Saltar al contenido principal

Ley de privacidad del consumidor de California (CCPA)

La Ley de Privacidad del Consumidor de California (CCPA) es un estatuto estatal convertido en ley en 2018 con la intención de mejorar los derechos de privacidad y la protección del consumidor para los residentes del estado. La ley, que entró en vigor en enero de 2020, otorga a los consumidores más control sobre la información personal que las empresas recopilan sobre ellos y establece nuevos derechos de privacidad del consumidor, que incluyen:

  • El derecho a conocer la información personal que una empresa recopila sobre ellos y cómo se usa y comparte
  • El derecho a que se elimine su información personal
  • El derecho a rechazar la venta de información personal
  • El derecho a la no discriminación por ejercer derechos CCPA

¿A quiénes se les aplica la CCPA?

La CCPA se aplica a cualquier negocio con fines de lucro que realice negocios en California y cumpla con cualquiera de los siguientes criterios:

  • Tiene ingresos brutos anuales superiores a 25 millones de dólares
  • Compra o vende la información personal de 50 000 o más residentes, hogares o dispositivos de California
  • Genera el 50 % o más de sus ingresos anuales por la venta de la información personal de los residentes de California

¿Se requiere el cifrado de datos para cumplir con la CCPA?

El cumplimiento de la CCPA requiere que la información personal del consumidor esté cifrada, tal como se indica en el artículo 1798.150 de la ley: “Cualquier consumidor cuya información personal no cifrada y no redactada, como se define en el subpárrafo (A) del párrafo (1) de la subdivisión (d) del artículo 1798.81.5, esté sujeto a un acceso no autorizado y exfiltración, robo o divulgación como resultado de la violación por parte de la empresa del deber de implementar y mantener procedimientos y prácticas de seguridad razonables apropiados a la naturaleza de la información para proteger la información personal puede iniciar una acción civil por cualquiera de las siguientes situaciones:

  1. Para recuperar daños en una cantidad no menor de cien dólares ($100) y no mayor de setecientos cincuenta ($750) por consumidor por incidente o daños reales, lo que sea mayor.
  2. Medidas cautelares o declaratorias.
  3. Cualquier otra medida que el tribunal considere apropiada”.

¿Cómo se manejan las violaciones de datos bajo la CCPA?

Los consumidores pueden demandar a una empresa bajo la CCPA solo si se cumplen ciertas condiciones. La información personal robada debe incluir el nombre (o la inicial del primer nombre) y el apellido del consumidor en combinación con el del consumidor:

  • Número de seguridad social
  • Número de licencia de conducir, número de identificación fiscal, número de pasaporte, número de identificación militar u otro número de identificación único emitido en un documento gubernamental comúnmente utilizado para identificar la identidad de una persona
  • Número de cuenta financiera, número de tarjeta de crédito o número de tarjeta de débito si se combina con cualquier código de seguridad requerido, código de acceso o contraseña que permitiría a alguien acceder a la cuenta del consumidor
  • Información médica o de seguro de salud
  • Huella digital, retina o imagen del iris u otros datos biométricos únicos utilizados para identificar la identidad de una persona (pero sin incluir fotografías a menos que se utilicen o almacenen con fines de reconocimiento facial)

Principalmente, esta información debe haber sido robada en forma no cifrada y no redactada.

La legislación relacionada va más allá para abordar las consecuencias que enfrentan las empresas como resultado de una violación de la información del consumidor cuando los registros no se cifraron o cuando se robaron tanto los datos cifrados como las claves de cifrado. Específicamente, como parte de una enmienda al Proyecto de Ley de la Asamblea 1130, el artículo 1798.82 del Código Civil de California dice, en parte:

“Una persona o empresa que realice actividades comerciales en California, y que posea o conceda licencias de datos computarizados que incluyen información personal, deberá revelar una violación de la seguridad del sistema luego del descubrimiento o notificación de la violación en la seguridad de los datos a un residente de California (1) cuya información personal no cifrada haya sido, o se crea razonablemente que ha sido adquirida por una persona no autorizada, o (2) cuya información personal cifrada haya sido, o se crea razonablemente que ha sido, adquirida por una persona no autorizada, y la clave de cifrado o credencial de seguridad haya sido, o se crea razonablemente que ha sido, adquirida por una persona no autorizada y la persona o empresa propietaria o licenciataria de la información cifrada tenga una creencia razonable de que la clave de cifrado o credencial de seguridad podría generar esa información personal legible o utilizable. La divulgación se hará en el tiempo más oportuno posible y sin demoras irrazonables, de acuerdo con las necesidades legítimas de la aplicación de la ley, según lo dispuesto en la subdivisión (c), o cualquier medida necesaria para determinar el alcance de la infracción y restaurar la integridad razonable del sistema de datos”.