Encabezado del blog sobre el cumplimiento de la protección de datos
Encabezado del blog sobre el cumplimiento de la protección de datos

¿Ha recibido el año nuevo con confeti y una nueva política de privacidad de la CCPA?

Stacey Garrett |

Los californianos pasaron el 1 de enero de 2020 como la mayoría de los estadounidenses: haciendo (y rompiendo) propósitos de Año Nuevo, viendo los partidos de bowl de fútbol americano universitario y despidiendo 2019.

Pero los californianos también se despertaron ese día con los nuevos derechos de privacidad que les otorgaba la Ley de Privacidad del Consumidor de California, una ley de privacidad pionera en Estados Unidos que otorga a las personas el derecho a conocer, acceder y eliminar la información personal que las empresas recopilan sobre ellas.

Para las empresas sujetas a la CCPA, la Ley impone una serie de obligaciones de cumplimiento a partir del 1 de enero de 2020 (piense en ellas como resoluciones obligatorias de Año Nuevo). Estas obligaciones son tan singulares que el Fiscal General de California, Xavier Becerra, invocó recientemente Star Trek para describirlas, diciendo que la nueva ley de privacidad de California va "donde nadie ha ido antes."

Los requisitos de la Política de Privacidad de la CCPA son un ejemplo perfecto de ello: son complicados, numerosos y, en algunos casos, nunca antes vistos. En este blog, exploramos los elementos requeridos de una Política de Privacidad conforme a la CCPA y analizamos cómo las empresas pueden navegar por esta nueva frontera.

Objetivos de la política de privacidad

Según la CCPA, el objetivo de una política de privacidad es proporcionar a los consumidores una descripción completa de las prácticas en línea y fuera de línea de una empresa en relación con la recogida, uso, divulgación y venta de información personal, y de los derechos de los consumidores en relación con su información personal. (La referencia a las "prácticas fuera de línea" significa que la política de privacidad también debe describir la información personal que la empresa recoge...). sin conexión(por ejemplo, en relación con el uso de cámaras de seguridad y circuitos cerrados de televisión).

Libro electrónico: Protección de datos: ¿Por qué es tan importante ahora? ¿Por qué deben prestar atención los equipos jurídicos?

"Fácil de leer", "comprensible" y accesible para todos

La política de privacidad también debe ser "fácil de leer" y "comprensible" para un consumidor medio. (Dada la cantidad de información que debe figurar en la Política de Privacidad, se trata de una tarea más fácil de decir que de hacer).

La política de privacidad debe utilizar un lenguaje sencillo y directo. Debe tener un formato que llame la atención del consumidor y haga legible la política, y debe estar disponible en la lengua o lenguas en que la empresa suministra habitualmente contratos y anuncios a los consumidores.

Política de privacidad también debe ser accesible para los consumidores con discapacidad y debe estar disponible para que los consumidores puedan imprimirlo como documento aparte.

Pro Tip #1:

La política de privacidad exigida por la CCPA se suma a las políticas de privacidad exigidas por otras leyes de California, como la Ley de Protección de la Privacidad en Línea de California ("CalOPPA").

Claro, pero ¿qué debe hacer la política de privacidad de la CCPA? Diga?

Prepárate. La lista es larga. La Política de Privacidad debe:

1 - Explicar que un consumidor tiene derecho a solicitar que la empresa revele qué información personal recopila, utiliza, revela y vende. Para ello, la política de privacidad debe:

  • Proporcionar instrucciones para presentar una solicitud de información verificable del consumidor y proporcionar enlaces a un formulario de solicitud en línea o a un portal para realizar la solicitud, si la empresa lo ofrece;
  • Describir el proceso que la empresa utilizará para verificar la solicitud del consumidor, incluida cualquier información que el consumidor deba facilitar. Si no existe un método razonable por el que una empresa pueda verificar la identidad del consumidor con el grado de certeza exigido por la CCPA y este es el caso de todos los consumidores cuyos datos personales obran en poder de la empresa, la política de privacidad deberá indicarlo;
  • Describir las prácticas de la empresa en relación con la recogida de información personal. La política de privacidad debe:
    • Describa las categorías de información personal que la empresa ha recopilado sobre los consumidores en los 12 meses anteriores.
    • Para cada categoría de información personal recopilada, indique las categorías de fuentes de las que se recopiló dicha información (es decir, del consumidor o de alguna otra fuente de terceros), los fines empresariales o comerciales para los que se recopiló la información y las categorías de terceros con los que la empresa comparte la información personal.
  • Describir las prácticas de la empresa en relación con la divulgación o venta de información personal. La política de privacidad debe:
    • Indique si la empresa ha revelado o vendido información personal a terceros con fines empresariales o comerciales en los últimos 12 meses;
    • Enumere las categorías de información personal, en su caso, que haya revelado o vendido a terceros con fines empresariales o comerciales en los 12 meses anteriores; y
    • Indique si la empresa vende o no información personal de menores de 16 años sin autorización expresa.

2 - Explicar que un consumidor tiene derecho a solicitar la eliminación de su información personal recopilada o conservada por la empresa. La política de privacidad debe:  

A. Proporcionar instrucciones para presentar una solicitud verificable de eliminación por parte del consumidor y proporcionar enlaces a un formulario de solicitud en línea o a un portal para realizar la solicitud, si la empresa lo ofrece; y

B. Describa el proceso que la empresa utilizará para verificar la solicitud del consumidor, incluida cualquier información que el consumidor deba facilitar.

Pro Tip #2:

La política de privacidad de la CCPA debe actualizarse al menos una vez cada 12 meses.

3 - Describir el derecho del consumidor a optar por no vender su información personal. Para ello, la política de privacidad debe:

A. Proporcionar instrucciones para presentar una solicitud verificable de eliminación por parte del consumidor y proporcionar enlaces a un formulario de solicitud en línea o a un portal para realizar la solicitud, si la empresa lo ofrece; y

B. Describa el proceso que la empresa utilizará para verificar la solicitud del consumidor, incluida cualquier información que el consumidor deba facilitar.

4 - Explicar que el consumidor tiene derecho a no ser tratado de forma diferente porque ha ejercido los derechos de privacidad que le confiere la CCPA;

5 - Explicar cómo un consumidor puede designar a un agente autorizado para presentar una solicitud en virtud de la CCPA en nombre del consumidor;

6 - Proporcionar a los consumidores un contacto al que puedan dirigirse. pueden dirigir preguntas o dudas sobre la las políticas y prácticas de privacidad de la empresa;

7 - Indique la fecha de la última actualización de la política de privacidad.

8 - Si una empresa sola o en combinación anualmente compra, recibe, vende o comparte la información personal de 4 millones de consumidores o más, la Política de Privacidad también debe informar de las siguientes métricas correspondientes al año natural anterior:

A. El número de solicitudes de conocimiento, supresión y exclusión que la empresa recibió, atendió total o parcialmente y denegó; y

B. El número medio de días en que la empresa respondió sustancialmente a las solicitudes de información, de supresión y de exclusión voluntaria.

Publicación de la política de privacidad

Las empresas deben publicar su política de privacidad de la CCPA en la página de inicio de su sitio web (o en la página de aterrizaje de una aplicación móvil) mediante un enlace bien visible con la palabra "privacidad". Las empresas que no dispongan de sitio web deberán poner la política de privacidad a disposición de los consumidores de forma visible (por ejemplo, colocándola en un lugar visible de la empresa).

¿Aún no tiene una política de privacidad CCPA?

La lista de "imprescindibles" de la Política de Privacidad de la CCPA es, cuando menos, desalentadora. Pero no tire la toalla si su empresa no ha podido publicar una política de privacidad conforme a la CCPA antes del 1 de enero de 2020.

El Fiscal General Becerra ha declarado que su oficina "verá con buenos ojos" a las empresas que demuestren un esfuerzo de buena fe por cumplir la ley, mientras que su oficina "dará ejemplo" a las empresas que no operen correctamente. Así que siga así. Y larga y próspera vida.

[bctt tweet="El fiscal general de California ha dicho que su oficina "dará ejemplo" a las empresas que no operen correctamente con arreglo a la CCPA." via="yes"]