La Ley de Derechos de Privacidad de California (CPRA): ¿Está listo para CCPA 2.0?

Publicado: 2020-12-01
La Ley de Derechos de Privacidad de California (CPRA): ¿Está listo para CCPA 2.0?

En mayo de 2020, el grupo de defensa de la privacidad Californians for Consumer Privacy anunció que había recolectado 900 000 firmas para agregar la Ley de derechos de privacidad de California (también conocida como CPRA, CCPA 2.0, Proposición 24 o Prop 24) a la boleta electoral de noviembre de 2020.

El 3 de noviembre, el 56% de los californianos votaron a favor de la CPRA en las Elecciones Generales. La ley está destinada a revisar y reemplazar la Ley de Privacidad del Consumidor de California (CCPA), una vez que entre en vigencia el 1 de enero de 2023.

El 3 de noviembre, el 56% de los californianos votaron a favor de la CPRA en las Elecciones Generales

En resumen, la ley amplía los derechos de privacidad del usuario para alinearse con el RGPD, impone deberes adicionales a las empresas y establece la primera autoridad gubernamental dedicada a la implementación y aplicación de la privacidad en los EE. UU., la Agencia de Protección de Privacidad de California (CPPA) .

La CCPA ya ha tenido un impacto significativo fuera de California, convirtiéndose en el estándar para la privacidad de datos en los EE. UU. Es por eso que este proyecto de ley debe observarse de cerca: podría afectar a las empresas incluso si no tienen su sede en California. A continuación, describimos los puntos clave que los especialistas en marketing deben saber para comenzar a prepararse para los nuevos requisitos de cumplimiento.

Una nueva agencia de aplicación de la privacidad

Cuando entró en vigor el Reglamento General de Protección de Datos (GDPR), la UE nombró a la Autoridad de Protección de Datos para hacer cumplir las leyes. Estados Unidos no tiene una autoridad comparable para imponer los nuevos derechos de privacidad del consumidor.

Aquí es donde entra en juego la Agencia de Protección de la Privacidad de California (CPPA). Su función es aclarar las nuevas pautas, aplicar multas y celebrar audiencias sobre violaciones de la privacidad.

Nuevos derechos del consumidor y conceptos de PII

La CPRA introduce nuevos conceptos (que ya existen en la UE gracias al RGPD) en el panorama de la privacidad de datos en California.

Estos son algunos de ellos, explicados:

  • Derecho a la rectificación – Otorgar a los consumidores el derecho a corregir la información personal inexacta.
  • Derecho a la restricción : otorgar a los consumidores el derecho a limitar el uso y la divulgación de información personal confidencial.
  • Información de identificación personal "sensible" : según la nueva ley, ciertos tipos de información, como números de seguro social, números de pasaporte, ubicación geográfica precisa, información biométrica, etc., se marcarán como "sensible".

¿Qué ha cambiado?

CCPA 2020

  • Derecho a saber
  • Derecho a Eliminar
  • Derecho a excluirse de las ventas de terceros
  • Derecho a la no discriminación

Incluye implícitamente IP confidencial en un conjunto de datos regulado más amplio, pero no impone requisitos y prohibiciones separados para IP confidencial (aparte de los requisitos de verificación incrementados).

CPRA 2023

  • Derecho a saber
  • Derecho a Eliminar
  • Derecho a excluirse de las ventas y el uso compartido de terceros
  • Derecho a limitar el uso y la divulgación de IP confidencial
  • Derecho a la corrección
  • Derecho a acceder a la información sobre la toma de decisiones automatizada
  • Derecho a optar por no participar en la tecnología de toma de decisiones automatizada
  • Derecho a restringir IP sensible
  • Obligaciones de Auditoría
  • Derecho a la no discriminación

Impone requisitos y restricciones separados sobre PI sensible:

  • Requisitos de divulgación
  • Requisitos de exclusión voluntaria para el uso y la divulgación
  • Opción estándar de consentimiento para uso y divulgación
  • Requisitos de limitación de finalidad

Nueva definición de venta de información personal

La CPRA definirá qué pueden hacer las empresas con la información personal que recopilan de los residentes de California de una manera nueva. Según la CCPA, una venta se define como "intercambiar datos por algún tipo de contraprestación financiera", una definición que muchos consideran demasiado vaga. La CPRA resuelve este problema dividiendo el intercambio y la venta de información personal de las personas en dos categorías diferentes.

¿Qué ha cambiado?

CCPA 2020

  • Tiene $25+ millones en ingresos anuales;
  • compra o vende, O recibe o comparte para fines comerciales de la empresa, PI de más de 50 000 consumidores, hogares o dispositivos; o
  • obtiene al menos el 50 % de los ingresos anuales de la venta de IP de consumo.

CPRA 2023

  • Tiene $25+ millones en ingresos anuales;
  • compra, vende o comparte IP de más de 100 000 consumidores u hogares; o
  • obtiene al menos el 50 % de los ingresos anuales de la venta o el intercambio de IP de los consumidores.

Más derechos para niños menores de 16 años

  • Aumento de las multas administrativas por compartir ilegalmente la información personal de los niños : cualquier infracción que involucre la información personal de los niños menores de 16 años está sujeta a una multa de $7500 por infracción. Según la ley actual, esta sanción estaba reservada solo para violaciones intencionales. La multa máxima de $2,500 para todos los demás actos no intencionales que involucren a personas mayores de 16 años sigue siendo la misma.
  • Requisitos de consentimiento para compartir información personal de niños menores de 16 años : según la CPRA, los consumidores no solo pueden optar por no vender su PI, sino también optar por no venderla a terceros específicamente. De manera similar, la CCRA aborda la necesidad de que las empresas obtengan el consentimiento de suscripción afirmativa para compartir o vender la PI de niños menores de 16 años. La CPRA también solicita una nueva reglamentación para “establecer especificaciones técnicas para una señal de preferencia de exclusión que permita consumidor, o el padre o tutor del consumidor, para especificar que el consumidor es menor de 13 años o al menos 13 años y menor de 16 años”.

¿Qué hay de nuevo para los contratistas? Obligaciones contractuales de los proveedores de servicios

La CPRA introduce el término "contratistas" para describir a aquellos a quienes una empresa pone a disposición la información personal de un consumidor para fines comerciales de conformidad con un contrato escrito (similar a los "proveedores de servicios" de la CCPA, donde se refiere a personas que procesan información personal " en nombre de” una empresa).

Si bien la CCPA fue ambigua en sus definiciones de proveedores de servicios y proveedores de subservicios, la CPRA establece las nuevas reglas de manera muy clara. Cualquier contratista o proveedor de servicios está obligado por contrato escrito a ser transparente sobre cualquier colaboración con otros subprocesadores. Los proveedores de servicios no pueden agregar ni retener ningún otro dato del consumidor, lo que otorga a las empresas el derecho de "tomar medidas razonables y apropiadas" para garantizar que la información personal no se obtenga ni se use de manera poco ética.

Lo que los especialistas en marketing deben saber sobre la CPRA

Cuando llegue el 2023, los especialistas en marketing deben prestar más atención a los datos que recopilan y utilizan para llegar a los consumidores, ya sean datos propios o de terceros, como la creación de audiencia y la información de orientación utilizada por los anunciantes. Cualquier recopilación de datos, ya sea directamente oa través de otros proveedores de servicios o contratistas, requerirá el consentimiento explícito del consumidor . Cualquier uso posterior, intercambio o venta de información personal también debe ser divulgado.

Esto es lo que los especialistas en marketing deben hacer para prepararse para la CPRA:

1. Prioriza la transparencia en tu empresa

La CPRA deja en claro que las empresas deben ser transparentes sobre los datos que recopilan. Si ya está prestando atención a cómo recopila datos, dónde los almacena, cuánto tiempo los conserva y cómo los administra durante todo el ciclo de vida, ahora es el momento de compartir todas estas medidas con sus usuarios. De la misma manera, según la CPRA, las empresas estarán limitadas en la forma en que utilizan las estructuras de consentimiento para impulsar a los usuarios a realizar ciertas acciones. Si esto es algo que hace su departamento de marketing, comience a analizar cómo recopila el consentimiento para evitar patrones oscuros y consentimiento implícito.

2. Revisar las Políticas de Cookies y Actualizar

Al igual que el RGPD, la CPRA limita ciertas funciones de intercambio de datos que incluyen el uso de cookies. Comience a hacer un inventario de las cookies que existen en su sitio web y actualice sus políticas para asegurarse de que estén en línea con las últimas regulaciones. Asegúrese de actualizar su verborragia para incluir todas las cláusulas nuevas de la CPRA: ¿está recopilando IP "sensible"? ¿Cómo pueden los usuarios darse de baja de la tecnología de toma de decisiones automatizada? Asegúrese de que estas consideraciones sean claras para los consumidores.

3. Revisar todos los contratos con socios (incluidos los editores)

Como empresa vinculada a la CPRA, debe asegurarse de que sus socios brinden el mismo nivel de cumplimiento de las leyes de privacidad que usted. Revise minuciosamente todos sus contratos (involucrar legal si es necesario) para asegurarse de que todos los datos de los usuarios se obtienen a través de consentimiento explícito y se gestionan de forma ética.

La CPRA limita las prácticas de venta de datos, especialmente cuando se trata de audiencia y orientación por comportamiento. Asegúrese de examinar sus asociaciones con los editores y favorezca a aquellos que utilizan conjuntos de datos propios y han obtenido los datos de acuerdo con estas normas de privacidad.

4. Trabaje con un experto en privacidad

Ya sea que contrate a alguien o trabaje con un consultor externo o una agencia, necesita un especialista que lo ayude a mantenerse al tanto de las últimas regulaciones. La CPRA probablemente no sea la última ley de privacidad de datos que afectará su negocio. De hecho, la ley establece nuevos estándares que probablemente se adoptarán en todo el país en el futuro.

¿Estás listo?

Ahora que se aprobó el proyecto de ley, las empresas deben familiarizarse con los nuevos requisitos de cumplimiento. La ley entrará en vigor el 1 de enero de 2023 y entrará en vigor el 1 de julio de 2023, pero ya podría aplicarse a la información personal recopilada por las empresas a partir del 1 de enero de 2022.

Un aviso tan largo para adaptarse a las nuevas normas de privacidad puede sonar excesivo, pero las cosas pueden complicarse rápidamente en organizaciones más grandes, especialmente si trabaja con muchos socios. Es por eso que recomendamos comenzar de inmediato.

¿Tiene alguna pregunta? Convert es la herramienta de prueba A/B más compatible con la privacidad del mercado. Nuestros expertos conocen todos los entresijos de las normas de privacidad y lo que se necesita para cumplirlas en su totalidad. Envíenos sus preguntas aquí.

Pruebe una de las herramientas de prueba A/B más conscientes de la privacidad que existen
Pruebe una de las herramientas de prueba A/B más conscientes de la privacidad que existen