Sephora no recibió el California Love cuando no pasó una prueba de cumplimiento barrer de minoristas en línea realizada por el Fiscal General Rob Bonta el invierno pasado. El 24 de agosto, el Fiscal General Bonta anunció un acuerdo con la empresa de belleza por 1,2 millones de libras esterlinas por su violación de la... Ley de Privacidad del Consumidor de California (CCPA).
Además de la multa monetaria, Sephora también tendrá que:
- Decirle afirmativamente a los consumidores que “vende” datos
- Cumplir con los requisitos de la CCPA en sus acuerdos con proveedores de servicios
- Proporcionar mecanismos de exclusión voluntaria de la venta además de respetar los controles de privacidad global
- Informar periódicamente al AG sobre su venta de Información Personal, el estado de sus relaciones con proveedores de servicios y sus esfuerzos para honrar las GPC.
La definición de “venta” se amplía
La denuncia contra Sephora concluyó que Sephora violó la CCPA Al vender información personal de consumidores de California sin notificarles adecuadamente ni darles la oportunidad de darse de baja. Si bien Sephora no recibió un pago financiero directo de terceros que tuvieran acceso a la información de los consumidores, como datos de ubicación y los artículos que añadieron a su carrito de compra en línea, la denuncia sugiere que Sephora recibió "otros beneficios" en violación de la definición de venta de la CCPA.
Según este Acuerdo, la Fiscalía General define "venta" como la divulgación o puesta a disposición de la información personal del consumidor por parte de una empresa a terceros mediante el uso de tecnologías de seguimiento en línea, como píxeles, balizas web, kits de desarrollo de software, bibliotecas de terceros y cookies, a cambio de una contraprestación monetaria u otra contraprestación valiosa, incluyendo, entre otros: (1) información personal u otra información, como análisis; o (2) servicios gratuitos o con descuento. En este caso, Sephora tuvo la oportunidad de adquirir anuncios en línea dirigidos a consumidores de terceros. Posteriormente, la empresa con frecuencia conservaba los datos y los utilizaba "en beneficio de otras empresas, sin el conocimiento ni el consentimiento del consumidor". Sephora rechazó esta definición amplia (nota: aceptar este Acuerdo significa que NO admite haber actuado mal).
Si bien la interpretación del Procurador General en este acuerdo es clara, parece haber cierta superposición con la definición de no compartir en el Ley de Derechos de Privacidad de California (CPRA)Compartir se define como la divulgación de información personal a un tercero para fines de publicidad conductual intercontextual. Esta publicidad se produce cuando se perfila y segmenta a un consumidor en función de la información personal obtenida de su actividad en diversas empresas, sitios web, aplicaciones, etc., y no requiere ninguna contraprestación económica.
Exclusión Universal y Control Global de Privacidad (GPC)
GPC Es una especificación técnica para transmitir señales de exclusión voluntaria. A veces denominada «mecanismo universal de exclusión voluntaria», los usuarios descargan un navegador o extensión Que admita la señal y pueda activarla para todos los sitios web o para sitios web individuales. Cuando el usuario visita un sitio web compatible con GPC, este registrará automáticamente la solicitud del navegador del usuario de no vender información personal. Algunos navegadores (Brave y DuckDuckGo), así como editoriales (NYTimes y Washington Post), han declarado públicamente su compatibilidad con GPC. Si bien GPC está actualmente adaptado a la CCPA, sus creadores creen que podría ser relevante para otros fines regulatorios de privacidad en el futuro, ya que una "exclusión voluntaria del procesamiento de la señal de GPC podría generar una obligación legalmente vinculante para los encargados del tratamiento de datos".
Además de contar con el enlace obligatorio "No vender mi información personal", el regulador californiano espera que todas las empresas que operan en California cumplan con la solicitud del GPC. El Fiscal General Bonta también declaró que «Tecnologías como el Control Global de Privacidad (GPC) son un cambio radical para los consumidores que buscan ejercer sus derechos de privacidad de datos. Sin embargo, estos derechos carecen de sentido si las empresas ocultan cómo utilizan los datos de sus clientes e ignoran las solicitudes de exclusión voluntaria de su venta».
El futuro de las empresas de California
El acuerdo indica que el Fiscal General planea tomar medidas más enérgicas contra las empresas que incumplen la ley. Bonta declaró a la prensa: «Hoy no se trata solo de Sephora. El acuerdo de hoy envía un mensaje contundente a las empresas sobre los continuos esfuerzos del Departamento de Justicia de California para hacer cumplir la CCPA».
Junto con el acuerdo, la Procuradora General Bonta también envió notificaciones a varias empresas alegando incumplimiento al no procesar las solicitudes de exclusión voluntaria de los consumidores realizadas a través del GPC. La disposición de notificación y subsanación de la CCPA, que exige que las empresas reciban una notificación y la oportunidad de subsanar sus infracciones antes de ser consideradas responsables de las infracciones de la CCPA, expirará el 1 de enero de 2023.
La oficina del Procurador General también publicó una actualización anual de la CCPA ejemplos de incumplimiento, que incluía a Sephora como caso de uso además de enlaces faltantes de “No vender mi información personal”, tratamientos erróneos de solicitudes de derechos de los consumidores, políticas de privacidad no conformes y avisos de divulgación faltantes y avisos de incentivos financieros no conformes para programas de fidelización.
Y al otro lado del charco…
Si bien el acuerdo de AG es la primera acción de cumplimiento importante bajo la CCPA, no es la primera acción legal interpuesta contra Sephora en 2022. Sephora también enfrentó problemas legales a principios de este año cuando la agencia de protección de datos de Francia, CNIL, declaró ilegal su uso de las integraciones de Google Analytics y Facebook Connect.
Estas acciones de cumplimiento combinadas contra Sephora este año deberían motivar a las empresas a cumplir plenamente con las nuevas y crecientes regulaciones.
Cómo puede Bigid ayudar a prepararse para la aplicación de la CCPA
A medida que el Procurador General de California eleva el nivel de cumplimiento, ahora es más que necesario establecer estándares regulatorios para su programa de privacidad.
Así es como BigID puede preparar su organización para el cumplimiento de la CCPA y la CPRA actualizada:
- Descubrimiento y auditorías de datos: La CCPA regula la información personal, incluyendo los identificadores directos e inferidos. BigID ayuda a construir una inventario de datos automatizado a descubrir, mapa y clasificar Datos impactados por la CCPA para prepararse para posibles auditorías regulatorias.
- Mapeo de datos: Simplifique el cumplimiento de la CCPA mapeando sus activos de datos y automatizando su inventario de datos en toda la empresa. BigID ayuda a comprender flujos de intercambio de datos con terceros y proveedores de servicios, con informes resumidos sobre el uso compartido de datos de terceros y exclusiones del procesamiento de datos.
- Gestión de derechos de datos: Para cumplir con los derechos de privacidad de todos los residentes de California, BigID proporciona a las organizaciones una plataforma pública portal de privacidad de autoservicio Para completar un proceso integral de derechos del consumidor, desde el derecho a conocer sus datos hasta el derecho a eliminarlos. BigID también permite cumplir con las solicitudes de exclusión voluntaria de la CCPA, especialmente en lo que respecta a la venta de datos.
- Consentimiento y preferencias de cookies: It’s time to get serious about cookie consent and preferences, as easy-to-use consumer consent is highlighted in this settlement. BigID provides end-to-end cookie consent and privacy preference management to automatically capture and manage consent/preferences that will help build trust with your consumers and avoid fines from the AG’s office.
¿Cuáles son las expectativas de? gestión de la CCPA (y pronto será CPRA) ¿El cumplimiento normativo es un desafío para su organización? Vea cómo BigID permite a las empresas automatizar todo su programa de privacidad de datos, lograr el cumplimiento y mantenerse a la vanguardia del Fiscal General de California.
Autor
