La Ley de Privacidad del Consumidor de California (CCPA) es una ley del estado de California promulgada en 2020 que protege y hace cumplir los derechos de los californianos en relación con la privacidad de la información personal (IP) de los consumidores.
En el mundo digital, los datos de los consumidores se consideran el nuevo oro, una sustancia de inmenso valor potencial para los profesionales del marketing. Sin embargo, a pesar de los deseos de los intereses corporativos de extraer estos datos, un movimiento creciente insiste en que los consumidores estudiados con dichos datos deberían tener voz y voto sobre cómo se usa o no la información que han generado.
En California, los objetivos de ese movimiento se han transformado en ley, a través de la aprobación de la CCPA. Provoca un fuerte golpe por los derechos de los consumidores y la ciberseguridad dando al Estado de California un marco capaz de aplicar leyes y regulaciones de privacidad de datos y proporcionar a los residentes de California un camino hacia el derecho de acción privado, para buscar un curso legal de vulneraciones de datos.
Suscríbase al boletín de IBM
Las pautas de la CCPA se diseñaron para brindar a los consumidores de California un conjunto de derechos que se ocupan expresamente de la privacidad de los datos personales y les brinda garantías de seguridad razonables. Estos derechos incluyen la capacidad de los californianos de hacer peticiones de los consumidores sobre sus datos de cliente. Estas peticiones pueden incluir cómo:
Impedir la venta de su información personal a terceras empresas (es decir, el Derecho a impedir la reventa) emitiendo la llamada directiva "No venda mi información personal".
Pedir datos sobre cualquier información personal que se haya recopilado (Derecho de acceso)
Solicitar que se eliminen todos los datos recopilados sobre ese consumidor (Derecho al olvido)
Gracias a la Agencia de Protección de la Privacidad de California, los residentes de este estado también cuentan con protecciones destinadas a garantizar que se les notifiquen adecuadamente los cambios de datos que les afecten, así como con normas antidiscriminatorias que ordenan que las personas no puedan ser sometidas o penalizadas de otro modo porque decidan ejercer estos derechos.
Si bien la mayoría de los consumidores tienen una idea general de lo que se entiende por "datos personales", la frase puede significar diferentes cosas para diferentes personas y considerablemente más cosas de las que se imaginaban.
Dentro del contexto de la CCPA, los datos personales se definen como "información que identifica, se relaciona, describe, es razonablemente capaz de asociarse o podría vincularse razonablemente, directa o indirectamente, con un consumidor o hogar en particular".1
Las directrices de la CCPA cubren los siguientes ejemplos específicos de datos personales:
Nombre
Dirección
Número de teléfono
Dirección de correo electrónico
Dirección IP
Fecha de nacimiento
Número de Seguro Social
Número de permiso de conducir
Número de pasaporte
Información de la cuenta bancaria
Números de tarjeta de crédito/débito
Datos y credenciales de educación
Los datos personales adquieren aún más valor para los profesionales del marketing cuando cada tipo de información puede combinarse mediante el análisis de datos y utilizarse para crear visiones compuestas de consumidores o grupos de consumidores concretos y realizar inferencias más amplias sobre las tendencias de marketing de consumo, por ejemplo. Algunas de las otras formas de IP recogidas rutinariamente pueden ser igualmente reveladoras, entre las que se incluyen:
Preferencias de compra de los consumidores
Historias de navegación personales
Actitudes personales articuladas
Comportamientos personales especificados
Otro motivo de preocupación son las cookies y su uso como identificadores únicos en los sitios web. Esto incluye cookies propias (diseñadas para eliminarse a sí mismos una vez concluido su propósito comercial), así como cookies de terceros (que no se autodestruyen automáticamente y tienen la funcionalidad de recopilar diversos tipos de datos personales, incluida información personal confidencial).
Debido al potencial de uso indebido de las cookies de terceros por parte de los sitios web, la CCPA considera que los datos recogidos en un sitio web mediante el uso de cookies son IP y, por tanto, merecen protección.
La mayoría de las organizaciones afectadas abordan el cumplimiento de la CCPA no como un solo paso, sino como un proceso. La primera parte de ese proceso suele implicar un cambio de mentalidad hacia el consumidor, y darse cuenta de que sus necesidades de privacidad importan y tienen derechos ejecutables.
Mantener el cumplimiento de la CCPA implica defender a los distintos consumidores californianos ofreciéndoles opciones sobre cómo se administra su inventario de datos personales (incluidas las opciones de inclusión voluntaria). También significa mantenerse al día de cualquier cambio evolutivo en la CCPA para seguir el ritmo de las nuevas tecnologías (como la biometría) y las revisiones de la política de la CCPA.
Cumplir con la CCPA implica una serie de pasos que pueden requerir seis meses o incluso un año para completarlos en su totalidad. No obstante, cada uno desempeña un papel vital a la hora de establecer el cumplimiento de la CCPA. (Dado que ciertos requisitos de cumplimiento pueden cumplirse simultáneamente, los pasos se indican con viñetas y no con números).
El primer paso es hacerse una idea precisa de los datos de consumo que se han recopilado, así como catalogar sus distintas ubicaciones. Esto pertenecería tanto a los datos de consumidores "exteriores" recopilados de consumidores fuera de la empresa como a los datos de consumidores recopilados "internamente" de los empleados de la empresa y los solicitantes de empleo.
Es esencial mantener un alojamiento seguro para todos los datos personales recopilados, tanto si proceden de consumidores como de solicitantes de empleo. También existen disposiciones adicionales relacionadas con la protección de la información recopilada de menores.
Se debe emitir una declaración de "notificación en la colección" a todos los consumidores (o incluso a los trabajadores de la empresa y a las personas que buscan empleo). Es importante destacar que este aviso de privacidad debe comunicarse antes o en el momento en que comiencen las actividades de recopilación de datos, y no después de que ya hayan comenzado.
La mayoría de las organizaciones ahora mantienen una política de privacidad de datos detallada para su empresa y la publican en su sitio web.
También es importante configurar un medio efectivo y oportuno para gestionar cualquier solicitud relacionada con la información del consumidor.
Deben elaborarse y aplicarse normas de minimización de datos para garantizar que la organización sólo recopila la cantidad mínima de IP necesaria para lograr un fin determinado. Las organizaciones también deben considerar los posibles peligros para los consumidores si se violan los datos recopilados e implementar medidas preventivas adecuadas (por ejemplo, eliminación automática de los datos recopilados después de su uso).
Un aspecto clave de lograr el cumplimiento es asegurarse de que los gerentes de la empresa y todos los empleados conozcan los requisitos de la CCPA, especialmente los requisitos que afectan directamente a su alcance de trabajo. Las actualizaciones pueden realizarse mediante sesiones de formación y seminarios web.
Las leyes y regulaciones suelen estar sujetas a cambios y enmiendas. (La propia CCPA se sometió a tales revisiones antes de su relanzamiento en 2023). Por lo tanto, es una buena idea mantenerse al día con las novedades de la CCPA.
La intermediación de datos (la compra y venta de IP) es un negocio en auge, que los expertos valoraron en 240 mil millones de dólares a nivel mundial en 2021. Se espera que esa cantidad casi se duplique y alcance más de 450 000 millones de dólares al año a finales de la década.2
Cualquier cosa tan valiosa como los datos debe protegerse enérgicamente. En consecuencia, la Agencia de Protección de la Privacidad de California (CPPA) está facultada para golpear en la línea de fondo a las empresas que violen a los inquilinos de la CCPA. Y aunque las sanciones de la CCPA tienen un límite relativamente bajo (2500 dólares por un contacto infractor que se demuestre que no ha sido intencionado o 7500 dólares por una infracción intencionada), cabe señalar que esas sanciones de la CCPA se aplican a una sola infracción, como una vulneración de datos que afecte a una sola persona.
Pero la realidad es que las vulneraciones de datos rara vez implican a una sola parte afectada. En cambio, son eventos masivos que involucran a miles o incluso cientos de miles de consumidores. Así que si se multiplican las posibles multas de la CCPA por un gran número de residentes en California, pronto se podrían estar calculando sanciones gigantescas.
La CCPA ofrece a las empresas infractoras una forma de evitar el pago de estas cuantiosas multas, concediéndoles un periodo de gracia de 30 días para subsanar el error cometido. Si un infractor puede mejorar sus medidas de seguridad y "solucionar" el problema en el plazo de un mes, se le puede eximir del pago de la multa. Obviamente, las empresas están obligadas financieramente a remediar tales delitos, pero eso puede resultar difícil o incluso imposible en algunas situaciones, teniendo en cuenta que delitos como las vulneraciones de datos a menudo implican divulgaciones de datos que no pueden revertirse.
El alcance de la CCPA continúa expandiéndose y evolucionando para seguir el ritmo del crecimiento explosivo de la tecnología, como el Internet de las cosas (IoT).
Por ejemplo, la CPPA ha anunciado recientemente un nuevo foco de atención: los vehículos "conectados" (CV) equipados con mecanismos de recopilación de datos. Los vehículos modernos tienen los medios para recopilar una gran cantidad de información sobre los conductores, así como datos de geolocalización, y transmitir esos datos. Teniendo en cuenta que hay más de 35 millones de vehículos registrados en California, esto representa una tarea enorme. Pero según el Director Ejecutivo de CPPA, es una necesidad que requiere atención.
“Los vehículos modernos son ordenadores efectivamente conectados sobre ruedas”, afirmó Ashkan Soltani en julio de 2023. "Pueden recopilar una gran cantidad de información a través de aplicaciones, sensores y cámaras incorporadas, que pueden monitorizar a las personas tanto dentro como cerca del vehículo".3
La frase "cerca del vehículo" es digna de mención porque implica que no sólo se protegen los datos de los conductores, sino también de cualquier persona que pueda ir en ese coche e incluso de individuos que simplemente caminen cerca del vehículo y cuyas imágenes momentáneas sean captadas por las cámaras de a bordo.
Este anuncio también parece significativo porque, en él, la autoridad de la CCPA se está utilizando para proteger datos personales generados a través de IoT, en este caso, de vehículos conectados. El anuncio puede resultar aún más significativo si indica la intención de la agencia de pronunciarse sobre un número cada vez mayor de casos relacionados con la IoT en los próximos años.
Cuando la Unión Europea (UE) adoptó el Reglamento General de Protección de Datos (RGPD) en mayo de 2018, lanzó el marco más proactivo posible para proteger la información personal o del consumidor. La CCPA se ha dado a conocer como la política de privacidad de datos más estricta en vigor en Estados Unidos. Por lo tanto, algunos observadores quieren saber cómo se comparan los dos estándares.
En la mayoría de los casos, los dos estándares están cortados del mismo patrón. Tanto el RGPD como la CCPA:
Se guían por el instinto de proteger y capacitar al ciudadano individual
Dar al consumidor el derecho a oponerse a los datos recogidos y hacer que se corrijan, si los datos recogidos son erróneos.
Dar al consumidor derecho a acceder a sus datos personales, trasladarlos o (si así lo decide) borrarlos definitivamente.
Exigir que se notifique personalmente a los consumidores si se viola la seguridad de sus datos recopilados.
También hay diferencias. El RGPD tiene requisitos de transferencia transfronteriza que no son necesarios en California de un solo estado. Asimismo, la CCPA aplica restricciones a la venta de IP, cosa que no hace el RGPD.
Aun así, hay más similitudes que diferencias entre el RGPD y la CCPA. Ambas normas tienen que lidiar con la espinosa cuestión de los riesgos de terceros, en los que una empresa subcontrata esencialmente su gestión de datos personales a una empresa externa. Cuando esto ocurra, esa tercera empresa debe estar preparada y legalmente capacitada para asumir las mismas responsabilidades basadas en la CCPA respecto a la IP en las que incurrió la empresa original tras recopilar o comprar originalmente los datos en cuestión. Tanto la CCPA como el RGPD requieren que las empresas compartan las categorías de terceros con las que comparten información, qué información comparten con cada una y por qué.
El RGPD y la CCPA también comparten otro rasgo importante: la capacidad de penalizar financieramente a los proveedores de servicios y otras empresas que cometan infracciones por incumplimiento. Esto se demostró recientemente de manera dramática con la mayor multa por privacidad de datos jamás registrada.
En mayo de 2023, la Comisión de Protección de Datos (CPD) irlandesa impuso una multa récord de 1200 millones de euros a Meta (la empresa antes conocida como Facebook) por utilizar ilegalmente datos europeos en sus negocios estadounidenses, entre los que se incluye Instagram.
Automatice las auditorías y la elaboración de informes de cumplimiento, detecte y clasifique datos y fuentes de datos, supervise la actividad de los usuarios y responda a las amenazas casi en tiempo real. Guardium Insights apoya un enfoque moderno y de zero trust de la seguridad de los datos, ayudando a descubrir actividades inusuales en torno a los datos confidenciales y reduciendo el riesgo de exportación.
Obtenga una visibilidad más nítida y conocimientos detallados que le ayudarán a investigar y corregir las ciberamenazas. Aplique políticas de seguridad y controles de acceso casi en tiempo real para abordar rápidamente las necesidades de cumplimiento normativo.
Ofrezca experiencias de cliente confiables y haga crecer su negocio con un enfoque holístico y adaptable a la privacidad de los datos basado en principios de zero trust y protección de la privacidad de datos probada. Con las soluciones de privacidad de datos de IBM, puede fortalecer la protección de la privacidad de datos, generar confianza en los clientes y también hacer crecer su negocio.
Prepárese mejor para las vulneraciones comprendiendo sus causas y los factores que aumentan o reducen los costes. Conozca las experiencias de más de 550 organizaciones afectadas por una vulneración de datos.
La IIP son datos personales que se pueden utilizar para descubrir la identidad de un individuo específico, como números de Seguro Social, nombres completos y números de teléfono.
La seguridad de la información protege los archivos y datos digitales importantes de una organización, los documentos en papel, los soportes físicos y otros elementos contra el acceso, la divulgación, el uso o la alteración no autorizados.
Notas a pie de página
1 "4 Types of Personal Data Under the California Consumer Privacy Act (CCPA)", Eric Andrews, sitio web de securiti (enlace externo a ibm.com)
2 "Data Brokers Market Outlook 2031", sitio web de Data Brokers Market, Transparency Market Research (enlace externo a ibm.com)
3 "CPPA to Review Privacy Practices of Connected Vehicles and Related Technologies", comunicado el 23 de julio de 2023 en el sitio web de la Agencia de Protección de Privacidad de California (enlace externo a ibm.com)