El 1 de enero de 2020 entrará en vigor la California Consumer Privacy Act (CCPA),o Ley de California de Privacidad del Consumidor, que en principio solo es aplicable en ese estado, pero como allí está Silicon Valley, donde tienen su sede las grandes empresas de internet, y no existe un marco legal internacionalizado para la web, es muy posible que de facto nos la apliquen.
Su intención es aumentar el derecho a la privacidad y la protección de los consumidores en California. Contempla el derecho a:
- Conocer qué datos personales se están recolectando sobre ellos.
- Conocer si sus datos personales se venden o divulgan y a quién.
- A decidir que no se vendan sus datos personales.
- A acceder a sus datos personales.
- A requerir que se borre cualquier información personal de un consumidor.
- A no ser discriminado por ejercer sus derechos de privacidad.
La ley se aplica a las empresas que operan en California y cumplen alguna de estas condiciones: tener más de 25 M $
de ingresos brutos anuales o superiores, comprar o vender información personal de
50 000 o más consumidores u hogares, y obtener
más de la mitad de sus ingresos anuales de la venta de información personal de
los consumidores.
Las organizaciones deben
- Implementar y mantener procedimientos y prácticas razonables de seguridad para proteger los datos de los consumidores.
- Implementar procesos para obtener el consentimiento paternal o de los tutores para datos de menores de 13 años y el consentimiento afirmativo de los de 13 a 16 años.
- Tener un enlace de «No quiero vender mi información personal» en la página principal de la actividad.
- Designar métodos para enviar solicitudes de acceso a datos, incluido, como mínimo, un número de teléfono gratuito.
- Actualizar la política de privacidad de acuerdo a esta ley, incluyendo una descripción de la CCPA.
- No solicitar autorización durante 12 meses después de que un residente en California haya retirado su autorización.
¿Qué qué se define como datos personales? Pues datos que identifican, relativos a, que describen, que es razonable que puedan ser asociados o que podrían razonablemente ser vinculados, directa o indirectamente a un consumidor o a un hogar en particular, como el nombre completo, alias, dirección postal, número de identificación, identificador en ínea, dirección IP, dirección de correo electrónico, nombre de usuario u otros identificadores similares. No se considera información personal la información públicamente disponible.
Hay muchas diferencias entre la CCPA y el RGPD, entre otras: la diferencia de ámbito territorial y alcance; la definición de datos personales; en algunas ocasiones la CCPA solo considera los datos proporcionados por el consumidor y no los adquiridos a terceros; no aparecen los derechos al olvido, de rectificación y a no ser objeto de decisiones automatizadas (RGPD); la posición parece que no se considera parte de los datos personales; por defecto, las empresas pueden comercializar datos personales y los consumidores tienen que decir que no; las empresas no tienen que tener preparada documentación que demuestre que están cumpliendo con sus obligaciones, y la diferencia entre consumidor (con una relación descrita en el contrato de venta o alquiler y sometida a arbitraje) y usuario (con derechos reconocidos en una constitución y una relación sometida a los tribunales).
El texto completo de la CCPA está disponible en este enlace.
Publicado por el editor.