¿Qué es la CCPA?

La Ley de Privacidad del Consumidor de California (CCPA) es un estatuto estatal convertido en ley en 2018 con la intención de mejorar los derechos de privacidad y la protección del consumidor para los residentes del estado. La ley, que entró en vigor en enero de 2020, otorga a los consumidores más control sobre la información personal que las empresas recopilan sobre ellos y establece nuevos derechos de privacidad del consumidor, que incluyen:

• El derecho a conocer la información personal que una empresa recopila sobre ellos y cómo se usa y comparte
• El derecho a que se elimine su información personal
• El derecho a rechazar la venta de información personal
• El derecho a la no discriminación por ejercer derechos CCPA

Los derechos enumerados anteriormente deben incluirse en la política de privacidadde la empresa, que debe facilitarse a los consumidores en un formato fácil de leer, comprensible e imprimible.

La CCPA exige a las empresas que proporcionen los siguientes avisos a los consumidores en un formato fácil de leer y comprender:

• Política de privacidad
• Aviso de recogida de información personal
• Aviso sobre el derecho a excluir la venta de información personal
• Aviso de incentivo financiero

La CCPA se aplica a cualquier negocio con fines de lucro que realice negocios en California y cumpla con cualquiera de los siguientes criterios:

• Tiene ingresos brutos anuales superiores a 25 millones de dólares
• Compra o vende la información personal de 50 000 o más residentes, hogares o dispositivos de California
• Genera el 50 % o más de sus ingresos anuales por la venta de la información personal de los residentes de California

Las empresas que incumplan la CCPA están sujetas a sanciones económicas de $2500 por cada infracción accidental, $7500 por cada infracción intencionada, más $750 en concepto de daños civiles por cada consumidor afectado.

Para cumplir con la CCPA, las empresas deben cifrar la información personal de los consumidores, tal y como se indica en Sección 1798.150 de la Ley: “Cualquier consumidor cuya información personal no cifrada y no redactada, como se define en el subpárrafo (A) del párrafo (1) de la subdivisión (d) de la Sección 1798.81.5, esté sujeto a un acceso no autorizado y exfiltración, robo o divulgación como resultado de la violación por parte de la empresa del deber de implementar y mantener procedimientos y prácticas de seguridad razonables apropiados a la naturaleza de la información para proteger la información personal puede iniciar una acción civil por cualquiera de las siguientes situaciones:

a. Para recuperar daños en una cantidad no menor de cien dólares ($100) y no mayor de setecientos cincuenta ($750) por consumidor por incidente o daños reales, lo que sea mayor.

b. Medidas cautelares o declaratorias.

C. Cualquier otra medida que el tribunal considere apropiada”.

Para simplificar, si los datos de los consumidores sin cifrar se roban de una empresa, los individuos afectados pueden demandar a esa empresa por un máximo de $750 por consumidor, o por daños reales, lo que sea mayor.

Los consumidores pueden demandar a una empresa bajo la CCPA solo si se cumplen ciertas condiciones. La información personal robada debe incluir el nombre (o la inicial del primer nombre) y el apellido del consumidor en combinación con el del consumidor:

• Número de seguridad social
• Número de licencia de conducir, número de identificación fiscal, número de pasaporte, número de identificación militar u otro número de identificación único emitido en un documento gubernamental comúnmente utilizado para identificar la identidad de una persona
• Número de cuenta financiera, número de tarjeta de crédito o número de tarjeta de débito si se combina con cualquier código de seguridad requerido, código de acceso o contraseña que permitiría a alguien acceder a la cuenta del consumidor
• Información médica o de seguro de salud
• Huella digital, retina o imagen del iris u otros datos biométricos únicos utilizados para identificar la identidad de una persona (pero sin incluir fotografías a menos que se utilicen o almacenen con fines de reconocimiento facial)

Principalmente, esta información debe haber sido robada en forma no cifrada y no redactada.

La propia CCPA no habla de las claves de cifrado. Sin embargo, volvamos a remitirnos a la Sección 1798.150 de la Ley (véase “¿Se requiere el cifrado de datos para el cumplimiento de la CCPA?” más arriba) y a la afirmación “...el acceso no autorizado y la exfiltración, el robo o la divulgación como resultado de la violación por parte de la empresa de la obligación de aplicar y mantener procedimientos y prácticas de seguridad razonables...” (el subrayado es para resaltar). Suponiendo que los registros se hayan cifrado, sería prudente esperar que una auditoría posterior a la violación incluyera una revisión de cómo y dónde se mantuvieron las claves de cifrado. Si las llaves se almacenaban en el mismo lugar que los registros robados o se guardaban en otro sistema con un nivel de protección similar, estos procedimientos y prácticas pueden no alcanzar el nivel de "razonables" a los ojos del auditor. Por lo tanto, es aconsejable proteger las claves de cifrado por separado de los datos cifrados.

Además, la legislación relacionada va más allá para abordar las consecuencias que enfrentan las empresas como resultado de una violación de la información del consumidor cuando los registros no se cifraron o cuando se robaron tanto los datos cifrados como las claves de cifrado. Específicamente, como parte de una enmienda al Proyecto de Ley de la Asamblea 1130, la sección 1798.82 del Código Civil de California dice, en parte:

“Una persona o empresa que realice actividades comerciales en California, y que posea o conceda licencias de datos computarizados que incluyen información personal, deberá revelar una violación de la seguridad del sistema luego del descubrimiento o notificación de la violación en la seguridad de los datos a un residente de California (1) cuya información personal no cifrada haya sido, o se crea razonablemente que ha sido adquirida por una persona no autorizada, o (2) cuya información personal cifrada haya sido, o se crea razonablemente que ha sido, adquirida por una persona no autorizada, y la clave de cifrado o credencial de seguridad haya sido, o se crea razonablemente que ha sido, adquirida por una persona no autorizada y la persona o empresa propietaria o licenciataria de la información cifrada tenga una creencia razonable de que la clave de cifrado o credencial de seguridad podría generar esa información personal legible o utilizable. La divulgación se hará en el tiempo más oportuno posible y sin demoras irrazonables, de acuerdo con las necesidades legítimas de la aplicación de la ley, según lo dispuesto en la subdivisión (c), o cualquier medida necesaria para determinar el alcance de la infracción y restaurar la integridad razonable del sistema de datos”.

La normativa de la CCPA tiene un amplio alcance y exige a las empresas que tomen varias medidas para informar a los consumidores de sus derechos, así como para proteger sus datos personales. Una solución completa de CCPA incorporará funciones como el cifrado de datos, las notificaciones oportunas a los consumidores y el servicio de atención al cliente.

Aunque California fue la primera en promulgar una amplia ley de privacidad de datos, muchos otros estados han adoptado o tienen en marcha legislación que pretende adoptar requisitos similares a la CCPA. A mediados de 2022, otros cuatro estados (Colorado, Connecticut, Utah y Virginia) han promulgado leyes sobre la privacidad de los datos de los consumidores, que entrarán en vigor en 2023. Al menos una docena de otros estados tienen legislación sobre privacidad de datos en curso y se espera que otros sigan su ejemplo.