Hay una nueva ley de privacidad que entrará en vigor pronto, el 1 de enero de 2020, para ser exactos, y todo el mundo está luchando para implementar su cumplimiento. ¿Le suena familiar? Si está sintiendo un deja vu, no Se preocupe, nosotros también recordamos a GDPR.

Mientras que la GDPR era una ley general para proteger los derechos de privacidad de los ciudadanos de la Unión Europea, esta nueva ley se ocupa de los derechos de privacidad de los residentes de California. Permítanos presentarle la Ley de Protección al Consumidor de California de 2018 (CCPA), una ley diseñada para proporcionar a los de California un mayor control sobre su información personal.

En esta guía, le guiaremos a través de lo siguiente:

Por favor, tenga en cuenta que esta guía es sólo para fines informativos y no debe ser considerada como un asesoramiento legal.

¿Qué es la CCPA?

La CCPA es una ley de privacidad que fue aprobada el 28 de junio de 2018. Una versión de esta ley fue introducida inicialmente como una iniciativa para la votación estatal de noviembre de 2017 por un promotor inmobiliario. El promotor inmobiliario ofreció a la legislatura de California un trato en el que retiraría su boleta (lo cual fue bastante duro para los negocios) si se aprobaba una ley de privacidad similar.

La legislatura introdujo, enmendó y aprobó su versión de la CCPA en un total de siete días. Desde entonces, la ley ha sido enmendada unas cuantas veces más y el Procurador General de California también ha publicado reglamentos que tienen como objetivo aclarar los requisitos de esta nueva ley. Puede encontrar el texto completo del CCPA, con las enmiendas aprobadas aquí, y las regulaciones propuestas aquí.

Según los legisladores, la ley CCPA fue aprobada porque:

  1. El crecimiento de la tecnología ha limitado la capacidad de los californianos ¿para proteger y salvaguardar adecuadamente su privacidad
  2. La ley de California no ha seguido el ritmo del hecho de que los consumidores comparten cada vez más información personal con las empresas
  3. La divulgación no autorizada de información personal y la pérdida de privacidad puede tener efectos devastadores en las personas
  4. El escándalo de Cambridge Analytica ha aumentado el deseo de controles de privacidad y transparencia en las prácticas de datos.

Por último, está claro que la gente desea privacidad y más control sobre su información, y la CCPA fue aprobada para cumplir ese deseo. De manera similar a la GDPR, la CCPA cumple con este deseo al proveer ciertos derechos a los consumidores, o, en este caso, a los residentes de California. Estos derechos son los siguientes:

  1. El derecho a saber qué información personal se está recopilando sobre ellos
  2. El derecho a saber si su información personal es vendida o revelada y a quién
  3. El derecho a decir no a la venta de su información personal
  4. El derecho a solicitar la eliminación de sus datos personales
  5. El derecho a acceder a su información personal
  6. El derecho a la igualdad de servicio y precio, incluso si ejercen su derecho a la privacidad

¿A Quiénes se Aplica la CCPA?

La parte difícil y, a veces la más confusa de las leyes de privacidad es averiguar si se aplican a su negocio. Las leyes de privacidad se crean para proteger la información personal de los residentes o ciudadanos de un estado o país en particular, no de las empresas.

Esto significa que los negocios fuera de California pueden estar sujetos a esta ley. La ley CCPA se aplica a los «negocios» que se definen como una entidad legal con fines de lucro que hace negocios en California y que cumple con uno de los siguientes umbrales:

  1. Tiene ingresos brutos anuales de más de 25.000.000 de dólares
  2. Anualmente compra o recibe, con fines comerciales o de negocios, vende o comparte la información personal de 50,000 o más consumidores, hogares o dispositivos de California o
  3. Deriva el 50% o más de sus ingresos anuales de la venta de la información personal de los consumidores californianos.

Si piensa que la CCPA técnicamente sólo se aplica a las grandes empresas, está parcialmente en lo cierto. Debido a la muy amplia definición de venta de información personal, una gran parte del cumplimiento de la CCPA es la gestión de los proveedores.

Esto significa que si hace negocios o actúa como proveedor de grandes empresas, éstas pueden exigirle que cumpla con la CCPA a través de un contrato. Por lo tanto, si usted es una pequeña empresa que no cumple con los umbrales anteriores, es posible que todavía tenga que prestar atención y cumplir con estos requisitos.

Además, si usted diseña sitios web para empresas que son grandes y necesitan cumplir con la CCPA, tendrá que prestar atención, ya que esta ley afectará la forma en que usted diseñe esos sitios web.

¿Cuáles son las Consecuencias de no Cumplir con la ley CCPA?

La CCPA generalmente será aplicada por el Fiscal General de California. Las multas por incumplimiento son de $2,500 por violación o $7,500 por violación intencional. «Por violación» se entiende generalmente como por persona cuyos derechos de privacidad usted violó.

Por lo tanto, si usted tiene 100 visitantes del sitio web de California y no tiene una Política de Privacidad que cumpla con los requisitos, sus multas pueden sumar hasta $250,000. Es fácil ver cómo esto puede inflarse en un número muy grande.

Si tiene que cumplir con la CCPA sólo por contrato, una consecuencia del incumplimiento podría ser la pérdida de ese cliente o de la relación comercial. Si tiene que construir un sitio web que cumpla con la ley CCPA, la consecuencia del incumplimiento puede significar que su cliente sea multado y que usted sea demandado a cambio o que las malas críticas perjudiquen su negocio de diseño web.

¿Cómo Preparar su Sitio Web de WordPress para la CCPA?

Si tiene un sitio web en WordPress que necesita cumplir con la ley CCPA, le explicaremos algunos de los pasos que puede seguir para asegurarse de que cumple con la ley CCPA. Los pasos que usted toma para prepararse para la CCPA pueden incluir:

Si todo esto parece un montón de trabajo, lo es. No se preocupe, también le proporcionaremos algunas de nuestras herramientas y recursos favoritos que puede utilizar para ayudarle a prepararse.

Contratar un Abogado de Privacidad

Como verán pronto, hay muchas cosas que se deben hacer para cumplir con la ley CCPA. La ley y los reglamentos pueden ser difíciles de interpretar, por no decir más.

Si no está seguro del camino correcto para usted, debe contratar a un abogado que se especialice en la privacidad, ya que podrá indicarle la dirección correcta y proporcionarle un valioso asesoramiento específico para su situación.

Si no está seguro de qué abogado elegir, consulte la lista de la Asociación Internacional de Profesionales de la Privacidad de las firmas de abogados que trabajan en el campo de la privacidad.

Comprender qué Información Personal Recopila

La CCPA requiere que usted le diga a los consumidores qué categorías de información personal recopila. Debe ir a través de su sitio web y crear una lista.

Eche un vistazo a todas sus páginas y a todos los formularios que utiliza, incluidos los formularios de contacto, los formularios de suscripción a boletines informativos, los formularios de creación de cuentas, los formularios de envío de comentarios, los formularios de pago y cualquier otro formulario que pueda utilizar y sus complementos asociados.

Por ejemplo, como se muestra a continuación, el formulario predeterminado en WordPress que se utiliza para proporcionar comentarios en las entradas del blog recopila el nombre y el correo electrónico:

Formulario de comentarios sobre Kinsta
Formulario de comentarios sobre Kinsta

Además, prepare una lista de la información personal que usted recopile de cualquier otra fuente. Think Analytics software, Hotjar, información sobre una página de pago de comercio electrónico o una página de registro de WordPress, y otras similares.

Luego, ponga esos pedazos de información personal que usted recolecta de esos formularios en categorías que permitan al consumidor entender fácilmente qué información personal usted recolecta. Los ejemplos de las categorías de información personal pueden incluir:

  1. Información de identificación
  2. Información financiera
  3. Información comercial
  4. Información biométrica
  5. Información sobre la actividad en Internet y
  6. Información de geolocalización

Comprenda de qué Fuentes Recoge esta Información Personal

La ley CCPA requiere que usted revele de qué fuentes obtiene la información personal. Los ejemplos de fuentes pueden incluir:

  1. Directamente del consumidor
  2. Encuestas
  3. Píxeles de seguimiento
  4. Observar y registrar las actividades, por ejemplo, mediante el uso de cookies y
  5. Reendedores de datos

Entender si Usted está Revelando Información Personal a Terceros

La CCPA requiere que usted revele si está revelando información personal a terceros. Cuando se les pregunta si comparten datos, la respuesta inicial de la mayoría de las personas es un «no» ligeramente ofendido.

Tómese un tiempo y piense realmente en las integraciones que ha hecho con su sitio web.

¿Las suscripciones a los boletines van directamente a una herramienta de marketing por email como MailChimp?

¿Los envíos de formularios se registran en una herramienta de gestión de relaciones con los clientes como HubSpot?

¿Recibe su desarrollador web una alerta cada vez que recibe un formulario de envío?

Si es así, está compartiendo datos con terceros y necesita revelarlos.

Crear una Página de No Vender mi Información Personal

Si usted vende la información personal de consumidores californianos, se le requiere que tenga una página web titulada «No Vender Mi Información Personal» o «No Vender Mi Información». Esta página web debe contener la siguiente información:

  1. Una descripción del derecho del consumidor a no participar en la venta de su información personal
  2. Un formulario web mediante el cual el consumidor puede presentar su solicitud de exclusión voluntaria
  3. Instrucciones para cualquier otro método por el cual el consumidor puede presentar su solicitud de exclusión voluntaria
  4. Un enlace a su Política de Privacidad
  5. Cualquier prueba que se requiera cuando un consumidor quiera designar un agente autorizado para presentar una solicitud de exclusión voluntaria en su nombre

A continuación, puede ver un ejemplo de un pie de página de un sitio web que incluye un hipervínculo a la página «No vender mi información personal».

Ejemplo de una página "No vender mi información personal".
Ejemplo de una página «No vender mi información personal».

Crear un Aviso de Privacidad

La CCPA requiere que usted proporcione a los consumidores de California un Aviso de Privacidad al momento de recopilar información personal.

Nótese que la CCPA no requiere que el consumidor dé su consentimiento para la recolección de información personal, lo cual se aparta bastante de los requisitos que vimos en la GDPR.

Un Aviso de Privacidad es como una mini-Política de Privacidad: proporciona una explicación rápida y condensada de qué información personal se recopila, para qué se utilizará y otras divulgaciones.

El aviso debe ser diseñado y presentado al consumidor de manera que sea fácil de leer y debe ser comprensible para la persona promedio. El aviso debe:

  1. Utilice un lenguaje sencillo y directo y evite la jerga técnica o legal.
  2. Usar un formato que llame la atención de los consumidores y que haga que el aviso sea legible, incluso en pantallas más pequeñas
  3. Estar disponible en los idiomas en los que usted proporciona contratos, renuncias, anuncios de venta u otra información a los consumidores
  4. Ser accesible a los consumidores con discapacidades

Su Aviso de Privacidad debe incluir la siguiente información:

  1. Una lista de las categorías de información personal que usted recopila de los consumidores. Cada categoría que usted enumera debe dar al consumidor un entendimiento significativo de la información personal recopilada
  2. Para cada categoría de información, el propósito comercial o empresarial para el que será utilizada
  3. Si usted vende información personal, un enlace titulado «No Vender Mi Información Personal» o «No Vender Mi Información». Este enlace debe conducir a una página web donde los consumidores puedan ejercer su derecho a decir no a la venta de información personal.

Si no desea crear un Aviso de Privacidad, simplemente puede proporcionar a los consumidores un enlace a su Política de Privacidad en el momento de recopilar la información personal. A continuación se muestra un ejemplo de un Aviso de Privacidad específico de California.

Aviso de privacidad específico de California
Aviso de privacidad específico de California

Crear una Política de Privacidad

La CCPA también requiere que usted tenga una Política de Privacidad. El propósito de la Política de Privacidad es proporcionar al consumidor una descripción completa de sus prácticas en cuanto a la recolección, uso, divulgación y venta de información personal y los derechos de privacidad que los consumidores reciben bajo la CCPA.

La Política de Privacidad debe cumplir con los mismos requisitos de legibilidad, formato, disponibilidad y accesibilidad que el Aviso de Privacidad.

Sin embargo, la Política de Privacidad también debe estar disponible en un formato adicional que permita al consumidor imprimirla fácilmente. La Política de Privacidad debe ser publicada en su sitio web a través de un enlace visible que utilice la palabra «privacidad» en la página de inicio de su sitio web.

Su Política de Privacidad debe contener la siguiente información:

  1. Una descripción de los derechos de los consumidores californianos bajo la CCPA
  2. Uno o más métodos por los cuales los consumidores pueden presentar solicitudes para ejercer sus derechos. Si vende información personal, un enlace a su página «No Vender Mi Información Personal» o «No Vender Mi Información» donde el consumidor puede ejercer su derecho a decir no a la venta de su información personal
  3. Una lista de las categorías de información personal que usted ha recogido en los últimos 12 meses
  4. Una lista de categorías de fuentes de las que se recoge la información personal
  5. El propósito comercial o de negocios para el cual usted utiliza la información personal
  6. Una lista de categorías de información personal que usted vendió en los últimos 12 meses y una lista de categorías de terceros a quienes usted vendió esa información personal. Si usted no ha vendido ninguna información personal, entonces debe revelar ese hecho
  7. Una lista de las categorías de información personal que usted ha revelado en los últimos 12 meses y una lista de las categorías de terceros a los que usted ha revelado esta información personal. Si usted no ha revelado ninguna información personal, entonces debe revelar ese hecho
  8. Cómo un consumidor puede designar a un agente autorizado para hacer solicitudes para ejercer sus derechos de privacidad en su nombre;
  9. Un contacto al que un consumidor puede llegar para cualquier pregunta o preocupación
  10. La fecha de la última actualización de la Política de Privacidad
  11. Si usted vende la información personal de 4,000,000 o más consumidores californianos por año, deberá incluir también divulgaciones adicionales

Herramientas y Recursos que Pueden Ayudarle a Cumplir con la CCPA

Todos estos requisitos de cumplimiento y divulgación pueden parecer desalentadores. Afortunadamente, hay bastantes herramientas útiles que puede utilizar para preparar su sitio web y su negocio:

Termageddon

termageddon
Termageddon

Termageddon: un software como servicio que genera políticas de privacidad personalizadas para su negocio. Actualizamos las Políticas de Privacidad de nuestros clientes cada vez que las leyes cambian, asegurándonos de que sus políticas estén siempre actualizadas.

CCPA Toll Free

CCPA Toll Free
CCPA Toll Free

CCPA Toll Free: la CCPA requiere que algunos negocios proporcionen un número de teléfono gratuito como uno de los métodos que los consumidores pueden utilizar para ejercer sus derechos de privacidad. CCPA Toll-Free le ayuda a cumplir con ese requisito.

Orrick’s CCPA Readiness Assessment

CCPA Readiness Assessment
CCPA Readiness Assessment

Orrick’s CCPA Readiness Assessment: esta herramienta le ayuda a comprender cuán preparada está para la CCPA al hacerle preguntas simples de «sí» o «no». También puede utilizar esta herramienta como una especie de lista de verificación para la preparación.

CCPA Opt-Out por CookiePro

Plugin de WordPress con CCPA Opt-Out
Plugin de WordPress con CCPA Opt-Out

CCPA Opt-Out: este plugin le permite personalizar y añadir un botón de «No Vender» a su sitio web.

IAPP

IAPP
IAPP

IAPP: la Asociación Internacional de Profesionales de la Privacidad es el grupo de privacidad más grande del mundo. Visite su sitio web para obtener una lista de noticias, recursos y proveedores de privacidad que se actualiza constantemente.

Kinsta y CCPA

Kinsta está comprometida con la privacidad y la seguridad de los datos, y nos complace afirmar que no vendemos información personal de consumidores de California a terceros. Por favor, consulte nuestra Política de Privacidad y la Sección 15 de nuestras Condiciones de Servicio para obtener información adicional.

Resumen

Aunque la CCPA no tiene una aplicación tan amplia como la de la RPI, sigue siendo un asunto muy importante y no debe tomarse a la ligera.

La CCPA es verdaderamente una primicia en los Estados Unidos y otros estados están ahora siguiendo el ejemplo de California. De hecho, a finales de 2019, nueve estados han propuesto sus propios proyectos de ley de privacidad.

Estos proyectos de ley citan la ley CCPA como inspiración o son prácticamente copias completas de la ley CCPA. Está claro que la CCPA ha allanado el camino para más regulaciones de privacidad y que los requisitos para el cumplimiento de la privacidad en línea no van a desaparecer pronto.

Ahora es su turno: ¿qué piensa de la CCPA? ¿Está preparando su sitio para ello? Háganoslo saber en los comentarios!

Donata Kalnenaite

Donata Kalnenaite is a privacy and technology attorney that helps others understand and comply with privacy laws. She is the President of Termageddon, a Privacy Policy generator that automatically updates its clients' policies whenever the laws change. Follow them on Twitter to keep up to date with all things privacy: @termageddon.