La Ley de privacidad del consumidor de California (CCPA) y las Regulaciones generales de protección de datos (GDPR) son leyes de privacidad aprobadas recientemente para actualizar las leyes obsoletas sobre cómo se maneja, almacena y procesa la información personal en la era digital. Desde la proliferación de los servicios de Internet, las telecomunicaciones móviles y las redes sociales, los activistas han estado exigiendo cambios en la forma en que las empresas manejan la información personal.
La CCPA se aprobó en 2018 y entró en vigor el 1 de enero de 2020. El RGPD se convirtió en ley en mayo de 2018. Ambas legislaciones tienen recomendaciones y requisitos similares. GDPR se centra en la información personal de los ciudadanos europeos, y CCPA se relaciona con la información personal de los residentes de California.
Es importante destacar que ambas legislaciones tienen una sinergia compartida que impacta a las empresas en ambos lados del Atlántico. Cualquier negocio en los Estados Unidos que procese información personal europea y cualquier negocio en Europa que procese información personal de los EE. UU. debe cumplir con las pautas de cada legislación para cumplir con las reglas de privacidad.
¿Qué es CCPA?
CCPA protege la información privada de los residentes de California en los Estados Unidos. Esto incluye datos sobre la identidad de la persona, cualquier información de salud confidencial, datos biométricos, datos de geolocalización móvil y cualquier información financiera o de activos. El objetivo de la ley de privacidad es limitar la divulgación de información confidencial o filtraciones inesperadas causadas por violaciones de datos.
CCPA se ha diseñado para dar a los consumidores el control de su información personal y reforzar las sanciones por cualquier violación de la información, ya sea por negligencia o como resultado de una piratería de datos.
El propósito de la legislación es hacer cumplir los derechos del consumidor y otorgarle nuevos derechos sobre sus datos. Esto incluye el derecho a saber exactamente qué información tiene una empresa sobre una persona. Es por eso que ahora puede ir a sitios como Google y Facebook y descargar archivos detallados de la información que tienen sobre usted.
Los residentes de California también tienen derecho a acceder y ver los datos que tienen sobre ellos y, lo que es más importante, el derecho a que se eliminen los datos. Se han creado los derechos de aceptación o exclusión voluntaria de la recopilación de datos. Otros elementos clave incluyen el derecho a igual servicio y precio, y el derecho a buscar daños y perjuicios si se viola la información personal.
Las nuevas reglas imponen una serie de nuevos requisitos a las empresas que procesan datos personales. Deben poder proporcionar acceso a la información personal, eliminar la información personal a pedido y evidenciar su destrucción. También deben introducir prácticas de gestión del consentimiento. Esto se ve comúnmente en sitios web donde las empresas comparten información con terceros. La organización tiene el deber de revelar qué datos se comparten.
CCPA le da al individuo control sobre qué información se puede o no vender sobre ellos. Las empresas deben realizar ejercicios de inventario de datos para conocer los datos personales incluidos en el alcance y las instancias de "venta" de datos. Como resultado, es necesario actualizar los acuerdos de nivel de servicio con procesadores de datos de terceros para cumplir con los requisitos.
La remediación de las brechas de seguridad de la información y las vulnerabilidades del sistema deben resolverse rápidamente mediante la implementación de programas de refuerzo de la gobernanza de datos y de identificación de datos. Si hay datos retenidos que están fuera del alcance, deben eliminarse.
¿Qué es el RGPD?
GDPR fue diseñado para ciudadanos europeos pero afecta a todas las entidades que procesan datos de la UE. Su objetivo principal era estandarizar las leyes de protección de datos de todos los estados miembros de la UE.
Hay siete principios clave de la legislación GDPR. Estos se centran en la legalidad de retener información personal y garantizar que se almacene de manera justa y transparente. Los datos deben conservarse por un motivo específico y servir para un propósito específico. Los datos personales no pueden conservarse indefinidamente y deben destruirse una vez que hayan cumplido su propósito.
Las organizaciones también deben comprometerse con la minimización de datos, conservando solo información reciente y relevante que sea precisa. Deben conservar la integridad de los datos y garantizar que se mantenga la confidencialidad de la información privada.
Los ciudadanos de la UE tienen muchos derechos nuevos desde la introducción del RGPD. Estos derechos sientan las bases de lo que los terceros pueden y no pueden hacer con la información personal. Las personas tienen derecho a ser informadas de qué datos personales tiene la empresa, y el individuo tiene derecho a ver y acceder a esta información. Si es necesario, tienen derecho a corregir los datos.
Los ciudadanos de la UE pueden solicitar que se elimine la información personal y restringir cómo se procesa la información personal. Tienen derecho a oponerse, así como derechos en relación con la toma de decisiones y la elaboración de perfiles automatizados, como los criterios de aceptabilidad de tarjetas de crédito.
CCPA vs RGPD
Es obvio ver las sorprendentes similitudes entre CCPA y GDPR. CCPA podría considerarse la contraparte estadounidense de GDPR. Sin embargo, hay algunas diferencias significativas. El RGPD afecta a los controladores y procesadores de datos dentro y fuera de la Unión Europea; sin embargo, la CCPA solo regula a las empresas que "hacen negocios" en California.
Existen otras reglas, como que la CCPA solo se aplica a las empresas con ingresos brutos superiores a $ 25 millones de dólares y aquellas que procesan la información personal de más de 50,000 residentes de California. Las sanciones impuestas por infringir cualquiera de las leyes también son bastante diferentes. GDPR es hasta el 4% de la facturación, o 20 millones de euros (lo que sea mayor). CCPA es específicamente $2500 por registro para violaciones no intencionales y $7500 para violaciones intencionales.
Hay otras diferencias sutiles, pero lo más importante es que ambas leyes se establecen con el mismo objetivo, que es mejorar y proteger la información personal y privada. Ambas leyes hacen cumplir la noción de que las empresas no pueden recopilar los datos que elijan. Los datos tienen un valor significativo y muchos gigantes tecnológicos en Silicon Valley han obtenido enormes ganancias vendiendo información personal. CCPA y GDPR han identificado esto y han actuado para protegernos a cada uno de nosotros.