Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

¿Qué es la Ley de Privacidad del Consumidor de California (CCPA)?

Inicio Glosario ¿Qué es la Ley de Privacidad del Consumidor de California (CCPA)?

La CCPA (Ley de Privacidad del Consumidor de California) es una ley de privacidad de datos promulgada en 2018 para proteger la información personal identificable (PII) de los residentes de California. La ley entró en vigor en enero de 2020. El objetivo legislativo de la CCPA fue combatir el aumento de incidentes de violaciones de datos en las industrias de tecnología, medios, entretenimiento y telecomunicaciones.

La CCPA asegura que los residentes de California tengan control sobre cómo las empresas manejan su PII. También garantiza que las empresas respeten las solicitudes de los residentes de California sobre el acceso y eliminación de su PII, así como la capacidad de optar por no compartir y vender su información personal.

Non-public Information

¿Qué es el Cumplimiento de la CCPA?

Modelada tras el Reglamento General de Protección de Datos de la Unión Europea (GDPR), la CCPA establece que las empresas que recopilan PII de los residentes de California deben proporcionar información sobre cómo se recopilan los datos. También tiene similitudes con la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA). Para que una empresa asegure que cumple, puede necesitar ajustar su política de privacidad para incluir:

  • La información que una empresa recopila y procesa
  • La razón por la cual se recopila y procesa la información
  • Métodos utilizados para recopilar y procesar información personal
  • Lo que los residentes necesitan hacer para solicitar acceso, cambiar, mover o eliminar sus datos personales
  • El método que se utilizará para verificar la identidad de la persona que presenta dicha solicitud
  • La venta de la PII de los usuarios y cómo pueden optar por no vender sus datos

¿Cuál es el Alcance Geográfico de la CCPA?

La CCPA es una ley de privacidad de datos a nivel estatal pero se aplica a empresas de todo el mundo, siempre que manejen PII perteneciente a residentes de California. La ley se considera una de las leyes de privacidad más estrictas en los Estados Unidos.

Organizaciones que Deben Cumplir con la CCPA

La CCPA se aplica a todas las empresas con fines de lucro que recopilan y controlan PII perteneciente a residentes de California. También se aplica a empresas con fines de lucro en California que cumplen con cualquiera de los siguientes criterios:

  • Ingresos anuales brutos superiores a 25 millones de dólares estadounidenses
  • El 50% o más de los ingresos anuales provienen de la venta de PII perteneciente a residentes de California
  • Compra, recibe o vende la PII de 50,000 o más residentes de California, hogares o dispositivos anualmente

Organizaciones No Sujetas a la CCPA

La CCPA no se aplica a organizaciones sin fines de lucro, empresas más pequeñas que no cumplen con los umbrales de ingresos y aquellas que no manejan grandes cantidades de PII de residentes de California.

Otras situaciones donde la CCPA no se aplica incluyen:

Cuando No Se Involucra PII

El enfoque principal de la CCPA es la PII. La información disponible públicamente, es decir, la información legalmente disponible de registros gubernamentales federales, estatales y locales, no está sujeta a la CCPA.

Cuando Se Aplican Otras Leyes y Regulaciones

Otras regulaciones sobre protección de datos ya gobiernan algunas industrias. Tales leyes incluyen la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), la Ley Gramm-Leach-Bliley (GLBA) y la Ley de Informe de Crédito Justo (FCRA). La CCPA exime los datos que ya están cubiertos por estas leyes.

Disposiciones Clave de la CCPA

Aunque la CCPA se compara con el GDPR, tiene una definición de cumplimiento normativo mucho más amplia. La CCPA define los datos protegidos de PII como aquellos que “identifican, se relacionan con, describen, pueden asociarse con, o podrían vincularse razonablemente a una persona en particular.”

La CCPA otorga a los residentes de California el derecho de solicitar a una empresa que divulgue cualquiera de los siguientes:

  • Todos los datos recopilados sobre el consumidor
  • Categorías de fuentes de las cuales se recopila la información
  • El propósito comercial para recopilar esa información
  • Cualquier tercero con el que se comparta la información

Para las empresas, la CCPA define el propósito comercial como el uso de información personal para operaciones comerciales, siempre que su uso sea razonablemente necesario y proporcional para lograr el propósito para el cual se recopiló o procesó la información. Según la CCPA, el propósito comercial incluye:

  1. Auditoría relacionada con una interacción actual con un consumidor y transacciones posteriores con el consumidor
  2. Monitoreo y detección de incidentes de seguridad, protección contra actividades ilegales y enjuiciamiento de los responsables de tales actividades
  3. Uso a corto plazo de información personal siempre que la información no se divulgue a un tercero y no se use para crear un perfil sobre un consumidor o alterar de otro modo la experiencia de un consumidor individual fuera de la interacción actual
  4. Realización de investigaciones internas sobre un negocio para el desarrollo tecnológico
  5. Provisión de servicios en nombre del negocio, como mantenimiento de cuentas, servicio al cliente, procesamiento de pedidos y transacciones, verificación de datos del cliente, procesamiento de pagos, provisión de publicidad o marketing, y servicios analíticos
  6. Provisión de servicios para verificar o mantener la calidad o seguridad de un servicio o dispositivo para el negocio

Información Personal Bajo la CCPA

La CCPA asegura los derechos de privacidad y protección del consumidor de los residentes de California respecto a su PII:

  • El nombre real de una persona, alias, dirección postal, identificador personal único, identificador en línea, dirección de protocolo de internet, dirección de correo electrónico, nombre de cuenta, número de Seguro Social, número de licencia de conducir o número de pasaporte
  • Información comercial como registros de propiedad personal, compras, historiales de compra o consumo, o tendencias
  • Datos biométricos
  • Información de actividad en internet como historial de navegación, historial de búsqueda e información sobre la interacción de un consumidor con un sitio web, aplicación o anuncio
  • Datos de geolocalización
  • Información de audio, electrónica, visual, térmica, olfativa o similar
  • Información profesional o relacionada con el empleo
  • Información educativa siempre que la información no esté disponible públicamente
  • Inferencias extraídas para crear un perfil sobre un consumidor para reflejar la identidad, preferencias, características, tendencias, comportamiento, actitudes y habilidades del consumidor

Penalidades y Multas por Incumplimiento de la CCPA

El incumplimiento de la CCPA conlleva penalidades financieras y multas. Según la CCPA, el Fiscal General de California puede imponer una multa máxima de $7,500 por violación por ignorar intencionalmente los mandatos de la CCPA, lo cual se considera incumplimiento intencional. No cifrar los datos de usuario que fueron accedidos durante una violación, lo cual podría considerarse como incumplimiento no intencional, conlleva una multa de $2,500 por violación.

La CCPA también otorga a los consumidores un derecho privado de acción en caso de una violación de datos debido a incumplimiento. Los consumidores pueden demandar a una empresa por daños legales en tal violación. Antes de proceder, un consumidor debe notificar a una empresa de una violación y darles 30 días para abordar la violación. En caso de que la empresa no aborde la violación dentro del período, se convierten en sujetos de daños legales de hasta $750 por consumidor afectado.

Pasos para Cumplir con la CCPA

Hay varios pasos que las organizaciones deben seguir para cumplir y permanecer en cumplimiento con la CCPA:

1. Establecer la Obligación Comercial con la CCPA

La CCPA protege a cualquier ser humano natural que sea residente de California. La CCPA manda que los residentes de California tienen derecho a saber qué PII recopilan las empresas sobre ellos y cómo usan esos datos. Una empresa debe permitir al cliente optar por no usar esa información y asegurarse de que puedan obtener una copia de la información que posee la empresa a solicitud.

2. Mapear Todos los Datos del Consumidor Retenidos y Recopilados

Una vez que una empresa determina que está obligada a cumplir con la CCPA, el siguiente paso es mapear toda la PII bajo el control de la empresa.

3. Evaluar Todos los Terceros con los que se Envía y/o Recibe Datos del Consumidor

El siguiente paso es hacer lo mismo con todos los terceros con los que una empresa comparte PII. Como parte de la administración de riesgos de terceros (TPRM) de una organización, necesitan verificar que cada uno de estos terceros cumpla con la CCPA. Esto incluye revisar y actualizar la política de privacidad.

4. Facilitar a los Consumidores el Ejercicio de sus Derechos Según la CCPA

El siguiente paso es crear procesos y procedimientos que los consumidores puedan usar para ejercer sus derechos según lo previsto en la CCPA.

5. Identificar e Implementar Cualquier Cambio Operacional Necesario

Algunos cambios operacionales en el negocio pueden ser necesarios para acomodar la CCPA. Tales cambios incluyen cómo se recopila y maneja la información del consumidor, cómo se manejarán las solicitudes de los consumidores y cómo ocurre el cumplimiento continuo.

6. Capacitar a los Empleados

El paso final es capacitar a los empleados sobre cómo el cumplimiento afecta a tu negocio y cómo esto impacta el manejo de los datos del consumidor. Los equipos deben ser capacitados sobre cómo la CCPA define a un consumidor, qué define como información personal y cómo responder a las solicitudes de los consumidores.

Comparando la CCPA con el GDPR

La CCPA y el GDPR son leyes que regulan cómo las organizaciones dentro de sus respectivas jurisdicciones manejan la PII. Ambas leyes otorgan a los individuos un mayor poder sobre cómo las empresas gestionan su información personal.

La CCPA se aplica a empresas que participan en actividades con fines de lucro y manejan, recopilan o procesan información personal para residentes de California. El GDPR, por otro lado, otorga a los residentes de la Unión Europea (UE) control sobre cómo las empresas recopilan y usan su información personal. El GDPR es vinculante de manera uniforme en los 27 estados miembros de la UE. A continuación, se presenta una visión general rápida de la comparación entre la CCPA y el GDPR (adaptado del documento de Baker Law):

¿Qué es la CPRA?

En 2020, se promulgó la Ley de Privacidad del Consumidor de California. La Ley de Derechos de Privacidad de California (CPRA) es una enmienda a la CCPA que entra en vigor en enero de 2023 con la aplicación activada en julio de 2023. La CPRA enmienda la CCPA para incluir más derechos de privacidad para los residentes de California. Aunque la ley principalmente ofrece las mismas protecciones bajo la CCPA, actualiza algunas de sus disposiciones e introduce varias otras.

La CPRA establece la Agencia de Protección de la Privacidad de California para ser responsable de implementar y hacer cumplir esta ley. También retiene al fiscal general como la autoridad de aplicación civil.

Comunicaciones de Contenido Sensible y la CCPA

Las empresas del sector privado deben rastrear, controlar y asegurar las comunicaciones digitales de PII perteneciente a residentes de California para cumplir con la CCPA. Históricamente, las empresas dependen de numerosas herramientas para las comunicaciones de contenido sensible: enfoques aislados para los diferentes canales de comunicación (correo electrónico, uso compartido de archivos, transferencia de archivos, transferencia de archivos administrada, formularios web e interfaces de programación de aplicaciones [APIs]). Esto crea una bifurcación de metadatos que dificulta a las organizaciones instituir una gobernanza centralizada y automatizada de PII y mantener un enfoque de gestión integrada de riesgos.

La plataforma Kiteworks consolida las comunicaciones digitales de datos confidenciales como la PII en una Red de Contenido Privado. Kiteworks unifica, rastrea, controla y asegura la PII compartida y enviada dentro, hacia y desde una organización, lo que ayuda a asegurar el cumplimiento normativo de la CCPA.

Para obtener más información sobre cómo Kiteworks puede crear una Red de Contenido Privado para tu organización, programar una demostración personalizada adaptada a su entorno.

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks