Lo que debe saber sobre la CCPA y el GDPR

Las empresas de California tienen que tener en cuenta una nueva normativa: la Ley de Privacidad del Consumidor de California (CCPA por sus siglas en inglés). El escrutinio que empresas como Facebook llevaron a cabo en el sector tecnológico sobre la privacidad de los datos se ha extendido a todos los sectores, y todos los que hacen negocios en California deberían tomar nota.

¿Qué es la CCPA?

A partir del 1 de enero de 2020, la CCPA es ley en el estado de California, una de las primeras y más amplias de su tipo. Y aunque su intención es frenar a las grandes empresas tecnológicas, muchas empresas más pequeñas de California desconocen por completo el efecto que la CCPA tendrá en sus compañías.

Estas son las cosas más importantes que las empresas deben saber sobre la CCPA.

La CCPA puede aplicarse a muchas empresas que no tienen su sede en el estado de California. La CCPA se aplica definitivamente a las empresas de California que tienen más de 25 millones de dólares de ingresos brutos anuales, que manejan 50.000 o más registros personales de californianos o que obtienen el 50% de sus ingresos de la venta de información privada de los consumidores. Sin embargo, también puede aplicarse a las empresas que “hacen negocios en California”, lo que puede ampliar la jurisdicción a empresas sin presencia física en el estado.

• La CCPA tiene una amplia definición de información personal. Su definición es “información que identifica, se relaciona, describe, es capaz de ser asociada con, o podría razonablemente ser vinculada, directa o indirectamente, con un consumidor u hogar en particular”. Esto incluye información demográfica básica como nombres y direcciones, pero también incluye cosas como la dirección IP, datos de actividad en la red y datos biométricos. Incluso puede incluir información pública si esa información se utiliza de una manera determinada.
• La CCPA impone nuevas e importantes obligaciones a las empresas que entran en su ámbito de aplicación. Los consumidores gozarán de muchos derechos nuevos en virtud de la CCPA, entre ellos el derecho a conocer todos los datos recogidos sobre ellos y el derecho a rechazar la venta de esos datos. Las empresas estarán obligadas a facilitar el acceso a estos derechos, incluyendo enlaces de exclusión en sus sitios web y números de teléfono gratuitos para las solicitudes de los consumidores.

¿Qué es el GDPR?

Muchos expertos creen que el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) de la Unión Europea sirvió de inspiración para la CCPA. Esta legislación histórica fue la primera de su tipo con un alcance tan amplio. A continuación, se exponen los aspectos más esenciales que hay que conocer sobre el GDPR, tanto si tiene una empresa que se encuentra físicamente en la UE como si no.

• El GDPR asume el control de cualquier empresa que haga negocios en la UE. Las empresas se enfrentan a enormes multas si se descubre que no cumplen con un solo dato de un ciudadano de la UE, tanto si esos datos se recogieron en persona como en línea.
• El GDPR ha afectado a las políticas de privacidad de datos de empresas de todo el mundo. Básicamente, si quiere hacer negocios en la UE, deberá cumplir con el GDPR. Los países que dependen del mercado de la UE no quieren entrar en conflicto con sus reguladores. A través de los tribunales internacionales, la UE también ejerce una jurisdicción que puede ser invocada sobre las empresas sin ubicación física en la UE.
• Las sanciones por incumplimiento son severas. Las violaciones de datos o el incumplimiento pueden acarrear sanciones de hasta 22 millones de dólares o el 4% de la facturación global anual, lo que sea mayor. Aunque el nivel de estas sanciones es más alto que el de la CCPA, son lo suficientemente significativas como para castigar a muchas empresas con un solo caso de incumplimiento.

Comparación de la CCPA con el GDPR

Lo más importante que hay que saber sobre estas dos normativas es que el cumplimiento de una no significa que se esté siguiendo la otra. Lo mismo ocurre con los demás acuerdos sobre datos que se inspirarán en la CCPA y el GDPR. Puede que sean similares, pero ninguna empresa debe dar por sentado ninguno de ellos. Es probable que los términos difieran en las distintas jurisdicciones, por lo que se advierte a las empresas de nueva creación que contraten una representación legal adecuada para cada territorio en el que una empresa vaya a entrar potencialmente.

Lo más importante que hay que saber sobre la CCPA y el GDPR es que la carga de la prueba recae en la empresa que controla la privacidad de los datos.

Los reguladores quieren dar ejemplo a las empresas, incluso a las que pueden desconocer los datos que recogen. Ambas legislaciones prevén sanciones para las empresas que incumplan sus políticas sin saberlo. Para evitar las sanciones, las empresas deben mantenerse informadas y establecer protocolos.

DataQ ayuda a las empresas a cumplir con la normativa, ya que se nos considera una “empresa de servicios”, lo que significa que solo procesamos datos “empresariales” en función de la dirección de la empresa (esto es similar al Procesador y Controlador establecido en el GDPR).

Lo bueno de utilizar DataQ es que permite a los minoristas hacer retargeting de forma más segura, aquí se explica cómo:

• Nuestra reorientación se basa en las direcciones de correo electrónico y no en las cookies, lo que significa que tenemos un registro de cuándo esa dirección de correo electrónico entró en ese grupo de audiencia y cuándo se utilizó.
• Si es necesario, podemos excluir fácilmente a cualquier persona de un esfuerzo de segmentación.

Las empresas inteligentes están leyendo sobre la CCPA y el GDPR, incluso si creen que no están haciendo negocios en ninguna de esas jurisdicciones. Las economías de California y de la UE son tan grandes que cualquier empresa que haga negocios internacionales probablemente se encontrará en el ámbito de una u otra en algún momento. Entender cómo cumplir la normativa ayudará a las empresas a no tener problemas ahora y en el futuro.

Si quieres leer una comparación más profunda te invitamos a leer el siguiente artículo  si quieres qye te asesoremos sobre como puedes mejorar tu página web y como estar en cumplimiento de estas normas puesdes llenar nuestro formulario de contacto o agendar una consultoría gratuita con nosotros.