5 conclusiones de la normativa CCPA "definitiva" de California

1 - Ya lo sabemos: los 25 millones no tienen por qué generarse en California

Durante dos años, los profesionales han debatido si una empresa está sujeta a la CCPA si opera en California, recopila información personal, determina qué hacer con ella y tiene unos ingresos brutos de más de 25 millones de dólares, pero sólo una fracción de esos ingresos se genera a partir de consumidores de California (sí, ¡somos muy divertidos en los cócteles!).

La OAG ha dejado claro que la CCPA no se limita a los ingresos generados en California o procedentes de residentes en California.

2 - Las políticas de privacidad deben contener una descripción de los derechos de los consumidores, incluso de los que no se aplican

En la última ronda de comentarios previos a la normativa definitiva, algunos solicitaron a la OAG que aclarase que no se debería exigir a una empresa que informase a los consumidores sobre su derecho a eliminar información si toda la información personal en poder de la empresa estaba exenta de la obligación de eliminación previa solicitud.

Del mismo modo, las empresas pidieron a la OAG que aclarara que si una empresa no vende información personal, no necesita incluir una explicación del derecho de exclusión en su política de privacidad. No, dijo la OAG. Las políticas de privacidad de la CCPA deben incluir una descripción de los derechos de los consumidores, incluso cuando la empresa no tenga que atender la solicitud.

3 - La normativa final alivia algunas cargas empresariales

Desde el punto de vista del cumplimiento de la normativa, hay buenas noticias:

• Las empresas que operan exclusivamente en línea y que tienen una relación directa con los consumidores de los que recogen información ya no están obligadas a proporcionar a los consumidores un número de teléfono gratuito para presentar sus solicitudes de información, supresión y exclusión voluntaria. Estas empresas sólo están obligadas a facilitar una dirección de correo electrónico para las solicitudes de información y supresión.
• Las empresas siguen estando obligadas a acusar recibo de las solicitudes de los consumidores en un plazo de 10 días, pero pueden hacerlo del mismo modo en que reciben la solicitud. En otras palabras, las empresas pueden automatizar su proceso de acuse de recibo para que éste se envíe instantáneamente tras la recepción de la solicitud del consumidor.
• Las empresas que eliminan información de los consumidores ya no están obligadas a informar a los consumidores de cómo se eliminó su información.
• En determinadas circunstancias, las empresas ni siquiera están obligadas a buscar datos personales en respuesta a una solicitud de información. Esta subsección se añadió para aliviar la carga de las empresas cuando éstas mantienen datos no estructurados o que no se pueden buscar, la información se mantiene únicamente con fines legales o de cumplimiento, la empresa no vende la información ni la utiliza con fines comerciales, y la empresa describe al consumidor las categorías de registros que pueden contener información personal que no buscó porque cumple estas condiciones.

4 - La normativa final de la CCPA define por fin "accesible"

Las versiones anteriores de la normativa CCPA exigían que los avisos y las políticas de privacidad CCPA fueran "razonablemente accesibles para las personas con discapacidad". La versión final explica que, en el caso de los avisos y las políticas de privacidad publicados en línea, las empresas deben seguir las normas generalmente reconocidas del sector, como las Pautas de Accesibilidad al Contenido en la Web (WCAG) versión 2.1.

5 - El uso de la información personal por parte de los proveedores de servicios se limita a la prestación de servicios.

Aunque la CCPA permite a las empresas transferir información personal a "proveedores de servicios" sin que la transferencia constituya una "venta" de los datos personales, era un poco vaga en cuanto a lo que los proveedores de servicios podían hacer con la información personal una vez que la obtuvieran. Ahora, la normativa final prohíbe expresamente a los proveedores de servicios conservar, utilizar o divulgar información personal obtenida en el ejercicio de su función de "proveedor de servicios", salvo en la medida necesaria para prestar servicios de conformidad con su contrato escrito y en otras cuatro circunstancias limitadas.

¿Qué será lo próximo, California?

El 3 de noviembre de 2020, los votantes de California tendrán la oportunidad de votar sobre la Ley de Derechos de Privacidad de California de 2020, una nueva ley de privacidad que es similar a la CCPA pero con algunos añadidos (piense en ella como "CCPA 2.0"). Entre otras cosas, la CPRA crearía una nueva entidad reguladora con un presupuesto de 10 millones de dólares (la "Agencia de Protección de la Privacidad de California") para sustituir a la oficina del fiscal general como regulador de la aplicación de la CPRA. La CPRA también otorgaría a los consumidores derechos adicionales, exigiría a las empresas celebrar contratos con todas las entidades a las que la empresa revele información personal y eliminaría el actual período de "subsanación" de 30 días de la CCPA.

Y como buena noticia para las empresas, la CPRA ampliaría las limitaciones de la CCPA para empleados y empresas a empresas hasta el 1 de enero de 2023. Las encuestas actuales muestran que la CPRA cuenta con un 90% de aprobación entre los votantes de California. (Por cierto, las exenciones para empleados y B2B gozan de un amplio apoyo. El 2 de septiembre de 2020, la legislatura de California votó a favor de ampliar las exenciones actuales para empleados y B2B hasta el 1 de enero de 2022, incluso si la CPRA no es aprobada por los votantes (AB 1281). El gobernador Gavin Newsom tiene hasta el 30 de septiembre de 2020 para firmar la ley AB 1281).

[bctt tweet="Los votantes de California tendrán la oportunidad de votar la Ley de Derechos de Privacidad de California de 2020, una nueva ley de privacidad similar a la CCPA pero con algunos añadidos." via="yes"]