Cosas clave que toda marca debe saber sobre CCPA

En 2018, la aplicación del Reglamento general europeo de protección de datos (GDPR) reformuló el panorama de la privacidad de los datos para las empresas en Europa y en todo el mundo, y ha convertido la privacidad y la seguridad de los datos de los consumidores en un tema esencial para cualquiera que se preocupe por la participación del cliente.

Con la Ley de Privacidad del Consumidor de California (CCPA) programada para comenzar a aplicarse el 1 de enero de 2020, la revolución de la privacidad iniciada por GDPR ha llegado a casa para las empresas estadounidenses. Esta nueva legislación es un gran tema y puede asustar a las marcas, especialmente a las que no han comenzado a trabajar para cumplir. Si bien Braze no puede brindar asesoramiento legal a nuestros clientes ni a nadie más, podemos guiarlo a través de algunas de las cosas principales en las que debe pensar cuando se trata de CCPA y privacidad de datos en general. Siga leyendo para ponerse al día:

Los basicos

¿Qué es CCPA?

CCPA significa Ley de Privacidad del Consumidor de California, aprobada originalmente por el gobierno estatal de California en junio de 2018. La ley crea nuevas protecciones de privacidad y del consumidor para las personas que residen en California. La aplicación de la CCPA comenzará el 1 de enero de 2020.

¿Por qué California aprobó la CCPA?

En 2018, luego de una serie de incidentes de privacidad de datos, incluido el escándalo de Cambridge Analytica, un grupo de defensa llamado "Californians for Consumer Privacy" propuso una iniciativa de votación estatal que habría instituido una nueva ley de privacidad del consumidor extremadamente estricta si los votantes la aprobaran.

Para adelantarse a ese esfuerzo, la legislatura de California introdujo y aprobó la CCPA, lo que llevó a Californians for Consumer Privacy a retirar su iniciativa. Si bien se considera que la CCPA abre nuevos caminos en lo que respecta a los derechos de privacidad de los datos del consumidor en los Estados Unidos, presenta requisitos menos estrictos que la iniciativa propuesta.

¿Qué derechos tienen los residentes de California bajo CCPA?

Según la CCPA, los residentes de California tienen derecho a saber quién está recopilando su información personal (PI) y qué se hace con esa información, y tienen derecho a acceder a la información, a eliminarla, a optar por no participar en la "venta". ” de su información personal, y a ejercer todos estos derechos sin discriminación, es decir, no se les pueden negar los beneficios o derechos que se otorgan a las personas que no optan por no participar.

¿Se aplica la CCPA a las organizaciones que tienen su sede fuera de California?

La ley se aplica a cualquier organización que haga negocios en California con ingresos de $25 millones o más, así como a las empresas que recopilan datos de 50 000 o más residentes de California u obtienen al menos el 50 % de sus ingresos de la “venta” de información personal. Eso probablemente incluye a la mayoría de las empresas con sede en el estado, así como a muchas organizaciones estadounidenses e internacionales con audiencias que incluyen a los residentes de California.

CCPA y datos

¿Qué datos están regulados por la CCPA?

CCPA solo cubre la recopilación, venta y divulgación de "información personal" en relación con un propósito comercial. Sin embargo, debido a que se aprobó con el objetivo de enfocarse en las grandes cantidades de datos que manejan las empresas de redes sociales, los corredores de datos y los anunciantes de comportamiento en línea, tiene una serie de requisitos estrictos que le otorgan un impacto de gran alcance.

Según la CCPA, PI incluye todo lo que puede identificar a una persona (nombre, dirección, correo electrónico, número de cuenta bancaria, fecha de nacimiento, información biométrica, huellas dactilares, etc.), así como datos del hogar, información de audio, térmica y olfativa. Como tal, podría decirse que la definición de PI bajo CCPA hace que esta sea una de las leyes más amplias del mundo relacionadas con los derechos de privacidad.

¿Qué información deben revelar las marcas a los clientes según la CCPA?

CCPA incluye requisitos de divulgación detallados que deben actualizarse cada año; las empresas deben divulgar la IP que han recopilado, "vendido" y divulgado con fines comerciales durante los últimos 12 meses, y asegurarse de que los residentes de California tengan derechos de divulgación, acceso y exclusión en lo que respecta a su información personal. Las organizaciones también deben explicar las categorías de PI que recopilan y cuál es el propósito de recopilar esa información, y deben hacerlo en el punto de recopilación, ya sea un sitio web, un evento u otra cosa.

¿Cómo define CCPA “vender”?

CCPA define "vender" de manera muy amplia, cubriendo actividades que pocas personas asociarían con la venta de datos. Según la CCPA, la venta no solo se refiere a la transferencia de información personal a cambio de dinero; la ley también considera que la venta incluye el "alquiler, liberación, divulgación, difusión, puesta a disposición, transferencia o comunicación oral, por escrito, o por medios electrónicos o de otro tipo, la información personal de un consumidor por parte de la empresa a otra empresa o a un tercero a cambio de una contraprestación monetaria u otra contraprestación valiosa ".

Debido a que la ley no define "otra consideración valiosa", y debido a que la definición de "venta" incluye el intercambio de datos, muchas marcas que no venden datos (en el sentido vernáculo de la palabra) pueden verse obligadas a actuar como aunque lo hacen para cumplir con la ley. "Otra consideración valiosa" se entiende como cualquier valor, por lo que si los datos personales se comparten con un tercero y hay algún valor en hacerlo para cualquiera de las partes, eso es potencialmente una "venta" bajo CCPA, y esa es una de las razones por las que la CCPA se considera una de las leyes de privacidad más amplias del mundo.

¿Existen requisitos especiales para las marcas que se considera que "venden" información personal según la CCPA?

Si una empresa está "vendiendo" la PI de un residente de California bajo CCPA, esa organización debe incluir un enlace destacado "No vender mi información personal" en su sitio web que permitirá a las personas optar por no participar en la "venta" de su información personal. información. Las marcas que no lo hagan se enfrentan a posibles multas y otros castigos.

¿CCPA tiene reglas sobre la recopilación de información de menores?

La CCPA permite a los adultos excluirse de la recopilación de datos y prohíbe que las empresas vuelvan a solicitar permiso para recopilar sus datos durante al menos 12 meses después de la exclusión voluntaria. Sin embargo, para los niños menores de 16 años, las reglas son significativamente más estrictas y requieren una suscripción voluntaria para la recopilación de su información personal. Y para niños menores de 12 años, no se puede recopilar PI sin el consentimiento de los padres (por ejemplo, el padre u otro tutor debe optar por el niño).

¿Se aplica la CCPA a los datos recopilados antes de que se aprobara la ley?

Si una empresa sujeta a la CCPA recopila información personal, esa empresa debe cumplir con los requisitos de la CCPA, incluso si los datos se recopilaron antes del 1 de enero de 2020 para la aplicación de la CCPA. Esto significa que un consumidor que reside en California puede ejercer todos sus derechos con respecto a su información personal; por ejemplo, ese consumidor puede pedirle a su marca que elimine los datos que recopiló sobre ellos hace cinco años, y bajo CCPA su marca estaría obligada a hazlo

Cumplimiento de la CCPA

¿Cuándo es la fecha límite de aplicación de la CCPA?

Aunque la CCPA se aprobó originalmente en junio de 2018, las organizaciones tenían hasta el 1 de enero de 2020 antes de que se les exigiera cumplir con la ley.

¿Cuáles son las sanciones por no cumplir con la CCPA?

El fiscal general de California está autorizado a multar a las organizaciones con hasta $2500 por una violación de la CCPA; sin embargo, estas organizaciones tendrán 30 días para responder a un aviso de incumplimiento y no serán multadas si abordan el problema durante ese período de tiempo. Una cosa clave para entender: estas multas son para cada infracción individual, por lo que si 100 personas se ven afectadas por la infracción, la multa potencial sería de $ 250,000, en lugar de $ 2,500. Además, si se determina que el incumplimiento es intencional, las multas pueden sumar hasta $ 7,500 por infracción, lo que aumenta aún más el potencial de un impacto financiero significativo para las marcas.

La CCPA también permite a los residentes individuales de California presentar quejas contra organizaciones que creen que violan la ley, con pagos potenciales de hasta $750 por persona.

Además, existe un derecho privado de acción bajo CCPA, lo que significa que una persona puede presentar una demanda si cree que una empresa no ha cumplido con los requisitos de seguridad de CCPA y ha habido una violación de datos con respecto a la PI de esa persona. Este derecho de acción individual puede dar lugar a demandas colectivas, una posibilidad particularmente aleccionadora en el entorno litigioso de California, donde teóricamente hay una cantidad de abogados de demandantes que esperan ansiosamente la oportunidad de presentar este tipo de demandas y recuperar grandes premios en en nombre de grandes clases de demandantes. Los premios pueden exceder los daños reales sufridos, lo que hace que esta posibilidad sea particularmente aterradora para las empresas sujetas a la CCPA. Además, las reglamentaciones propuestas bajo revisión actual están considerando implementar un derecho privado de acción para todas las violaciones de la CCPA, en lugar de solo permitirlas donde ha habido una violación de los requisitos de seguridad de la ley.

¿Por dónde deberían comenzar las organizaciones en lo que respecta al cumplimiento de la CCPA?

Las organizaciones deben asegurarse de incluir las divulgaciones apropiadas en su sitio web y en todos los puntos de la recopilación de información personal de los residentes de California. Deben poder cumplir con todas las solicitudes de CCPA y si se considera que están "vendiendo" información personal de los residentes de CA, deben incluir de manera destacada un botón "No vender mis datos" en su sitio web.

Las organizaciones que ya cumplen con GDPR están bien encaminadas hacia el cumplimiento de CCPA, pero los requisitos de las dos leyes no son idénticos, y se alienta a las empresas a buscar el consejo de sus asesores de confianza para asegurarse de que han hecho todo lo necesario para garantizar que cumplen con los requisitos de CCPA antes del 1 de enero de 2020.

CCPA y RGPD

¿En qué se diferencian CCPA y RGPD?

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea se aprobó en 2016 y se inspiró en la creencia implícita en gran parte de Europa de que las personas allí tenían el derecho fundamental de controlar sus propios datos personales. La CCPA, por otro lado, se basó en la creencia de que el estado de California se había quedado atrás en la protección de la privacidad de sus residentes y en protegerlos del mal uso de la PI (incluido el robo de identidad, el fraude financiero, el daño a la reputación, el acoso, etc.) .

Dadas estas diferencias, mientras que el RGPD se centró principalmente en garantizar la propiedad y el control de los datos personales de cada persona afectada, la CCPA se centró en la capacidad de las empresas en línea para realizar transacciones que involucran grandes cantidades de información personal sin el conocimiento y consentimiento de los residentes de California. A saber, GDPR se aplica a todas las actividades involucradas en el procesamiento de datos personales, incluido el almacenamiento, el acceso y la transferencia de datos. Sin embargo, la CCPA solo se aplica a la recopilación, "venta" y divulgación de información personal con fines comerciales.

¿De qué manera CCPA y GDPR se complementan entre sí?

Tanto la CCPA como el RGPD exigen que las organizaciones que recopilan información personal de personas divulguen lo que van a hacer con esa información personal y ambas leyes brindan una serie de derechos similares a terceros con respecto a su propia información personal. Además, ambas leyes requieren el consentimiento, la transparencia y el control de las personas sobre su propia información personal, y ambas leyes imponen multas por no cumplir con sus requisitos.

¿Se espera que las diferencias en los entornos regulatorios entre la UE y California afecten la aplicación de CCPA y GDPR, respectivamente?

Debido a que California es un entorno significativamente más litigioso que la Unión Europea y la expectativa de que los reguladores en California buscarán hacer cumplir estrictamente la ley a partir del nuevo año, es probable que veamos más organizaciones multadas por no cumplir con CCPA. de lo que hicimos cuando comenzó la aplicación de GDPR. Dado eso, las organizaciones que optan por esperar y ver en lugar de perseguir agresivamente el cumplimiento de la CCPA probablemente corran un riesgo grave.