GDPR vs. CCPA: Todo sobre la Ley de Privacidad del Consumidor de California de 2020 (y cómo se compara con GDPR)

Artículo 4 del RGPD, CCPA 1798.140

Sujetos de datos, definidos como personas identificadas o identificables a las que se refieren los datos personales.

Consumidores, definidos como residentes de California que son:

• En California para otro propósito que no sea temporal o transitorio.
• Domiciliado en California pero actualmente fuera del Estado por un propósito temporal o transitorio.

Los consumidores incluyen:

• Clientes de menaje y servicios para el hogar.
• Empleados.
• Transacciones de empresa a empresa.

Si bien ni el RGPD ni la CCPA se aplican a las personas jurídicas, ambos se aplican a las personas físicas, pero con una diferencia en la forma en que se definen. La CCPA establece claramente que se aplica a los residentes de California, mientras que el RGPD utiliza el término más vago "sujetos de datos de la UE" sin mencionar ningún requisito de residencia o ciudadanía. La CCPA también protege los datos que se pueden vincular a un hogar en particular , no solo a un individuo como lo hace el RGPD.

Artículo 3 del RGPD, CCPA 1798.140

Controladores de datos y procesadores de datos:

• Establecidos en la UE que procesan datos personales en el contexto de actividades del establecimiento de la UE, independientemente de si el procesamiento de datos se lleva a cabo dentro de la UE.
• No establecidos en la UE que procesen datos personales de interesados ​​de la UE en relación con la oferta de bienes o servicios en la UE, o el seguimiento de su comportamiento.

Cualquier entidad con fines de lucro que haga negocios en California, que cumpla con uno de los siguientes:

• Tiene un ingreso bruto superior a $ 25 millones.
• Anualmente compra, recibe, vende o comparte la información personal de más de 50.000 consumidores, hogares o dispositivos con fines comerciales.
• Obtiene el 50 por ciento o más de sus ingresos anuales de la venta de información personal de los consumidores.

El alcance del RGPD es amplio: se aplica a todas las organizaciones, desde empresas hasta instituciones públicas y el sector sin fines de lucro. Mientras tanto, la CCPA ha restringido su aplicabilidad a las empresas con fines de lucro que cumplen requisitos muy claros.

En lo que respecta a la ubicación geográfica, el RGPD se aplica a cualquier empresa que procese datos de interesados ​​de la UE, dondequiera que se encuentren. La CCPA no es clara en este punto: las empresas que se encuentran bajo su jurisdicción deben estar “haciendo negocios en California”, pero no aclara si la empresa debe estar ubicada en el estado o cumplir con ciertos umbrales de ganancias para calificar como tal.

Artículo 4 del RGPD, CCPA 1798.140

Los datos personales son cualquier información relacionada con un sujeto de datos identificado o identificable. El RGPD prohíbe el procesamiento de categorías especiales definidas de datos personales a menos que se aplique una justificación legal para el procesamiento.

Información personal que identifique, se relacione, describa, pueda asociarse o pueda vincularse razonablemente, directa o indirectamente, con un consumidor u hogar en particular.

El RGPD se aplica a todas las categorías de datos personales, mientras que la CCPA solo se aplica a los datos que no están cubiertos por las leyes federales de privacidad existentes, como la Ley Gramm-Leach-Bliley (GLBA) o la Ley de portabilidad y responsabilidad de la información de salud (HIPAA).

Artículo 4 del RGPD, CCPA 1798.140

Los datos seudónimos se consideran datos personales. Los datos anónimos no se consideran datos personales.

La CCPA no restringe la capacidad de una empresa para recopilar, usar, retener, vender o divulgar información del consumidor que no se identifique o se agregue. Sin embargo, la CCPA establece un listón alto para reclamar que los datos no se identifiquen o se agreguen. Los datos seudónimos pueden calificar como información personal según la CCPA porque aún pueden asociarse con un consumidor u hogar en particular.

La definición de "seudonimización" según el RGPD y la CCPA es muy similar en el sentido de que es el procesamiento de datos personales de tal manera que los datos personales ya no pueden atribuirse a una persona identificada o identificable sin el uso de información adicional, mediante establecer medidas técnicas y organizativas que mantengan por separado la información adicional necesaria para la identificación.

Artículo 13 del RGPD, CCPA 1798.100

Los controladores de datos deben proporcionar información detallada sobre sus actividades de recopilación y procesamiento de datos personales. El aviso debe incluir información específica dependiendo de si los datos se recopilan directamente del interesado o de un tercero.

Las empresas deben informar a los consumidores sobre:

• Las categorías de información personal recopiladas.
• Los fines de uso previstos para cada categoría.

Tanto el RGPD como la CCPA exigen que las organizaciones divulguen lo que hacen con los datos personales que recopilan. Sin embargo, la CCPA requiere que las empresas divulguen las ventas de datos y las actividades relacionadas con el procesamiento de datos en los últimos 12 meses, mientras que el RGPD no impone tales limitaciones.

Artículo 24 del RGPD, CCPA 1798.150

El RGPD exige que los controladores y procesadores de datos tomen las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

La CCPA no impone directamente requisitos de seguridad de datos. Sin embargo, establece un derecho de acción para ciertas filtraciones de datos que resultan de violaciones del deber de una empresa de implementar y mantener prácticas y procedimientos de seguridad razonables apropiados para el riesgo que surge de la ley de California existente.

• Las categorías de información personal recopiladas.
• Los fines de uso previstos para cada categoría.

Sustancialmente similar en enfoque estatutario, aunque las medidas de seguridad razonables pueden variar hasta cierto punto según las circunstancias de una organización y la interpretación del regulador.

Artículo 12 del RGPD – Artículo 21, CCPA 1798.120

Derechos ampliados del individuo :

• acceder a su información;
• hacer que se corrijan las inexactitudes;
• hacer que se borre la información;
• prevenir el marketing directo;
• evitar la toma de decisiones y la elaboración de perfiles automatizados;
• portabilidad de datos.

Derechos ampliados del individuo :

• acceder a su información;
• hacer que se corrijan las inexactitudes;
• hacer que se borre la información;
• prevenir el marketing directo;
• evitar la toma de decisiones y la elaboración de perfiles automatizados;
• portabilidad de datos.

Si bien el RGPD requiere que las organizaciones obtengan el consentimiento previo de los interesados ​​para el procesamiento de datos y el acceso de terceros a sus datos, la CCPA permite a los interesados ​​optar por no vender sus datos y requiere que las empresas tengan un enlace visible en la parte superior. de su página de inicio para este propósito.

Tanto el RGPD como la CCPA ofrecen el derecho a la portabilidad de los datos: es decir, proporcionar a los consumidores sus datos personales en un formato legible por máquina de uso común que luego se puede transmitir a otra entidad.

El RGPD va un paso más allá en esta dirección, obligando a las organizaciones a transferir la información de un interesado a otro responsable del tratamiento previa solicitud.

Según la CCPA, las empresas solo están obligadas a proporcionar a los consumidores la información electrónicamente en un formato fácilmente utilizable.

Si bien el derecho de borrado del RGPD tiene algunas excepciones notables, como los datos necesarios para ejercer el derecho a la libertad de expresión o los datos necesarios para cumplir con la ley de la UE o de los estados miembros de la UE, la CCPA amplía aún más estas excepciones al incluir no solo la libertad de expresión y de información necesarios para los contratos, pero, sobre todo, también para usos internos compatibles con el contexto en el que el consumidor proporcionó los datos.

Artículo 8 del RGPD, CCPA 1798.120

La edad predeterminada para el consentimiento del RGPD es 16 años, aunque la ley de cada estado miembro puede reducir la edad a no menos de 13 años.

La persona con responsabilidad parental debe dar su consentimiento para los niños menores de la edad de consentimiento. Los niños deben recibir un aviso de privacidad apropiado para su edad.

Los datos personales de los niños están sujetos a mayores requisitos de seguridad.

La CCPA prohíbe vender información personal de un consumidor menor de 16 años sin consentimiento.

Los niños de 13 a 16 años pueden dar su consentimiento directamente. Los niños menores de 13 años requieren el consentimiento de los padres.

El RGPD hace hincapié en la protección especial de los niños y proporciona disposiciones específicas para proteger los datos personales de los niños cuando se procesan para prestar servicios de la sociedad de la información.

La CCPA crea una regla especial para niños en lo que respecta a la “venta” de información personal, sin embargo, esta regla no se limita a los servicios de la sociedad de la información.