Back

California avanza hacia su propio RGPD, ¿en qué consiste la CPRA?

19-Nov-20

La entrada en vigor el 1 de enero de 2020 de la Ley de Privacidad del Consumidor de California o CCPA no tuvo la eficacia deseada por sus impulsores. Pese a que la CCPA es una ley histórica respecto a las protecciones de privacidad que introdujo, desafortunadamente también exhibía una serie de lagunas que permitían a las empresas eludir la eficacia pretendida por la ley. Por esta razón, se hizo necesaria la elaboración de la Ley de Derechos de Privacidad de California (CPRA), también conocida como la Proposición 24. Esta ley fue aprobada el pasado 3 de noviembre con un 56% de los votos a favor, un día en el que los estadounidenses también debían acudir a las urnas para elegir al nuevo presidente de la nación.

De esta forma, los californianos han decidido endurecer las leyes en lo que respecta a la privacidad en su estado, lo que ofrece a los consumidores una mayor seguridad al tener conocimiento de la forma en la que sus datos son utilizados por las empresas. Esto, en general, supone más controles y términos de aplicación más claros.

En concreto, la nueva ley (CPRA) recoge diversos nuevos conceptos que vienen acompañados de requisitos específicos para proporcionar tanto notificaciones de procesamiento de datos como controles de exclusión voluntaria (opt-out). En este sentido, cabe destacar que la CPRA crea una nueva definición legal, más estricta y con mayores restricciones, para el concepto de “información personal sensible”, el cual abarca: etnia, salud, finanzas, religión, biometría, orientación sexual, ubicación y el contenido de los mensajes personales. Igualmente, los nuevos controles contemplados en la ley exigen que los "publishers" ofrezcan a los consumidores y usuarios dos o más formas para hacer efectivas las solicitudes de exclusión voluntaria. Estos mecanismos funcionan de manera similar a los actuales derechos de eliminación y difusión de datos.

De esta manera, se confieren derechos adicionales a los consumidores y usuarios para controlar el modo en el que las organizaciones utilizan sus datos e información, siendo los principales cambios, que introduce la norma, los mostrados a continuación:

-En primer lugar, los ciudadanos de California pueden optar por comunicar a las empresas que no utilicen algunas de las categorías calificadas como “información personal sensible”, así como elegir no recibir anuncios geolocalizados. En este sentido, los consumidores también tienen derecho a corregir su información (derecho de rectificación) y a tener conocimiento del tiempo de conservación de los datos por la empresa.

-Además, se ha ampliado el concepto de “no venta” de datos. Esto se debe a que las empresas se aprovechan, bajo el pretexto de que se estaba compartiendo información y no vendiéndola, del vacío legal existente en la CCPA para eludir su cumplimiento. Todo esto cobra mayor importancia si se tiene en consideración que se ha producido un aumento sustancial de las multas, el triple, por aquellas infracciones en las que el afectado o perjudicado es un menor de dieciséis años.

-Asimismo, las organizaciones deberán ser transparentes con sus trabajadores, cuyos datos se encuentran cubiertos por la nueva ley, en materia de recopilación de información.

-Por otra parte, se dificulta la posibilidad de que nuevos legisladores debiliten la ley mediante enmiendas, si bien es cierto que aquellas enmiendas dirigidas al fortalecimiento de la norma podrán ser aprobadas por mayoría simple.

-Por último, cabe destacar que la ley contempla la formación de un órgano de protección, denominado “Organismo de Protección de la Privacidad de California", dirigido a garantizar el cumplimiento de las leyes en materia de privacidad y a evitar la negligencia empresarial mediante la imposición de multas.

En cualquier caso, cabe destacar que la CPRA no afecta a todas las empresas por igual debido a que en la CCPA se establecieron una serie de requisitos para determinar las empresas a las que les afectaba la norma. Por esta razón, quedan exentas de la aplicabilidad de la norma aquellas organizaciones que cumplan con lo siguiente:

-No generen anualmente más de 25 millones de dólares,

-Menos de la mitad de los ingresos provengan de actividades relacionadas con la venta de datos de consumidores y

-Se procesen datos de menos de 50.000 organizaciones.

No obstante lo anterior, la aprobación de la ley no conlleva la aplicación inmediata de la CPRA, sino que su entrada en vigor se retrasa al 1 de febrero de 2023. Esto supone la posibilidad de que la norma recientemente aprobada no sea igual a la que entre en vigor en la fecha indicada, es decir, la posibilidad de introducir enmiendas a la CPRA conlleva el riesgo de que la ley sea modificada y, por ende, difiera el contenido de la misma para 2023.

Francisco de Asís Novela, Legal Team, Legal Army.

Read more

Related posts that might interest you

All our news
We didn't find similar results for this one
content. We recommend that you try another item.