La nueva Ley de Privacidad del Consumidor de California y USA

1

Si vives en California o en cualquier estado de USA y tienes un sitio web, te interesa leer esta entrada para saber a que estás obligad@ según el nuevo reglamento californiano. Y si vives en cualquier lugar del mundo, pero puedes tener usuarios de Hollywood, Sacramento, San Francisco, Los Ángeles o San Diego, también estás afectad@.

Ya tengas un blog, web, eCommerce o nicho de mercado, deberías invertir unos minutos de tu tiempo porque esto te interesa ¡MUCHÍSIMO!

Además te haré un resumen breve pero minucioso de las diferencias que existen entre esta nuevo código y el RGPD de la Unión Europea.


⇒ ¿Qué es The California Consumer Privacy Act o la CCPA?


Es la nueva ley de derechos de los consumidores sobre sus datos personales, aprobada el pasado 28/06/2018 en ese estado del país norte-americano y la cual entrará en vigor el próximo 01/01//2020. Te dejo este enlace donde puedes descargar el texto completo y original.

Es un proyecto que permanecerá abierto hasta unas semanas antes de la fecha que te indico, con el propósito de mejorarlo y adoptar propuestas desde ambas partes implicadas, los usuarios y las empresas que hacen negocio y sacan beneficio con sus datos.

Debes saber que desde el primer momento los lobbys de las grandes compañías están haciendo una enorme presión para que la normativa les favorezca para sus intereses. Al mismo tiempo asociaciones de consumidores están redactando escritos con el propósito totalmente contrario, ya que esta norma, ahora mismo, es bastante más permisiva que la ley europea.

Te afecta directamente y debes saber todo lo que va a repercutir en tu día a día. Es imposible que no te veas afectad@ por la misma al igual que por el Reglamento General de Protección de Datos. ¿Y por qué digo esto? Porque vivimos en un mundo global e instantáneo, dónde las fronteras ya no existen y cualquier persona desde cualquier parte del mundo puede acceder a tu web en este preciso momento. Este mundo se llama Internet y su distintivo es la apertura total y la inmediatez.

CCPA

California Consumer Privacy Act


⇒ Recoge 4 derechos básicos para los consumidores


Estos los puedes encontrar fácilmente al principio del documento en la Sección 2 (i):

 Derecho a saber right-to-know” qué información personal exacta ha recopilado una empresa, de dónde la obtuvo (sus fuentes), con qué finalidad la están usando y si se vende/divulga a terceros y a quién se está vendiendo/divulgando.

 Derecho de no permitir que se vendan o cedan sus datos a otra empresa.

 Derecho a eliminar “right-to-delete” sus datos personales de una empresa, excepto en los casos legales. Pero solamente están obligados a eliminar los datos que hayan recogido directamente del consumidor, no aquellos que hayan adquirido por otra vía. Puedes revisarlo en la sección 1798.105(a).

 Derecho a no ser discriminado por haber ejercido alguno de los derechos anteriores como se recoge en la sección 1798.125.


⇒ Obligaciones de las empresas


La verdad que están repartidas por todo el escrito legal y me ha costado muchísimo resumirlas tanto, pero aquí las tienes todas para que no pierdas tiempo leyendo la norma. Las empresas o páginas web:

1. Deben divulgar de manera proactiva la existencia y naturaleza de los derechos de los consumidores, además de hacer referencia a ellas en su Política de Privacidad.

2. Tienen que comunicar las categorías de información personal que recopilan y los fines para los que se han recopilado.

3. Si recaban datos personales directamente, están obligadas informar en ese momento de las categorías de datos recopilados y los fines para los que se obtienen.

4. Una empresa tercera que ha comprado los datos de la empresa que los tiene como fuente original, no puede revenderlos a nadie, a menos que lo notifique al consumidor y le dé la oportunidad de no participar o lo que han definido como “opt-out”.

5. En el caso de dedicarse a vender datos personales, deberán informar de dicha práctica y poner un enlace en la Home de su web indicando “No vender mi información personal” y así los usuarios pueden negarse a ello con facilidad. Es lo que se conoce como “derecho a no participar” o “opt-out”.

6. Han de anunciar las categorías de información personal que han vendido o revelado en los últimos 12 meses, a través de su página de Política de Privacidad. Además de mantener actualizada esta última todos los años.

7. Tienen la obligación de facilitar un teléfono gratuito para que la gente pueda ejercer sus derechos, además de habilitar una página o sitio web específico para tal fin.

8. Deben entregar gratuitamente la información personal de un consumidor que lo requiera por los medios habilitados, en menos de 45 días.

9. No pueden discriminar a las personas por haber ejercido alguno de sus derechos, esto es, no pueden cobrarles más por sus productos o servicios, no pueden negarse a atenderles o venderles, no pueden rebajar la calidad de su servicio a propósito, etc.

Además de estas imposiciones:

 No están obligadas a entregar la información personal de un consumidor más de dos veces en un periodo de 12 meses.

 Tienen la opción de incentivar a los consumidores para que les dejen recopilar sus datos personales y les permitan venderlos a terceros.

 Podrán mantener la información personal cuando ésta sea necesaria para brindar un mejor servicio, completar una transacción, ejercer la libertad de expresión, detectar incidentes de seguridad o cumplir con una obligación legal.

¡MUY IMPORTANTE! Franjas de edades:

 Pueden vender libremente los datos personales que tengan de consumidores mayores de 16 años sin su autorización, mientras estos no se nieguen explícitamente a ello.

 No pueden comerciar con la información personal de consumidores jóvenes de entre 13 y 16 años sin su consentimiento afirmativo. Esto es el conocido “right-to-opt-in” o “derecho a participar”.

 Tienen prohibido traficar con los datos personales de menores de 13 años sin una autorización expresa y afirmativa de sus padres o tutores. Recogido como “right-to-opt-in” o “derecho a participar”.


⇒ Definición de “información personal” para la ley


Información que identifica, se relaciona con, describe, puede asociarse o podría estar vinculada, directa o indirectamente, con un consumidor u hogar particular

En resumen, la que puede usarse para identificar a una persona en particular. La siguiente lista de datos son los que se entienden como información personal y quiere proteger la CCPA:

 Información comercial  productos o servicios adquiridos, tendencias de compras o consumos, registro de bienes personales, . . .

Información de actividad en la red o de internet navegación, historial de búsqueda, . . .

Información educativa

Información visual, de audio, electrónica, térmica, olfativa o similar

Identificador de dispositivos y otras tecnologías como las cookies


⇒ Multas de $7.500 por violación intencionada


¡OJO! que los americanos denuncian y recurren muchísimo, cómo Julia Roberts en Erin Brockovich o Tom Hanks en Philadelphia

Primero que nada tengo que indicar que estas sanciones son acumulables y que un mismo usuario puede verse afectado en una web por varias circunstancias y podrá reclamar por todas ellas de manera separada, aumentando la cantidad a indemnizarle.

Estas son los procedimientos a seguir por los usuarios para ejercer sus derechos:

Los consumidores pueden ejercer su derecho y exigir daños reales y legales a una empresa a razón de $750 por persona e incidente, aunque este límite no está cerrado aún y podría aumentar.

Los casos en los que pueden hacerlo son cuando sus datos personales son expuestos, han sido vendidos o se ha negociado con ellos sin su autorización, o incluso si se los han robado por fallos de seguridad en la empresa que los posee.

Para el caso de daños legales, antes de empezar una acción de demanda, el consumidor debe presentar un aviso a la empresa de su intención, y esperar 30 días para que rectifiquen y/o solventen su daño. De no ser así ya puede comenzar con ellos.

Cuando se trata de daños reales, no es necesario la acción anterior. Ej: ¿perjudicado por la venta ilegal de sus datos personales?

La empresa tiene 30 días para subsanar el error, poner medidas para que no vuelva a ocurrir y enviar una declaración al afectado por escrito, dónde quede constancia todo lo realizado.


⇒ A quien se aplica esta ley


A empresas con fines de lucro que recopilan y controlan información personal de residentes de California (en un futuro se extenderá a todo el país EE.UU.), hacen negocios en California y además cumplen alguna de estas tres condiciones:

tienen ingresos brutos anuales mayores de $25.000.000

 reciben o divulgan anualmente información personal de 50.000 o más residentes, hogares o dispositivos

 obtienen el 50% o más de sus ingresos anuales de la venta de esta información personal

Puedes verlo más detalladamente en la Sección 3. Título 1.81.5 y en la Sección 1798.140, del documento original.


⇒ Diferencias entre la Ley de Privacidad del Consumidor de California y el RGPD


CCPA vs RGPD

 El derecho al olvido, derecho de rectificación y derecho a no ser objeto de decisiones automatizadas que aparecen en el RGPD, aquí no están recogidos.

 De primeras las empresas pueden vender o comerciar con los datos personales y son los consumidores los que deben hacer una exclusión voluntaria (total o específica de algún uso) negándose a que utilicen sus datos.

 No se necesita de un consentimiento expreso (casilla checkbox) de los consumidores para guardar y comerciar con sus datos, basta con que informen de sus intenciones en el momento que los recogen.

 No tienes que tener documentos preparados para demostrar que estás cumpliendo con tus obligaciones legales frente a la norma, ya se encargarán los procuradores de hacer su trabajo y encontrar a aquellos que no cumplan.

 De los menores de 16 años necesitan de una autorización afirmativa de los mismos para traficar con sus datos, y de los menores de 13 años la autorización la deben firmar sus padres o tutores, exactamente igual que en Europa.

 Las empresas que deban cumplir están obligadas a poner una página específica en su web para permitir el derecho a no participar de los usuarios así como facilitarles un teléfono gratuito dónde pueden hacerlo también.

 Hay una concesión de un derecho privado de acción que los consumidores pueden ejercer, que seguramente va a desencadenar una avalancha de litigios legales.


⇒ Quien está exento de esta ley


Resumidamente y de forma directa, se libran de cumplir con la nueva normativa las pequeñas empresas y/o las que no trafican, venden o comercializan con grandes cantidades de información personal y además, no comparten marca con un afiliado que sí esté obligado a cumplirla. Por supuesto puedes comprobarlo por ti mism@ en la Sección 3. Título 1.81.5. y en la Sección 1798.140 del texto legal oficial.

Lo que quiere decir que por el momento no tenemos que hacer nada especial para cumplir con esta LPCC y eso es ¡GENIAL! Ahora bien, hay que estar atent@s a los cambios que se vayan introduciendo en la misma, que seguro los habrá.

Y te preguntarás porqué te he hecho leer todo para al final decirte que no tienes ninguna obligación legal derivada de esta nueva normativa. Pues por lo que te acabo de comentar en el párrafo anterior, se trata de un texto abierto que va a recibir feedback por muchos lados y seguro se va a ir adaptando a todas las exigencias que sean razonables.

Y una de las cosas que parece razonable, en vista de los pocos derechos que tienen los consumidores sobre sus datos personales en comparación con el RGPD, es que esta ley del consumidor americana poco a poco se vaya pareciendo cada vez más a la normativa europea y vaya adoptando algunos de sus puntos fuertes.

Pero tranquil@, que si eso ocurre estarás al día, porque te mantendré informad@ y lo más importante, lo tendrás adaptado en tu web, blog o eCommerce si ya estás cumpliendo con el Reglamento General de Protrección de Datos.


⇒ Conclusión y próximos pasos


De momento, como pequeñas webs no nos vemos afectad@s ni hay que hacer nada de nada para cumplir con esta nueva ordenanza, pero como he comentado al principio del todo, es un texto abierto que estará modificándose hasta unos días antes de su entrada en vigor, así que habrá que estar pendientes. Yo lo estaré y te mantendré informad@ si lo deseas y te suscribes a mi newsletter.

Eso sí, de una cosa estoy completamente seguro y es que una vez en vigor se va a extender como la pólvora por el resto de estados de USA y se va imponer en todo el país. Y esto ya será el empujón final para que todos los países en el mundo redacten y lancen sus propias leyes de derechos de privacidad de los usuarios y consumidores.

 

El tiempo es lo único que no se puede comprar con dinero. Por este motivo estoy en una constante evolución para disfrutar el máximo de este bien con mi familia.

2 Comentarios
  1. Comprender de manera resumida y entendida de lo que debemos hacer todos los que somos pequeñas empresas o tenemos una web que esta empezando hace que no sea tan temible poder tener a mano las partes importantes y contundentes de esta información.

    Todo lo que has explicado me ha servido de mucho, y te agradezco por el trabajo tan detallado.

    Gracias estare al pendiente de esta sección ya que yo vivo en USA.

    • Gracias a ti Versos Libres por comentar en mis entradas.
      Aquí estaremos actualizando toda la información conforme vaya saliendo.
      Saludos y muchos ánimos.

    Deje una respuesta



    Información sobre protección de datos:
    Los comentarios son revisados y aprobados por el responsable antes de publicarlos
  1. Responsable: Juan Miguel Ortells Sellés
  2. Fin del tratamiento: Controlar el spam y gestión de comentarios
  3. Legitimación: Tu consentimiento
  4. Durante cuanto tiempo: Hasta que tú lo decidas
  5. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
  6. Derechos: Información, Acceso, Opisición, Rectificación, Olvido, Portabilidad, Limitar, No ser objeto de decisiones individualizadas y Presentar una reclamación ante la autoridad de control
  7. Contacto: info@temiblergpd.eu
  8. Información adicional: Más información en nuestra Política de Privacidad

  9. Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

    ×
    Hola, 🙋‍♂️
    ¿en qué puedo ayudarte?

    El inicio de sesión/registro está temporalmente inhabilitado