La Ley de Derechos de Privacidad de California (CPRA): Cómo preparar su negocio

Publicado: 2022-07-14

¿Eres residente de California? Si es así, entonces la CPRA es algo que debería preocuparle. Especialmente si desea abrir un negocio allí y recopilar información confidencial de sus consumidores.

Al igual que el RGPD, la CPRA se creó para establecer estándares para los Estados Unidos y evitar malentendidos y uso indebido de los datos personales de los consumidores. Además, aunque la CPRA no será aplicable hasta principios de 2023, cualquier tipo de datos recopilados después del 1 de enero de 2022 está sujeto a la CPRA.

Hay muchas cosas que aprender sobre la CPRA, y tenemos mucho más que contarte. Así que no vayas a ningún lado porque, en este artículo, hablaremos intensamente de la CPRA.

Cómo preparar su negocio para la CPRA

Cumplimiento de la CPRA

Las empresas que operan en California o recopilan información personal de los residentes de California, independientemente de si es con fines de marketing o no, están sujetas a la CPRA si:

  • Logra tener una facturación superior a los $25 millones anuales
  • Se las arregla para obtener más del 50% de los ingresos de la venta y el intercambio de información personal de los residentes de California
  • Compra, comparte y vende la información personal de más de 100,000 hogares de California

Un cambio importante que se ha hecho de la CCPA a la CPRA es eliminar el requisito de usar información personal solo con fines de marketing. Así que ahora, incluso si la empresa no se beneficia de la información personal de los consumidores, aún debe cumplir con la ley.

El cumplimiento de la CPRA es bastante interesante porque si usted es una pequeña o mediana empresa, es posible que no tenga que cumplir con la CPRA sino con la CCPA. Inicialmente, debe identificar si su empresa debe cumplir con la CCPA o la CPRA. Muchos piensan que ambos son iguales, pero la verdad es que tienen algunas diferencias clave. Comparativamente, la CPRA afloja muchas restricciones que tiene la CCPA, mientras que algunas pequeñas y medianas empresas no cumplen con la CPRA. Sin embargo, al mismo tiempo, también fortalece muchas debilidades de la CCPA.

Nota: Si está interesado en aprender sobre la CPRA, puede leer más en el sitio web de Osano .

¿Cuáles son las diferencias entre la CCPA y la CPRA?

La CPRA se considera una enmienda de la CCPA al ofrecer un enfoque GDPR, ampliar los derechos individuales y mucho más. Aquí están las dos diferencias principales entre los dos:

  • Cumplir con la CCPA significa que compra, vende o recibe acciones con fines comerciales de marketing. También es aplicable si compra, vende o recibe acciones de la información personal de alrededor de 50 000 consumidores y hogares. Sin embargo, la CPRA exige más de 100.000 consumidores y hogares.
  • Cumplir con la CCPA significa que está recibiendo al menos el 50% de los ingresos anuales de la venta de información personal de los consumidores. Con la CPRA, se trata de vender y compartir información personal. Es necesario tener un certificado SSL cuando comparte información personal con el sitio web. Por lo tanto, es importante comprar certificados SSL de proveedores de SSL de renombre como ClickSSL que ofrecen certificados SSL autenticados con el mismo nivel de cifrado.

La CPRA también incluyó la creación de la Agencia de Protección de Privacidad de California (CaIPPA), una agencia dedicada a la privacidad que gobiernan cinco miembros de la junta. Estos miembros deben ser expertos en privacidad, derechos del consumidor y tecnología. De lo contrario, no podrán calificar. Además, no pueden servir más de ocho años dentro de la agencia de privacidad.

Enmiendas

De acuerdo con la CCPA, las personas solo pueden solicitar acceso a sus datos personales durante un año desde que se almacenaron y recopilaron. Sin embargo, con la CPRA, tiene derecho a hacerlo en cualquier momento.

Además, cuando la CCPA define “vender”, no significa precisamente compartir. Por otro lado, el CPRA incluye "Vender" y "Compartir". Además, la CPRA aclara el derecho a impedir (excluirse) que las empresas compartan y vendan su información personal a otras partes.

Finalmente, no olvidemos que tanto la CCPA como la CPRA permiten demandar a las empresas. Los consumidores pueden hacer esto si una empresa expone información confidencial sin autorización y provoca filtraciones de datos que revelan contraseñas y nombres de usuario.

¿Qué hay de nuevo con la CPRA y cómo afecta a su negocio?

Se han realizado nuevas modificaciones tanto a la CPRA como a la CCPA para incluir nuevos derechos que las empresas están obligadas a cumplir. ¿Porque? Según SalesForce, alrededor del 46 % de los consumidores sienten que no tienen suficiente control sobre sus datos privados. Lamentablemente, solo el 10 % cree que tiene suficiente control sobre sus datos personales.

Sin embargo, las empresas que violen estas leyes se enfrentarán a enormes multas de miles de dólares y serán demandadas por violaciones intencionales de datos privados.

Ahora, aclaremos algunas cosas importantes aquí. En primer lugar, cuando es una empresa, según la CPRA, está obligado a explicar por qué recopila información personal y con quién la comparte. Sin embargo, según la CCPA, tiene derecho a preguntar por qué se recopilan sus datos personales. Además, las personas tienen derecho a informar a las empresas sobre información inexacta o si es necesario realizar alguna modificación.

Bajo la CPRA, los consumidores tienen más derechos. Esto incluye obtener conocimiento de dónde se está utilizando su información y cómo corregir la información inexacta que puedan ver.

Aquí hay algunas cosas que su empresa puede aplicar para adaptarse a estas regulaciones:

  • Defina el propósito de por qué está recopilando los datos
  • Aplicar medidas de seguridad para proteger la información personal
  • Muestre una lista de entidades con las que se comparten datos y por qué su empresa los comparte con ellos recopilando información personal
  • Proporcione todas las fuentes de información que su empresa utiliza y recopila
  • Sigue actualizando tu información de privacidad y demuestra que tu negocio siempre cumple con las últimas leyes. No olvide enviar actualizaciones por correo electrónico, sitio web, teléfono y redes sociales.
  • Implemente procedimientos que aseguren que está procesando y revisando la autenticidad de los datos. Además, agregue una función de "exclusión voluntaria" para que los usuarios puedan dejar de compartir su información personal si así lo desean.

Una nueva categoría de datos protegidos

La CPRA ha introducido la idea de información personal confidencial (SPI). Esto obliga a las empresas que recopilan este tipo de información a brindar una protección de datos más sólida. El SPI incluye el siguiente tipo de información personal:

  • Datos de salud
  • Datos genéticos
  • Datos religiosos
  • Origen étnico
  • Geolocalización
  • Datos relativos a la orientación sexual de una persona
  • Tarjetas de identificación, licencias de conducir, números de seguro social y más
  • Origen étnico y racial

La CPRA impone restricciones a una nueva categoría de datos. También agrega nuevos requisitos para las empresas que recopilan SPI, incluido el propósito y la divulgación actualizados, los requisitos de exclusión voluntaria y más.

Minimización de datos y limitaciones de almacenamiento

Las empresas deben minimizar o limitar la retención, el uso y el intercambio de información personal siempre que sea posible. En general, la CPRA impide que las empresas retengan información personal por más tiempo del requerido. Además, las empresas deben informar a la CPRA sobre sus períodos de retención para cada dato personal que recopilan.

Entonces, ¿qué tienes que hacer al respecto? Primero, su empresa debe indicar cuánto tiempo retendrá los datos personales y si será más tiempo del necesario. Esto debe tenerse en cuenta en las políticas de la empresa, incluida la eliminación de datos, y asegurarse de que se cumplan todas las leyes.

No se permiten represalias

Es importante saber que la CPRA no acepta la discriminación contra los consumidores que optan por no recibir su información. Esto incluye lo siguiente:

  • Negar los tipos de bienes y servicios al consumidor.
  • Proporcionar un nivel o calidad diferente de bienes y servicios al consumidor.
  • Cobrar precios diferentes por sus bienes o servicios, incluidos descuentos o cualquier otro beneficio
  • Ir en contra de un miembro del equipo, un candidato que se ha postulado para su empresa o incluso un contratista independiente por condenar los derechos de exclusión voluntaria

Use herramientas amigables con la privacidad para su mercadeo

Cuando invierte grandes presupuestos en marketing y publicidad, debe asegurarse de que sus inversiones realmente estén dando sus frutos. Para hacer eso, necesita una plataforma de análisis de marketing que recopile datos de todos sus canales de marketing y le brinde informes valiosos para tomar más decisiones basadas en datos.

RedTrack es su solución amigable con la privacidad (que cumple con GDPR, CCPA, CCPR, etc.), pero aún brinda resultados al analizar sus esfuerzos de marketing y mostrarle los números reales sobre su desempeño.

Considere usar una plataforma de gestión de consentimiento (CMP)

Los CMP son una excelente manera de ayudar a su empresa a administrar legalmente los documentos de la empresa y el consentimiento del usuario antes de recopilar, almacenar o incluso compartir los datos. Se aseguran de que cumpla con las leyes de privacidad e incluso le informan cada vez que se realizan cambios. Además, los CMP pueden administrar las solicitudes de información de datos que realice y monitorear a todos los proveedores externos.

Aquí hay algunos CMP que puede considerar usar para ayudarlo a mantenerse actualizado con las leyes de privacidad y administrar las solicitudes de datos:

  • OneTrust
  • Quantcast
  • TrustArc
  • Cookiebot
  • Pico de la corona

Envolviendolo

Eso es todo por este artículo. Estas son las nuevas modificaciones que se han realizado a la CPRA. Sin embargo, no crea que estos serán los únicos fabricados, ¡la CPRA cambia continuamente!

El objetivo general de la CPRA es garantizar que los consumidores tengan suficiente control sobre sus datos y no se sientan inseguros sobre las filtraciones de datos o la pérdida de control sobre sus datos personales. Después de todo, los datos pertenecen a los consumidores y ellos pueden decidir cómo se utilizan sus datos.