La Analítica de Cambridge y los numerosos usos de alto perfil de los datos de los consumidores fueron un puente demasiado lejano para los legisladores de California. Invocando el derecho constitucional de California a la privacidad, promulgaron la Ley de Privacidad del Consumidor de California (CCPA siglas en ingles), una de las leyes de protección del consumidor y la privacidad más amplias del mundo. La ley, aprobada por la legislatura de California en 2018, mejorará los derechos y la protección de la privacidad de los consumidores para los residentes del estado.
Sin embargo, la Ley de Privacidad del Consumidor de California no afecta sólo a las empresas de California. La ley se aplica a cualquier empresa que haga negocios con residentes de California, ya sea una empresa con sede en California o no. En efecto, la ley cambiará radicalmente la forma en que las empresas de Florida manejan la información personal si realizan cualquier tipo de negocio en California o con residentes de Florida. La CCPA afectará a más de 50.000 empresas en todo el país, incluidas las grandes corporaciones y las pequeñas empresas.
Las empresas afectadas por la CCPA
La CCPA entró en vigor el 1 de julio de 2020, con la promulgación de las regulaciones finales por la oficina del Fiscal General de California el 1 de junio de 2020.
La ley se aplica a cualquier negocio que:
- Recopila información personal de los clientes y decide cómo se utilizan o procesan los datos, ya sea directamente o a través de un tercero
- Opere en California y (1) tenga ingresos brutos anuales de 25 millones de dólares o más; (2) compre, reciba, comparta o venda la información personal de más de 50.000 consumidores, hogares o dispositivos; o (3) obtenga al menos la mitad de los ingresos anuales de la venta de la información personal de los clientes.
Algunas empresas están exentas de la CCPA, si:
- Obtienen y venden información personal completamente fuera de California
- Realizan una sola transacción y no retienen la información personal recopilada
- Venden información personal como parte de una fusión o adquisición
- Recopilan o venden información personal según lo exige la ley, cooperando con las fuerzas del orden o defendiendo demandas legales; o
- Hacer negocios dentro de una industria que ya cuenta con la protección de los datos de los consumidores y la privacidad.
La ley se aplica a cualquier entidad comercial con fines de lucro, incluyendo corporaciones, LLCs, empresas individuales y sociedades.
Información personal cubierta por la CCPA
La CCPA cubre una gran cantidad de información personal, incluyendo información personal tradicional y no tradicional. La ley incluye correos electrónicos, direcciones, números de teléfono, nombres de cuentas, números de seguridad social, información de tarjetas de crédito e historiales de navegación. Pero la ley expande la información personal para incluir información no tradicional como:
- Información comercial, incluyendo registros de propiedad personal, productos o servicios adquiridos, u otros historiales de compra;
- Información biométrica como huellas dactilares o datos faciales;
- Información olfativa, auditiva, visual, térmica o electrónica;
- Preferencias de los consumidores;
- Perfiles psicológicos, características, tendencias, predisposiciones, comportamientos, actitudes, inteligencia, habilidades y aptitudes;
- Datos de geolocalización;
- Datos profesionales o relacionados con el empleo;
- Información sobre educación; y
- Raza, género u otra información protegida.
Cabe destacar que la CCPA se aplica tanto a los datos recopilados en línea como fuera de línea, incluidos los datos de los clientes, los clientes potenciales, los contactos comerciales y los empleados de California.
Las reglas de la CCPA con respecto a los menores
La nueva ley de California también establece nuevas reglas para la recolección y retención de información personal de menores. La ley CCPA eleva la edad de consentimiento para la recopilación de datos de 13 a 16 años. Para los menores de 16 años, un padre o tutor legal debe consentir la recopilación de información personal de un menor. La ley pone la responsabilidad de verificar afirmativamente la edad de un consumidor menor de edad a «conocimiento real».
Derechos de los residentes de California bajo la CCPA
La CCPA asegura los derechos del consumidor para los residentes de California que incluyen:
- El derecho a conocer la información que las empresas recopilan sobre ellas y cómo la comparten;
- El derecho a eliminar algunos datos personales que las empresas recopilan sobre ellos;
- El derecho a no vender su información personal;
- El derecho a no ser discriminado por ejercer sus derechos de la CCPA.
Por ejemplo, una empresa no puede cobrar a un cliente precios más altos, proporcionar productos de menor calidad o negarse a vender a un consumidor por ejercer sus derechos en virtud de la ley CCPA. Las empresas también deben tener al menos dos métodos para que los residentes de California puedan hacer solicitudes, incluyendo un número de teléfono gratuito y una dirección de sitio web si la empresa mantiene un sitio web en línea.
Sanciones por incumplimiento
Las empresas que no remedien las violaciones de la ley CCPA en un plazo de 30 días a partir de la notificación pueden enfrentarse a multas de 2,500 a 7,500 dólares por incidente, dependiendo de si la violación fue intencional o involuntaria. La CCPA también crea una acción civil que los clientes pueden invocar, con daños estatutarios entre $100 y $750 «por consumidor por incidente o daños reales, lo que sea mayor». Cal. Civ. Code § 1798.150(a)(1) (2018). Los clientes pueden solicitar una indemnización por daños y perjuicios además de las medidas declaratorias o cautelares. Ver id.
¿Qué debo hacer con mi negocio en la Florida?
Considere estos pasos para que su empresa se asegure de cumplir con la ley CCPA:
Siga los datos
Audite sus datos para obtener una comprensión completa de toda la información personal que su empresa recopila. Luego, siga o rastree cómo su empresa maneja la información que actualmente recopila de clientes, empleados y contactos comerciales en California. Considere la forma en que su empresa recopila, almacena y mantiene los datos y, a continuación, observe todas sus relaciones comerciales entre empresas y asegúrese de que cualquier tercero también cumpla con la ley CCPA.
- Adapte un programa de la CCPA
Su empresa tendrá que aplicar una política de privacidad y un plan de gestión de datos para toda la información personal que la empresa recopile. Las empresas que entran en el ámbito de la CCPA tendrán que notificar a los clientes antes de recopilar datos, ya sea en persona, en línea o por teléfono. Su empresa deberá mantener registros de cómo responden los consumidores y los procedimientos para responder a las solicitudes de información, eliminación y exclusión voluntaria. Pero el uso de una política que se corta/pega de Internet, o un generador de políticas de privacidad, no funcionará para su programa de la CCPA. Su empresa tendrá que trabajar en colaboración con los equipos de ventas, marketing, comercial y legal para garantizar que sus políticas y procedimientos de privacidad cumplan con la CCPA.
- Capacite a los empleados
Después de desarrollar sus políticas de privacidad y el plan de gobierno de datos, es hora de capacitar a los empleados. Su empresa tendrá que asegurarse de que todos los empleados cumplan con la ley CCPA.
- Actualice cuando sea necesario
Según la ley CCPA, las empresas deben actualizar las políticas de privacidad en línea al menos cada 12 meses. Las regulaciones actuales también requieren que estas políticas sean razonablemente accesibles para aquellos con discapacidades y que cumplan con las Directrices de Accesibilidad de Contenido Web.
Si tiene preguntas sobre la CCPA y cómo afecta a su negocio en Florida, contacte a los abogados de Boyer Law Firm, P.L. Tenemos abogados especialistas en derecho comercial y podemos proporcionarle una consulta.