La fiebre del oro de las demandas colectivas en California

Stacey Garrett of Keesal, Young & Logan explains what’s in store.

Stacey Garrett
Stacey Garrett Junio 1, 2020 6 min leer
CCPA Blog Post Header

La Ley de Privacidad del Consumidor de California (CCPA) está en vigor desde el 1 de enero de 2020, y ha pegado fuerte.

Al igual que los buscadores de oro que llegaron a California en 1948 con la esperanza de hacerse ricos, en los cinco primeros meses de 2020 los abogados han presentado al menos 19 demandas colectivas alegando infracciones de la CCPA.

La veta madre

¿Por qué se han presentado tan pronto tantas demandas colectivas? Porque la CCPA ha aumentado significativamente las posibles consecuencias de una violación de datos al permitir a los consumidores de California reclamar daños y perjuicios legales de entre 100 y 750 dólares por consumidor y por incidente o daños reales, lo que sea mayor.

La disponibilidad de indemnizaciones legales es un poderoso incentivo. Aunque los consumidores ya tenían derecho a interponer una demanda en virtud de la ley de violación de datos de California, a menudo les resultaba difícil demostrar los daños reales causados por la violación de datos. Las indemnizaciones legales eliminan este obstáculo.

Automatización del flujo de trabajo de TAP para las necesidades de su empresa

La solución flexible, intuitiva y sin código para usuarios empresariales.

Consigue la Guía

Los daños legales pueden acumularse rápidamente. Si, por ejemplo, los daños legales de la CCPA se aplicaran a las violaciones de datos reportadas en el sitio web de violación de datos del Fiscal General de California para los años 2014 - 2016, los acusados podrían haber estado buscando daños legales agregados de 37.500 millones de dólares (calculados a 750 dólares por consumidor por violación).¹ Ahora eso es un montón de incentivos.

Intentando hacerse rico

Las reclamaciones presentadas en las demandas colectivas de la CCPA también son propias del Lejano Oeste. Aunque técnicamente la CCPA limita las demandas privadas a las reclamaciones derivadas de la violación de información personal sensible como resultado de la no aplicación y mantenimiento de prácticas de seguridad razonables por parte de la empresa, las primeras demandas CCPA presentadas hasta ahora van más allá, lo que refleja que los abogados de los demandantes están dispuestos a poner a prueba los límites de la CCPA. Las demandas de consumidores que invocan la CCPA se dividen generalmente en dos categorías:

  • Casos de violación de datos (acceso no autorizado y exfiltración, robo o divulgación de información personal sensible como consecuencia de que la empresa no haya aplicado y mantenido prácticas de seguridad razonables). Estas demandas están expresamente autorizadas por la CCPA.
  • Casos en los que se alegan infracciones de los procedimientos de la CCPA relativos a la privacidad de los datos. Enestos casos, los demandantes alegan que la empresa incumplió un requisito de procedimiento de la CCPA (como no notificar la información personal que se recopila y los terceros con los que se comparte la información, o no dar a los consumidores el derecho a excluirse voluntariamente de la venta de la información), y utilizan esto como base para hacer valer reclamaciones que alegan infracciones de la CCPA y otras leyes, como las leyes de competencia desleal de California, otras leyes de protección de los consumidores y reclamaciones de derecho consuetudinario. Por lo general, este tipo de demandas pretenden obtener una indemnización por daños y perjuicios y medidas cautelares. Queda por ver si este tipo de demandas sobrevivirán a una moción de desestimación, dado que la CCPA establece expresamente que nada de lo dispuesto en ella se interpretará como base de un derecho de acción privado en virtud de cualquier otra ley.

Reivindicación

Las empresas pueden tomar cuatro medidas para mitigar el riesgo de ser objeto de una demanda colectiva en virtud de la CCPA y de una indemnización por daños y perjuicios:

1. Minimice los datos. Si no necesita los datos y no está obligado a conservarlos, deshágase de ellos. Si no están en su sistema, no pueden ser violados. (Recuerde, no obstante, que California y otros estados tienen leyes sobre eliminación de datos que exigen que los registros que contengan información personal se eliminen de forma segura).

2 Cifrar los datos sensibles. El derecho de acción privada de la CCPA para las violaciones de datos y los daños y perjuicios legales sólo se aplican a la violación de información personal sensible no cifrada y no suprimida.

3. Aplicar y mantener procedimientos de seguridad razonables. La CCPA exige que la violación se haya producido "como consecuencia del incumplimiento por parte de la empresa de la obligación de implantar y mantener procedimientos y prácticas de seguridad razonables". Aunque la CCPA no define "procedimientos de seguridad razonables", existen muchos marcos de seguridad reconocidos.

4. Subsanar el problema. La CCPA exige que el demandante que desee obtener una indemnización por daños y perjuicios entregue a la empresa una notificación por escrito con 30 días de antelación en la que se indiquen las disposiciones específicas de la CCPA que el consumidor alega que se han infringido. Si la empresa subsana la infracción en el plazo de 30 días y proporciona al consumidor una declaración por escrito de que se han subsanado las infracciones y de que no se producirán más infracciones, el consumidor no podrá iniciar una acción por daños y perjuicios. Por supuesto, la CCPA no define lo que significa "subsanar" una infracción.

Independientemente de lo que signifique "curar", "curar" puede volverse más difícil si los votantes de California aprueban una nueva ley de derechos de privacidad en California-la Ley de Derechos de Privacidad de California-en noviembre de 2020. La CPRA fue redactada por el autor de la CCPA y a menudo se la conoce como "CCPA 2.0". Pero la CPRA haría más difícil para las empresas "curar" una violación de datos porque la CPRA establece expresamente que la implementación y el mantenimiento de procedimientos y prácticas de seguridad razonables después de una violación no constituye una cura con respecto a esa violación. Si los votantes aprueban la CPRA (y las primeras encuestas muestran un índice de aprobación del 90%), la CPRA entrará en vigor el 1 de enero de 2023.

Sólo el principio

Las demandas colectivas de consumidores son sólo el primer paso en el marco de aplicación de la CCPA. Además, a partir del 1 de julio de 2020, el fiscal general de California puede iniciar acciones de aplicación, y la oficina del fiscal general ha dejado claro que los procedimientos de aplicación incluirán hechos ocurridos ya en enero de 2020.

La oficina del AG puede solicitar sanciones civiles de hasta $ 2,500 por cada violación y hasta $ 7,500 por cada violación intencional de la CCPA. Para hacerse una idea de la magnitud de estas cifras, si se aplicara la sanción de 7.500 dólares por consumidor e incidente a las infracciones notificadas en el informe de infracción de datos de la Fiscalía General de 2014 a 2016, el resultado sería un riesgo total de 375.000 millones de dólares para la Fiscalía General.

Va a ser un viaje salvaje.

¹Fuente: Estimación de Dominique Shelton Leipzig, socia de Privacy & Security y copresidenta de Ad Tech Privacy & Data management, Perkins Coie, LLP en vídeo de 7 minutos publicado en Data Breach Today (11 de marzo de 2020).

²Id.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.