4 cosas que debe saber sobre California CCPA vs GDPR

Hoy en día, no es raro que una empresa confíe en los datos personales para crear mejores experiencias de usuario y mejorar los esfuerzos de marketing en línea. Incluso las empresas más pequeñas analizan y aprovechan los datos de los clientes a los que tienen acceso. Estos datos pueden venir en forma de información proporcionada a través de formularios de prospectos o mediante la extracción de datos en el sitio web de uno. De cualquier manera, dichos datos pueden ser increíblemente útiles para ayudarlo a impulsar su toma de decisiones en todas las facetas de su negocio.
Sin embargo, el uso de datos personales ha dado lugar a una gran controversia. Durante mucho tiempo, los usuarios no tenían control sobre quién recopilaba y usaba su información personal. Por ejemplo, era una práctica común que los sitios web extrajeran datos personales y los vendieran a terceros, lo que muchos argumentaron que era una violación de la privacidad. Este creciente problema eventualmente condujo a la aprobación del RGPD (Reglamento General de Protección de Datos) en Europa. No mucho después de la aprobación del RGPD, se aprobó la CCPA (Ley de Privacidad del Consumidor de California) en el estado de California.
Aunque ambas leyes abordan los derechos de datos de los usuarios, existen algunas diferencias importantes entre las dos. Comprender lo que cubren ambas leyes y si sus pautas se aplican a usted es esencial para seguir cumpliendo y evitar sanciones financieras potencialmente severas.
Resumen de leyes y reglamentos
Tanto el RGPD como la CCPA se aprobaron debido a una preocupación abrumadora sobre el control y el uso de datos personales en línea. Si su empresa se encuentra dentro del alcance del RGPD o de la CCPA, deberá aprender a cumplirlo al obtener una mejor comprensión de las regulaciones de ambas leyes. Aquí hay una breve descripción de ambas leyes.
Descripción general del RGPD
La Unión Europea tiene un historial de aprobar regulaciones que hacen cumplir el derecho a la privacidad personal. Tuvieron suficiente previsión para aprobar la Directiva Europea de Protección de Datos en 1995, que estableció estándares mínimos de seguridad y privacidad de datos. En 2006, la Unión Europea reconoció oficialmente que necesitaba actualizar su directiva anterior para proporcionar derechos de protección de datos personales más completos. El RGPD fue aprobado por el Parlamento Europeo en 2016 y entró en vigor el 25 de mayo de 2018.
Resumen de CCPA
Aunque California lo aprobó específicamente para proporcionar a los residentes de California derechos de privacidad de datos, muchos consideran que la CCPA es la versión estadounidense del RGPD. Cualquier empresa que recopile datos de consumidores en California debe cumplir con las regulaciones de la CCPA, por lo que la mayoría de las empresas estadounidenses terminan teniendo que cumplir incluso si no son empresas con sede en California. Podría decirse que la CCPA es la ley de privacidad de datos más completa del país, especialmente porque no existe una ley federal que regule la recopilación y el uso de datos personales. Oficialmente llamada AB-375, la CCPA se convirtió en ley el 28 de junio de 2018 y entró en vigencia el 1 de enero de 2020.
CCPA versus RGPD
Al tomar medidas para garantizar que su sitio web cumpla con las leyes de propiedad y privacidad de datos, asegúrese de comprender que la CCPA y el RGPD son diferentes. No asuma que si cumple con la CCPA, también cumple con el RGPD, o viceversa. Las siguientes son las similitudes y diferencias entre el RGPD y la CCPA.
1 Alcance
La CCPA se aprobó específicamente para proteger a los residentes de California. Si una empresa recopila información de cualquier consumidor en California, la CCPA se aplicará a esa empresa. Por ejemplo, si la empresa está en Nueva York y están recopilando datos de consumidores en California, la CCPA se aplicará a esa empresa. Sin embargo, no todas las empresas están obligadas a lograr cumplimiento, incluso si están recopilando datos de usuarios de California. Si una empresa recopila datos de los usuarios de California y cumple con cualquiera de los siguientes criterios descritos por la CCPA, entonces se requiere cumplimiento:
- Si la empresa tiene un ingreso bruto anual de más de $ 25 millones
- Si la empresa compra o vende datos personales de un mínimo de 50.000 consumidores u hogares
- Si al menos la mitad de los ingresos anuales de la empresa provienen de la venta de los datos personales que recopila
El alcance del RGPD funciona de la misma manera que el CCPA. Su propósito es proteger a los ciudadanos de Europa. Cualquier controlador de datos que recopile datos de personas en Europa debe cumplir con el RGPD. A diferencia de la CCPA, que se enfoca más en la transparencia comercial, el RGPD cubre a todos los controladores de datos. Los controladores de datos incluyen a cualquiera que recopile datos personales, como empresas, entidades gubernamentales, organizaciones benéficas, administradores de sitios web e incluso individuos.
Todos los controladores de datos con sede en Europa deben cumplir con el RGPD; sin embargo, cualquier controlador de datos fuera de Europa que recopile datos de usuarios con sede en Europa también debe cumplir. Esencialmente, cualquier controlador de datos en el mundo que ofrezca bienes o servicios a clientes europeos o que esté monitoreando el comportamiento de los usuarios europeos cae bajo el alcance del RGPD. Sin embargo, hay algunas excepciones, que incluyen lo siguiente:
- Si alguien recopila datos para actividades puramente personales o domésticas, no se requiere el cumplimiento de GDPR. Por ejemplo, si recopila direcciones de correo electrónico de compañeros de trabajo para organizar un picnic. En tal caso, no necesitará cumplir con todas las regulaciones de GDPR.
- Si es una pequeña o mediana empresa con menos de 250 empleados, entonces está exento de algunas de las obligaciones de mantenimiento de registros descritas en el RGPD (aunque no estará completamente exento del cumplimiento del RGPD).
2. Derechos de privacidad
Tanto el RGPD como la CCPA brindan a los usuarios que se encuentran bajo su alcance varios derechos de privacidad de datos personales. El objetivo principal tanto del RGPD como de la CCPA es dar a las personas más control sobre su información personal y cómo se utiliza. Ambas leyes también han obligado a las empresas a ser más transparentes sobre sus actividades de recopilación de datos. El RGPD y la CCPA otorgan a quienes están bajo su alcance estos derechos primarios de privacidad de datos:
- El derecho a acceder a los datos personales – Tanto la CCPA como el RGPD otorgan a los usuarios el derecho a solicitar el acceso a sus datos personales. Es decir, si está recopilando datos sobre un usuario en California o Europa, se le pedirá que proporcione a ese usuario un informe que detalle qué datos ha recopilado de ellos y cómo está utilizando esos datos.
- El derecho a eliminar los datos personales. – Tanto la CCPA como el RGPD otorgan a los usuarios bajo su alcance el derecho a solicitar que las empresas o los recopiladores de datos borren sus datos. Hay algunas diferencias cuando se trata de este derecho: el RGPD requiere que la solicitud cumpla con una de seis condiciones, mientras que la CCPA tiene solo unas pocas exenciones que permiten a las empresas rechazar la solicitud.
- El derecho a rechazar la venta de datos personales – Muchas empresas que recopilan datos de los usuarios comparten esos datos o los venden a terceros. La CCPA requiere que las organizaciones que se encuentran dentro de sus criterios permitan a los usuarios optar por no compartir o vender sus datos. El RGPD no proporciona este derecho exacto, pero permite a los usuarios optar por no procesar datos con fines de marketing o retirar su consentimiento para la recopilación de datos.
- El derecho a la portabilidad de los datos personales – Las empresas que han recopilado datos personales de una persona durante años tienen una ventaja significativa sobre su competencia, lo que dificulta que esas personas cambien a otra empresa y sigan recibiendo los mismos servicios personalizados. Sin embargo, el derecho a la portabilidad de los datos personales permite a los usuarios tomar todos los datos personales recopilados por una empresa y trasladarlos a otro servicio. Este derecho permite a los usuarios cambiar de servicio si así lo desean. Tanto la CCPA como el RGPD otorgan el derecho a la portabilidad de los datos personales.
- El derecho a la limitación del tratamiento de datos – El RGPD otorga a los usuarios el derecho a restringir el procesamiento de sus datos personales en determinadas situaciones. Este derecho brinda a los usuarios la capacidad de limitar la forma en que un controlador de datos usa sus datos. La CCPA no proporciona explícitamente tal derecho.
3. Normativa Específica
Además de los derechos de privacidad de datos, tanto la CCPA como el RGPD describen regulaciones que las empresas o los controladores de datos deben cumplir. Por ejemplo, existen regulaciones específicas sobre los requisitos de divulgación en ambas leyes. La CCPA requiere lo siguiente:
- Las empresas deben revelar qué categorías de información personal están recopilando.
- Las empresas deben revelar lo que pretenden hacer con la información que recopilan.
- Las empresas deben proporcionar un aviso adicional para las categorías de información adicional que están recopilando y si la están utilizando para fines no relacionados.
Los requisitos del RGPD son similares en el sentido de que los controladores de datos deben divulgar sus actividades de recopilación y procesamiento de datos personales y si se recopilan directamente del individuo o de un tercero. La principal diferencia es que los requisitos de la CCPA solo cubren los 12 meses que preceden a la solicitud.
La CCPA también enumera varios requisitos para que las empresas cumplan con los derechos de privacidad de datos, que incluyen:
- Una política de privacidad que detalla la divulgación de la recopilación de datos y las prácticas de uso en el sitio web de la empresa.
- Una forma de ponerse en contacto con la empresa para solicitar acceso a datos personales (como un número de teléfono o un formulario web)
- Una forma de verificar las solicitudes de los consumidores
- Una opción de exclusión clara y fácil de usar para vender o compartir datos personales
- Si una empresa recopila datos de cuatro millones o más de consumidores, hogares o dispositivos, debe monitorear métricas específicas y hacerlas públicas.
- Permisos solicitando consentimiento de consumidores entre 13 y 16 años. Permisos de los padres si el usuario es menor de 13 años
- El uso de mapas de datos para garantizar que las empresas puedan acceder a todos los datos que han recopilado de un usuario para cumplir con su solicitud.
- El personal debe tener la capacitación para cumplir con las solicitudes de privacidad de datos de manera oportuna
Aunque los derechos de privacidad de datos del RGPD son muy similares, los controladores de datos tienen algunos requisitos diferentes que deben cumplir para mantener el cumplimiento. Estos requisitos incluyen:
- Los controladores de datos deben incluir una política de privacidad detallada en su sitio web
- Debe ser fácil para las personas realizar solicitudes de privacidad de datos, ya sea para acceder a datos, cambiar datos, transferir datos, eliminar datos o retirar el consentimiento.
- Debe ser fácil para los controladores de datos cumplir con las solicitudes de los usuarios.
- Se debe designar un Delegado de Protección de Datos
- Los controladores de datos deben solicitar el consentimiento para recopilar y utilizar datos personales. Si el usuario es menor de 16 años, los responsables del tratamiento deberán solicitar el consentimiento de los padres
- Los controladores de datos deben mantener un Registro de Violación de Datos Personales. Dependiendo de la gravedad, los controladores de datos deben informar las infracciones a los interesados dentro de las 72 horas.
- La transferencia de datos personales debe estar protegida, por ejemplo mediante el uso de encriptación
- Si un controlador de datos ya no usa los datos personales que recopiló, debe eliminarlos
4. Multas y Consecuencias
Si una empresa es culpable de infringir la CCPA, tiene 30 días para corregir la infracción y asegurarse de que no se produzcan más infracciones. También deben proporcionar una declaración por escrito a la persona cuyos derechos CCPA violaron. Si la empresa no soluciona la infracción, el consumidor tiene derecho a demandar. Los consumidores pueden reclamar daños y perjuicios entre $100 y $750 por infracción. También pueden solicitar medidas cautelares o declaratorias, que pueden ascender a un número considerable según la gravedad de la infracción.
El Fiscal General también puede emprender acciones civiles. Esta acción civil puede incluir una orden judicial así como una sanción civil de más de $2,500 por cada infracción. Si el Fiscal General determina que las infracciones fueron intencionales, pueden multar a la empresa por más de $7,500 por infracción. El Ministerio Público puede aplicar una multa por cada consumidor afectado. Entonces, si violó los derechos de la CCPA de 100 consumidores, podría verse obligado a pagar una multa civil de hasta $750,000.
Aunque las multas de la CCPA pueden parecer menores, pueden sumarse según la cantidad de infracciones a las que se enfrente una empresa. Sin embargo, se puede decir que el RGPD tiene consecuencias mucho más duras. El incumplimiento puede dar lugar a dos tipos de multas administrativas. El nivel más bajo de sanciones de GDPR puede incluir multas de hasta 10 millones de euros o el dos por ciento de la facturación global anual de la empresa. El nivel más alto de sanciones de GDPR puede incluir multas de hasta 20 millones de euros o el cuatro por ciento de la facturación global anual de una empresa.
¿El cumplimiento de GDPR también significa cumplimiento de CCPA?
Cuando se trata de derechos de datos personales, el RGPD y la CCPA son similares en muchos aspectos. En términos generales, si logra el cumplimiento de GDPR, es probable que también cumpla con la mayoría de las regulaciones de CCPA. Sin embargo, debe abordar ambos individualmente. El hecho de que logre el cumplimiento de GDPR no significa que cumplirá completamente con CCPA, y viceversa.
Aunque esté bajo el alcance del RGPD, es posible que no esté necesariamente bajo el alcance de la CCPA. Por otro lado, si su empresa está exenta de la CCPA debido a sus criterios, no asuma que usted también está exento del RGPD. Recuerde, los criterios de la CCPA para exigir el cumplimiento se basan en los ingresos generales de una empresa. En Europa, no existen tales criterios. Si recopila datos de usuarios europeos, cae bajo su alcance sin importar qué. Las principales diferencias entre la CCPA y el RGPD que deberá tener en cuenta para lograr el cumplimiento son las siguientes:
- La CCPA también se aplica a los dispositivos y hogares de IoT (Internet de las cosas), mientras que el RGPD no lo hace.
- El RGPD regula las actividades de los proveedores de servicios (conocidos como procesadores de datos en Europa), mientras que la CCPA no lo hace.
- El RGPD requiere el consentimiento del usuario para recopilar sus datos, mientras que la CCPA solo requiere el consentimiento para menores de 16 años. Según la CCPA, las empresas solo están obligadas a revelar que están recopilando datos de usuarios mayores de 16 años en el punto de recopilación; no tienen que pedir su consentimiento.
- El RGPD requiere que tanto los controladores de datos como los procesadores de datos garanticen un nivel de seguridad que se considere apropiado para el riesgo de la recopilación de datos. La CCPA no contiene dicha normativa, aunque sí establece el derecho de acción por violaciones de datos que se produzcan por violaciones resultantes de una falta de seguridad razonable de los datos.
Inspeccione sus prácticas de manejo de datos
Tanto el RGPD como la CCPA brindan a los usuarios en línea amplios derechos con respecto a sus datos personales. Si se encuentra dentro del alcance del RGPD o la CCPA, deberá tomar medidas para cumplir. Estos pasos pueden incluir la implementación de funciones y la adopción de procesos que permitirán a los usuarios enviar solicitudes de privacidad de datos y que le facilitarán el cumplimiento de esas solicitudes.
Si quieres conocer otros artículos parecidos a 4 cosas que debe saber sobre California CCPA vs GDPR puedes visitar la categoría Seguridad.
Entradas Relacionadas 👇👇