Última guía para el cumplimiento de la Ley de Privacidad del Consumidor de California (CCPA)

La Ley de Privacidad del Consumidor de California de 2018 (CCPA) es una ley adoptada por California para proteger los datos y la confidencialidad de sus residentes. El CCPA no reemplaza las leyes actuales sobre la confidencialidad de California, pero trabajará con ellas. Según CCPA, las empresas deben estar más avanzadas en términos de lo que recopilan y cómo se usan. También deben obtener el consentimiento de menores antes de vender su información. Además, los usuarios ahora pueden evitar que las empresas vendan sus datos. Sin embargo, CCPA no significa que ya no pueda vender la información del usuario que recopila. Sin embargo, cuando se trata de habitantes de California, deberá saltar a través de algunos círculos más.
El CCPA entra en vigor el 1 de enero de 2020, pero las compañías tienen hasta el 1 de julio de 2020 para cumplir por completo. Esta no es una excusa para posponer esto. Sin embargo, debido a que las acciones de aplicación no comenzarán durante varios meses, las empresas tienen tiempo para adaptar sus políticas, procesos y sitio web. ¿Qué considera el CCPA “datos personales”? Los datos personales representan cualquier cosa que describe o identifique a una persona o que de alguna manera esté relacionada con una persona o hogar. Que incluye:
Correos electrónicos
Informacion de Empleo
geolocalización
Direcciones IP
nombre
Desde un punto de vista técnico, la información disponible para el público no es considerada los datos personales por el CCPA. Sin embargo, esta es un área tan gris, y es mejor cometer errores de la conformidad total, en lugar de arriesgarse. Además, incluso si los datos personales de un usuario están disponibles para el público, esto no se aplica a todos los demás usuarios. El CCPA afecta a su negocio si recopila y procesa datos de los residentes en California. Su empresa o empresa matriz o sucursal también debe cumplir con uno o más de los siguientes:
Su ingreso bruto anual es de $ 25 millones o más
Cada año, compre, reciba o venda datos personales de 50,000 o más dispositivos en California, hogares o residentes
Un mínimo del 50% de sus ingresos anuales provienen de la venta de datos personales de residentes de California
No tiene que tener una compañía de California para cumplir con estos umbrales. Los residentes de California pueden visitar su sitio web, sin importar dónde esté operando su negocio. Las empresas en otros estados de los Estados Unidos, así como las empresas de todo el mundo, deben considerar CCPA.
Tampoco importa el tamaño de su negocio, solo la referencia a los umbrales. Incluso las empresas en solitario y las pequeñas empresas tienen que alinearse en el CCPA. Sin embargo, las empresas que procesan datos para 4 millones o más consumidores deben cumplir con los requisitos adicionales. Por ejemplo, tienen orientaciones más estrictas cuando se trata de mantener registros. Si alcanza un umbral, pero no recopila datos (no tiene una herramienta de seguimiento en su sitio web), es técnicamente compatible con CCPA. Por otro lado, si recopila información de los clientes de California, pero aún no cumple con los umbrales, continuará pagando el CCPA. Si su negocio crece rápidamente, podría superar accidentalmente los ingresos de $ 25 millones o 50,000 residentes en California antes de respetar el CCPA. ¿Cómo es un residente de California? Según la legislación de California, un residente es una persona que:
Se encuentra en California por algo más que una razón temporal o transitoria
Vive en California, incluso si actualmente no está en el estado debido a una razón temporal o transitoria
Una persona puede vivir en California y no ser residente o vivir fuera de California y continuar siendo residente. Para protegerse, respete el CCPA si tiene alguna razón para creer que gran parte de su negocio proviene de residentes en California. Cómo hacer su negocio compatible con el CCPA para cumplir con los requisitos del CCPA, su negocio debe tomar más pasos, muchos de los cuales requerirán un cambio de políticas y procesos. Así es como puede hacer que su negocio sea compatible con CCPA:
Actualice su política de privacidad para aclarar cómo recopila, usa y cambia sus datos es que ya tiene una política de privacidad, pero se necesitará algo compatible con CCPA. Básicamente, su política de privacidad le dice a los usuarios qué datos recopila y qué hace con él. Para CCPA, deberá ser más transparente que antes con respecto a sus prácticas de datos. Estas son las finalizaciones para hacer su política de privacidad: qué, por qué y cómo recopila y procesa su información personal.
La forma en que los usuarios pueden acceder, modificar o eliminar sus datos personales que ha recopilado
Su método para verificar la identidad de un usuario que realiza una de estas solicitudes
La forma en que se venden los datos personales y cómo un usuario puede dejar de vender sus datos personales
Tenga en cuenta que estos son los requisitos mínimos del CCPA. Si cree que hay más información sobre el proceso de recopilación de datos que los usuarios quieren saber, agrégalos.
Obtenga el consentimiento de los menores necesitará obtener el consentimiento de menores entre las edades de 13 y 16 años o de los padres de los niños menores de 13 años. Puede solicitar el consentimiento incluso cuando lleguen a su sitio web o antes de vender sus datos. En cualquier caso, no puede vender sus datos antes de obtener su consentimiento. Almacene todas las respuestas que reciba, incluso si el usuario ha rechazado el consentimiento. Además de los menores, no necesita el consentimiento del usuario antes de recopilar y usar los datos. Permitir a los usuarios cambiar su información, parte del CCPA brinda a los usuarios de California la oportunidad de acceder, cambiar, mover o eliminar sus datos personales. Debe crear un método para que los usuarios envíen este tipo de solicitudes, y uno de estos métodos debe ser un número gratuito. Luego, puede agregar un formulario de contacto a su sitio web o proporcionar un correo electrónico o dirección postal. Verifique la identidad del usuario al hacer una solicitud una vez que los usuarios estén en contacto para cambiar su información, necesita una forma de verificar si son las que digo que son. sobre. No puede solicitar la prueba de identificación a través de un documento emitido por el gobierno, como la licencia de conducir. En su lugar, puede usar el mismo tipo de autenticación que usó cuando esa persona envió sus datos. También puede intentar verificar su identidad pidiéndoles que confirme la información que han proporcionado en el pasado.
Si la empresa no puede verificar la identidad del usuario, debe cumplir lo mejor posible. Por ejemplo, suponga que un usuario desea eliminar la información, pero la empresa no puede verificar la identidad del usuario. En lugar de eliminar su información, los mantienen, pero permiten al usuario renunciar a la venta de información. Si no hay forma de cumplir, la compañía puede rechazar la solicitud. Agregue un enlace “No venda mi información personal” en su página inicial, deberá colocar un “No venda mi información personal” en un lugar visible en la página principal de su sitio web. Esto si los usuarios pueden hacer clic si desean evitar que venda sus datos personales. El proceso de renunciar a la venta de datos de usuarios debe ser lo más simple y fácil posible. La Compañía también debe responder a las solicitudes de renuncia. De acuerdo con la hoja de información oficial de CCPA, “… Las empresas deben tratar la configuración de confidencialidad activada por el usuario que indique la elección del consumidor de renunciar como una solicitud transmitida válida”.
Tampoco puede pedir a los usuarios que creen una cuenta para que puedan rendirse.Aunque algunas compañías pueden solicitar una cuenta como un medio de identificación del usuario, el CCPA evita que esto sea un requisito previo para la renuncia.Si el usuario ya tiene una cuenta y, por lo tanto, puede verificar su identidad, está bien.Mantenga registros de turnos con los clientes que las empresas deben realizar un seguimiento de las solicitudes de todos los usuarios y también deben registrarse y guardar las respuestas de sus usuarios.Mantenga sus registros durante al menos 24 meses;Para estar más seguros, manténgalos sin cesar.
No discrimine en base a las solicitudes de confidencialidad de CCPA, dicen que las empresas no pueden discriminar a los usuarios si ejercen sus derechos de privacidad. Esto significa que si un usuario dice que no puede vender sus datos, no puede rechazar sus servicios o no puede ajustar sus precios. Es posible que una empresa proporcione un incentivo a las personas que permiten la venta de sus datos. En este caso, debe revelar detalles sobre el incentivo, incluida la forma en que calcula el valor de los datos personales. Sanciones por no complemento con el CCPA Si no cumple con el CCPA hasta el 1 de julio de 2020, el Fiscal General le notificará. Tendrá 30 días para responder y conocer el cumplimiento. Si no se ajusta a sí mismo en estos 30 días, podría ser un proceso civil en su contra. A partir de ahí, podría recibir una multa de $ 7,500 por violación, lo que significa para cada usuario en California. Por ejemplo, si recopila datos de 2,000 residentes en California, puede recibir una multa de 7,500 x 2,000 USD, lo que significa un total de $ 15,000,000. ¡Esta es una factura que definitivamente querrá evitar! Las diferencias entre CCPA y GDPR, mientras que las guías CCPA suenan similares a GDPR, los dos tienen diferencias clave. Incluso si su negocio es actualmente compatible con GDPR, eso no significa que sea automáticamente compatible con CCPA. Es posible cumplir con algunas pautas de CCPA, pero no todas. Algunas de las pautas de CCPA que pueden superar el GDPR son: agregar un enlace “no vende mi información personal” en la página inicial

Creación de un método para que los usuarios soliciten cambios o eliminen la información que loridifica la identidad de la persona al hacer este tipo de solicitud
Obtener el acuerdo de menores antes de vender su información
Aunque es posible que ya tenga parte del proceso configurado para el GDPR, deberá verificar si sus métodos también están de acuerdo con CCPA. Hay pequeñas pero importantes diferencias entre los dos. Por ejemplo, según CCPA, debe mostrar las categorías de información personal que ha vendido por un período de 12 meses; Este no es un requisito de GDPR. Por otro lado, CCPA no tiene consentimiento para las cookies que tiene GDPR. Pensamientos finales Su primer paso es evaluar si su negocio debe cumplir con el CCPA a partir del 1 de enero de 2020. o considerar si su negocio aumentará hasta el punto en que tendrá que estar en el futuro. Si es así, es mejor hacer que todo esté disponible ahora, para que no tenga que apresurarse más tarde y arriesgarse a ser multado. La forma en que configuró su sitio web para cumplir con el CCPA depende de sus procesos y fuerza laboral actuales. Puede automatizar tanto como sea posible o, si no espera demasiados cambios o solicitudes de eliminación, puede tener algunos empleados que respondan directamente a los usuarios. Si aún no tiene una política de privacidad, esta es una excelente oportunidad para escribir una, si le preocupa o no. Consulte nuestro artículo sobre cómo crear una política de privacidad para su sitio web. Imagen presentada por Sammby / Shutterstock.com