CCPA Blog Post Header
CCPA Blog Post Header

La fiebre del oro de las demandas colectivas en California

Stacey Garrett |

La Ley de Privacidad del Consumidor de California (CCPA) está en vigor desde el 1 de enero de 2020, y ha pegado fuerte.

Al igual que los buscadores de oro que llegaron a California en 1948 con la esperanza de hacerse ricos, en los cinco primeros meses de 2020, los abogados han presentado solicitudes de asilo. al menos 19 demandas colectivas alegando violaciones de la CCPA.

La veta madre

¿Por qué se han presentado tan pronto tantas demandas colectivas? Porque la CCPA ha aumentaron las posibles consecuencias de una violación de datos al permitir a los consumidores de California reclamar daños y perjuicios legales de entre $100 y $750 por consumidor y por incidente o daños y perjuicios reales, lo que sea mayor.

La disponibilidad de indemnizaciones legales es una poderoso incentivo. Aunque los consumidores ya tenían derecho a interponer una demanda en virtud de la ley de violación de datos de California, a menudo les resultaba difícil demostrar los daños reales causados por la violación de datos. La indemnización legal elimina este obstáculo.

Automatización del flujo de trabajo de TAP para las necesidades de su empresa

La solución flexible, intuitiva y sin código para usuarios empresariales.

Los daños legales pueden acumularse rápidamente. Si, por ejemplo, los daños legales de la CCPA se aplicaron a las violaciones de datos reportadas en el sitio web de violación de datos del Fiscal General de California para los años 2014 - 2016, los acusados podrían haber estado mirando a daños legales agregados de $37,5 mil millones (calculado en $750 por consumidor e infracción).¹ Eso sí que es un lote de incentivo.

Intentando hacerse rico

Las reclamaciones presentadas en las demandas colectivas de la CCPA también son propias del Lejano Oeste. Aunque técnicamente la CCPA limita las demandas privadas a las reclamaciones derivadas de la violación de información personal sensible como resultado de la no aplicación y mantenimiento de prácticas de seguridad razonables por parte de la empresa, las primeras demandas CCPA presentadas hasta ahora van más allá, lo que refleja que los abogados de los demandantes están dispuestos a poner a prueba los límites de la CCPA. Las demandas de consumidores que invocan la CCPA se dividen generalmente en dos categorías:

  • Casos de violación de datos (acceso no autorizado y exfiltración, robo o divulgación de información personal sensible como consecuencia de que la empresa no haya aplicado y mantenido prácticas de seguridad razonables). Estas reclamaciones están expresamente autorizadas por la CCPA.
  • Casos de violación de los procedimientos de la CCPA relativos a la privacidad de los datos. IEn estos casos, los demandantes alegan que la empresa incumplió un requisito de procedimiento de la CCPA (como no notificar la información personal que se recopila y los terceros con los que se comparte la información, o no dar a los consumidores el derecho a optar por no vender la información), y utilizan esto como base para presentar demandas por infracción de la CCPA y otras leyes, como las leyes de competencia desleal de California, otras leyes de protección de los consumidores y demandas de derecho común. Por lo general, este tipo de demandas pretenden obtener una indemnización por daños y perjuicios y medidas cautelares. Queda por ver si este tipo de demandas sobrevivirán a una moción de desestimación, dado que la CCPA establece expresamente que nada de lo dispuesto en ella se interpretará como base de un derecho de acción privado en virtud de cualquier otra ley.

Reivindicación

Las empresas pueden tomar cuatro medidas para mitigar el riesgo de ser objeto de una demanda colectiva CCPA y de daños y perjuicios legales:

1. Minimizar los datos. Si no necesita los datos y no está obligado a conservarlos, deshágase de ellos. Si no están en su sistema, no pueden ser violados. (Recuerda, no obstante, que California y otros estados tienen leyes sobre eliminación de datos que exigen que los registros que contengan información personal se eliminen de forma segura).

2 Cifrar los datos sensibles. El derecho de acción privada de la CCPA en caso de violación de datos y la indemnización legal por daños y perjuicios sólo se aplican a la violación de información personal sensible no cifrada y no suprimida.

3. Aplicar y mantener procedimientos de seguridad razonables. La CCPA exige que la violación se haya producido "como consecuencia del incumplimiento por parte de la empresa de la obligación de aplicar y mantener procedimientos y prácticas de seguridad razonables". Aunque la CCPA no define los "procedimientos de seguridad razonables", existen muchos marcos de seguridad reconocidos.

4. Curar el problema. La CCPA exige que el demandante que pretenda obtener una indemnización por daños y perjuicios notifique por escrito a la empresa, con 30 días de antelación, las disposiciones específicas de la CCPA que el consumidor alega que se han infringido. Si la empresa subsana la infracción en el plazo de 30 días y proporciona al consumidor una declaración escrita de que se han subsanado las infracciones y de que no se producirán más infracciones, el consumidor no podrá iniciar una acción por daños y perjuicios. Por supuesto, la CCPA no define lo que significa "subsanar" una infracción.

Sea lo que sea lo que signifique "curar", "curar" puede resultar más difícil si una nueva ley de derechos de privacidad de California -la Ley de Derechos de Privacidad de California- es aprobado por los votantes de California en noviembre de 2020. La CPRA fue redactada por el autor de la CCPA y a menudo se la conoce como "CCPA 2.0". Pero la CPRA haría más difícil para las empresas "curar" una violación de datos porque la CPRA establece expresamente que la aplicación y el mantenimiento de procedimientos y prácticas de seguridad razonables después de una infracción no constituye una subsanación con respecto a dicha infracción. Si los votantes aprueban la CPRA (y las primeras encuestas muestran un índice de aprobación de 90%), la CPRA entrará en vigor el 1 de enero de 2023.

Sólo el principio

Las demandas colectivas de los consumidores son sólo el primer zapato que cae en el marco de aplicación de la CCPA. Además, a partir del 1 de julio de 2020, el fiscal general de California puede iniciar acciones de aplicación, y la oficina del fiscal general ha dejado claro que los procedimientos de aplicación incluirán hechos ocurridos ya en enero de 2020.

La oficina del AG puede solicitar sanciones civiles de hasta $2,500 por cada violación y hasta $7,500 por cada violación intencional de la CCPA. Para tener una idea de la magnitud de estas cifras, si la sanción de $7,500 se aplicara por consumidor por incidente para las violaciones reportadas en la violación de datos de la AG para 2014 - 2016, el resultado sería de $375 mil millones en riesgo total de aplicación de la AG.²

Va a ser un salvaje paseo.

¹Fuente: Estimado por Dominique Shelton Leipzig, socia de Privacidad y Seguridad y copresidenta de Ad Tech Privacy & Data management, Perkins Coie, LLP en un vídeo de 7 minutos publicado en Data Breach Today (11 de marzo de 2020).

²Id.

[bctt tweet="Insertar cita aquí" via="no"]