La CCPA es una ley muy conocida e influyente en el panorama de la protección de datos. Es fácil ver por qué: muchas empresas tecnológicas basadas en datos tienen su sede en Silicon Valley, incluidos gigantes como Apple, Google y Meta. Así pues, la CCPA es, con diferencia, la ley estatal más impactante para la economía digital. Conozcamos mejor la CCPA y cómo influye en la protección de datos dentro y fuera de California.
- ¿Qué es la CCPA?
- ¿Qué es la información personal según la CCPA?
- ¿Cómo se aplica la CCPA a las cookies?
- ¿Cómo afecta la CCPA al marketing directo?
- ¿Cómo afecta la CCPA al uso de información sensible?
- La CCPA en acción: el caso Sephora
- Más allá de la CCPA: La ley de privacidad de California
- El futuro de la protección de datos bajo la CCPA
¿Qué es la CCPA?
La CCPA es la Ley de Privacidad del Consumidor de California de 2018. La ley otorga a los residentes de California ciertos derechos, como borrar su información personal y optar por no vender sus datos.
La CCPA se enmendó varias veces y sufrió amplias modificaciones en 2020 con la CPRA (Ley de Derechos de Privacidad de California). La CCPA es aplicada por el Fiscal General de California y la Agencia de Protección de la Privacidad de California (CPPA).
La CCPA sólo otorga derechos a los residentes en California, pero se aplica también a organizaciones fuera de California e incluso fuera de EE.UU.. La Ley sólo se aplica a las grandes empresas y a las empresas que controlan grandes cantidades de información personal de residentes de California. No se aplica a los organismos públicos ni a las organizaciones sin ánimo de lucro, con escasas excepciones para las organizaciones sin ánimo de lucro vinculadas a empresas.
¿Qué es la información personal según la CCPA?
La CCPA define la información personal como "información que identifica, se refiere, describe, puede asociarse o podría razonablemente vincularse, directa o indirectamente, con un consumidor o un hogar en particular".
Se trata de una definición amplia y abarca más que identificadores directos como nombres, direcciones y códigos de la seguridad social. Por ejemplo,** los identificadores únicos** como los que se encuentran en las cookies son información personal según la CCPA, porque pueden vincularse razonablemente a un dispositivo y, por tanto, a su usuario.
En resumen: no se precipite al suponer que su empresa no controla información personal.
¿Cómo se aplica la CCPA a las cookies?
La CCPA no tiene ninguna norma sobre las cookies, pero sus normas sobre el intercambio de datos con terceros afectan a la analítica web.
En virtud de la Ley, los residentes de California tienen derecho a oponerse a la venta de su información personal. La definición de "venta" en la CCPA siempre ha sido amplia y se amplió aún más con la CPRA. Como resultado, compartir información personal con Google Analytics u otros proveedores de análisis web puede constituir una venta en virtud de la Ley. En la práctica, esto significa que los residentes de California tienen derecho a ser informados y se les debe proporcionar una opción de exclusión voluntaria.
Por lo tanto, las empresas cubiertas por la CCPA deben proporcionar ventanas emergentes de información sobre las cookies analíticas y de marketing en sus sitios web y proporcionar una opción de exclusión visible en forma de botón o enlace.
Además, la CCPA exige el consentimiento expreso para la venta de datos personales de menores. Las empresas están obligadas a recabar el consentimiento de los menores de 16 años antes de vender a sabiendas su información personal.
La CCPA también exige a las empresas que respeten el Control Global de la Privacidad (CGP ). El GPC es una norma técnica mediante la cual los navegadores exigen a los sitios web que no vendan ni compartan sus datos. En otras palabras, el GPC es la forma en que los navegadores envían solicitudes de exclusión automatizadas para que los usuarios no tengan que excluirse manualmente de la venta de datos en cada sitio web que visitan.
¿Cómo afecta la CCPA al marketing directo?
La CCPA no se ocupa específicamente del marketing directo, pero algunas de sus normas son importantes para el marketing directo.
Las normas sobre la venta e intercambio de datos personales no se aplican al marketing directo en sí, pero pueden restringir la disponibilidad de datos de terceros para el marketing directo. Es probable que la Ley de Supresión restrinja aún más la disponibilidad de datos, lo cual es una mala noticia para muchas empresas de marketing que dependen de datos de terceros, y para cualquier empresa que enriquezca sus bases de datos con datos de terceros.
Además, los consumidores que reciben marketing directo tienen derecho a saber qué información personal se procesa. Las empresas dedicadas al marketing directo deben establecer procedimientos eficaces para atender estas solicitudes. Lo ideal sería que mantuvieran un registro de sus operaciones para poder decir a los consumidores qué datos tienen, de dónde proceden y si se recibieron de terceros o se compartieron con ellos.
No está claro si el derecho de supresión previsto en la CCPA se aplica también a los datos de terceros. Es probable que la futura aplicación de la ley aclare este punto. Mientras tanto, las empresas de marketing deberían pecar de cautelosas y atender las solicitudes de supresión de datos de terceros.
¿Cómo afecta la CCPA al uso de información sensible?
La información sensible es información personal como la vida sexual y la orientación sexual, los datos genéticos, los datos étnicos, etcétera. Los números de la seguridad social, la información sobre tarjetas de crédito/débito, los correos electrónicos y los datos precisos de geolocalización también son información sensible según la CCPA (para obtener una lista más precisa y completa, consulte el sitio web de la Fiscalía General de California).
En virtud de la CCPA, los consumidores tienen derecho a limitar el uso y el intercambio de su información sensible a lo estrictamente necesario (por ejemplo, para prestar un servicio).
En cierta medida, este derecho se solapa con el derecho a optar por no vender información personal. Pero también es más amplio porque abarca el uso de datos por parte de terceros y los casos de intercambio de datos que no entran en la definición de vender o compartir.
La CCPA en acción: el caso Sephora
La aplicación de la CCPA está alcanzando a las empresas, y el caso Sephora es un muy buen ejemplo de lo que no se debe hacer.
La empresa francesa Sephora es una multinacional minorista de productos de belleza. Se metió en problemas con el Fiscal General por una larga lista de violaciones de la CCPA relacionadas con sus análisis web. La empresa no informó de que vendía información personal, no atendió las solicitudes de los usuarios de no participar en una venta y no subsanó sus infracciones en el plazo de 30 días que permite la ley.
El caso terminó con un acuerdo de ** 1,2 millones de dólares** entre la empresa y el Fiscal General. En la práctica, es habitual que las infracciones de la CCPA terminen con un acuerdo. Una multa real habría sido probablemente mucho más costosa.
Curiosamente, Sephora no vendía información personal a intermediarios de datos y similares. Al igual que muchas otras empresas, Sephora realizaba marketing y análisis web a través de un conocido proveedor de análisis web (no se reveló el nombre del proveedor).
Así pues, incluso el marketing web y el retargeting pueden constituir una venta con arreglo a la CCPA. Este es un punto realmente importante que hay que destacar: muchas empresas creen que no venden datos de los consumidores, pero sí lo hacen, y pueden ser consideradas responsables si no cumplen con las obligaciones que conlleva la venta.
También cabe señalar que el Abogado General aplicó la norma sobre control global de la privacidad contra Sephora. Sólo el tiempo dirá hasta qué punto el CGP desempeñará un papel importante en la práctica, pero la aplicación de las normas del CGP en este caso sienta un precedente prometedor.
Más allá de la CCPA: La ley de privacidad de California
Hay otras novedades prometedoras en la legislación de California aparte de la CCPA.
Ya hemos mencionado la Ley de Supresión. Esta ley permite a los residentes exigir a todos los intermediarios de datos que eliminen su información personal presentando una única solicitud. En otras palabras, se trata de una especie de sistema de ventanilla única.
Si se aplica estrictamente, la Ley de Supresión podría hacer valer eficazmente los derechos de privacidad frente a los corredores de datos y limitar la cantidad de información personal disponible para la publicidad basada en la vigilancia y el enriquecimiento de datos de terceros. También cabe señalar que **el registro de los corredores de datos es obligatorio** en virtud de la legislación de California, lo que podría facilitar la aplicación de la Ley de Supresión.
También cabe señalar que la ley de privacidad de California limita las búsquedas inversas de palabras clave y el geofencing.
El geofencing es el uso de datos de localización para crear una frontera virtual alrededor de un lugar y registrar a todas las personas que se encuentran en él. Las búsquedas inversas de palabras clave son un tipo de orden judicial utilizada a menudo por las fuerzas de seguridad.
Tanto el geofencing como las búsquedas inversas de palabras clave se utilizan con frecuencia para vigilar y perseguir a las mujeres que buscan atención sanitaria reproductiva tras la sentencia Dobbs contra Jackson del Tribunal Supremo de EE.UU. (es una larga historia, escribimos sobre ella aquí).
Washington fue el primer Estado que limitó la geovigilancia y las búsquedas inversas por palabras clave con la sugestivamente llamada Ley Mi Salud Mis Datos. California ha sido durante mucho tiempo un Estado santuario para la atención de la salud reproductiva, y poco después siguió su ejemplo.
El futuro de la protección de datos bajo la CCPA
La CCPA ya ha tenido un impacto tangible en la privacidad digital dentro y fuera de California. Su impacto futuro dependerá de su aplicación y de la próxima normativa de la CCPA. Pero la variable más importante para el futuro de la ley de privacidad de California es, por supuesto, el futuro de la ley de privacidad de EE.UU. en general.
EE.UU.no tiene una ley federal de privacidad. La primera ley federal de protección de datos (ADPPA) está actualmente en trámite, pero las negociaciones se han estancado en el Congreso. Sectores específicos como la sanidad y las finanzas tienen sus propias normas de privacidad, pero no existe una ley federal integral y general para la privacidad en línea.
Leyes estatales como la CCPA son un intento de llenar este vacío. Pero aunque las leyes estatales ofrecen importantes protecciones a los residentes de algunos Estados, también crean un panorama jurídico fragmentado en todo el territorio estadounidense. En la actualidad, las empresas necesitan comprender y cumplir la legislación de cada Estado para hacer negocios en todo el país.
Esta fragmentación legal es también un obstáculo para el proceso legislativo que subyace a la ADPPA. Los Estados con leyes de privacidad no quieren que la ADPPA socave los derechos de privacidad de que ya disfrutan sus ciudadanos, y algunos de ellos se han opuesto a los proyectos de ADPPA que prevalecerían sobre su propia legislación.
En resumen, es difícil saber si el proyecto de ADPPA llegará a convertirse en ley y qué papel desempeñarían en ese escenario leyes estatales como la CCPA.
Nos preocupa la privacidad. Por eso nos esforzamos al máximo para ofrecer a nuestra audiencia información de calidad y libre de jerga sobre noticias de privacidad.
Nuestra pasión por la privacidad está en el corazón de Simple Analytics. Nuestro producto ofrece a las organizaciones toda la información que necesitan, sin recopilar ni un solo dato personal. Si está buscando una herramienta de análisis web eficaz, ética y que se pueda quejar, no dude en probar Simple Analytics.