La APPC, en pleno apogeo tras la demanda contra Sephora

December 13, 2024 | 5 minutes read
La APPC, en pleno apogeo tras la demanda contra Sephora

Aunque a principios de este mes saltó la noticia de que la multinacional francesa de productos de belleza Sephora había sido sancionada con una multa de 1,2 millones de dólares por violar la Ley de Privacidad del Consumidor de California (CCPA), no ha sido ni mucho menos la única empresa que ha provocado la ira del actual fiscal general de California, Rob Bonta. Dicho esto, como se ha informado ampliamente por diversas fuentes de noticias durante las últimas semanas, “Más de 100 empresas públicas y privadas recibieron cartas del fiscal general de California, Rob Bonta, como parte de la redada de 2021 de grandes minoristas que condujo al acuerdo de Sephora, y muchas más cartas se han enviado a empresas comparables en las últimas semanas como parte de una nueva redada, según un portavoz de la oficina del fiscal general”.

Posteriormente, aunque la CCPA se aprobó inicialmente en 2018, la ley no entró en vigor hasta 2 años después, en 2020. Por esta razón, muchas empresas que actualmente prestan servicios a clientes dentro del estado de California no se han preparado adecuadamente para las nuevas restricciones y estipulaciones que se les impondrán en el futuro. Como resultado de estos nuevos acontecimientos, algunas empresas que han sido contactadas por Bonta ya han comenzado a dar pasos hacia el cumplimiento de la nueva ley. Sin embargo, todavía hay muchas otras empresas que están siendo investigadas en estos momentos.

Cumplir con la CCPA

En cuanto a este último punto, a pesar de que una portavoz de Sephora ha confirmado que el minorista de belleza comenzó a trabajar con la oficina del Fiscal General de California en 2021 cuando se informó a la empresa de que estaban siendo investigados, aún así se les impuso una multa multimillonaria por violar la CCPA. Más concretamente, Sephora fue acusada de haber concedido a empresas de terceros acceso a la información personal de la multitud de clientes de las empresas, que incluía datos de localización e información específica relativa a los productos y servicios que los clientes compraban cuando navegaban por Internet, entre otras cosas.

A tal efecto, las disposiciones de la CCPA prohíben a las empresas vender información personal de residentes en California sin obtener previamente el consentimiento de dichos residentes. Además, las empresas que recopilan datos personales de consumidores californianos también deben garantizar que los fines para los que utilizan dicha información son coherentes con la explicación que se dio a los consumidores en el momento en que se recopiló su información personal. No obstante, grandes minoristas como Sephora, así como empresas de redes sociales como Meta e Instagram, utilizan con frecuencia los datos personales de sus clientes para enviar campañas publicitarias dirigidas a otros consumidores.

El alcance y el tamaño de una empresa

Por otra parte, también ha habido un gran número de otras empresas que operan en California que no han cumplido la ley. Sin embargo, a diferencia de grandes corporaciones como Sephora, estas otras empresas han hecho caso omiso de la ley bajo el pretexto de que sus negocios son demasiado pequeños para aplicarse a las estipulaciones de la CCPA. Para ilustrar aún más este punto, a muchas pequeñas y medianas empresas que operan en California se les ha hecho creer que las disposiciones de la CCPA no se les aplicarían. Como referencia, la inmensa mayoría de los estados de EE.UU. aún no han promulgado leyes como la CCPA, lo que significa que muchas prácticas que han sido prohibidas en California son perfectamente legales en otros estados.

Además, el lenguaje de la CCPA también ha llevado a algunas empresas a infringir la ley sin saberlo, ya que el término “venta” engloba cualquier transferencia de información personal que una empresa haya obtenido de un cliente a un tercero, independientemente de si se ha intercambiado dinero o no durante el proceso. De este modo, la CCPA también ha alterado los medios por los que las empresas pueden comercializar sus productos en el estado de California, ya que mantener el cumplimiento de la ley implicaría que estas empresas confirmaran que venden los datos de posibles clientes de acuerdo con la forma en que se define el término “vender” en la ley.

El Control General de la Privacidad (CGP)

Por otra parte, el uso por parte de los consumidores del Control General de Privacidad (CGP) en California, una “especificación diseñada para permitir a los usuarios de Internet notificar a las empresas sus preferencias en materia de privacidad”, ha complicado aún más el proceso de cumplimiento para las empresas que pretenden atenerse a las disposiciones de la CCPA. A modo de contexto, la CCPA se modificó el año pasado para exigir a las empresas que reconocieran las preferencias de privacidad de los consumidores de California, lo que significa que cualquier empresa que no respete las preferencias específicas que un consumidor concreto haya establecido al utilizar el sitio web de una empresa determinada habrá infringido la ley. Por ejemplo, un consumidor puede configurar su GPC como “No vender” al utilizar un sitio web concreto, y las empresas deben respetar estas preferencias para cumplir la CCPA.

Dado que Estados Unidos va muy por detrás del resto del mundo en muchos aspectos en lo que respecta a la legislación sobre privacidad personal y protección de datos, es muy posible que los estados de todo el país sigan el ejemplo de California en lo que respecta a las leyes estatales orientadas a proteger a los consumidores frente a las invasiones de la privacidad. Debido a este hecho, muchas empresas que atienden a clientes en varios estados de EE.UU. tendrán que empezar a cambiar sus prácticas de recopilación y seguimiento de datos, ya que las acciones que están permitidas en un estado pueden ser consideradas ilegales en otro estado en los próximos años, ya que las cuestiones relativas a la privacidad personal siguen en la vanguardia de la mente de todos.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »