¿Qué es la Ley de Derechos de Privacidad de California?

La Ley de Derechos de Privacidad de California de 2020 (CCPA 2.0), también conocida como Proposición 24, es una legislación destinada a proteger la privacidad de los consumidores, dándoles un mayor control sobre el uso que hacen las empresas y corporaciones de su información personal. Específicamente, la CCPA otorga a los residentes de California el derecho de:

• No aceptar la venta de su información personal.
• Solicitar que una empresa elimine su información personal.
• Saber qué tipo específico de información personal recopilan las empresas sobre ellos, con qué propósito y si estas empresas revelan dicha información a terceros, entre otros detalles pertinentes relacionados con el procesamiento de la información personal por parte de una empresa.
• Ser protegidos contra la discriminación relacionada con el ejercicio de los derechos de propiedad.

Si bien en 2019 se había aprobado una versión anterior de la Ley de Derechos de Privacidad de California, la legislación del 2020 amplía los derechos de privacidad otorgados a los residentes del estado. En términos generales, la CCPA 2.0 modifica la CCPA aumentando las protecciones de la privacidad, ampliando el alcance y el ámbito de las leyes de derechos del consumidor y estableciendo una agencia encargada de hacer cumplir con lo normado. Las siguientes son algunas de las mejoras introducidas con la CCPA 2.0:

• Permite a los consumidores impedir activamente que las empresas compartan su información personal sin su consentimiento.
• Permite a los consumidores corregir cualquier información inexacta que descubran.
• Crea una nueva categoría de información personal y da a los consumidores el derecho a restringir el uso de esta nueva categoría por parte de una empresa.
• Triplica la pena por violar los derechos de privacidad de los menores.
• Obliga a las empresas a ser transparentes en lo pertinente a la elaboración de perfiles y la toma de decisiones automatizada.
• Prohíbe a las empresas conservar información personal durante más tiempo del que se considera necesario.
• Establece la Agencia de Protección de la Privacidad de California para hacer cumplir la ley y proteger los derechos de privacidad de los consumidores.

La Agencia de Protección de la Privacidad de California se encarga de hacer cumplir enérgicamente los derechos de privacidad de los residentes de California mediante la aplicación de la ley. Además, la agencia está compuesta por expertos en materia de privacidad, derechos de los consumidores y tecnología y proporciona orientación tanto a las empresas como a los consumidores en relación con las leyes de privacidad de California. Asimismo, la agencia está facultada para investigar las presuntas infracciones de las leyes de privacidad, emitir multas y requerimientos administrativos y entablar una acción civil contra los presuntos infractores.

¿Quién debe cumplir con la CCPA 2.0?

La CCPA 2.0 no se aplica únicamente a las empresas ubicadas físicamente en el estado de California, ya que todas las empresas cuyo accionar alcance a los residentes de California están obligadas a cumplir con la CCPA 2.0 en todo momento. Según la CCPA 2.0, una empresa se define como cualquier entidad legal que realice cualquiera de las siguientes acciones:

• Busque un beneficio.
• Opere en el estado de California.
• Determine el propósito y los medios específicos con los que se procesa en línea la información personal de los residentes de California.
• Cumpla una o más de las siguientes condiciones: tener un ingreso bruto anual de más de 25 millones de dólares, recibir, compartir, comprar o vender anualmente la información personal de al menos 50000 hogares, consumidores o dispositivos dentro del estado de California, obtener al menos el 50% de sus ingresos anuales de la recogida y venta de la información personal de los consumidores de California.

Como tal, la CCPA 2.0 está orientada principalmente a los grandes corredores de datos y las redes sociales. Las pequeñas o medianas empresas, las organizaciones sin ánimo de lucro y los particulares que realizan transacciones financieras con residentes de California no cumplen con los criterios mencionados anteriormente y, por tanto, quedan exentos de cumplir con la CCPA 2.0.

¿Cuáles son las obligaciones de las empresas en virtud de la Ley de Protección de la Privacidad de California del 2020?

En virtud de la CCPA 2.0, las empresas tienen ciertas responsabilidades concernientes a la seguridad de los datos, la finalidad de su recogida, así como las limitaciones de su almacenamiento y la transparencia del proceso. Dichas responsabilidades funcionan esencialmente como principios de privacidad e incluyen:

• La imposición de obligaciones generales a las empresas que recogen cualquier tipo de información personal. Esto incluye informar a los consumidores de la recogida de su información o datos personales. Además, la recopilación, el uso, la conservación y el eventual intercambio de datos personales deben ser razonablemente necesarios y proporcionados con los fines específicos del tratamiento, Asimismo, las empresas deben aplicar medidas de seguridad eficaces destinadas a proteger la confidencialidad, la integridad y la disponibilidad de la información personal relativa a los residentes de California.
• La especificación de métodos particulares para limitar la venta, el intercambio y el uso de la información sensible de una persona.
• El establecimiento de normas para la notificación, divulgación, supresión y los requisitos de corrección.

En última instancia, corresponde tanto a las empresas como a los consumidores colaborar para garantizar que la información personal y sensible esté protegida en todo momento. Si bien es importante que las empresas respeten los derechos de privacidad de los residentes de California, también es imperativo que los consumidores comprendan cuáles son sus derechos y cómo ejercerlos. Además, como el estado de California sigue mejorando la legislación, como ocurrió en el 2020, los consumidores deben estar al tanto de estos cambios y del impacto que tendrán en sus interacciones digitales en el futuro. A medida que pase el tiempo, se seguirá compartiendo cada vez más información personal en internet a través de diversas plataformas y ningún precedente legal o legislación podrá combatir completamente a aquellos que buscan utilizar esta información con fines turbios.