California Consumer Privacy Act (CCPA): la Ley de Privacidad del Consumidor de California ha entrado en vigor

Al mismo tiempo que el valor de los datos de los consumidores va in crescendo, aumenta también la exposición de los usuarios a la recopilación de su información para fines empresariales, sobre todo si se tiene en cuenta la presencia de las nuevas tecnologías e Internet en el día a día. Con el escándalo de Facebook y Cambridge Analytica, se pusieron sobre la mesa los riesgos que comportaba el tratamiento de los datos personales por parte de las empresas, aumentando la concienciación de la sociedad al respecto.

A principios de 2020, el estado de California se ha unido a la intención de otros organismos y territorios de regular la privacidad de particulares con la denominada California Consumer Privacy Act (CCPA), que constituye la legislación estadounidense más estricta en lo que a protección de datos y privacidad del consumidor se refiere. Aunque se acerca en algunos puntos al europeo Reglamento General de Protección de Datos (RGPD), las normativas difieren. Además del Reglamento Europeo, México cuenta también con la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) y la Ley Federal de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) respectivamente, que tienen el objetivo de garantizar la protección de sus datos a los usuarios mexicanos.

La California Consumer Privacy Act (CCPA), también denominada AB 375, es la denominación de la ley en materia de privacidad que ha entrado en vigor en California el 1 de enero de 2020. Con ella se pretende delimitar el uso que hacen las empresas de los datos personales de los consumidores, otorgando a estos un mayor control sobre los mismos y aumentando la protección de su privacidad. De este modo, la CCPA recoge el derecho de los consumidores a saber qué información recopilan las empresas sobre ellos, para qué propósito y con quién la comparten. Asimismo, los consumidores pueden pedir a las empresas la eliminación de sus datos personales, así como prohibirles su venta o divulgación a terceros. De hecho, las empresas deben mostrar en un lugar visible de su página web un enlace con la información “Do Not Sell My Personal Information” (no vender mi información personal), para que los consumidores puedan ejercer este derecho.

Aprobada en agosto de 2018, esta ley supone un referente en la legislación estadounidense, que se ha caracterizado siempre por una mayor laxitud con respecto al tratamiento de los datos. Además de los derechos reconocidos a los consumidores, la CCPA incluye también las obligaciones de las empresas, delimita los negocios que han de acogerse a esta ley y especifica las sanciones aplicables en caso de no atenerse a lo dispuesto en ella.

La CCPA se aplica sobre las empresas que, con independencia de su domicilio social, traten con datos de residentes en el estado de California y cumplan con una serie de requisitos. Así, las empresas en cuestión deberán contar con un beneficio anual bruto superior a los 25 millones de dólares, tratar con información de un mínimo de 50 000 consumidores, dispositivos u hogares o conseguir como mínimo el 50 por ciento de sus ganancias de la venta de información personal.

Todos los negocios que se incluyan en las delimitaciones dispuestas en la CCPA deberán cumplir con una serie de obligaciones para aumentar la transparencia en el tratamiento que hacen de los datos, entre los que se encuentran:

• Informar a los consumidores si tienen intención de vender sus datos. Además, tienen prohibida la venta de datos de menores de 16 años a menos que se autorice.
• Incluir una política de privacidad en la web donde se especifique la información recogida y el propósito.
• Proporcionar mecanismos para que los consumidores puedan solicitar información acerca de sus datos y responder a las solicitudes sin coste.
• No discriminar a aquellos consumidores que decidan eliminar sus datos, impedir su venta o ejercer algún otro derecho. No obstante, las empresas sí pueden ofrecer incentivos financieros a los consumidores por el tratamiento de sus datos.

Incumplir con lo dispuesto en la CCPA puede suponer sanciones de hasta 7500 dólares por violación cometida (si se produce de forma intencionada). Para aquellas empresas que tratan con datos personales de millones de usuarios, el incumplimiento de la CCPA puede suponer un coste elevado. Con todo, antes de la imposición de la sanción, las empresas tienen hasta 30 días para solventar la situación una vez han sido notificadas de la violación de derechos cometida.

Muchos bautizaron a la California Consumer Privacy Act como el “RGDP americano”, pues se trata de una normativa que persigue regular la privacidad de los consumidores en el procesamiento de sus datos. No obstante, la realidad es que cada una de estas regulaciones tiene marcos legales diferentes. Esto implica que aquellas empresas que operen en California y que cumplan ya con el RGPD han de prestar atención a los requerimientos de la CCPA y adaptarse en consecuencia.

Y es que, aunque las dos normativas se aplican sobre todas aquellas empresas que realicen una actividad relacionada con el procesamiento de datos en el territorio de promulgación de la ley, con independencia de dónde se encuentre su sede, la CCPA solo considera a las personas naturales con residencia en el estado de California como consumidores. El RGDP, por su parte, reconoce los derechos de protección de datos a cualquier persona natural en territorio europeo.

Además, uno de los rasgos característicos del RGDP, que establece como necesario el consentimiento explícito del usuario para que una empresa pueda recopilar sus datos, no se contempla en la ley californiana. Las empresas que trabajan con los datos de consumidores californianos pueden procesar sus datos sin restricciones iniciales, aunque deberán respetar el derecho de información, de eliminación y prohibición de la venta de datos de los consumidores, si estos así desean ejercerlo.

Lo que la CCPA sí incluye, pero no se puede encontrar en el reglamento europeo, es la posibilidad de las empresas de proporcionar incentivos financieros a aquellos consumidores que permitan recolectar sus datos.

Como ya se indicaba en la introducción, México cuenta con su propio marco legislativo en materia de protección de datos, cumpliendo así con el segundo párrafo del artículo 16 de la Constitución mexicana, en la que se reconoce dicho derecho. Así, cuenta con la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

Por tanto, las empresas establecidas en México tendrán que atenerse a dicha legislación y respetar los reglamentos de los países o estados en los que realicen una actividad económica. De ahí la importancia de conocer tanto las disposiciones del RGPD como la nueva normativa californiana si tratan con datos de personas en territorio europeo o de residentes californianos respectivamente y evitar, de este modo, las sanciones por incumplimiento.

Favor de tener en cuenta el aviso legal relativo a este artículo.