Ca­li­fo­r­nia Consumer Privacy Act (CCPA): la Ley de Pri­va­ci­dad del Co­n­su­mi­dor de Ca­li­fo­r­nia ha entrado en vigor

Al mismo tiempo que el valor de los datos de los co­n­su­mi­do­res va in crescendo, aumenta también la ex­po­si­ción de los usuarios a la re­co­pi­la­ción de su in­fo­r­ma­ción para fines em­pre­sa­ria­les, sobre todo si se tiene en cuenta la presencia de las nuevas te­c­no­lo­gías e Internet en el día a día. Con el escándalo de Facebook y Cambridge Analytica, se pusieron sobre la mesa los riesgos que co­m­po­r­ta­ba el tra­ta­mie­n­to de los datos pe­r­so­na­les por parte de las empresas, au­me­n­ta­n­do la co­n­cie­n­cia­ción de la sociedad al respecto.

A pri­n­ci­pios de 2020, el estado de Ca­li­fo­r­nia se ha unido a la intención de otros or­ga­ni­s­mos y te­rri­to­rios de regular la pri­va­ci­dad de pa­r­ti­cu­la­res con la de­no­mi­na­da Ca­li­fo­r­nia Consumer Privacy Act (CCPA), que co­n­s­ti­tu­ye la le­gi­s­la­ción es­ta­dou­ni­de­n­se más estricta en lo que a pro­te­c­ción de datos y pri­va­ci­dad del co­n­su­mi­dor se refiere. Aunque se acerca en algunos puntos al europeo Re­gla­me­n­to General de Pro­te­c­ción de Datos (RGPD), las no­r­ma­ti­vas difieren. Además del Re­gla­me­n­to Europeo, México cuenta también con la Ley Federal de Pro­te­c­ción de Datos Pe­r­so­na­les en Posesión de Pa­r­ti­cu­la­res (LFPDPPP) y la Ley Federal de Pro­te­c­ción de Datos Pe­r­so­na­les en Posesión de Sujetos Obligados (LGPDPPSO) re­s­pe­c­ti­va­me­n­te, que tienen el objetivo de ga­ra­n­ti­zar la pro­te­c­ción de sus datos a los usuarios mexicanos.

La Ca­li­fo­r­nia Consumer Privacy Act (CCPA), también de­no­mi­na­da AB 375, es la de­no­mi­na­ción de la ley en materia de pri­va­ci­dad que ha entrado en vigor en Ca­li­fo­r­nia el 1 de enero de 2020. Con ella se pretende delimitar el uso que hacen las empresas de los datos pe­r­so­na­les de los co­n­su­mi­do­res, otorgando a estos un mayor control sobre los mismos y au­me­n­ta­n­do la pro­te­c­ción de su pri­va­ci­dad. De este modo, la CCPA recoge el derecho de los co­n­su­mi­do­res a saber qué in­fo­r­ma­ción recopilan las empresas sobre ellos, para qué propósito y con quién la comparten. Asimismo, los co­n­su­mi­do­res pueden pedir a las empresas la eli­mi­na­ción de sus datos pe­r­so­na­les, así como prohi­bi­r­les su venta o di­vu­l­ga­ción a terceros. De hecho, las empresas deben mostrar en un lugar visible de su página web un enlace con la in­fo­r­ma­ción “Do Not Sell My Personal In­fo­r­ma­tion” (no vender mi in­fo­r­ma­ción personal), para que los co­n­su­mi­do­res puedan ejercer este derecho.

Aprobada en agosto de 2018, esta ley supone un referente en la le­gi­s­la­ción es­ta­dou­ni­de­n­se, que se ha ca­ra­c­te­ri­za­do siempre por una mayor laxitud con respecto al tra­ta­mie­n­to de los datos. Además de los derechos re­co­no­ci­dos a los co­n­su­mi­do­res, la CCPA incluye también las obli­ga­cio­nes de las empresas, delimita los negocios que han de acogerse a esta ley y es­pe­ci­fi­ca las sanciones apli­ca­bles en caso de no atenerse a lo dispuesto en ella.

La CCPA se aplica sobre las empresas que, con in­de­pe­n­de­n­cia de su domicilio social, traten con datos de re­si­de­n­tes en el estado de Ca­li­fo­r­nia y cumplan con una serie de re­qui­si­tos. Así, las empresas en cuestión deberán contar con un beneficio anual bruto superior a los 25 millones de dólares, tratar con in­fo­r­ma­ción de un mínimo de 50 000 co­n­su­mi­do­res, di­s­po­si­ti­vos u hogares o conseguir como mínimo el 50 por ciento de sus ganancias de la venta de in­fo­r­ma­ción personal.

Todos los negocios que se incluyan en las de­li­mi­ta­cio­nes di­s­pue­s­tas en la CCPA deberán cumplir con una serie de obli­ga­cio­nes para aumentar la tra­n­s­pa­re­n­cia en el tra­ta­mie­n­to que hacen de los datos, entre los que se en­cue­n­tran:

• Informar a los co­n­su­mi­do­res si tienen intención de vender sus datos. Además, tienen prohibida la venta de datos de menores de 16 años a menos que se autorice.
• Incluir una política de pri­va­ci­dad en la web donde se es­pe­ci­fi­que la in­fo­r­ma­ción recogida y el propósito.
• Pro­po­r­cio­nar me­ca­ni­s­mos para que los co­n­su­mi­do­res puedan solicitar in­fo­r­ma­ción acerca de sus datos y responder a las so­li­ci­tu­des sin coste.
• No di­s­cri­mi­nar a aquellos co­n­su­mi­do­res que decidan eliminar sus datos, impedir su venta o ejercer algún otro derecho. No obstante, las empresas sí pueden ofrecer in­ce­n­ti­vos fi­na­n­cie­ros a los co­n­su­mi­do­res por el tra­ta­mie­n­to de sus datos.

Incumplir con lo dispuesto en la CCPA puede suponer sanciones de hasta 7500 dólares por violación cometida (si se produce de forma in­te­n­cio­na­da). Para aquellas empresas que tratan con datos pe­r­so­na­les de millones de usuarios, el in­cu­m­pli­mie­n­to de la CCPA puede suponer un coste elevado. Con todo, antes de la im­po­si­ción de la sanción, las empresas tienen hasta 30 días para solventar la situación una vez han sido no­ti­fi­ca­das de la violación de derechos cometida.

Muchos bau­ti­za­ron a la Ca­li­fo­r­nia Consumer Privacy Act como el “RGDP americano”, pues se trata de una normativa que persigue regular la pri­va­ci­dad de los co­n­su­mi­do­res en el pro­ce­sa­mie­n­to de sus datos. No obstante, la realidad es que cada una de estas re­gu­la­cio­nes tiene marcos legales di­fe­re­n­tes. Esto implica que aquellas empresas que operen en Ca­li­fo­r­nia y que cumplan ya con el RGPD han de prestar atención a los re­que­ri­mie­n­tos de la CCPA y adaptarse en co­n­se­cue­n­cia.

Y es que, aunque las dos no­r­ma­ti­vas se aplican sobre todas aquellas empresas que realicen una actividad re­la­cio­na­da con el pro­ce­sa­mie­n­to de datos en el te­rri­to­rio de pro­mu­l­ga­ción de la ley, con in­de­pe­n­de­n­cia de dónde se encuentre su sede, la CCPA solo considera a las personas naturales con re­si­de­n­cia en el estado de Ca­li­fo­r­nia como co­n­su­mi­do­res. El RGDP, por su parte, reconoce los derechos de pro­te­c­ción de datos a cualquier persona natural en te­rri­to­rio europeo.

Además, uno de los rasgos ca­ra­c­te­rí­s­ti­cos del RGDP, que establece como necesario el co­n­se­n­ti­mie­n­to explícito del usuario para que una empresa pueda recopilar sus datos, no se contempla en la ley ca­li­fo­r­nia­na. Las empresas que trabajan con los datos de co­n­su­mi­do­res ca­li­fo­r­nia­nos pueden procesar sus datos sin re­s­tri­c­cio­nes iniciales, aunque deberán respetar el derecho de in­fo­r­ma­ción, de eli­mi­na­ción y prohi­bi­ción de la venta de datos de los co­n­su­mi­do­res, si estos así desean ejercerlo.

Lo que la CCPA sí incluye, pero no se puede encontrar en el re­gla­me­n­to europeo, es la po­si­bi­li­dad de las empresas de pro­po­r­cio­nar in­ce­n­ti­vos fi­na­n­cie­ros a aquellos co­n­su­mi­do­res que permitan re­co­le­c­tar sus datos.

Como ya se indicaba en la in­tro­du­c­ción, México cuenta con su propio marco le­gi­s­la­ti­vo en materia de pro­te­c­ción de datos, cu­m­plie­n­do así con el segundo párrafo del artículo 16 de la Co­n­s­ti­tu­ción mexicana, en la que se reconoce dicho derecho. Así, cuenta con la Ley General de Pro­te­c­ción de Datos Pe­r­so­na­les en Posesión de Sujetos Obligados (LGPDPPSO) y la Ley Federal de Pro­te­c­ción de Datos Pe­r­so­na­les en Posesión de los Pa­r­ti­cu­la­res (LFPDPPP).

Por tanto, las empresas es­ta­ble­ci­das en México tendrán que atenerse a dicha le­gi­s­la­ción y respetar los re­gla­me­n­tos de los países o estados en los que realicen una actividad económica. De ahí la im­po­r­ta­n­cia de conocer tanto las di­s­po­si­cio­nes del RGPD como la nueva normativa ca­li­fo­r­nia­na si tratan con datos de personas en te­rri­to­rio europeo o de re­si­de­n­tes ca­li­fo­r­nia­nos re­s­pe­c­ti­va­me­n­te y evitar, de este modo, las sanciones por in­cu­m­pli­mie­n­to.

Favor de tener en cuenta el aviso legal relativo a este artículo.