumplimiento de la CCPA?
  • ¿Qué exige la CCPA que hagan las empresas afectadas?
  • ¿Existe una sanción por incumplimiento de la CCPA?
  • Lista de verificación de cumplimiento de CCPA
  • ¿Cuáles son las diferencias entre CCPA y RGPD?
  • GDPR no fue el fin del mundo, CCPA tampoco lo será
  • Espere ver más leyes de privacidad de datos en el futuro

¿Qué es la CCPA?

¿Qué es CCPA?

La CCPA se promulgó para proteger la privacidad de los consumidores de California. Es la primera parte de un esfuerzo por crear una ley de privacidad de datos cohesiva para los Estados Unidos. California tiene la economía estatal más grande de Estados Unidos y, de hecho, es la quinta economía más grande del mundo .

Dado que es una parte tan grande de la economía nacional, a menudo, las leyes y la legislación de California son adoptadas por otros estados. Y en muchos casos, en definitiva, todo el país. Entonces, lo que sucede en California puede tener un impacto en las leyes nacionales e internacionales.

Y, por supuesto, debido a su tamaño, cualquier cosa que suceda en la economía de California tiene implicaciones globales.

Un estudio del Pew Research Center dice que el 81% de los estadounidenses sienten que tienen poco o ningún control sobre la recopilación de datos personales. Eso incluye datos recopilados tanto por empresas como por el gobierno. La CCPA aborda esa falta de control.

La CCPA se inspiró en el RGPD y cubre muchos temas similares. Pero también hay algunas diferencias importantes a tener en cuenta. En un minuto, veremos las diferencias entre las leyes .

La CCPA entró en vigor el 1 de enero de 2020 y entró en vigor el 1 de julio de 2020.

¿Tiene que tomar medidas para garantizar el cumplimiento de la CCPA?

No todas las empresas se ven afectadas por la CCPA. Es poco probable que la mayoría de los sitios de comercio electrónico pequeños o sitios personales cumplan con los requisitos. Pero los siguientes tipos de negocios están sujetos al cumplimiento de la CCPA.

  • Los que tengan ingresos brutos anuales superiores a $25 millones.
  • Empresas que compran, reciben o venden la información personal de 50,000 o más consumidores, hogares o dispositivos de California.
  • Cualquier empresa que obtenga el 50 % o más de sus ingresos anuales de la venta de información personal de los consumidores de California.

Como puede ver, la CCPA tiene un impacto potencial en las empresas de todos los tamaños, no solo en las grandes corporaciones. Tal vez solo gane $ 1,000 al año con su sitio web. Si la mitad de esos $ 1,000 provienen de la venta de datos personales de usuarios, debe cumplir con CCPA.

Su empresa no tiene que estar ubicada en California para estar sujeta al cumplimiento de la CCPA. Si tienes clientes o usuarios que viven en California, te verás potencialmente afectado. Es seguro asumir que la mayoría de los sitios web en inglés tienen usuarios o clientes de California.

Un estudio de la agencia de marketing IntoTheMinds muestra que ha habido un aumento promedio del 86 % en el número de quejas desde que se implementó el RGPD.

Eso parecería ser una fuerte indicación de que las personas están preocupadas por la privacidad de sus datos personales. Por lo tanto, deberíamos esperar ver un aumento similar en la concientización y las quejas en lo que respecta a la CCPA.

Si bien es posible que su empresa no se vea directamente afectada por la CCPA, eso no significa que deba ignorar la regulación. Le conviene trabajar para asegurar a sus clientes que sus datos están seguros con su empresa.

¿Qué exige la CCPA que hagan las empresas afectadas?

No es posible detallar todos los requisitos de la CCPA en este artículo. Si su negocio se ve afectado, debe leer los detalles de la CCPA . Esa página está orientada a informar a los consumidores sobre sus derechos, pero puede ver las áreas que pueden afectar su negocio. (O bien, puede leer el acto en sí ).

Pero específicamente, existen requisitos de datos de CCPA para empresas. Debes:

  • Divulgar a los consumidores que usted vende o comparte información personal.
  • Agregue una opción de "No vender mi información personal" a sus sitios web, así como un número de teléfono gratuito para las solicitudes de los consumidores.
  • Recopile afirmativamente el consentimiento para vender datos de cualquier consumidor menor de 16 años, o de un padre o tutor para cualquier consumidor menor de 13 años.
  • Tratar a los clientes por igual en el servicio y el precio independientemente de si han ejercido sus derechos en virtud de la ley.

Estos son requisitos que su empresa puede no haber tomado para el cumplimiento de GDPR.

La CCPA pone un fuerte énfasis en capacitar a los empleados que se ocupan de las solicitudes de privacidad de los consumidores. Entonces, como propietario de un negocio, no es suficiente tener una política de privacidad clara. También debe asegurarse de que todos sus empleados que se ocupan de las solicitudes de los consumidores comprendan su política.

Deben saber cuáles son sus responsabilidades cuando se trata de manejar información personal.

Idealmente, desea que todos en su organización conozcan sus responsabilidades con respecto a la información privada. No solo aquellos que pueden tratar las solicitudes de privacidad de los consumidores.

Lista de verificación de cumplimiento de CCPA

Lista de verificación de cumplimiento

Por supuesto, habrá problemas de datos técnicos que sus equipos de desarrollo y TI tendrán que abordar. Esta lista de verificación cubre las preocupaciones operativas de cualquier empresa que busque cumplir con la CCPA.

  1. Primero, evalúa si estás sujeto a la ley. No todos los negocios lo serán.
  2. Considere armar un equipo que pueda abordar específicamente cada área relevante: legal, cumplimiento y tecnología. Todos deben mirar el cumplimiento a través de la lente de su experiencia.
  3. Cree un cronograma de cumplimiento o una hoja de ruta. Proporcione un marco de tiempo para que el cumplimiento de la CCPA no se quede atrás en el transcurso del trabajo diario.
  4. Determine si debe extender las protecciones de la CCPA a todos sus clientes. Mantener múltiples políticas de privacidad podría generar confusión entre el personal y los clientes.
  5. Actualice su política y aviso de privacidad en línea. Debe ser específico sobre los derechos que la CCPA proporciona a sus clientes y usuarios.
  6. Documente todos los cambios y prácticas de seguridad relacionados con CCPA. En el caso de una violación de datos, querrá poder demostrar que se cumplieron los requisitos de "seguridad razonable" de la CCPA.
  7. Establecer un proceso de solicitud de datos. CCPA tiene requisitos muy específicos para la divulgación de información personal. Todos los miembros de su personal de cara al público deben estar familiarizados con las reglas y políticas de solicitud de datos.
  8. Mapea tus datos. Es posible que conozca la ubicación de todos los datos que almacena en los servidores corporativos, pero ¿hay datos en otros lugares? ¿Qué pasa con otros proveedores de servicios o en el almacenamiento en la nube?
  9. Revise sus contratos de proveedores. Si los datos personales que ha recopilado se transfieren a los proveedores, consulte los contratos existentes para conocer los detalles del uso de datos. Modifique cualquier contrato de proveedor que no incluya la protección de CCPA.
  10. Capacite a sus empleados sobre los cambios. Como mencioné, la CCPA se toma en serio la capacitación de los empleados que se ocupan de las solicitudes de privacidad de los consumidores.

¿Existe una sanción por incumplimiento de la CCPA?

El incumplimiento podría resultar en una multa para su empresa. Si evita intencionalmente el cumplimiento de la CCPA, las multas son más severas.

  • $2,500 por registro por cada violación no intencional .
  • $7,500 por registro por cada violación intencional .

Esa es una gran diferencia, y se basa en la intención o en elegir ignorar la ley.

Y si bien esas cantidades pueden parecer bajas, son "por registro", lo que significa que son acumulativas. Entonces, si viola intencionalmente los derechos de mil consumidores de California, la multa es de $7.5 millones de dólares.

Queda por ver cuán rigurosa será la aplicación de la CCPA. Pero si se parece al RGPD, podemos esperar que sea de gran alcance. La multa más pequeña del RGPD ha sido de 90 € (contra un hospital en Hungría). Así que definitivamente están haciendo cumplir la ley en todos los niveles.

¿La mayor multa de GDPR hasta ahora? Google fue multado con 50.000.000€ en Francia.

¿Cuáles son las diferencias entre CCPA y RGPD?

CCPA y RGPD

Muchos de nosotros pasamos al menos un tiempo aprendiendo sobre GDPR y cómo afectaba a nuestras empresas. Por lo tanto, es útil que muchos aspectos de CCPA cubran un terreno similar. Puede usar su conocimiento de GDPR para comprender gran parte de CCPA. Pero hay algunas diferencias a tener en cuenta.

Una de las mayores diferencias está en el alcance de las leyes. El RGPD requiere el cumplimiento de instituciones públicas y organizaciones sin fines de lucro, así como empresas y negocios. La CCPA está dirigida únicamente a empresas con fines de lucro que tienen residencia en California o procesan información personal de los residentes de California.

Algunas otras diferencias clave:

  • La CCPA permite que las empresas procesen los datos de los consumidores a menos que la persona ejerza su derecho a excluirse de la venta de sus datos. El RGPD requiere que los controladores de datos de la UE identifiquen la base legal para procesar los datos antes de que se procesen para cumplir con los requisitos.
  • La CCPA especifica que un consumidor cubierto por la ley debe ser residente de California. GDPR no especifica residencia o ciudadanía.
  • CCPA excluye ciertos datos de su alcance que incluye GDPR. Los datos excluidos incluyen información médica o de ensayos clínicos, información vendida a o de agencias de informes de consumidores, información personal que cae bajo la Ley Gramm-Leach-Bliley (Ley de Modernización de Servicios Financieros de 1999), información personal bajo la Ley de Protección de la Privacidad del Conductor (un estatuto federal de EE. UU. que cubre la información personal recopilada por los departamentos estatales de vehículos motorizados) y cualquier información personal disponible públicamente.
  • El derecho al olvido (llamado "Derecho a la eliminación") requiere un tiempo de respuesta de 45 días según la CCPA. El tiempo de respuesta del RGPD es de 30 días.

En general, las leyes comparten más puntos de los que difieren.

GDPR no fue el fin del mundo, CCPA tampoco lo será

Lo digo desde un punto de vista comercial, por supuesto. Para las personas, los efectos del RGPD y ahora de la CCPA son beneficiosos. Las leyes obligan a las empresas a ser más responsables y receptivas cuando se trata de datos personales.

Todos deberíamos estar contentos por eso.

Pero en los meses previos a la entrada en vigor del RGPD, hubo temor en las salas de juntas corporativas de todo el mundo. El cumplimiento era costoso para un gran número de empresas y algunos de los requisitos eran difíciles.

Una de las protecciones más acaparadoras contenidas en el RGPD fue “el derecho al olvido”. El derecho le permite a una persona solicitar que se eliminen ciertos datos para que un tercero no pueda rastrearlos.

Si eso suena como un derecho o una regla difícil de cumplir, lo es. Un estudio de la Asociación Internacional de Profesionales de la Privacidad mostró que las empresas encontraron que la obligación del RGPD más difícil de cumplir era el derecho al olvido.

Pero todos nos adaptamos al RGPD y nos adaptaremos a la CCPA. Solo significa un poco de trabajo ahora, pero implementar las protecciones solo fortalecerá a las empresas afectadas. Especialmente cuando se trata de salvaguardar los datos personales.

La mayoría de las personas familiarizadas con GDPR lo ven como una fuerza positiva. Según una Encuesta de privacidad del consumidor de Cisco de 2019, solo el 5% tiene una opinión negativa de la ley. Es un número bastante asombroso.

Espere ver más leyes de privacidad de datos en el futuro

El mismo estudio del Pew Research Center citado anteriormente reveló que el 63% de los estadounidenses entienden poco o nada acerca de las leyes de privacidad del consumidor existentes. Teniendo en cuenta que la ley de privacidad anterior más grande era para los residentes de la UE, tal vez eso no sea sorprendente.

Pero CCPA afecta a los estadounidenses, por lo que podría cambiar esa falta general de conciencia.

Al igual que con la mayoría de las protecciones al consumidor, las empresas serán las más afectadas por el cambio, mientras que los consumidores obtendrán los beneficios. Pero eso no es necesariamente algo malo. Sí, como dueño de un negocio, la CCPA puede causar algunos dolores de cabeza y gastos a corto plazo. Pero si da a conocer su cumplimiento con la CCPA, se ganará la confianza de sus clientes.

Y la confianza del consumidor es uno de los bienes más valiosos que tenemos.

Subir