Cómo afectan las dos nuevas enmiendas a la CCPA a las obligaciones de cumplimiento de las empresas

En junio de 2018, California abrió nuevos caminos al ser el primer estado del país en promulgar una ley integral de privacidad de datos.

La nueva ley, denominada Ley de Privacidad del Consumidor de CaliforniaLa CCPA, que entró en vigor el 1 de enero de 2020, otorga a los californianos nuevos e importantes derechos para controlar su información personal y exige que las empresas cubiertas por la CCPA sean transparentes sobre cómo recopilan, utilizan y comparten esa información. La ley entrará en vigor el 1 de enero de 2020, es decir, dentro de dos meses.

Aunque los consumidores californianos acogieron favorablemente las ideas de transparencia y control, la CCPA, tal como se aprobó en un principio, resultaba difícil de manejar para las empresas. La ley contaba con más de 10.000 palabrasfue redactado en menos de una semana y en algunos casos era desesperadamente vago.

Contenía incoherencias y referencias cruzadas a secciones que no existían. Decir que la CCPA necesitaba una buena edición y pulido es, cuando menos, quedarse corto. La Legislatura de California subsanó algunos de estos errores de redacción con enmiendas menores a principios de este año.

Más recientemente, el Estado de California ha dado buenas noticias y orientaciones a las empresas en forma de dos enmiendas importantes a la CCPA y el proyecto de reglamento de aplicación publicado por la Fiscalía General. En este artículo, analizamos estas dos modificaciones y cómo alivian -aunque no eliminan- la carga que supone el cumplimiento de la ley para las empresas sujetas a la CCPA. En Próximamente puestos, examinaremos la proyecto de reglamento de aplicación publicadas el 10 de octubre de 2019 y lo que significan para las empresas.

Dos modificaciones recientes de la CCPA

El 11 de octubre de 2019, el gobernador Gavin Newsom firmó dos enmiendas que restringió significativamente la aplicación de la CCPA durante un año. A menudo se hace referencia a estas enmiendas como la "exención de los empleados" y la exención de "empresa a empresa" (o B2B), pero la palabra "exención" exagera su efecto. Más bien, estas enmiendas limitan algunos derechos de la CCPA (y obligaciones empresariales) para estos grupos durante un año. Ambos grupos tendrán derecho a completo Derechos CCPA a partir del 1 de enero de 2021 (a menos que la CCPA se modifique de nuevo antes de esa fecha).

> El limitado excepción para algunos derechos de los trabajadores durante un año

Proyecto de ley 25 de la Asamblea modificó la CCPA para excluir la información personal que las empresas recopilan sobre solicitantes de empleo, empleados, propietarios, directores, funcionarios y contratistas de algunos Derechos CCPA durante un año. Esta enmienda se incorporó a la CCPA en el artículo 1798.145(h) del Código Civil. Como resultado de la enmienda, los solicitantes de empleo y los empleados no tienen derecho a presentar una solicitud para conocer o solicitar la supresión de la información que su empleador o antiguo empleador haya recopilado sobre ellos hasta el 1 de enero de 2021.

Pero no se equivoquen, a partir del 1 de enero de 2020 -de nuevo, dentro de sólo dos meses- los solicitantes de empleo y los empleados tendrá algunos derechos en virtud de la CCPA. En primer lugar, las empresas sujetas a la CCPA estarán obligadas a entregar a los solicitantes de empleo y a los empleados un "Aviso en el momento de la recogida" que informe a los solicitantes de empleo y a los empleados de (1) las categorías de información personal que la empresa recoge sobre ellos, y (2) la finalidad para la que se utilizará la información. El Aviso en el momento de la recogida debe entregarse al solicitante de empleo o al empleado en o antes de el momento en que se recoge la información.

Esto significa que si una empresa cubierta acepta solicitudes de empleo o currículos de candidatos en línea, la empresa debe dar al solicitante un Aviso en la Recogida (a través de una ventana emergente o un enlace) en el momento en que el solicitante de empleo rellene una solicitud de empleo o cargue un currículum vitae, o antes de esa fecha. Del mismo modo, los empleados actuales tendrán derecho a un aviso en el momento de la recogida para informarles de las categorías de información personal que la empresa recoge sobre ellos mientras están en el trabajo, y los fines para los que se utiliza.

El derecho a una notificación en el momento de la recogida no es el único derecho que tendrán los solicitantes de empleo y los empleados en virtud de la CCPA a partir de enero de 2020. Los solicitantes de empleo y los empleados también tienen derecho a demandar a las empresas si su información personal sensible no cifrada y no suprimida (como el número de la seguridad social, el número del permiso de conducir, información médica o información sobre el seguro de enfermedad) es violada como consecuencia de la obligación de la empresa de aplicar y mantener procedimientos y prácticas de seguridad razonables. En caso de una violación de datos de este tipo, la CCPA permite a los consumidores -incluidos los solicitantes de empleo y los empleados- recuperar daños reales o daños legales de $100 - $750 por consumidor, por incidente, lo que sea mayor. Esto es un cambio de juego, porque California es el sólo Estado del país que prevé indemnizaciones legales en caso de violación de datos.

[bctt tweet="California es el sólo estado del país que prevé indemnizaciones legales en caso de violación de datos." username="MitratechLegal"]

> La excepción "de empresa a empresa" también es limitada y expira en un año

La segunda modificación más destacada de la CCPA es Proyecto de ley 1335 de la Asambleaque excluye la información personal recogida por una empresa cuando se comunica con un consumidor que actúa en nombre de otra organización, y la comunicación se produce únicamente en el contexto de una transacción comercial. En otras palabras, las personas cuya información personal se recoge en un contexto empresarial, o en un canal B2B, no tienen los derechos conferidos por la CCPA a un aviso en el momento de la recogida, o el derecho a acceder a su información personal o a eliminarla.

Esta enmienda se incorporó a la CCPA en el artículo 1798.145(n)(1) del Código Civil. Pero, al igual que la excepción limitada para los datos de los empleados comentada anteriormente, sería un error pensar que la información personal recopilada en un contexto B2B está totalmente "exenta" de la CCPA. Al igual que los solicitantes de empleo y los empleados, una persona cuya información personal sensible se recoge en un contexto B2B tiene derecho a demandar por daños y perjuicios reales y legales si se vulnera su información sensible de forma no cifrada o no redactada debido a que la empresa no ha aplicado y mantenido procedimientos y prácticas de seguridad razonables.

Y, al igual que la enmienda sobre los empleados, la exclusión de los datos recogidos en B2B de los derechos a conocer y suprimir expirará el 1 de enero de 2021, lo que significa que los consumidores cuya información personal se recoja en un contexto B2B tendrán completo Derechos CCPA a partir de esa fecha (a menos que la ley se modifique de nuevo).

Próximamente: propuestas de reglamento

El 10 de octubre de 2019, la oficina del Fiscal General de California emitió reglamentos propuestos que proporcionan a las empresas orientación específica con respecto a: (1) los avisos que las empresas deben proporcionar a los consumidores en virtud de la CCPA; (2) las prácticas de la empresa para manejar las solicitudes de los consumidores realizadas de conformidad con la CCPA; (3) las prácticas de la empresa para verificar la identidad del consumidor que realiza esas solicitudes; (4) las prácticas de la empresa con respecto a la información personal de los menores, y (5) el ofrecimiento de incentivos financieros por parte de la empresa. El período de comentarios públicos sobre los reglamentos propuestos se cierra el 6 de diciembre de 2019.

Nosotros discutir cada uno de estos en próximas entradas del blog.