FitConsent

By DIGITLOAD

Español

El CCPA/CPRA Explicado: Empoderando a los Consumidores de California con Derechos de Privacidad de Datos

La Ley de Privacidad del Consumidor de California (CCPA), efectiva desde el 1 de enero de 2020 y significativamente ampliada por la Ley de Derechos de Privacidad de California (CPRA) en 2023, es una de las leyes de privacidad a nivel estatal más completas de los Estados Unidos. Mientras que el RGPD se centra en los residentes europeos, el CCPA/CPRA empodera a los consumidores de California otorgándoles derechos extensivos sobre su información personal e impone obligaciones estrictas a las empresas que la recopilan y procesan.

California Consumer Privacy Act CCPA, California Privacy Rights Act CPRA

¿Qué es el CCPA/CPRA?

El CCPA (y su sucesor, el CPRA) es una ley pionera de privacidad que otorga a los residentes de California (consumidores) nuevos derechos con respecto a su información personal. A diferencia del RGPD, que se centra en la base legal para el procesamiento, el CCPA/CPRA se trata más del control del consumidor y la transparencia con respecto a cómo las empresas manejan sus datos.

Generalmente se aplica a empresas con fines de lucro que recopilan información personal de residentes de California y cumplen uno o más de los siguientes umbrales:

  • Tiene ingresos brutos anuales superiores a $25 millones.
  • Compra, recibe o vende información personal de 100,000 o más consumidores u hogares de California.
  • Obtiene el 50% o más de sus ingresos anuales de la venta o el intercambio de información personal de consumidores de California.

La «información personal» bajo CCPA/CPRA se define de manera muy amplia para incluir cualquier cosa que identifique, se relacione con, describa, sea razonablemente capaz de asociarse con, o pueda vincularse razonablemente, directa o indirectamente, con un consumidor u hogar en particular.

Derechos Clave del Consumidor bajo CCPA/CPRA

El CCPA/CPRA otorga a los consumidores de California varios derechos poderosos:

  1. Derecho a Saber: Los consumidores tienen derecho a solicitar que una empresa divulgue las categorías y los elementos específicos de información personal que ha recopilado, las categorías de fuentes de las que se recopila la información personal, los propósitos para recopilar o vender información personal, y las categorías de terceros con los que la empresa comparte información personal.
  2. Derecho a Eliminar: Los consumidores tienen derecho a solicitar la eliminación de la información personal recopilada por la empresa.
  3. Derecho a Optar por no Vender/Compartir (Opt-Out): Este es un pilar del CCPA/CPRA. Los consumidores tienen derecho a indicar a una empresa que vende o «comparte» (para publicidad conductual transcontextual) información personal a terceros que no venda ni comparta su información personal. Las empresas deben proporcionar un enlace claro «No vender ni compartir mi información personal» en su página de inicio.
  4. Derecho a Corregir: Los consumidores pueden solicitar que las empresas corrijan información personal inexacta.
  5. Derecho a Limitar el Uso y la Divulgación de Información Personal Sensible: Los consumidores pueden indicar a las empresas que limiten el uso y la divulgación de su «información personal sensible» (por ejemplo, geolocalización precisa, origen racial o étnico, datos de salud) solo a lo necesario para realizar los servicios o proporcionar los bienes solicitados.
  6. Derecho a la No Discriminación: Las empresas no pueden discriminar a un consumidor por ejercer sus derechos CCPA/CPRA.

Implicaciones para las Empresas

El cumplimiento del CCPA/CPRA requiere un cambio significativo en las prácticas de manejo de datos para muchas empresas. Los requisitos clave incluyen:

  • Proporcionar avisos de privacidad claros y destacados que detallen la recopilación y el procesamiento de datos.
  • Implementar mecanismos para que los consumidores presenten solicitudes de acceso del titular de los datos (DSAR) para sus derechos.
  • Reconocer y honrar las señales de control de privacidad global, como la señal del navegador Global Privacy Control (GPC).
  • Asegurarse de que los proveedores de servicios y contratistas externos también cumplan con las reglas de CCPA/CPRA al manejar datos de consumidores en nombre de la empresa.

El incumplimiento puede dar lugar a sanciones significativas, incluyendo daños legales de $100 a $750 por consumidor por incidente por violaciones intencionales o por no corregir las violaciones después de la notificación, así como daños reales para los consumidores. La aplicación es llevada a cabo por la Agencia de Protección de la Privacidad de California (CPPA) y el Fiscal General de California.

El Papel Crítico de las Herramientas de Consentimiento y Exclusión en la Conformidad Moderna con CCPA/CPRA

Navegar por la conformidad con CCPA/CPRA, especialmente mientras se mantiene un marketing digital y una analítica efectivos, requiere la integración perfecta de herramientas especializadas: una sólida Plataforma de Gestión de Consentimiento (CMP) y el cumplimiento de las señales de las principales plataformas publicitarias.

1. La Plataforma de Gestión de Consentimiento (CMP) – ej. FitConsent

Una CMP como FitConsent es esencial para implementar los derechos del consumidor exigidos por CCPA/CPRA. Sus funciones principales incluyen:

  • Facilitar las Exclusiones (Opt-Outs): Una CMP ayuda a las empresas a mostrar el enlace obligatorio «No vender ni compartir mi información personal» y gestiona los mecanismos subyacentes para honrar estas solicitudes, asegurando que los datos no se vendan ni compartan después de una exclusión voluntaria.
  • Gestión de Preferencias del Usuario: Más allá de las simples exclusiones, una CMP permite un control más granular, especialmente para limitar el uso de información personal sensible, alineándose con los requisitos ampliados de la CPRA.
  • Respuesta a las DSAR (Solicitudes de Acceso del Titular de los Datos): Aunque no ejecuta directamente la eliminación, una CMP puede agilizar el proceso de recepción y gestión de las Solicitudes de Acceso del Titular de los Datos (DSAR), proporcionando las pistas de auditoría necesarias y ayudando a las empresas a localizar datos relevantes para solicitudes de eliminación o acceso.
  • Cumplimiento de las Señales GPC: Las CMP modernas están diseñadas para detectar y respetar automáticamente las señales de Control Global de Privacidad (GPC) enviadas por los navegadores de los usuarios, que el CCPA/CPRA exige como una solicitud de exclusión válida.

2. Google Consent Mode V2

Aunque el CCPA/CPRA es principalmente un régimen de «exclusión voluntaria» (opt-out) en lugar de «inclusión voluntaria» (opt-in) para muchos usos de datos (a diferencia del fuerte énfasis del RGPD en el consentimiento), Google Consent Mode V2 sigue desempeñando un papel crucial para las empresas que operan globalmente o aquellas con necesidades de cumplimiento mixtas:

  • Marco de Conformidad Global: Para las empresas que atienden tanto a residentes de California como de la UE, una CMP integrada con Google Consent Mode V2 proporciona un enfoque unificado. Incluso en un contexto de exclusión voluntaria, puede ayudar a gestionar las señales a los servicios de Google, asegurando que las etiquetas de análisis y publicidad se comporten apropiadamente según las preferencias del usuario (ya sea «opt-in» para el RGPD u «opt-out» para el CCPA).
  • Adaptación del Comportamiento de las Etiquetas: Google Consent Mode V2 aún puede modificar el comportamiento de las etiquetas de Google basándose en las elecciones explícitas o las señales implícitas de exclusión recibidas, limitando la recopilación de datos para publicidad si es necesario, apoyando así los objetivos de CCPA/CPRA cuando corresponda.

3. Microsoft UET Consent Mode

De manera similar, para las empresas que utilizan Microsoft Advertising (Bing Ads) y atienden a residentes de California:

  • Respeto a las Exclusiones: Microsoft UET Consent Mode permite que la etiqueta de Seguimiento Universal de Eventos (UET) adapte sus prácticas de recopilación de datos basándose en las preferencias del usuario o las señales de exclusión. Esto asegura que la información personal no se «venda» o «comparta» a través de la etiqueta UET de una manera que viole CCPA/CPRA si un consumidor ha optado por la exclusión.
  • Mantenimiento de Funcionalidad Limitada: Al ajustar el comportamiento de las etiquetas, UET Consent Mode permite que el seguimiento básico de conversiones y la medición del rendimiento de los anuncios continúen de manera que preserve la privacidad, incluso cuando el seguimiento completo no está permitido debido a las elecciones del consumidor.

Conclusión sobre Herramientas:

Para las empresas que operan bajo la sombra de CCPA/CPRA, la integración de una CMP especializada como FitConsent con la señalización flexible proporcionada por Google Consent Mode V2 y Microsoft UET Consent Mode es vital. Estas herramientas garantizan no solo el cumplimiento legal de los derechos del consumidor, sino que también permiten la continuación de actividades esenciales de marketing y analítica de una manera que respeta la privacidad y se basa en datos.