CCPA frente a CPRA: ¿qué hay de nuevo?

Image of Iron Brands

Publicado el 12 sept 2023 por Iron Brands

  1. ¿Qué es la CPRA?
  2. ¿Cómo se hace cumplir la CPRA?
  3. ¿Por qué son tan confusas todas estas siglas?
  4. ¿Cuándo entró en vigor la CPRA?
  5. ¿Cómo modificó la CPRA la CPPA?
  6. Minimización de datos
  7. Protección de la información sensible
  8. El derecho de exclusión voluntaria: "no vender ni compartir"
  9. Derecho a que se corrija la información
  10. La CPRA y el Control Global de la Privacidad
  11. La CPPA
  12. Conclusiones
Logo of MichelinMichelin chose Simple AnalyticsJoin them

¿Qué es la CPRA?

La Ley de Derechos de Privacidad de California (CPRA) es una ley de California y una versión modificada de la Ley de Privacidad del Consumidor de California (CCPA). En otras palabras, es una modificación de la ley de privacidad preexistente en California.

Cabe destacar que la CPRA es el resultado de una iniciativa electoral. Esto demuestra que los residentes de California están preocupados por su privacidad y que la normativa sobre privacidad encuentra un apoyo sustancial en el Estado.

¿Cómo se hace cumplir la CPRA?

La CPRA es aplicada por el Defensor General de California . A partir de 2024, también será aplicada por la Agencia de Protección de la Privacidad de California (CPPA).

Además, la CPRA incluye un derecho de acción privado para las violaciones de datos, que permite a los clientes demandar a las empresas directamente (pero no a sus socios y proveedores de servicios).

¿Por qué son tan confusas todas estas siglas?

No tenemos ni idea y nosotros también lo odiamos. He aquí una referencia práctica:

  • la CCPA (California Consumers Privacy Act) es la antigua ley de privacidad de California de 2018
  • la CPRA (California Privacy Rights Act) es la nueva ley a partir de 2020
  • la CPPA (Agencia de Protección de la Privacidad de California) es la agencia de aplicación establecida por la CPRA.

¿Cuándo entró en vigor la CPRA?

La CPRA entró en vigor el 1 de enero de 2023. Sin embargo, algunas de las normas de la CPRA son vagas y deben ser desarrolladas por la CPPA a través de sus reglamentos. Estos reglamentos no entrarán en vigor hasta marzo de 2024 debido a una reciente decisión judicial.

En la práctica, esto significa que el reglamento en su conjunto ya está en vigor, pero algunas normas no serán aplicables hasta el año que viene.

¿Cómo modificó la CPRA la CPPA?

La CPRA introdujo cambios importantes en la CPPA, entre ellos

  • introducción del principio de minimización de datos
  • reforzar la protección de la información sensible
  • ampliación del alcance del derecho a optar por no vender o compartir información personal
  • introducción de la obligación de respetar los controles globales de privacidad del consumidor
  • introducción del derecho de rectificación de la información personal
  • creación de la Agencia de Protección de la Privacidad de California

Minimización de datos

En virtud de la CRPA, la información personal de los consumidores sólo puede procesarse y conservarse cuando sea razonablemente necesario y proporcionado para el propósito del procesamiento, o para un propósito diferente, revelado y compatible.

En pocas palabras: 1) sólo procese los datos que necesite, y 2) sólo los procese para el fin original para el que fueron recogidos, o para un fin compatible que el consumidor conozca.

(Esta es la versión corta y simplificada. El texto de la norma tiene mucha más sustancia jurídica: "la * recopilación, uso, conservación e intercambio por parte de una empresa de la información personal de un consumidor será razonablemente necesaria y proporcionada para lograr los fines para los que se recopiló o procesó la información personal, o para otro fin revelado que sea compatible con el contexto en el que se recopiló la información personal, y no se seguirá procesando de manera incompatible con dichos fines"*).

La minimización de datos intenta conseguir mucho con un solo principio. De hecho, la minimización de datos de la ERPI abarca dos principios distintos del RGPD: la minimización de datos y la limitación de la finalidad. Por eso el principio es tan complicado.

En particular, la CPRA incluye normas detalladas sobre lo que se considera una finalidad compatible. Por parte europea, el GDPR carece de tales normas y deja la noción abierta a la interpretación.

Protección de la información sensible

La CPRA introdujo una definición legal de información sensible, así como normas específicas para el tratamiento de esta información.

Según la CPRA, la noción de información sensible abarca

  • datos precisos de geolocalización
  • creencias religiosas
  • origen étnico
  • contenido de las comunicaciones
  • datos genéticos
  • información biométrica con fines de identificación
  • información sanitaria
  • información sobre sexo u orientación sexual
  • otros datos que puedan utilizarse para el fraude o la usurpación de identidad (número de la seguridad social, credenciales de acceso, datos de tarjetas de crédito/débito, etc.).

Los consumidores tienen derecho a pedir a las empresas que limiten el uso y divulgación de su información sensible a lo estrictamente necesario para prestar el servicio. En otras palabras, pueden oponerse a cualquier uso no esencial de su información sensible.

No somos muy partidarios de los sistemas de exclusión voluntaria porque hacen recaer la carga de la privacidad en el consumidor, en lugar de limitarse a exigir buenas prácticas de privacidad a las empresas. Pero la CPRA sigue siendo un paso en la buena dirección, porque la CCPA no incluía ninguna norma para los datos sensibles.

El derecho de exclusión voluntaria: "no vender ni compartir"

Según la CPRA, los consumidores tienen derecho a optar por no vender ni compartir su información personal. Con la CCPA, los consumidores sólo podían optar por la venta de información personal. Por lo tanto, la CPRA amplía el alcance de un derecho de exclusión preexistente.

Este cambio se vio influido por el debate en el seno de la comunidad jurídica sobre el significado de venta. La CCPA definía la venta de información personal en términos muy amplios: revelar información a cambio de una contraprestación monetaria u otra contraprestación valiosa se consideraba una venta. El concepto de contraprestación económica era lo suficientemente amplio como para abarcar la publicidad basada en el comportamiento en contextos cruzados en la que interviene un tercero (normalmente Google o Meta).

No obstante, algunas empresas alegaron que el uso de cookies analíticas no era una venta. Así pues, la CPRA puso fin al debate de una vez por todas: amplió el alcance del derecho de exclusión voluntaria a la venta y el intercambio de información, y aclaró que el uso de cookies para la publicidad conductual de contexto cruzado es una forma de intercambio de datos.

Por lo tanto, no cabe duda de que los consumidores tienen derecho a excluirse voluntariamente del rastreo con fines de publicidad contex tual en virtud de la CPRA.

Una vez más, no somos partidarios de este sistema de exclusión voluntaria, pero sigue siendo bueno que los consumidores tengan al menos la opción de decir "no, gracias".

Derecho a que se corrija la información

Curiosamente, la CCPA incluía el derecho a saber y el derecho de cancelación, pero no el derecho a rectificar la información personal. La CPRA colmó esta laguna.

El derecho de rectificación funciona en gran medida de la misma manera que los derechos de conocimiento y supresión: las empresas deben cumplirlo en un plazo de 45 días y pueden ampliar el plazo otros 45 días, siempre que informen al consumidor.

La CPRA y el Control Global de la Privacidad

Global Privacy Control (GPC) es una norma técnica integrada en navegadores y plug-ins. El GPC notifica a los sitios web las preferencias de privacidad del consumidor, incluida la negativa a que su información sea vendida o compartida. Según la CPRA, las empresas deben cumplir las señales GPC del navegador del consumidor.

Como hemos dicho, la mayoría de los derechos de privacidad de la CCPA/CPRA son derechos de exclusión voluntaria. Al simplificar el tedioso proceso de exclusión voluntaria, la GPC puede aliviar la carga del consumidor y facilitar el ejercicio de los derechos de privacidad. Será interesante ver hasta qué punto se extiende el uso de la GPC y hasta qué punto los sitios web la cumplen.

Puede obtener más información sobre la GPC en https://globalprivacycontrol.org/.

La CPPA

Como ya hemos explicado, la CPRA creó la Agencia de Protección de la Privacidad de California (CPPA). Hasta cierto punto, se puede pensar en la CPPA como el equivalente californiano de las autoridades de protección de datos en Europa: la Agencia es responsable de la aplicación de la CCPA junto con el Abogado General y puede adoptar reglamentos basados en la CCPA.

La Agencia ya está trabajando, pero debido a una reciente decisión judicial, no podrá hacer cumplir su normativa hasta 2024.

Conclusiones

En Simple Analytics intentamos explicar las leyes de privacidad de forma sencilla porque nos importa la privacidad. Por eso creamos Simple Analytics: una herramienta de análisis ligera y fácil de usar que le proporciona toda la información que necesita a la vez que preserva la privacidad del usuario. Si esto le parece bien, ¡no dude en probarlo!

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar en la cabina de un avión sin licencia de piloto

Iniciar prueba de 14 días