Lista de verificación de cumplimiento de la CCPA: Guía sobre la Ley de Privacidad del Consumidor de California

¿Qué es la CCPA?

En CCPA, o la Ley de Privacidad del Consumidor de California, es una ley integral de privacidad promulgada en el estado de California. otorga a los consumidores ciertos derechos con respecto a la recopilación, uso y divulgación de información personal por parte de las empresas.

La ley exige que las empresas proporcionen información clara y transparente sobre los datos privados que recopilan, permitan a los consumidores optar por no vender su información y les permitan acceder a ella, eliminarla o corregirla si lo solicitan.

Además, la CCPA impone diversas obligaciones a las empresas. Por ejemplo, deben implementar medidas de seguridad razonables y obtener el consentimiento de menores antes de recopilar su información para lograr el cumplimiento.

¿Por qué se promulgó la CCPA?

La CCPA se promulgó para mejorar protecciones de la privacidad del consumidor Para los residentes de California y brindar a los consumidores mayor control sobre su información. Se diseñó para abordar las inquietudes sobre la recopilación, el uso y el intercambio de estos datos por parte de las empresas, especialmente en el ámbito digital.

Las regulaciones de la CCPA buscan empoderar a los consumidores brindándoles derechos y opciones, como el derecho a saber qué datos personales de los residentes de California se recopilan y cómo se utilizan. Los consumidores también pueden negarse a que las empresas vendan su información y tienen derecho a solicitar su eliminación.

La CCPA busca responsabilizar a las empresas de proteger la privacidad del consumidor y aumentar la transparencia en sus prácticas de datos. En general, la CCPA refleja la creciente preocupación por la privacidad en la era digital y busca brindar mayores derechos a la privacidad y mayor protección a los consumidores en California.

¿Qué tipos de datos están regulados por la CCPA?

La CCPA regula varios tipos de datos personales para proteger la privacidad de los residentes de California. Estos son los principales tipos de datos que cubre la CCPA:

Datos personales

Según la CCPA, la información personal es cualquier información que identifique, se relacione, describa o pueda vincularse razonablemente con un consumidor o hogar en particular en el estado. Esto puede incluir nombre, dirección, correo electrónico, número de seguro social, historial de navegación, datos de geolocalización, información biométrica (p. ej., huellas dactilares, ADN), entre otros.

Información personal confidencial

La CCPA define los datos personales como cualquier identificador gubernamental que pueda identificar a una persona. Algunos identificadores, como el número de la Seguridad Social, pueden coincidir con los datos personales. Sin embargo, esta información también incluye los datos de inicio de sesión de las cuentas personales, las cuentas financieras y los números de tarjetas de crédito y débito de los residentes de California, así como las contraseñas, códigos de acceso y códigos de seguridad que les permiten acceder a sus cuentas.

Información comercial

La CCPA otorga a los consumidores el derecho a proteger su privacidad de datos, incluso al comprar o consumir. Abarca los registros de productos o servicios adquiridos, obtenidos o considerados, así como el historial de transacciones y los datos de pago. Por ejemplo, si alguien compra un teléfono inteligente, detalles como la marca, el modelo, la fecha de compra y el precio se consideran información comercial.

Esta categoría también abarca cualquier artículo promocional, muestra o regalo recibido. Cualquier información sobre las tendencias de consumo de un consumidor se considera información protegida.

Actividad de Internet o de red

La actividad de Internet de un individuo abarca datos sobre las interacciones en línea, incluido el historial de navegación, el historial de búsqueda y la información sobre la interacción de un consumidor con sitios web, aplicaciones o anuncios.

Las URL que visitan, los sitios web y páginas que navegan, y sus búsquedas pueden revelar sus intereses, necesidades e intenciones. Por ello, la CCPA otorga a los consumidores el derecho a mantener esta información privada.

Inferencias extraídas de los datos

La CCPA incluye datos derivados de las categorías anteriores para crear perfiles o predicciones sobre las características, preferencias, comportamiento y actitudes de una persona.

¿Qué empresas están reguladas por la CCPA?

La CCPA rige a diversas empresas y organizaciones que cumplen ciertos criterios. A continuación, se presenta un resumen de quiénes están sujetos a las leyes de la CCPA y los criterios empresariales clave:

Empresas

La CCPA se aplica principalmente a las empresas. Según la CCPA, una «empresa» se define como una entidad con fines de lucro que opera en California y cumple uno o más de los siguientes criterios:

• Tiene ingresos brutos anuales de $25 millones o más.
• Compra, recibe o vende la información personal de 50.000 o más consumidores, hogares o dispositivos anualmente.
• Obtiene el 50% o más de sus ingresos anuales de la venta de datos de consumidores.

Proveedores de servicios

La CCPA también se aplica a los proveedores de servicios que procesan información personal en nombre de las empresas contempladas. Los proveedores de servicios están sujetos a ciertas obligaciones contractuales, pero tienen derechos limitados para utilizar los datos para sus propios fines.

Terceros

Las empresas que reciben datos personales de empresas sujetas a la CCPA con fines comerciales también deben cumplir con los requisitos de la CCPA. Se espera que estos terceros gestionen esta información de forma responsable y no la utilicen para fines distintos a los especificados en sus acuerdos con las empresas sujetas.

Sanciones si no garantiza el cumplimiento de la CCPA

La aplicación de la CCPA comenzó el 1 de julio de 2020, y desde entonces se han reportado casos de infracciones y medidas de cumplimiento. La Fiscalía General de California es responsable de la aplicación de la CCPA, y las empresas que incumplan la ley pueden enfrentar sanciones, multas y otras consecuencias.

El incumplimiento de la CCPA puede acarrear sanciones y responsabilidades significativas para las empresas, en forma de multas y sanciones. Las sanciones específicas por incumplimiento de la CCPA pueden variar según la naturaleza y la gravedad de la infracción, pero pueden incluir:

• Multas civiles: La CCPA permite multas civiles de hasta $2,500 por infracción o hasta $7,500 por infracción intencional. Estas multas pueden acumularse rápidamente, especialmente en casos en los que una empresa ha infringido varias disposiciones de la CCPA.
• Derecho privado de acción: La CCPA otorga a los consumidores un derecho privado de acción en ciertos casos violaciones de datos Resultado de la falta de implementación de medidas de seguridad razonables por parte de una empresa. Esto puede dar lugar a demandas individuales o colectivas, lo que podría generar importantes daños financieros y costos legales para las empresas responsables.
• Medida cautelar: El Procurador General puede solicitar una medida cautelar, que puede exigir a una empresa que detenga ciertas actividades de procesamiento de datos o tome medidas específicas para cumplir con la CCPA.
• Daño a la reputación: El incumplimiento de la CCPA puede generar publicidad negativa, daños a la reputación de una empresa y pérdida de la confianza de los clientes, lo que puede tener impactos financieros y operativos a largo plazo.
• Costos de remediación: Es posible que las empresas necesiten invertir en recursos adicionales, como personal, tecnología e infraestructura, para cumplir con la CCPA, lo que puede generar costos adicionales.

Empresas que no cumplieron con la CCPA y fueron sancionadas

La aplicación de la CCPA puede resultar en multas y sanciones por incumplimiento, y se espera que las organizaciones se tomen en serio las regulaciones de privacidad de datos para proteger los derechos de los residentes de California. A continuación, se presentan algunos ejemplos de empresas que no cumplieron con los requisitos y se enfrentaron a sanciones.

Comunicaciones de video Zoom, Inc.

En marzo de 2020, Zoom enfrentó escrutinio por presuntamente violar la CCPALa empresa fue acusada de no revelar claramente cómo recopila y comparte los datos de sus usuarios. Zoom llegó posteriormente a un acuerdo con la Fiscalía General, acordando mejorar sus prácticas de privacidad y seguridad para garantizar el cumplimiento de la CCPA.

Zynga Inc

En diciembre de 2020, el Fiscal General anunció un acuerdo con Zynga, un desarrollador de juegos móviles. Zynga presuntamente... violó los requisitos de cumplimiento de la CCPA Al no informar adecuadamente a los usuarios sobre cómo se recopilaron y compartieron sus datos, el acuerdo exigió a Zynga el pago de una multa e implementar mejoras en la privacidad de datos.

Fuerza de ventas

En junio de 2021, la organización sin fines de lucro Californians for Consumer Privacy presentó una denuncia ante el Fiscal General, acusando Salesforce por no cumplir con la CCPALa denuncia alegaba que Salesforce no atendía las solicitudes de eliminación de datos de los usuarios, entre otras infracciones. Salesforce negó las acusaciones.

Las diferencias entre la CCPA y la CPRA

La CCPA y la CPRA (Ley de Derechos de Privacidad de California) son leyes de privacidad de datos promulgadas en California. Sin embargo, presentan algunas diferencias. A continuación, una comparación sencilla:

1. Alcance: La CCPA requiere que las empresas cumplan ciertos criterios y manejen la información personal de los residentes de California, mientras que la CPRA amplía el alcance para aplicarse a las empresas que superan ciertos umbrales y procesan los datos de los residentes de California a mayor escala.
2. Definiciones: CPRA Introduce nuevas definiciones como “información personal confidencial” y “compartir” que no están definidas explícitamente en la CCPA.
3. Derechos del consumidor: Tanto la CCPA como la CPRA otorgan derechos similares a los consumidores, como el derecho a la información, el derecho a la eliminación y el derecho a no aceptar la venta de sus datos. Sin embargo, la CPRA amplía algunos de estos derechos e introduce otros nuevos, como el derecho a corregir inexactitudes y limitar el uso de información sensible. La CCPA exige que las empresas respondan a las solicitudes de los consumidores de acceso o eliminación de su información personal en un plazo de 45 días. De ser necesario, este plazo puede extenderse otros 45 días con previo aviso al consumidor.
4. Obligaciones de las empresas: La CPRA introduce obligaciones adicionales para las empresas, como la implementación de medidas de seguridad razonables y la realización periódica de auditorías de ciberseguridad. También introduce una nueva categoría de «proveedores de servicios» con obligaciones específicas.
5. Aplicación: Tanto la CCPA como la CPRA otorgan poderes de ejecución a la Oficina del Fiscal General de California, pero la CPRA también establece una nueva Agencia de Protección de la Privacidad de California (CPPA) para hacer cumplir la ley.
6. Sanciones: La CCPA impone multas por ciertas infracciones, pero la CPRA introduce multas más altas para las infracciones que involucran información de menores y aumenta las multas potenciales para ciertas otras infracciones.
7. Derecho privado de acción: La CCPA permite a los consumidores presentar demandas privadas por ciertas violaciones de datos, mientras que la CPRA amplía el derecho de acción privada para cubrir tipos adicionales de violaciones e introduce un nuevo requisito de aceptación para que las empresas compartan información de los consumidores.

RGPD vs. CCPA: Leyes de protección de los derechos del consumidor y privacidad

En Reglamento general de protección de datos (RGPD) Es una ley de privacidad y seguridad de datos redactada y aprobada por la Unión Europea (UE). Si bien la CCPA y el RGPD comparten algunas similitudes, también presentan diferencias en su alcance, requisitos y aplicabilidad.

1. Alcance: El RGPD es una legislación integral que se aplica a todas las empresas que procesan datos personales de personas en la UE, independientemente de su ubicación. En cambio, la CCPA se aplica a las empresas que recopilan información personal de consumidores en California y cumplen ciertos umbrales de ingresos o recopilación de datos, independientemente de su ubicación física.
2. Derechos del consumidor: Tanto el RGPD como la CCPA otorgan ciertos derechos a los consumidores con respecto a sus datos. Estos derechos incluyen el derecho a saber qué información se recopila, a acceder a ella, corregirla y eliminarla, y a oponerse a la venta de su información. Sin embargo, la CCPA también incluye un derecho de acción privado para ciertos accesos no autorizados a datos, lo que permite a los consumidores demandar a las empresas por daños y perjuicios, mientras que el RGPD no contempla explícitamente este derecho.
3. Requisitos de consentimiento: El RGPD exige que las empresas obtengan el consentimiento explícito de las personas antes de procesar sus datos personales, con algunas excepciones. El cumplimiento de la CCPA, en cambio, exige el derecho a optar por no participar en la venta de información personal, en lugar de obtenerlo. consentimiento expreso para el procesamiento de datos.
4. Transferencia de datos: Otra diferencia radica en cómo ambas legislaciones gestionan la transferencia de información personal a través de fronteras internacionales. El RGPD impone requisitos estrictos a la transferencia de datos personales a países fuera de la UE, a menos que se establezcan ciertas garantías. La CCPA no contiene disposiciones explícitas relacionadas con... transferencias internacionales de datos.
5. Aplicación y sanciones: El RGPD prevé multas sustanciales por incumplimiento, con sanciones de hasta 20 millones de euros o el 41% de los ingresos anuales globales del ejercicio anterior, la cantidad que sea mayor. La CCPA, por otro lado, prevé multas civiles de hasta 2.500 euros por infracción o 7.500 euros por infracción intencionada, y otorga a los consumidores un derecho de acción privada para ciertas violaciones de datos.
6. Obligaciones comerciales: Tanto el RGPD como la CCPA Imponen diversas obligaciones a las empresas, como mantener medidas de seguridad adecuadas, proporcionar información clara sobre la privacidad y responder a las solicitudes de los consumidores de manera oportuna. Sin embargo, el RGPD establece requisitos más exhaustivos para los responsables y encargados del tratamiento de datos, incluyendo evaluaciones de impacto obligatorias sobre la protección de datos, el nombramiento de delegados de protección de datos en determinados casos y el cumplimiento de bases legales específicas para el tratamiento de datos. Lea más sobre el RGPD. Diferencia entre el RGPD y la CCPA.

Derechos de privacidad de datos de los empleados según la CCPA

Los empleados de California tienen ciertos derechos bajo la CCPA con respecto a su información. A continuación, se presenta una explicación sencilla de los derechos de los empleados bajo la CCPA:

1. Derecho a notificación: Los empleados tienen derecho a estar informados sobre las categorías de datos que recopila su empleador y los fines para los que se utilizan en el momento de la recopilación o antes de ella.
2. Derecho de acceso: Los empleados pueden solicitar acceso a la información recopilada, utilizada, divulgada o vendida por su empleador. Esto incluye el derecho a conocer los datos específicos recopilados y las categorías de terceros con quienes se comparte la información.
3. Derecho de supresión: Los empleados tienen la derecho a solicitar la eliminación de su información personal recopilados o mantenidos por su empleador, sujeto a ciertas excepciones, como obligaciones legales o fines comerciales legítimos.
4. Derecho a optar por no participar en la venta: Los empleados pueden optar por no permitir que su empleador venda su información a terceros, si corresponde.
5. Derecho a la no discriminación: Los empleados tienen derecho a no ser discriminados por ejercer sus derechos bajo la CCPA. Esto significa que los empleadores no pueden negar ni restringir beneficios, oportunidades ni servicios laborales a los empleados que ejercen sus derechos bajo la CCPA.
6. Derecho a la notificación de la recopilación de datos: Los empleados tienen derecho a ser notificados sobre las categorías de información personal que recopila su empleador, así como los fines para los cuales se utiliza la información, antes o en el momento de la recopilación.
7. Derecho a corregir información personal: Los empleados tienen derecho a solicitar la corrección de datos personales inexactos recopilados por su empleador, si corresponde.

Lista de verificación de cumplimiento de la CCPA para proteger los datos personales

Descargue la lista de verificación de preparación para la CCPA Desglosar 5 áreas que debe cubrir para cumplir con la CCPA, que incluyen:

1. Mapa e inventario de datos de clientes
   • Identifique todas las fuentes de recopilación de datos de clientes (por ejemplo, sitios web, aplicaciones móviles, interacciones en la tienda).
   • Cree un inventario completo de toda la información personal recopilada, almacenada, procesada y compartida.
   • Categorizar los datos por tipo (por ejemplo, identificadores, información comercial, actividad en Internet) y mantener un mapa de datos actualizado.
2. Cumplir automáticamente los derechos de los datos del consumidor
   • Implementar sistemas para gestionar y automatizar las respuestas a las solicitudes de los consumidores de acceso a datos, eliminación y exclusión de la venta de datos.
   • Asegúrese de que existan mecanismos para que los consumidores puedan enviar solicitudes verificables fácilmente (por ejemplo, formularios en línea, información de contacto dedicada, etc.).
   • Realice un seguimiento y documente cada solicitud y su estado de cumplimiento para garantizar el cumplimiento del requisito de respuesta de 45 días.
3. Actualizar la política de privacidad y las notificaciones de divulgación
   • Revise y actualice su política de privacidad para reflejar las prácticas de datos actuales y los requisitos de la CCPA.
   • Incluya información detallada sobre las categorías de información personal recopilada, los propósitos para recopilar esta información y los terceros con quienes se comparte.
   • Asegúrese de que los consumidores conozcan sus derechos bajo la CCPA a través de notificaciones de divulgación claras y accesibles.
4. Definir los umbrales de violación y los flujos de trabajo del equipo de privacidad para la respuesta ante violaciones
   • Establecer criterios específicos sobre lo que constituye una violación de datos según la CCPA
   • Desarrollar un plan detallado de respuesta ante infracciones, incluidos procedimientos y plazos de notificación.
   • Designar un equipo de privacidad responsable de gestionar las filtraciones y violaciones de datos y describir sus funciones y responsabilidades.
5. Validar y probar todo, desde las solicitudes de acceso hasta el intercambio de datos y las políticas de seguridad.
   • Realizar auditorías periódicas para verificar la eficacia de los procesos relacionados con las solicitudes de acceso a datos de los consumidores, los acuerdos de intercambio de datos y las medidas de seguridad.
   • Realizar pruebas de penetración y evaluaciones de seguridad para identificar y mitigar vulnerabilidades.
   • Capacite al personal sobre el cumplimiento de la CCPA y las mejores prácticas para manejar información personal de forma segura.
   • Documentar y revisar todos los resultados de pruebas y hallazgos de auditoría para garantizar la mejora y el cumplimiento continuos.

Esta lista de verificación garantiza un enfoque integral para ayudarlo a lograr y mantener el cumplimiento normativo, cubriendo todas las áreas clave, desde la gestión de datos hasta la respuesta a infracciones y las actualizaciones de políticas.

Logre el cumplimiento de la CCPA con BigID

BigID Permite a las organizaciones cumplir y gestionar los requisitos de la CCPA con un enfoque automatizado y escalable para descubrir, mapear y gestionar la información personal que se encuentra bajo el amparo de la CCPA. Con BigID, las organizaciones pueden:

• Descubrir y clasificar Todos los datos afectados por la CCPA en las fuentes de datos empresariales
• Índice CCPA por individuo a automatizar los derechos de datos
• Operacionalizar el mapeo y monitoreo del flujo de datos a través de inteligencia de datos
• Integración con flujos de trabajo para una orquestación de extremo a extremo
• Cumplir con las solicitudes de acceso de los interesados (DSAR)
• Gestionar, supervisar y validar el intercambio de datos de terceros

¿Quiere ver cómo BigID ayuda a su organización a adelantarse a la CCPA?

Reservar una demostración.

Autor

Alexis Porter

Responsable de marketing de contenidos

Alexis trabaja como Directora de Marketing de Contenidos para BigID, proveedor líder de DSPM. Se especializa en ayudar a las nuevas empresas tecnológicas a crear y perfeccionar su voz para contar historias más convincentes que resuenen con diversos públicos. Tiene una licenciatura en Escritura Profesional y un máster en Comunicación de Marketing por la Universidad de Denver. Alexis reside en Orlando, Florida.