¿Diferencia entre la CCPA y el GDPR?

Image of Carlo Cilento

Publicado el 24 feb 2023 y editado el 15 ago 2023 por Carlo Cilento

Este artículo se ha traducido automáticamente. Cambia a la versión en inglés para ver el original.

Ahora mismo están pasando muchas cosas en el terreno de la privacidad. Varios países de la UE están tomando medidas enérgicas contra servicios en la nube con sede en EE.UU., como Google Analytics, e incluso el mes pasado, la ONG noyb ganó un importante caso contra Facebook sobre el uso de anuncios personalizados. Todo el mundo tiene claro que la privacidad está pasando cada vez más a un primer plano, pero orientarse en la jungla de la legislación sobre privacidad es difícil. De ahí que este artículo pretenda esbozar las diferentes legislaciones sobre privacidad para aclarar las cosas.

En concreto, nos centraremos en la Ley de Privacidad del Consumidor de California (The Californian Consumer Privacy Act), que es la ley de privacidad más conocida de Estados Unidos. También es una legislación muy importante porque muchas grandes empresas tecnológicas están establecidas en California. Vamos a echarle un vistazo y ver cómo se compara con el GDPR de la UE.

  1. La CCPA
  2. ¿A quién se aplica la CCPA?
  3. ¿Cuáles son las obligaciones de su empresa en virtud de la CCPA?
  4. ¿Existe una ley federal de privacidad en Estados Unidos?
  5. ¿Es la CCPA una "luz del RGPD"?
  6. ¿Cómo regulan la CCPA y el GDPR las cookies?
  7. ¿Cómo regulan la CCPA y el GDPR las transferencias de datos?
  8. ¿Cómo funciona el consentimiento en la LPC y el RGPD?
  9. Conclusiones
Logo of MichelinMichelin chose Simple AnalyticsJoin them

La CCPA

La Ley de Privacidad del Consumidor de California(CCPA&aqs=chrome) es una ley californiana. Se aprobó en 2018 y entró en vigor en 2020. Otorga a los consumidores ciertos derechos, entre ellos el derecho a la información, el derecho a eliminar sus datos y el derecho de exclusión voluntaria.

La CCPA fue modificada en 2020 por otra ley, la California Rights Privacy Act. La enmienda introdujo nuevos derechos de privacidad y estableció la Agencia de Protección de la Privacidad de California, que hará cumplir la CCPA a partir de julio de 2023. La versión más reciente y modificada es a la que nos referiremos a lo largo del blog.

En resumen

  • la CCPA es una ley de privacidad californiana
  • la CPRA es otra ley californiana que modifica la CPPA
  • la CPPA es la agencia que hará cumplir la ley de privacidad californiana a partir de julio de 2023.

En resumen, California es terrible eligiendo nombres. A continuación analizaremos más detenidamente la CCPA y veremos cómo se compara con el GDPR.

islands.png

¿A quién se aplica la CCPA?

La CCPA se aplica principalmente a las empresas que alcanzan ciertos umbrales en cuanto a ingresos y cantidades de información personal procesada. La CCPA también se aplica a algunas instituciones y organismos públicos, pero no a organizaciones sin ánimo de lucro.

Cabe señalar que la CCPA se aplica a las empresas que hacen negocios en California, independientemente de su establecimiento. Por tanto, una empresa no estadounidense puede tener que cumplir la CCPA si opera en el mercado californiano.

Aparte de las empresas, la CCPA incluye normas para proveedores de servicios, contratistas y terceros.

¿Cuáles son las obligaciones de su empresa en virtud de la CCPA?

Las empresas tienen varias obligaciones en virtud de la CCPA. Deben proporcionar información sobre cómo se procesan los datos, borrar o corregir los datos previa petición, limitar la retención de datos y permitir a los consumidores optar por no vender ni compartir sus datos. Los consumidores también pueden demandarlas por violación de datos.

¿Existe una ley federal de privacidad en Estados Unidos?

EE.UU. no tiene una ley federal de privacidad completa, pero hay leyes federales que regulan áreas específicas como los datos sanitarios(HIPAA) y los datos infantiles(COPPA). Se está elaborando una ley federal de privacidad: la American Data Privacy and Protection Act(ADPPA).

En estos momentos, seis Estados cuentan con leyes de privacidad. California es uno de ellos, los otros son Colorado, Connecticut, Nevada, Utah y Virginia. La interacción entre la ADPPA y la legislación local sobre privacidad es un punto polémico en la negociación política en torno a la propuesta. Algunos Estados con leyes de privacidad no quieren que la ADPPA anule sus propios proyectos de ley porque temen que ello debilite los derechos de privacidad de sus ciudadanos. Al mismo tiempo, algunos defensores de la propuesta insisten en que la ADPPA anule las leyes locales para evitar la fragmentación legal en todo EE.UU.

¿Es la CCPA una "luz del RGPD"?

La CCPA se inspiró en cierto modo en el GDPR y a veces se denomina "GDPR light". Las dos normativas son similares en algunos aspectos

  • ambas tienen efecto extraterritorial en algunas circunstancias. Esto significa que las empresas fuera de California pueden tener que cumplir con la CCPA, y las empresas fuera de la UE pueden tener que cumplir con el GDPR
  • algunos derechos de privacidad son similares en las dos normativas, como el derecho de información y el derecho de supresión. Ambas leyes pretenden dar a las personas más control sobre sus datos
  • ambas ofrecen protección especial para la información sensible, aunque las definiciones de información sensible son diferentes
  • la aplicación del RGPD corresponde principalmente a las autoridades de protección de datos de cada Estado miembro de la UE. A partir de junio de 2023, la CCPA también será aplicada por una autoridad de protección de datos (la CPPA) junto con el fiscal general de California.
  • Elincumplimiento puede salir caro. Las multas del RGPD pueden ascender a 20 millones de euros o al 4% de la facturación mundial anual de una empresa, mientras que las sanciones civiles en virtud de la CCPA pueden ascender a un máximo de 7.500 dólares por infracción individual. Para las empresas que procesan grandes cantidades de datos personales, las cifras pueden aumentar rápidamente.

También hay diferencias importantes:

  • el RGPD tiene un ámbito de aplicación más amplio y se aplica a una amplia gama de responsables del tratamiento de datos distintos de las empresas. Por otro lado, la CCPA es una ley de protección del consumidor y se centra sobre todo en las empresas
  • el RGPD esuna ley más larga y compleja. Incluye más normas y un amplio sistema de principios.
  • en general, el RGPD es más estricto. Por ejemplo, el régimen de tratamiento de datos sensibles es más restrictivo.
  • el RGPD protege los derechos sobre los datos de todas las personas de la Unión Europea y el Espacio Económico Europeo, incluidos los ciudadanos de fuera de la UE. En cambio, la CCPA sólo se aplica a los datos de los residentes en California.

¿Cómo regulan la CCPA y el GDPR las cookies?

La CCPA no regula específicamente las cookies, pero las cookies de terceros entran dentro de las normas de intercambio de datos. Según la ley, las empresas deben informar a los usuarios y proporcionarles un método para excluirse.

Este es un caso en el que la legislación sobre privacidad de la UE es más estricta: según el GDPR y la Directiva sobre privacidad en las comunicaciones electrónicas, los responsables del tratamiento deben recabar el consentimiento mediante un sistema de inclusión voluntaria para las cookies no esenciales (el botón de aceptación de los banners de cookies). Y a diferencia de la CCPA, la legislación de la UE no distingue entre cookies propias y de terceros.

¿Cómo regulan la CCPA y el GDPR las transferencias de datos?

La CCPA no regula las transferencias de datos y no establece límites a las transferencias de datos fuera de California o Estados Unidos.

Esta es otra diferencia importante con el GDPR. El GDPR incluye un complicado sistema de normas para las transferencias de datos con el fin de garantizar que los datos personales solo puedan transferirse de forma segura.

En general, una empresa sólo puede transferir datos basándose en uno de varios mecanismos de cumplimiento. Los más comunes son las cláusulas contractuales tipo (CCT), que deben incluirse en un contrato con el destinatario de los datos y le indican lo que puede y no puede hacer con ellos.

La Comisión Europea también puede "dar luz verde" a un país como destino seguro para los datos mediante un acto denominado decisión de adecuación. Hubo dos decisiones de este tipo para Estados Unidos, pero ambas fueron invalidadas por el Tribunal de Justicia de la UE en las sentencias Schrems I y II debido a la preocupación por la vigilancia estadounidense de datos extranjeros.

La vigilancia estadounidense también complica las transferencias de datos basadas en las cláusulas SCC porque éstas pueden hacer poco para proteger los datos europeos. La sentencia Schrems II aclaró que las empresas que envían datos a Estados Unidos deben complementar las cláusulas SCC con salvaguardias adicionales, lo que es muy difícil de hacer en la práctica. Este problema está en el centro de los problemas legales de Google Analytics con las transferencias de datos y es la razón por la que varias autoridades europeas de privacidad se han pronunciado en contra del uso de Google Analytics (escribimos ampliamente sobre esto en nuestro blog).

Se avecinauna nueva decisión de adecuación para EE.UU., pero sin duda será impugnada ante el Tribunal de Justicia. EE.UU. ha introducido algunos cambios en su sistema de vigilancia, pero es difícil saber si satisfarán al Tribunal. En otras palabras, Schrems III está en el horizonte y no se sabe cómo se desarrollará.

¿Cómo funciona el consentimiento en la LPC y el RGPD?

En su mayor parte, la CCPA no exige el consentimiento previo para tratar los datos de los consumidores: la ley gira principalmente en torno a un sistema de exclusión voluntaria. Sin embargo, el consentimiento previo es necesario en determinadas situaciones.

Con arreglo al RGPD, el consentimiento válido es siempre de inclusión voluntaria. Pero el consentimiento es sólo una de las diversas bases jurídicas para el tratamiento de datos personales. Esto significa que, en algunos casos, los datos pueden tratarse legalmente sin consentimiento. En pocas palabras: el consentimiento no siempre es necesario, pero cuando lo es, debe ser un consentimiento expreso.

Escribimos un blog sobre el tema si tienes curiosidad sobre las otras bases legales bajo el GDPR.

Conclusiones

Tanto el GDPR como la CCPA son leyes de privacidad importantes. Ambas tienen un efecto extraterritorial, por lo que las empresas deben familiarizarse con ellas o confiar en un profesional para garantizar su cumplimiento. El GDPR es un poco más complejo, y hacemos nuestro mejor esfuerzo para abordar algunos conceptos básicos en este blog y hacerlos digeribles.

Vale la pena señalar que tanto el GDPR como la CCPA solo se aplican a los datos personales. Desde una perspectiva de cumplimiento, no procesar datos personales es una solución milagrosa para ambas leyes y para la ley de privacidad en general. Esto no siempre es posible porque hay cosas que simplemente no se pueden hacer sin datos personales.

Afortunadamente, cada vez hay más soluciones respetuosas con la privacidad que demuestran que se puede prescindir de los datos personales. Por ejemplo, Simple Analytics es una alternativa a Google Analytics respetuosa con la privacidad que cumple con el GDPR y le proporciona la información que necesita sobre su sitio web.

Los servicios en la nube con sede en EE.UU. han sido objeto de críticas últimamente por su incumplimiento del GDPR. Por ello, las empresas que valoran la privacidad y desean cumplir la normativa buscan soluciones alternativas. Si le interesa, debería consultar el sitio web "Alternativas europeas". Te da una amplia idea de qué alternativas existen en diferentes categorías como analítica web, proveedor de correo electrónico, proveedor de alojamiento, etc.

Hemos creado Simple Analytics porque creemos en un Internet independiente y respetuoso con los visitantes de los sitios web. Por lo tanto, menos cookies y menos seguimiento. Si está de acuerdo con esto, no dude en probar Simple Analytics.

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar en la cabina de un avión sin licencia de piloto

Iniciar prueba de 14 días