Para la CCPA, el nuevo Reglamento de la AG es un manual práctico

La experta en privacidad de datos Stacey Garrett, de KY&L, continúa su serie sobre la CCPA.

Stacey Garrett 3 de diciembre de 2019

Sí, la Ley de Privacidad del Consumidor de California está realmente en marcha. A medida que el reloj avanza hacia el 1 de enero de 2020, fecha de entrada en vigor de la Ley de Privacidad del Consumidor de California, muchas empresas se están haciendo a la idea de que la CCPA no va a desaparecer.

De hecho, es justo lo contrario: la CCPA -y las obligaciones que impone a las empresas cubiertas- acaba de hacerse muy, muy real.

Las empresas saben desde hace más de un año que la CCPA otorga a los consumidores el derecho a saber qué datos personales recogen sobre ellos y cómo se utilizan. La CCPA también da a los consumidores el derecho a optar por la no venta de su información personal a terceros, y da a los consumidores el derecho a solicitar que las empresas eliminen su información personal. Las empresas cubiertas por la CCPA también sabían que la CCPA les exigiría hacer algo para reconocer estos nuevos derechos.

Pero, ¿qué es exactamente? La oficina del Fiscal General de California intentó responder a esa pregunta el 10 de octubre de 2019 cuando emitió un proyecto de reglamento para implementar la CCPA (disponible aquí). (El proyecto de reglamento está sujeto a un período de comentarios públicos que finaliza el 6 de diciembre de 2019).

Aunque el proyecto de reglamento no resuelve todas las cuestiones, ofrece a las empresas algunas orientaciones específicas sobre sus obligaciones de cumplimiento. Se trata, en otras palabras, de un manual práctico para crear un programa de cumplimiento.

Libro electrónico: Protección de datos: ¿Por qué es tan importante ahora? ¿Por qué deben prestar atención los equipos jurídicos?

La obligación de transparencia: Las notificaciones son obligatorias

La CCPA exige que las empresas informen a los consumidores sobre la información que recopilan, cómo la utilizan y si la comparten o venden a terceros. La CCPA también exige que las empresas informen a los consumidores de la existencia de sus derechos en virtud de la CCPA y de cómo ejercerlos. La CCPA cumple estos objetivos exigiendo que las empresas proporcionen a los consumidores varios avisos por escrito :

Aunque cada uno de los avisos tiene una finalidad distinta, todos deben utilizar un lenguaje sencillo y directo y evitar la jerga técnica o jurídica.
También deben tener un formato que llame la atención del consumidor y haga que los avisos sean legibles, incluso en pantallas más pequeñas.
Los avisos deben estar disponibles en la(s) lengua(s) en la(s) que la empresa, en su actividad habitual, proporciona contratos, cláusulas de exención de responsabilidad, anuncios de venta y otra información a los consumidores.
Las notificaciones deben ser accesibles a los consumidores con discapacidad o, como mínimo, deben proporcionar información sobre cómo un consumidor con discapacidad puede acceder a la notificación en un formato alternativo. (Las Pautas de Accesibilidad al Contenido en la Web [WCAG] 2.0 son la norma generalmente reconocida para determinar la accesibilidad de los sitios web).

¿Está su empresa sujeta a la CCPA?

No todas las organizaciones están obligadas a cumplir la CCPA. La CCPA se aplica a las organizaciones con ánimo de lucro que operan en California, que recopilan información personal de los consumidores y que determinan cómo se utiliza la información y que cumplen uno de los tres umbrales siguientes: (1) tienen unos ingresos brutos anuales superiores a 25 millones de dólares; (2) solas o combinadas, compran, reciben, venden o comparten anualmente con fines comerciales la información personal de 50.000 consumidores o más; o (3) obtienen el 50% o más de sus ingresos anuales de la venta de información personal de los consumidores.

Tres notificaciones exigidas por la CCPA

La CCPA exige que las empresas faciliten tres notificaciones a los consumidores: (1) una Notificación en el momento de la recogida de información personal, (2) una Notificación del derecho a oponerse a la venta de información personal, y (3) una Notificación de incentivos financieros.

1 - Aviso en el momento de la recogida de datos personales

La finalidad de la notificación en el momento de la recogida es informar a los consumidores de las categorías de datos personales que la empresa recogerá de ellos y de los fines para los que se utilizarán. La Notificación en el momento de la recogida debe entregarse al consumidor en el momento de la recogida o antes.

El aviso de recogida debe contener:

(1) Una lista de las categorías de información personal sobre los consumidores que se recopilará;

(2) Para cada categoría de información personal, los fines empresariales o comerciales para los que se utilizará la información;

(3) Si la empresa vende información personal, un enlace titulado "No venda mi información personal", o en avisos fuera de línea, la dirección web donde se puede encontrar el enlace "No venda"; y

(4) Un enlace a la política de privacidad de la empresa.

El Aviso en el momento de la recogida debe estar visible o accesible donde los consumidores puedan verlo antes de que se recoja cualquier información personal. Cuando una empresa recopila información personal de los consumidores en línea, puede publicar de forma visible un enlace al Aviso en el momento de la recopilación en la página de inicio del sitio web de la empresa o en la página de descarga de la aplicación móvil, o en todas las páginas web en las que se recopila información personal.

Cuando una empresa recopila información personal de los consumidores fuera de Internet, puede incluir el aviso en los formularios impresos que recopilan la información, proporcionar al consumidor una versión en papel del aviso en el momento de la recopilación o colocar un cartel destacado que dirija a los consumidores a la dirección de Internet donde puede encontrarse el aviso.

CCPA Ciberseguridad GRC Signo

Hay mucho en juego en el aviso de recogida porque la CCPA prohíbe a las empresas recoger categorías de información personal distintas de las reveladas en el aviso de recogida. Si la empresa tiene la intención de recoger categorías adicionales de información personal, la CCPA exige que la empresa proporcione un nuevo aviso en el momento de la recogida en el momento de recoger la información adicional o antes.

Si una empresa no entrega a los consumidores un aviso en el momento de la recogida, tal como exige la CCPA, se le prohíbe recoger información personal del consumidor. Es importante señalar que, como comentamos en el último artículo deesta serie, los solicitantes de empleo, los empleados, los contratistas independientes y los trabajadores temporales tienen derecho a recibir un aviso en el momento de la recogida.

2 - Notificación del derecho a oponerse a la venta de información personal

El objetivo de la notificación del derecho de exclusión voluntaria de la venta de información personal es informar a los consumidores de su derecho a ordenar a una empresa que venda (o pueda vender en el futuro) su información personal que deje de venderla y que se abstenga de venderla en el futuro.

La notificación del derecho de exclusión voluntaria debe contener:

(1) Una descripción del derecho del consumidor a oponerse a la venta de su información personal;

(2) El formulario web mediante el cual el consumidor puede presentar su solicitud de exclusión voluntaria en línea o, si la empresa no dispone de un sitio web, el método fuera de línea mediante el cual el consumidor puede presentar su solicitud de exclusión voluntaria;

(3) Instrucciones para cualquier otro método por el que el consumidor pueda presentar su solicitud de exclusión voluntaria;

(4) Cualquier prueba exigida cuando un consumidor recurre a un agente autorizado para ejercer su derecho de exclusión; y

(5) Un enlace o la URL a la política de privacidad de la empresa, o la página web donde los consumidores pueden acceder a la política de privacidad.

Las empresas cubiertas que venden información personal de los californianos deben ofrecer un enlace claro y visible en su página de inicio de Internet titulado "No venda mi información personal", que permita al consumidor optar por no vender su información personal. La Fiscalía General de California está trabajando en la creación de un botón o logotipo uniforme de exclusión voluntaria que puedan utilizar las empresas.

3 - Notificación de incentivo financiero

El objetivo del aviso de incentivo financiero es explicar al consumidor cada incentivo financiero o diferencia de precio o servicio que una empresa pueda ofrecer a cambio de la conservación o venta de la información personal de un consumidor, de modo que éste pueda tomar una decisión informada sobre su participación.

La notificación del incentivo financiero debe contener:

(1) Un resumen sucinto del incentivo financiero o de la diferencia de precio del servicio ofrecido;

(2) Una descripción de las condiciones materiales del incentivo de precio, incluidas las categorías de información personal que están implicadas por el incentivo financiero o la diferencia de precio o servicio;

(3) Cómo puede el consumidor optar por el incentivo financiero o la diferencia de precio o servicio;

(4) Notificación del derecho del consumidor a retirarse del incentivo financiero en cualquier momento, y cómo puede ejercer ese derecho; y

(5) Una explicación de por qué el incentivo financiero o la diferencia de precio o servicio están permitidos en virtud de la CCPA, incluyendo:

Una estimación de buena fe del valor de los datos del consumidor que constituye la base para ofrecer el incentivo financiero o la diferencia de precio o servicio; y
Descripción del método utilizado por la empresa para calcular el valor de los datos del consumidor.

El aviso de incentivo económico debe estar disponible en línea o en otro lugar físico donde los consumidores puedan verlo antes de optar por el incentivo económico, el precio o la diferencia de servicio. Si la empresa ofrece el incentivo financiero en línea, el aviso de incentivo financiero puede facilitarse mediante un enlace a la sección de la política de privacidad de la empresa que contiene la información requerida.

[bctt tweet="La oficina del fiscal general de California está trabajando en un botón o logotipo uniforme de exclusión voluntaria de la CCPA para que las empresas lo utilicen en sus sitios web." via="yes"]

A continuación: Políticas de privacidad de la CCPA

El tren de la transparencia sigue en marcha en nuestro próximo post, donde hablaremos de las nuevas, numerosas, únicas y muy específicas divulgaciones requeridas para las políticas de privacidad conformes con la CCPA.

(Alerta de spoiler: no hay una "talla única").

Stacey Garrett

Stacey Garrett es accionista de Keesal, Young & Logan (www.kyl.com) y está ubicada en Long Beach, California. Stacey está certificada por la Asociación Internacional de Profesionales de la Privacidad en las áreas de derecho de la privacidad de Estados Unidos y la Unión Europea, y también posee certificaciones en gestión de la privacidad y tecnología. Stacey se licenció magna cum laude en la Facultad de Derecho Hastings de la Universidad de California y es miembro de la Orden de la Cofia. Stacey está habilitada para ejercer la abogacía en California, Nevada y ante el Tribunal Supremo de los Estados Unidos.Conecte con Stacey en LinkedIn en www.linkedin.com/in/stacey-myers-garrett-kyl

Soluciones sectoriales