En junio de 2018, California abrió nuevos caminos al ser el primer estado del país en promulgar una ley integral de privacidad de datos.
La nueva ley, denominada Ley de Privacidad del Consumidor de CaliforniaLa CCPA, que entró en vigor el 1 de enero de 2020, otorga a los californianos nuevos e importantes derechos para controlar su información personal y exige que las empresas cubiertas por la CCPA sean transparentes sobre cómo recopilan, utilizan y comparten esa información. La ley entrará en vigor el 1 de enero de 2020, es decir, dentro de dos meses.
Aunque los consumidores californianos acogieron con satisfacción las ideas de transparencia y control, la CCPA, tal como se aprobó originalmente, era difícil de manejar para las empresas. La ley tenía más de 10.000 palabras, se redactó en menos de una semana y en algunos casos era desesperadamente vaga.
Contenía incoherencias y referencias cruzadas a secciones que no existían. Decir que la CCPA necesitaba una buena edición y pulido es, cuando menos, quedarse corto. La Legislatura de California subsanó algunos de estos errores de redacción con enmiendas menores a principios de este año.
Más recientemente, el estado de California ha proporcionado algunas buenas noticias y orientación a las empresas en forma de dos importantes enmiendas a la CCPA y un proyecto de reglamento de aplicación publicado por la oficina del Fiscal General. En este artículo, desglosamos estas dos enmiendas y cómo alivian -pero no eliminan- la carga de cumplimiento para las empresas sujetas a la CCPA. En próximos posts, examinaremos el proyecto de reglamento de aplicación publicado el 10 de octubre de 2019 y lo que significan para las empresas.
Dos modificaciones recientes de la CCPA
El 11 de octubre de 2019, el gobernador Gavin Newsom firmó dos enmiendas que limitaron significativamente la aplicación de la CCPA durante un año. A menudo se hace referencia a estas enmiendas como la "exención de empleados" y la exención de "empresa a empresa" (o B2B), pero la palabra "exención" exagera su efecto. En su lugar, estas enmiendas limitan algunos derechos de la CCPA (y obligaciones empresariales) para estos grupos durante un año. Ambos grupos tendrán plenos derechos en virtud de la CCPA a partir del 1 de enero de 2021 (a menos que la CCPA se modifique de nuevo antes de esa fecha).
> La excepción limitada a algunos derechos de los trabajadores durante un año
La Ley 25 de la Asamblea modificó la CCPA para excluir de algunos derechos de la CCPA durante un año la información personal que las empresas recopilan sobre solicitantes de empleo, empleados, propietarios, directores, funcionarios y contratistas. Esta enmienda se incorporó a la CCPA en el artículo 1798.145(h) del Código Civil. Como resultado de la enmienda, los solicitantes de empleo y los empleados no tendrán derecho a presentar una solicitud para conocer o una solicitud para eliminar la información que su empleador o antiguo empleador haya recopilado sobre ellos hasta el 1 de enero de 2021.
Pero no se equivoque, a partir del 1 de enero de 2020 -de nuevo, dentro de sólo dos meses- los solicitantes de empleo y los empleados tendrán algunos derechos en virtud de la CCPA. En primer lugar, las empresas sujetas a la CCPA estarán obligadas a entregar a los solicitantes de empleo y a los empleados un "Aviso en el momento de la recogida" que informe a los solicitantes de empleo y a los empleados de (1) las categorías de información personal que la empresa recoge sobre ellos, y (2) la finalidad para la que se utilizará la información. El Aviso en el momento de la recogida debe entregarse al solicitante de empleo o al empleado en el momento de la recogida de la información o antes .
Esto significa que si una empresa cubierta acepta solicitudes de empleo o currículos de candidatos en línea, la empresa debe dar al solicitante un aviso en el momento de la recogida (a través de una ventana emergente o un enlace) en el momento o antes de que el solicitante rellene una solicitud de empleo o cargue un currículo. Del mismo modo, los empleados actuales tendrán derecho a un aviso en el momento de la recogida para informarles de las categorías de información personal que la empresa recoge sobre ellos mientras están en el trabajo, y los fines para los que se utiliza.
El derecho a una notificación en el momento de la recogida no es el único derecho que tendrán los solicitantes de empleo y los empleados en virtud de la CCPA a partir de enero de 2020. Los solicitantes de empleo y los empleados también tienen derecho a demandar a las empresas si su información personal sensible no cifrada y no suprimida (como el número de la seguridad social, el número del permiso de conducir, información médica o información sobre el seguro de enfermedad) se vulnera como consecuencia de la obligación de la empresa de aplicar y mantener procedimientos y prácticas de seguridad razonables. En caso de una violación de datos de este tipo, la CCPA permite a los consumidores -incluidos los solicitantes de empleo y los empleados- recuperar los daños reales o los daños legales de 100 a 750 dólares por consumidor, por incidente, lo que sea mayor. Se trata de un cambio radical, ya que California es el único estado del país que prevé indemnizaciones legales en caso de violación de datos.
[bctt tweet="California es el único estado del país que prevé indemnizaciones legales en caso de violación de datos." username="MitratechLegal"]
> La excepción "de empresa a empresa" también es limitada y expira en un año
La segunda modificación más notable de la CCPA es el proyecto de ley 1335 de la Asamblea, que excluye la información personal recogida por una empresa cuando se comunica con un consumidor que actúa en nombre de otra organización, y la comunicación se produce únicamente en el contexto de una transacción comercial. En otras palabras, las personas cuya información personal se recoge en un contexto empresarial, o en un canal B2B, no tienen los derechos conferidos por la CCPA a un aviso en el momento de la recogida, o el derecho a acceder o eliminar su información personal.
Esta enmienda se incorporó a la CCPA en el artículo 1798.145(n)(1) del Código Civil. Pero, al igual que la excepción limitada para los datos de los empleados comentada anteriormente, sería un error pensar que la información personal recopilada en un contexto B2B está "exenta" por completo de la CCPA. Al igual que los solicitantes de empleo y los empleados, una persona cuya información personal sensible se recoge en un contexto B2B tiene derecho a demandar por daños y perjuicios reales y legales si su información sensible es violada en una forma no cifrada o no redactada debido a la incapacidad de la empresa para aplicar y mantener procedimientos y prácticas de seguridad razonables.
Y, al igual que la enmienda de los empleados, la exclusión de los datos recogidos en B2B de los derechos a saber y suprimir expirará el 1 de enero de 2021, lo que significa que los consumidores cuya información personal se recoja en un contexto B2B tendrán plenos derechos CCPA a partir de esa fecha (a menos que la ley se modifique de nuevo).
Próximamente: propuestas de reglamento
El 10 de octubre de 2019, la oficina del Fiscal General de California emitió reglamentos propuestos que proporcionan a las empresas orientación específica con respecto a: (1) los avisos que las empresas deben proporcionar a los consumidores en virtud de la CCPA; (2) las prácticas de la empresa para manejar las solicitudes de los consumidores realizadas de conformidad con la CCPA; (3) las prácticas de la empresa para verificar la identidad del consumidor que realiza esas solicitudes; (4) las prácticas de la empresa con respecto a la información personal de los menores, y (5) el ofrecimiento de incentivos financieros por parte de la empresa. El período de comentarios públicos sobre los reglamentos propuestos se cierra el 6 de diciembre de 2019.
Hablaremos de cada uno de ellos en próximas entradas del blog.
