¿Qué es la California Consumer Privacy Act (CCPA)?

En el mundo digital, los especialistas en marketing consideran que los datos de los consumidores son el nuevo oro, ya que reconocen su inmenso valor potencial. Sin embargo, a pesar de los deseos de los intereses corporativos de explotar estos datos, un movimiento creciente insiste en que los consumidores estudiados por estos datos deben tener voz y voto sobre cómo se utiliza o no la información que han generado.

En California, los objetivos de ese movimiento se han transformado en ley, mediante la aprobación de la CCPA. Da un golpe contundente a los derechos del consumidor y la ciberseguridad por brindar al estado de California una infraestructura para hacer cumplir las leyes y regulaciones de privacidad de datos. Proporciona a los residentes de California un camino hacia el derecho privado de acción, con el fin de buscar recursos legales contra las filtraciones de datos.

Las pautas de la CCPA se diseñaron para ofrecer a los consumidores de California un conjunto de derechos que tratan expresamente con la privacidad de los datos personales y les brinda medidas de seguridad razonables. Estos derechos incluyen la capacidad de los californianos de hacer solicitudes de los consumidores sobre los datos de sus clientes. Estas solicitudes pueden incluir cómo:

• Evitar la venta de su información personal a empresas externas (es decir, el derecho a prevenir la reventa) emitiendo la llamada directiva "No vender mi información personal"
   

• Pedir datos sobre cualquier información personal que se haya recopilado (Derecho de Acceso)
   

• Solicitar que se eliminen todos los datos recopilados sobre ese consumidor (el derecho a ser olvidado)

La California Privacy Protection Agency se asegura de que los residentes de California también tengan protecciones y sean notificados adecuadamente sobre los cambios de datos que los afectan. También aplica normas antidiscriminatorias que exigen que las personas no puedan ser subyugadas ni sancionadas de otro modo por el hecho de que decidan ejercer estos derechos.

Aunque la mayoría de los consumidores poseen una idea general de lo que se entiende por "datos personales", la frase puede significar cosas distintas para personas distintas, y bastantes más cosas de las que se imaginan al principio.

Dentro del contexto de la CCPA, los datos personales se definen como "información que identifica, relaciona, describe, es razonablemente capaz de asociarse con, o podría vincularse razonablemente, directa o indirectamente, con un consumidor o hogar en particular".¹

Las pautas de la CCPA cubren los siguientes ejemplos específicos de datos personales:

• Nombre

• Dirección

• Número de teléfono

• Dirección de correo electrónico

• Dirección IP

• Fecha de nacimiento

• Número de Seguro Social

• Número de licencia de conducir

• Número de pasaporte

• Información de la cuenta bancaria

• Números de tarjeta de crédito o débito

• Datos y credenciales de educación

Los especialistas en marketing descubren que los datos personales se vuelven aún más valiosos cuando cada tipo de información se combina a través de analytics. Pueden usarlos para crear vistas compuestas de consumidores particulares o grupos de consumidores. También pueden hacer inferencias más amplias sobre las tendencias de marketing de consumo, por ejemplo. Algunas de las otras formas de IP recopiladas de forma rutinaria pueden ser igualmente reveladoras, entre ellas:

• Preferencias de compra de los consumidores

• Historial de navegación personal

• Actitudes personales articuladas

• Comportamientos personales especificados

Otra área de preocupación implica las cookies y cómo las utilizan los sitios web como identificadores únicos. Esto incluye las cookies propias, que están diseñadas para borrarse automáticamente una vez que ha concluido su propósito comercial. Y hay cookies de terceros, que no se eliminan automáticamente. Las cookies de terceros tienen la función de recopilar diversos tipos de datos personales, incluida información personal sensible.

Debido al potencial de uso indebido de cookies de terceros por sitios web, la CCPA considera que los datos recopilados a través de un sitio web a través del uso de cookies son PI y, por lo tanto, merecen protección.

La mayoría de las organizaciones afectadas abordan el cumplimiento de la CCPA no como un solo paso, sino como un proceso. La primera parte de ese proceso a menudo implica un cambio de mentalidad hacia el consumidor y darse cuenta de que sus necesidades de privacidad son importantes y conllevan derechos exigibles.

Mantener el cumplimiento de la CCPA implica defender a los distintos consumidores de California brindándoles opciones sobre cómo se administra su inventario de datos personales (incluidas las opciones de participación voluntaria). También significa mantenerse al día con cualquier cambio evolutivo en la CCPA para seguir el ritmo de las nuevas tecnologías (como la biometría) y las revisiones de las políticas de la CCPA.

Cumplir los requisitos de la CCPA implica una serie de pasos que pueden requerir seis meses o incluso un año. Sin embargo, cada uno desempeña un papel fundamental en el establecimiento del cumplimiento de la CCPA. (Dado que ciertos requisitos de cumplimiento pueden llevarse a cabo simultáneamente, utilizamos viñetas para los pasos en lugar de números).

El primer paso es hacerse una idea precisa de los datos de consumo que se han recopilado, así como catalogar sus distintas ubicaciones. Esto se relacionaría con los datos de consumidores "exteriores" recopilados de consumidores fuera de la empresa y datos de consumidores recopilados "internamente" de empleados de la empresa y solicitantes de empleo.

Es esencial mantener un alojamiento seguro para todos los datos personales recopilados, ya provengan de consumidores o solicitantes de empleo. También existen disposiciones adicionales relacionadas con la protección de la información recopilada de menores.

Se debe emitir un "aviso en la declaración de cobro" a todos los consumidores (o incluso a los trabajadores de la empresa y a las personas que buscan empleo). Es importante destacar que este aviso de privacidad debe comunicarse antes o en el momento en que comienzan las actividades de recopilación de datos, y no después de que ya hayan comenzado.

La mayoría de las organizaciones ahora mantienen una política de privacidad de datos detallada para su empresa y la publican en su sitio web.

También es importante configurar un medio eficaz y oportuno para manejar cualquier solicitud relacionada con la información del consumidor.

Las reglas de minimización de datos deben desarrollarse e implementarse para garantizar que la organización recopile solo la cantidad mínima de IP necesaria para lograr un propósito determinado. Las organizaciones también deben considerar los posibles peligros para los consumidores si se violan los datos recopilados e implementar medidas preventivas adecuadas (por ejemplo, eliminación automática de los datos recopilados después de su uso).

Un aspecto clave para lograr el cumplimiento es asegurarse de que los gerentes de la empresa y todos los empleados conozcan los requisitos de la CCPA, especialmente los requisitos que afectan directamente su alcance de trabajo. Las actualizaciones pueden realizarse mediante sesiones de capacitación y seminarios web.

Las leyes y regulaciones a menudo están sujetas a cambios y enmiendas. (La propia CCPA se sometió a dichas revisiones antes de su relanzamiento en 2023). Por lo tanto, es una buena idea mantenerse al día con los desarrollos de la CCPA.

El corretaje de datos, la compra y venta de PI, es un negocio en auge, que los expertos valoraron en 240,000 millones de dólares a nivel mundial en 2021. Se espera que esa cantidad casi se duplique y se elaboque a más de 450 mil millones de dólares anuales al final de la década.²

Cualquier cosa tan valiosa como los datos debe protegerse de manera rigurosa. En consecuencia, la California Privacy Protection Agency (CPPA) está facultada para intervenir con las empresas que violen a los inquilinos de la CCPA. Las sanciones de la CCPA tienen un límite relativamente bajo de 2500 USD por un contacto infractor involuntario o de 7500 USD por una infracción intencional. Vale la pena señalar que estas sanciones de la CCPA se aplican a un solo delito, como una filtración de datos que involucre a una persona.

Pero la realidad es que las brechas de datos rara vez involucran a una sola parte afectada. En cambio, son más típicamente eventos masivos que involucran a miles o incluso cientos de miles de consumidores. Entonces, si multiplicas las posibles multas de la CCPA por un gran número de residentes de California, pronto podrías estar calculando penalizaciones gigantescas.

La CCPA ofrece a las empresas infractoras una forma de evitar el pago de estas cuantiosas multas, concediéndoles un periodo de gracia de 30 días para subsanar el error cometido. Si un infractor puede mejorar sus medidas de seguridad y "arreglar" el problema dentro de un mes, se puede eximir el cargo de penalización. Obviamente, las empresas están obligadas económicamente a remediar tales delitos, pero eso puede resultar difícil o incluso imposible en algunas situaciones. Esto se debe a que delitos como la filtración de datos a menudo implican divulgaciones de datos que no se pueden revertir.

El alcance de la CCPA continúa expandiéndose y evolucionando para seguir el ritmo del crecimiento explosivo de la tecnología, como el Internet de las cosas (IoT).

Por ejemplo, la CPPA ha anunciado recientemente un nuevo enfoque de atención: vehículos “conectados” (CV) que están equipados con mecanismos de recopilación de datos. Los vehículos modernos tienen los medios para recopilar una cantidad completa de información sobre los conductores, así como datos de geolocalización, y transmitir esos datos. California tiene más de 35 millones de vehículos registrados, lo que lo convierte en un esfuerzo enorme. Pero según el director ejecutivo de la CPPA, es una necesidad que requiere atención.

"Los vehículos modernos son computadoras conectadas eficazmente en las ruedas", declaró Ashkan Soltani en julio de 2023. "Pueden recopilar una gran cantidad de información a través de aplicaciones, sensores y cámaras integrados, que pueden monitorear a las personas tanto dentro como cerca del vehículo".³

La frase “cerca del vehículo” es digna de mención. Implica que no solo se protegen los datos de los conductores, sino también de cualquier persona que pueda viajar en ese automóvil e incluso de las personas que caminan cerca del vehículo. Las cámaras a bordo de los vehículos pueden capturar imágenes momentáneas de estas personas.

Este anuncio también parece significativo porque muestra que la CCPA utiliza su autoridad para proteger los datos personales generados a través de IoT, en este caso, de vehículos conectados. El anuncio puede ser aún más significativo si indica la intención de una agencia de controlar un número cada vez mayor de casos relacionados con el IoT en los próximos años.

Cuando la Unión Europea (UE) promulgó el Reglamento General de Protección de Datos (GDPR) en mayo de 2018, lanzó el marco más proactivo posible para proteger la información personal y/o del consumidor. La CCPA se ha conocido como la política de privacidad de datos más estricta vigente dentro de los Estados Unidos. En consecuencia, algunos observadores quieren saber cómo se comparan los dos estándares.

En la mayoría de los casos, los dos estándares están cortados del mismo patrón. El RGPD y la CCPA:

• Son guiados por un instinto para proteger y empoderar al ciudadano individual
   

• Dar al consumidor el derecho a oponerse a los datos recopilados y corregirlo, si los datos recopilados son erróneo
   

• Dar al consumidor derecho a acceder a sus datos personales, trasladarlos o (si así lo decide) borrarlos definitivamente.
   

• Exigir que se notifique personalmente a los consumidores si se viola la seguridad de sus datos recopilados.

También hay diferencias. El RGPD tiene requisitos de transferencia transfronteriza que no son necesarios en California de un solo estado. Asimismo, la CCPA aplica restricciones a la venta de IP, cosa que no hace el RGPD.

Aun así, hay más similitudes que diferencias entre el RGPD y la CCPA. Ambos estándares enfrentan desafíos con riesgos de terceros. Este desafío surge cuando una empresa básicamente subcontrata la gestión de datos personales a una empresa externa. Esa compañía externa debe entonces estar preparada y legalmente capacitada para asumir las mismas responsabilidades basadas en la CCPA para la PI. Estas son las mismas responsabilidades en las que incurrió la empresa original después de recopilar o comprar originalmente los datos en cuestión. Tanto la CCPA como el RGPD requieren que las empresas compartan las categorías de terceros con los que comparten información, qué información comparten con cada uno y por qué.

El RGPD y la CCPA también comparten otro rasgo importante: la capacidad de penalizar económicamente a los proveedores de servicios y otras empresas que cometen infracciones de incumplimiento. Recientemente, demostraron esta capacidad de manera espectacular con la mayor multa por privacidad de datos registrada hasta ahora.

En mayo de 2023, la Comisión de Protección de Datos de Irlanda (DPC) impuso una multa récord de 1200 millones de euros (aproximadamente 1300 millones de dólares) contra Meta (anteriormente Facebook). Esta multa se debió al uso ilegal de datos europeos dentro de sus negocios estadounidenses, que incluyen Instagram.