¿Recibiste el Año Nuevo con confeti... y una nueva política de privacidad de la CCPA?

Stacey Garrett, de KY&L, explica por qué es tan importante implementarlo.

Cumplimiento de la normativa de privacidad de datos Encabezado de la entrada del blog

Los californianos pasaron el 1 de enero de 2020 como la mayoría de los estadounidenses: haciendo (y rompiendo) propósitos de Año Nuevo, viendo partidos de fútbol americano universitario y despidiéndose de 2019.

Pero los californianos también se despertaron ese día con nuevos derechos de privacidad que se les concedieron como resultado de la Ley de Privacidad del Consumidor de California, una ley de privacidad pionera en Estados Unidos que otorga a las personas el derecho a conocer, acceder y eliminar la información personal que las empresas recopilan sobre ellas.

Para las empresas sujetas a la CCPA, la ley impone una serie de obligaciones de cumplimiento a partir del 1 de enero de 2020 (piénsese en ellas como propósitos obligatorios de Año Nuevo). Estas obligaciones son tan singulares que el fiscal general de California, Xavier Becerra, invocó recientemente Star Trek para describirlas, afirmando que la nueva ley de privacidad de California va «donde nadie ha ido antes».

Los requisitos de la Política de privacidad de la CCPA son un ejemplo perfecto de ello: son complicados, numerosos y, en algunos casos, nunca antes se habían visto. En este blog, exploramos los elementos necesarios para que una Política de privacidad cumpla con la CCPA y analizamos cómo las empresas pueden navegar por esta nueva frontera.

Objetivos de la política de privacidad

Según la CCPA, el objetivo de una política de privacidad es proporcionar a los consumidores una descripción exhaustiva de las prácticas online y offline de una empresa en lo que respecta a la recopilación, el uso, la divulgación y la venta de información personal, así como de los derechos de los consumidores en relación con su información personal. (La referencia a «prácticas offline» significa que la política de privacidad también debe describir la información personal que la empresa recopila offline, por ejemplo, en relación con el uso de cámaras de seguridad y circuitos cerrados de televisión).

Libro electrónico: Protección de datos: ¿Por qué es tan importante ahora? ¿Por qué deben prestar atención los equipos jurídicos?

«Fácil de leer», «comprensible» y accesible para todos.

La Política de privacidad también debe ser «fácil de leer» y «comprensible» para un consumidor medio. (Dada la cantidad de información que debe contener la Política de privacidad, es una tarea más fácil de decir que de hacer).

La Política de privacidad debe utilizar un lenguaje sencillo y directo. Debe tener un formato que llame la atención del consumidor y facilite su lectura, y debe estar disponible en el idioma o idiomas en los que la empresa suele proporcionar los contratos y anuncios a los consumidores.

La Política de privacidad también debe ser accesible para los consumidores con discapacidades y debe estar disponible para que los consumidores puedan imprimirla como un documento independiente.

Consejo profesional n.º 1:

La Política de privacidad exigida por la CCPA se suma a las políticas de privacidad exigidas por otras leyes de California, como la Ley de Protección de la Privacidad en Línea de California («CalOPPA»).

Claro, pero ¿qué debe decir la política de privacidad de la CCPA?

Prepárense. Es una lista larga. La Política de privacidad debe:

1 • Explique que el consumidor tiene derecho a solicitar que la empresa revele qué información personal recopila, utiliza, divulga y vende. Para ello, la Política de privacidad debe:

  • Proporcione instrucciones para enviar una solicitud verificable del consumidor para conocer y proporcione enlaces a un formulario de solicitud en línea o portal para realizar la solicitud, si lo ofrece la empresa.
  • Describa el proceso que utilizará la empresa para verificar la solicitud del consumidor, incluida cualquier información que este deba proporcionar. Si no existe ningún método razonable mediante el cual una empresa pueda verificar la identidad del consumidor con el grado de certeza exigido por la CCPA y este es el caso de todos los consumidores cuya información personal obra en poder de la empresa, la Política de privacidad deberá indicarlo.
  • Describa las prácticas de la empresa en relación con la recopilación de información personal. La Política de privacidad debe:
    • Describir las categorías de información personal que la empresa ha recopilado sobre los consumidores en los últimos 12 meses; y
    • Para cada categoría de información personal recopilada, indique las categorías de fuentes de las que se recopiló dicha información (es decir, del consumidor o de alguna otra fuente externa), los fines empresariales o comerciales para los que se recopiló la información y las categorías de terceros con los que la empresa comparte información personal.
  • Describa las prácticas de la empresa en relación con la divulgación o venta de información personal. La Política de privacidad debe:
    • Indique si la empresa ha divulgado o vendido información personal a terceros con fines comerciales o empresariales en los últimos 12 meses.
    • Enumere las categorías de información personal, si las hubiera, que haya divulgado o vendido a terceros con fines comerciales o empresariales en los últimos 12 meses; y
    • Indique si la empresa vende o no la información personal de menores de 16 años sin autorización expresa.

2 • Explique que el consumidor tiene derecho a solicitar la eliminación de su información personal recopilada o conservada por la empresa. La Política de privacidad debe:  

A. Proporcionar instrucciones para enviar una solicitud verificable del consumidor para eliminar y proporcionar enlaces a un formulario de solicitud en línea o portal para realizar la solicitud, si lo ofrece la empresa; y

B. Describa el proceso que utilizará la empresa para verificar la solicitud del consumidor, incluida cualquier información que este deba proporcionar.

Consejo profesional n.º 2:

La Política de privacidad de la CCPA debe actualizarse al menos una vez cada 12 meses.

3 • Describir el derecho del consumidor a optar por no vender su información personal. Para ello, la Política de privacidad debe:

A. Proporcionar instrucciones para enviar una solicitud verificable del consumidor para eliminar y proporcionar enlaces a un formulario de solicitud en línea o portal para realizar la solicitud, si lo ofrece la empresa; y

B. Describa el proceso que utilizará la empresa para verificar la solicitud del consumidor, incluida cualquier información que este deba proporcionar.

4 • Explique que el consumidor tiene derecho a no ser tratado de manera diferente por haber ejercido los derechos de privacidad que le confiere la CCPA.

5 • Explique cómo un consumidor puede designar a un agente autorizado para que presente una solicitud en virtud de la CCPA en su nombre.

6 • Proporcione a los consumidores un contacto al que puedan pueden dirigir sus preguntas o inquietudes sobre políticas y prácticas de privacidad de la empresa.

7 • Indique la fecha de la última actualización de la política de privacidad.

8 • Si una empresa, por sí sola o en combinación, compra, recibe, vende o comparte la información personal de 4 millones o más de consumidores, la Política de Privacidad también debe informar de las siguientes métricas para el año natural anterior:

A. El número de solicitudes de acceso, supresión y exclusión voluntaria que la empresa recibió, atendió total o parcialmente y denegó; y

B. El número medio de días en los que la empresa respondió de manera sustantiva a las solicitudes de información, solicitudes de eliminación y solicitudes de exclusión voluntaria.

Publicación de la Política de privacidad

Las empresas están obligadas a publicar su Política de privacidad de la CCPA en la página de inicio de su sitio web (o en la página de destino de una aplicación móvil) mediante un enlace visible que incluya la palabra «privacidad». Las empresas que no dispongan de sitio web deberán poner la política de privacidad a disposición de los consumidores de forma visible (por ejemplo, publicándola en un lugar visible en las instalaciones de la empresa).

¿Aún no tienes una política de privacidad conforme a la CCPA?

La lista de requisitos imprescindibles de la Política de privacidad de la CCPA es, como mínimo, abrumadora. Pero no se rinda si su empresa no ha podido publicar una Política de privacidad que cumpla con la CCPA antes del 1 de enero de 2020.

El fiscal general Becerra ha declarado que su oficina «tratará con benevolencia» a las empresas que demuestren un esfuerzo de buena fe por cumplir la ley, mientras que «dará ejemplo» con las empresas que no operen correctamente. Así que sigan así. Y que tengan una vida larga y próspera.