Editar

Preguntas más frecuentes: Ley de Privacidad del Consumidor de California (CCPA)

  • Preguntas más frecuentes

Nota:

Este tema se proporciona "tal cual". La información y las vistas expresadas en este tema, incluidas las direcciones URL y otras referencias a sitios web de Internet, pueden cambiar sin previo aviso. El uso que haga de ese contenido es su responsabilidad. Este tema se ha creado como guía y no debe interpretarse como asesoría legal. Debe consultar a sus propios profesionales jurídicos. Este tema no le aporta ningún derecho legal a ninguna propiedad intelectual de ningún producto de Microsoft. Puede copiar y utilizar este tema con finalidades de referencia interna y propia.

Versión rápida de las Preguntas más frecuentes

¿Qué es la CCPA?

Ley de Privacidad del Consumidor de California (CCPA) es la primera norma global de privacidad de Estados Unidos. Se sancionó a finales de junio de 2018 y establece una variedad de derechos de privacidad para los consumidores de California. Las empresas reguladas por el CCPA tendrán una serie de obligaciones para esos consumidores, incluidas las divulgaciones, los derechos similares al Reglamento General de Protección de Datos (RGPD) para los consumidores, una "exclusión" para determinadas transferencias de datos y un requisito de "participación" para los menores.

¿Quién necesita conocer la CCPA?

La CCPA solo se aplica a los negocios que operan en California y que satisfacen una o varias de las siguientes condiciones: (1) tienen un beneficio bruto superior a 25 millones de USD (2) el 50 % o más de sus ingresos se originan en la venta de información personal de los consumidores, o (3) compran, venden o comparten la información personal de más de 50 000 consumidores.

¿Cuándo entra en vigor la CCPA?

La CCPA entra en vigor el 1 de enero de 2020. Sin embargo, el Fiscal General no comenzará a aplicarla hasta el 1 de julio de 2020.

¿Cómo afectará la CCPA a mi empresa?

Muchos de los derechos de la CCPA concedidos a los californianos son similares a los derechos que proporciona el RGPD, incluidas las solicitudes de divulgación y consumidor similares a las solicitudes de derechos del interesado (DSR), como el acceso, la eliminación y la portabilidad. Por lo tanto, los clientes pueden buscar nuestras soluciones de RGPD existentes para ayudarles con el cumplimiento normativo de la CCPA.

Para comenzar con la CCPA, debe centrarse en cinco pasos clave:

  • Descubrimiento: identifique qué información personal tiene y dónde reside.
  • Asignación: determine cómo comparte información personal con terceros e identifique si el tercero está sujeto a una excepción de los requisitos de no participación de la CCPA.
  • Administración: controle cómo se usan los datos y cómo se obtiene acceso a ellos.
  • Protección: establezca controles de seguridad para evitar, detectar y responder a vulnerabilidades y filtraciones de datos.
  • Documentación: elabore un programa de respuesta a una filtración de datos y asegúrese de que sus contratos con terceros aplicables puedan hacer uso de las excepciones de no participación.

Debe comprender cuáles son las obligaciones específicas de su organización en virtud del CCPA y cómo las cumple, aunque Microsoft está aquí para ayudarle en su viaje.

Versión amplia de las Preguntas más frecuentes

¿Qué derechos deben habilitar las empresas conforme a la CCPA?

La CCPA establece para los negocios regulados que recopilen, usen, transfieran y vendan información personal, entre otras, las siguientes obligaciones:

  • Informar a los consumidores, antes de la recogida de datos, de las categorías y propósitos de la recogida.
  • Dar información detallada en la política de privacidad de las fuentes de datos, los fines empresariales y las categorías de información personal recopilada, incluido cómo se venden estas categorías o se transfieren a otras entidades.
  • Permitir el acceso, la eliminación y la transferencia de los elementos específicos de información personal que usted ha recopilado.
  • Habilite un control que permita a los consumidores optar por no participar en la "venta" de los datos del consumidor. Sin embargo, se siguen aceptando determinadas transferencias, como las transferencias a proveedores de servicios.
  • Para menores de 16 años, habilite un proceso de participación para que no se pueda realizar ninguna venta de la información personal del menor sin participar activamente en la venta.
  • Asegurarse de que no se discrimina a los consumidores que ejerciten cualquiera de sus derechos otorgados por la CCPA.

¿Qué divulgaciones de información requiere la CCPA?

La CCPA obliga a estas divulgaciones de información:

  • Categorías de la información personal del consumidor recopilada.
  • Categorías de las fuentes usadas en la recopilación.
  • Fines empresariales o comerciales para la recopilación.
  • Categorías de terceros con los que se "comparte" la información personal.
  • Categorías de información personal que se han "vendido" y las categorías de "terceros" a los que se ha vendido cada categoría de información personal.
  • Categorías de información personal que se han "divulgado con fines comerciales" (es decir, transferidas pero no "venta") y las categorías de "terceros" a los que se transfirió cada categoría de información personal.
  • Las partes específicas de la información personal que se han recopilado sobre el consumidor.

¿Cómo se "venden" los datos en el marco del CCPA?

La definición de "venta" en el CCPA es increíblemente amplia, incluida la "puesta a disposición de información personal" de un tercero para una consideración monetaria u otra valiosa. Cuando un consumidor haya elegido "no participar", la empresa tendrá que desactivar el flujo de información personal a cualquier tercero.

El CCPA proporciona una serie de carve-outs a este control de exclusión de "venta". Las tres concesiones principales son las transferencias (i) a un proveedor de servicios, (ii) a una "entidad exenta" o "contratista", y (iii) a la dirección del consumidor. Incluso si un consumidor ha optado por "optar por no participar", la información personal puede seguir transfiriéndose a terceros que encajan en esas carve-outs.

Para poder beneficiarse de las dos primeras exenciones, los negocios tendrán que asegurarse de que las transferencias se rijan por contratos escritos que contengan los términos específicos necesarios para la CCPA.

¿Qué significan "Empresas" y "Proveedores de servicios" en el contexto de CCPA?

En el contexto de CCPA, las empresas son personas o entidades que determinan los fines y los medios del procesamiento de los datos personales del consumidor, y los proveedores de servicios son personas o entidades que procesan información en nombre de una empresa. Por lo general, son sinónimos de los términos Controladores y Procesadores utilizados en el GRPD.

¿A cuánto pueden ascender las multas a las empresas por incumplimiento?

El derecho privado de acción de la CCPA se limita a filtraciones de datos. Bajo el derecho privado de acción, los daños oscilan entre 100 y 750 dólares por incidente y consumidor. El Fiscal General de California también puede aplicar la CCPA en su totalidad para imponer una sanción civil que no supere los 2500 USD por infracción o los 7500 USD por infracción intencional.

¿Qué hace Microsoft para cumplir la CCPA?

Como Microsoft ya ha implementado a escala global solicitudes de interesados relacionadas con el RGPD, nos encontramos en una posición excelente para cumplir los requisitos de la CCPA. También hemos revisado nuestros acuerdos de uso compartido de datos de terceros y hemos tomado medidas para establecer que se han establecido los términos contractuales necesarios para garantizar que no "vendemos" información personal.

¿Qué herramientas pueden ayudar a mi organización a empezar a prepararse para la CCPA?

  • Empiece por aprovechar la evaluación del RGPD en el Administrador de cumplimiento como parte de su programa de privacidad de la CCPA.
  • Establezca un proceso de respuesta eficaz a las solicitudes de los clientes.
  • Configure etiquetas y directivas para detectar, clasificar & etiqueta y proteger datos confidenciales con Microsoft Purview Information Protection.
  • Use las capacidades de cifrado de correo electrónico para controlar aún más la información confidencial.
  • En esta entrada de blog se ofrece más información al respecto.

¿Cuáles son las diferencias entre el RGPD y la CCPA?

Hay muchas diferencias. Es más fácil centrarse en las similitudes, entre las que se incluyen:

  • Obligaciones de divulgación/transparencia.
  • Derechos de consumidor para tener acceso, eliminar y recibir una copia de los datos.
  • Definición de "proveedores de servicios" que es similar a cómo el RGPD define "procesadores" con una obligación contractual similar.
  • Definición de "empresas" que abarca la definición del RGPD de "controladores".

La mayor diferencia en el CCPA es el requisito básico para permitir la exclusión de las ventas de datos a terceros (con una "venta" ampliamente definida para incluir el uso compartido de datos para una consideración valiosa). Se trata de una obligación más estrecha y específica que el amplio derecho del RGPD a oponerse al procesamiento, que abarca este tipo de "venta", pero no se limita específicamente a cubrir este tipo de uso compartido.

¿Qué son "Procesadores" y "Controladores"?

Un controlador es una persona física o jurídica, una autoridad pública, una agencia u otro organismo que, solo o junto con otros, determina los medios de procesamiento de los datos personales y sus fines. Un procesador es una persona física o jurídica, una autoridad pública, una agencia u otro organismo que procesa datos personales en nombre del responsable.

¿Qué se considera específicamente información personal?

La información personal es cualquier información relacionada con una persona identificada o identificable. No hay distinción entre los roles privados, públicos o laborales de una persona. El término definido "información personal" se alinea aproximadamente con "datos personales" en virtud del RGPD. Sin embargo, la CCPA también incluye datos domésticos y familiares.

Algunos ejemplos de datos personales incluyen:

Identidad

  • Nombre
  • Dirección del domicilio
  • Dirección del trabajo
  • Número de teléfono
  • Número de celular
  • Dirección de correo
  • Número de pasaporte
  • Documento de identificación nacional
  • Número de la Seguridad Social (o equivalente)
  • Licencia de conducir
  • Información física, psicológica o genética
  • Información médica
  • Identidad cultural

Finanzas

  • Información bancaria y números de cuentas
  • Número de identificación fiscal
  • Números de tarjetas de crédito y débito
  • Publicaciones de las redes sociales

Artefactos en línea

  • Publicaciones de las redes sociales
  • Dirección IP (región de la UE)
  • Datos de ubicación y GPS
  • Cookies

¿Cómo se aplica la CCPA a los niños?

  • La CCPA introduce obligaciones del consentimiento paterno compatibles con la Ley de Protección de la Privacidad en Línea de los Niños (COPPA) para menores de 13 años.
  • Para los niños entre 13 y 16 años, CCPA impone una nueva obligación de obtener el consentimiento de participación del niño para cualquier "venta" de su información personal.

¿Qué ocurre con los datos personales de mis empleados?

En octubre de 2019, se pasaron varias enmiendas al CCPA. Una de las enmiendas estableció que las obligaciones de la CCPA no se aplican a la información personal de los empleados de la empresa. Sin embargo, los legisladores han puesto una moratoria de un año a esta exención. Creemos que California elaborará una nueva legislación de protección de datos para empleados en el 2020.  

Como cliente de Microsoft, ¿necesito implementar el control de no participación para las transferencias a Microsoft?

No. Como proveedor de servicios en línea, estamos tomando medidas para garantizar que calificamos como "proveedor de servicios" en CCPA. Como se indicó anteriormente, se permiten transferencias de información personal a los Proveedores de Servicios, incluso cuando un consumidor ha optado por no participar.