¿Qué es la California Consumer Privacy Act (CCPA)?

En el mundo digital, los profesionales del marketing consideran los datos de los consumidores como el nuevo oro, reconociendo su inmenso valor potencial. Sin embargo, a pesar de los deseos de los intereses corporativos de extraer estos datos, un movimiento creciente insiste en que los consumidores estudiados con dichos datos deberían tener voz y voto sobre cómo se usa o no la información que han generado.

En California, los objetivos de ese movimiento se han transformado en ley, a través de la aprobación de la CCPA. Asesta un duro golpe a los derechos de los consumidores y a la ciberseguridad al dotar al estado de California de un marco capaz de hacer cumplir las leyes y normativas sobre protección de datos. Proporciona a los residentes de California un camino hacia el derecho de acción privado, con el fin de buscar recursos legales en caso de vulneración de datos.

Las pautas de la CCPA se diseñaron para brindar a los consumidores de California un conjunto de derechos que se ocupan expresamente de la privacidad de los datos personales y les brinda garantías de seguridad razonables. Estos derechos incluyen la capacidad de los californianos de hacer peticiones de los consumidores sobre sus datos de cliente. Estas peticiones pueden incluir cómo:

• Impedir la venta de su información personal a terceras empresas (es decir, el Derecho a impedir la reventa) emitiendo la llamada directiva "No venda mi información personal".
   

• Pedir datos sobre cualquier información personal que se haya recopilado (Derecho de acceso)
   

• Solicitar que se eliminen todos los datos recopilados sobre ese consumidor (Derecho al olvido)

La Agencia de Protección de la Privacidad de California se asegura de que los residentes de California también estén protegidos y sean debidamente notificados sobre los cambios de datos que les afectan. También aplica normas antidiscriminatorias que obligan a las personas a no ser subyugadas ni sancionadas de ningún otro modo por el hecho de que decidan ejercer estos derechos.

Si bien la mayoría de los consumidores tienen una idea general de lo que se entiende por "datos personales", la frase puede significar diferentes cosas para diferentes personas y considerablemente más cosas de las que se imaginaban.

Dentro del contexto de la CCPA, los datos personales se definen como "información que identifica, se relaciona, describe, es razonablemente capaz de asociarse o podría vincularse razonablemente, directa o indirectamente, con un consumidor o hogar en particular".¹

Las directrices de la CCPA cubren los siguientes ejemplos específicos de datos personales:

• Nombre

• Dirección

• Número de teléfono

• Dirección de correo electrónico

• Dirección IP

• Fecha de nacimiento

• Número de Seguro Social

• Número de permiso de conducir

• Número de pasaporte

• Información de la cuenta bancaria

• Números de tarjeta de crédito/débito

• Datos y credenciales de educación

Los especialistas en marketing descubren que los datos personales se vuelven aún más valiosos cuando cada tipo de información se combina a través de análisis. Pueden utilizarlo para crear vistas compuestas de consumidores concretos o grupos de consumidores. También pueden hacer inferencias más amplias sobre las tendencias de marketing de consumo, por ejemplo. Algunas de las otras formas de IP recogidas rutinariamente pueden ser igualmente reveladoras, entre las que se incluyen:

• Preferencias de compra de los consumidores

• Historias de navegación personales

• Actitudes personales articuladas

• Comportamientos personales especificados

Otro motivo de preocupación son las cookies y su uso como identificadores únicos en los sitios web. Esto incluye las cookies de primera mano, que están diseñadas para eliminarse una vez que su propósito comercial ha concluido. Y hay cookies de terceros, que no se borran automáticamente. Las cookies de terceros tienen la funcionalidad de recoger varios tipos de datos personales, incluyendo información personal sensible.

Debido al potencial de uso indebido de las cookies de terceros por parte de los sitios web, la CCPA considera que los datos recogidos en un sitio web mediante el uso de cookies son IP y, por tanto, merecen protección.

La mayoría de las organizaciones afectadas abordan el cumplimiento de la CCPA no como un solo paso, sino como un proceso. La primera parte de ese proceso suele implicar un cambio de mentalidad hacia el consumidor, y darse cuenta de que sus necesidades de privacidad importan y tienen derechos ejecutables.

Mantener el cumplimiento de la CCPA implica defender a los distintos consumidores californianos ofreciéndoles opciones sobre cómo se administra su inventario de datos personales (incluidas las opciones de inclusión voluntaria). También significa mantenerse al día de cualquier cambio evolutivo en la CCPA para seguir el ritmo de las nuevas tecnologías (como la biometría) y las revisiones de la política de la CCPA.

Cumplir con la CCPA implica una serie de pasos que pueden requerir seis meses o incluso un año para completarlos en su totalidad. No obstante, cada uno desempeña un papel vital a la hora de establecer el cumplimiento de la CCPA. (Dado que ciertos requisitos de cumplimiento pueden cumplirse simultáneamente, utilizamos viñetas para los pasos en lugar de números).

El primer paso es hacerse una idea precisa de los datos de consumo que se han recopilado, así como catalogar sus distintas ubicaciones. Esto pertenecería tanto a los datos de consumidores "exteriores" recopilados de consumidores fuera de la empresa como a los datos de consumidores recopilados "internamente" de los empleados de la empresa y los solicitantes de empleo.

Es esencial mantener un alojamiento seguro para todos los datos personales recopilados, tanto si proceden de consumidores como de solicitantes de empleo. También existen disposiciones adicionales relacionadas con la protección de la información recopilada de menores.

Se debe emitir una declaración de "notificación en la colección" a todos los consumidores (o incluso a los trabajadores de la empresa y a las personas que buscan empleo). Es importante destacar que este aviso de privacidad debe comunicarse antes o en el momento en que comiencen las actividades de recopilación de datos, y no después de que ya hayan comenzado.

La mayoría de las organizaciones ahora mantienen una política de privacidad de datos detallada para su empresa y la publican en su sitio web.

También es importante configurar un medio efectivo y oportuno para gestionar cualquier solicitud relacionada con la información del consumidor.

Deben elaborarse y aplicarse normas de minimización de datos para garantizar que la organización sólo recopila la cantidad mínima de IP necesaria para lograr un fin determinado. Las organizaciones también deben considerar los posibles peligros para los consumidores si se violan los datos recopilados e implementar medidas preventivas adecuadas (por ejemplo, eliminación automática de los datos recopilados después de su uso).

Un aspecto clave de lograr el cumplimiento es asegurarse de que los gerentes de la empresa y todos los empleados conozcan los requisitos de la CCPA, especialmente los requisitos que afectan directamente a su alcance de trabajo. Las actualizaciones pueden realizarse mediante sesiones de formación y seminarios web.

Las leyes y regulaciones suelen estar sujetas a cambios y enmiendas. (La propia CCPA se sometió a tales revisiones antes de su relanzamiento en 2023). Por lo tanto, es una buena idea mantenerse al día con las novedades de la CCPA.

La intermediación de datos (la compra y venta de IP) es un negocio en auge, que los expertos valoraron en 240 mil millones de dólares a nivel mundial en 2021. Se espera que esa cantidad casi se duplique y alcance más de 450 000 millones de dólares al año a finales de la década.²

Todo lo que sea tan valioso como los datos debe protegerse enérgicamente. En consecuencia, la Agencia de Protección de la Privacidad de California (CPPA) está facultada para golpear en la línea de fondo a las empresas que violen a los inquilinos de la CCPA. Las sanciones de la CCPA tienen un límite relativamente bajo de 2500 USD por un contacto infractor involuntario o de 7500 USD por una infracción intencionada. Cabe señalar que estas sanciones de la CCPA se aplican a un solo delito, como una vulneración de datos que involucre a una persona.

Pero la realidad es que las vulneraciones de datos rara vez implican a una sola parte afectada. En cambio, son eventos masivos que involucran a miles o incluso cientos de miles de consumidores. Así que si se multiplican las posibles multas de la CCPA por un gran número de residentes en California, pronto se podrían estar calculando sanciones gigantescas.

La CCPA ofrece a las empresas infractoras una forma de evitar el pago de estas cuantiosas multas, concediéndoles un periodo de gracia de 30 días para subsanar el error cometido. Si un infractor puede mejorar sus medidas de seguridad y "solucionar" el problema en el plazo de un mes, se le puede eximir del pago de la multa. Obviamente, las empresas están obligadas económicamente a remediar tales delitos, pero eso puede resultar difícil o incluso imposible en algunas situaciones. Se debe a que delitos como la vulneración de datos suelen implicar divulgaciones de datos que no se pueden revertir.

El alcance de la CCPA continúa expandiéndose y evolucionando para seguir el ritmo del crecimiento explosivo de la tecnología, como el Internet de las cosas (IoT).

Por ejemplo, la CPPA ha anunciado recientemente un nuevo foco de atención: los vehículos "conectados" (CV) equipados con mecanismos de recopilación de datos. Los vehículos modernos tienen los medios para recopilar una gran cantidad de información sobre los conductores, así como datos de geolocalización, y transmitir esos datos. California tiene más de 35 millones de vehículos matriculados, lo que la convierte en un gran proyecto. Pero según el Director Ejecutivo de CPPA, es una necesidad que requiere atención.

“Los vehículos modernos son ordenadores efectivamente conectados sobre ruedas”, afirmó Ashkan Soltani en julio de 2023. "Pueden recopilar una gran cantidad de información a través de aplicaciones, sensores y cámaras incorporadas, que pueden monitorizar a las personas tanto dentro como cerca del vehículo".³

La frase “cerca del vehículo” es digna de mención. Implica que no solo se protegen los datos de los conductores, sino también de cualquier persona que viaje en ese coche e incluso de las personas que caminen cerca del vehículo. Las cámaras a bordo de los vehículos pueden capturar imágenes momentáneas de estas personas.

Este anuncio también parece significativo porque muestra que la CCPA utiliza su autoridad para proteger los datos personales generados a través de IoT, en este caso, de vehículos conectados. El anuncio puede resultar aún más significativo si indica la intención de la agencia de pronunciarse sobre un número cada vez mayor de casos relacionados con la IoT en los próximos años.

Cuando la Unión Europea (UE) adoptó el Reglamento General de Protección de Datos (RGPD) en mayo de 2018, lanzó el marco más proactivo posible para proteger la información personal o del consumidor. La CCPA se ha dado a conocer como la política de privacidad de datos más estricta en vigor en Estados Unidos. Por lo tanto, algunos observadores quieren saber cómo se comparan los dos estándares.

En la mayoría de los casos, los dos estándares están cortados del mismo patrón. Tanto el RGPD como la CCPA:

• Se guían por el instinto de proteger y capacitar al ciudadano individual
   

• Dar al consumidor el derecho a oponerse a los datos recogidos y hacer que se corrijan, si los datos recogidos son erróneos.
   

• Dar al consumidor derecho a acceder a sus datos personales, trasladarlos o (si así lo decide) borrarlos definitivamente.
   

• Exigir que se notifique personalmente a los consumidores si se viola la seguridad de sus datos recopilados.

También hay diferencias. El RGPD tiene requisitos de transferencia transfronteriza que no son necesarios en California de un solo estado. Asimismo, la CCPA aplica restricciones a la venta de IP, cosa que no hace el RGPD.

Aun así, hay más similitudes que diferencias entre el RGPD y la CCPA. Ambos estándares enfrentan desafíos con riesgos de terceros. Este reto surge cuando una empresa subcontrata esencialmente su gestión de datos personales a una empresa externa. Esa empresa externa debe entonces estar preparada y legalmente capacitada para asumir las mismas responsabilidades basadas en la CCPA para la PI. Estas son las mismas responsabilidades en las que incurrió la empresa original después de recopilar o comprar originalmente los datos en cuestión. Tanto la CCPA como el RGPD requieren que las empresas compartan las categorías de terceros con las que comparten información, qué información comparten con cada una y por qué.

El RGPD y la CCPA también comparten otro rasgo importante: la capacidad de penalizar financieramente a los proveedores de servicios y otras empresas que cometan infracciones por incumplimiento. Recientemente, demostraron esta capacidad de manera espectacular con la mayor multa por protección de datos registrada hasta ahora.

En mayo de 2023, la Comisión de Protección de Datos (DPC) de Irlanda impuso una multa sin precedentes de 1200 millones de euros (aproximadamente 1300 millones de dólares) a Meta (antes Facebook). Esta multa se debió al uso ilegal de datos europeos dentro de sus negocios estadounidenses, que incluyen Instagram.