California Consumer Privacy Act is coming: El pseudo-RGPD que será aplicable a partir de enero de 2020.

27/11/2019
-

El pasado junio de 2018 se aprobó la California Consumer Privacy Act (en adelante, “CCPA”), una norma dirigida a mejorar y favorecer los derechos de los consumidores residentes en California, en relación con sus datos de carácter personal, que será aplicable a partir del 1 de enero de 2020.

La CCPA resulta aplicable a las actividades de “captación”, “venta” y “tratamiento” de datos de carácter personal de consumidores residentes en California, a quienes confiere los siguientes derechos; el “derecho a conocer” qué información está siendo tratada y con qué finalidad, el “derecho de supresión” que puede ejercitarse tanto ante las entidades que estén realizando el tratamiento como ante los proveedores de dichas entidades, el “derecho a no discriminación” en cuanto a que el ejercicio de un derecho derivado de la CCPA no debe afectar al precio y/o al servicio del que se es consumidor, y el “derecho a retirar el consentimiento” en lo relativo a la venta de sus datos. 

En cuanto a su ámbito subjetivo, existen algunas dudas debido a la redacción ambigua de la norma que indica que aplica a aquellas entidades que “desarrollan su actividad comercial” en California cuando cumplan alguno de los siguientes criterios; (i) que su beneficio bruto anual sea de más de veinticinco millones de dólares, (ii) que sus actividades de tratamiento afecten a cincuenta mil o más consumidores, hogares y/o dispositivos, o (iii) que un cincuenta por ciento o más de sus beneficios anuales se deriven de la venta de datos de consumidores.

Tendrán la consideración de consumidores aquellos que estén domiciliados y residan permanentemente en el Estado de California, quedando excluidos aquellos que residen de forma temporal.

El término “actividad comercial” no queda definido en la CCPA, si bien conforme al Código de Tributación de California puede entenderse como el desarrollo activo de actividades para el beneficio económico en el término geográfico del Estado de California, lo cual no excluye a entidades que se encuentran fuera de dicho Estado. Esto quiere decir que aquellas entidades que se encuentran fuera del Estado de California y que realizan actividades de captación, tratamiento, venta o cesión de datos de consumidores residentes en California pueden considerarse sometidos a la CCPA. 

Conviene destacar que la CCPA únicamente resulta aplicable a entidades que operan en el tráfico jurídico-privado con finalidad comercial o económica. Queda excluida de su ámbito de aplicación la información médica o relacionada con la salud, que se somete a la Confidentiality of Medical Information Act y a la Health Insurance Portability and Accountability Act.

Algunas de las obligaciones que introduce la CCPA consisten en que las entidades deberán: (i) Informar con carácter previo al tratamiento de datos, (ii) crear procedimientos y registros para responder al ejercicio de derechos por parte de los consumidores (incluyendo un enlace directo que indique “Do Not Sell My Info” en la página web y, en su caso, en su app), (iii) responder al ejercicio de derechos en el plazo de cuarenta y cinco días, prorrogable hasta noventa días adicionales, (iv) verificar la identidad del solicitante, (v) deberán revelar los incentivos que reciben para retener o vender la información de los consumidores y el valor que tiene esa información para la entidad y (vi) deberán tener a disposición de los consumidores políticas de privacidad redactadas de forma sencilla y fácilmente comprensible.

Esta nueva norma tiene implicaciones también en relación con los menores de edad, la CCPA viene a extender el control y la información que tienen los menores y sus tutores legales sobre su información personal. Además, debe ponerse en conexión con la Children’s Online Privacy Protection Act (en adelante, “COPPA”) que, a nivel federal, impone determinadas restricciones a los prestadores de servicios en internet dirigidos a menores de 13 años y a los prestadores de servicios en internet, en general, cuando tienen “conocimiento efectivo” de que están recabando datos de menores de 13 años.

La CCPA establece en 16 años la edad necesaria para poder prestar el consentimiento, de forma que se requiere que los consumidores menores de 16 años residentes en el Estado de California hayan consentido de forma expresa (mecanismo opt-in) para que la venta de sus datos personales pueda llevarse a cabo y, en el caso de los menores de 13 años, serán sus tutores legales quienes estén facultados para prestar el consentimiento en las condiciones establecidas en COPPA. Además, la CCPA, a diferencia de COPPA, requiere que las entidades verifiquen la edad de los consumidores con anterioridad a la venta de su información personal, en la medida en que resulte posible, lo que a su vez puede implicar el sometimiento a obligaciones contenidas en COPPA puesto que conlleva el “conocimiento efectivo” citado anteriormente.

Ignorar u omitir de forma consciente la verificación de la edad de los consumidores implica, conforme a la CCPA, el conocimiento efectivo de forma automática y, por ende, la responsabilidad que deriva tanto de la CCPA como de COPPA en la gestión de la información personal de los menores. Las sanciones oscilan entre los 100 y los 7.500 dólares por cada incumplimiento y cada incidente en relación con la CCPA y, si el daño causado fuese de mayor cuantía prevalecerá ésta, todo ello de forma complementaria a cualquier otro remedio que un juzgado o tribunal considerase apropiado y al criterio de la Fiscalía General del Estado de California. En este sentido es importante señalar que, a diferencia de los sistemas jurídicos continentales, como el de España, en los sistemas anglosajones es posible aplicar sanciones ejemplarizantes a través de los daños punitivos.

En comparación con el RGPD, la CCPA resulta ser un instrumento normativo bastante más limitado y menos exhaustivo que protege la información de los consumidores domiciliados en California, tanto frente a entidades que operan en el propio Estado como frente a entidades externas que operan con información de consumidores residentes en California.

En definitiva, la aprobación y aplicación de la CCPA constituye un paso más en un largo camino hacia la adecuada protección de datos de carácter personal en Estados Unidos que, sin embargo, queda todavía muy lejos del RGPD.

Rahul Uttamchandani | Legal Counsel | L-A

¿Comenzamos?

Cuéntanos un poco sobre tu negocio y te contactaremos en menos de 24 horas.