¿Qué es la CCPA (Ley de privacidad del consumidor de California)?

La Ley de privacidad del consumidor de California (CCPA) da a los residentes de California el control sobre los datos personales que las empresas recopilan sobre ellos.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Conocer los derechos de los residentes de California en virtud de la CCPA
  • Explicar cuándo se aplica la CCPA a una empresa
  • Comparar la CCPA con otras legislaciones sobre privacidad de datos

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es la Ley de privacidad del consumidor de California (CCPA)?

La Ley de privacidad del consumidor de California (CCPA) es una ley de privacidad de datos que se aplica a la mayoría de las empresas que procesan los datos personales de los residentes de California. La CCPA da a los residentes de California cierto control sobre los datos personales que las empresas recopilan sobre ellos.

La CCPA entró en vigor el 1 de enero de 2020. A finales de 2020, los votantes de California aprobaron una proposición, la Ley de derechos de privacidad de California (CPRA), que modificó y amplió la CCPA. La CCPA se seguirá revisando con el paso del tiempo.

¿Qué derechos otorga la CCPA a los consumidores?

La CCPA otorga a los consumidores los siguientes derechos importantes:

  • El derecho a saber: los consumidores deben ser informados sobre qué información personal sobre ellos recopila una organización y cómo se utiliza dicha información.
  • El derecho a la eliminación: con algunas excepciones, los consumidores pueden suprimir la información que se haya recopilado sobre ellos.
  • El derecho a renunciar: los consumidores pueden impedir la venta de sus datos a terceros.
  • El derecho a no ser discriminado: una organización no puede tratar de forma diferente a los usuarios que ejercen sus derechos amparados por la CCPA, por ejemplo, cobrándoles más por los servicios habituales. No obstante, hay ocasiones en las que el ejercicio de los derechos de la CCPA afecta a los servicios que puede prestar una organización; por ejemplo, si un usuario de un sitio web de comercio electrónico ejerce el derecho "a la eliminación" y elimina su cuenta, es posible que ya no pueda guardar su dirección de envío o la información de su tarjeta de crédito en ese sitio web.

Supongamos que Alice visita un sitio web, news.example.com, y que ese sitio web utiliza las cookies del navegador y el seguimiento de la ubicación del usuario. Alice está cargando este sitio web en su ordenador portátil en su apartamento de San José, California. Como está en California, cuando carga news.example.com aparece un banner que informa a Alice del uso de cookies y datos de localización por parte del sitio web. Esto sucede porque Alice tiene el derecho a saber.

El banner también ofrece a Alice una opción: puede elegir no permitir que news.example.com venda información sobre su ubicación a las redes publicitarias si hace clic en un botón que dice "No vender mi información personal. " O bien, puede hacer clic en "Aceptar y continuar" para permitir la venta de datos. Tiene esta opción porque tiene derecho a renunciar.

Ahora, imaginemos que Alice hace clic en "No vender mi información personal", porque prefiere mantener su ubicación lo más privada posible. De repente, todo el contenido de news.example.com se bloquea, y Alice ya no puede ver vídeos ni leer artículos en el sitio web. Esto sería una vulneración de la CCPA, porque Alice tiene derecho a no ser discriminada; news.example.com tiene que proporcionar a Alice los mismos servicios al mismo precio que los proporcionan a sus otros usuarios que permiten la venta de sus datos.

¿Dónde se aplica la CCPA?

La CCPA se aplica únicamente a los datos personales de los residentes en California. Sin embargo, cualquier organización puede estar sujeta a la CCPA si recopila datos sobre residentes de California, independientemente de dónde esté su sede.

La CCPA se aplica a las organizaciones que hagan cualquier tipo de negocio en California y que cumplan una de las siguientes descripciones:

  1. Tienen unos ingresos brutos anuales de 25 millones de dólares o más.
  2. Compran, reciben o venden la información personal de al menos 50 000 residentes, hogares o dispositivos de California.
  3. Obtienen el 50 % o más de sus ingresos anuales de la venta de información personal de los residentes de California.

La CCPA no se aplica a las organizaciones sin ánimo de lucro, a las agencias gubernamentales ni a ciertos tipos de instituciones financieras; por ejemplo, un residente de California no puede evitar el pago de una deuda si pide a la agencia de cobro de deudas que elimine su información personal.

¿Cómo define la CCPA la "información personal"?

La CCPA define la "información personal" de la siguiente manera:

""Información personal" es la información que identifica, hace referencia, describe, puede ser suficientemente asociada, o podría ser suficientemente vinculada, directa o indirectamente, con un consumidor u hogar en particular."

La CCPA también enumera muchos tipos de datos que se consideran información personal, entre los que se incluyen:

  • Nombre
  • Dirección IP
  • Dirección postal
  • Información biométrica
  • Historial de navegación o de búsqueda de Internet
  • geolocalización
  • Cualquier deducción realizada a partir de alguno de los tipos de información personal enumerados

La lista completa se puede encontrar en la Ley de privacidad del consumidor de California, sección 1798.140.

La CCPA también precisa que la información disponible públicamente, como la de los registros gubernamentales obtenidos legalmente, no se considera información personal.

Ten en cuenta que esta definición de "información personal" es exclusiva de la CCPA. Otros marcos de privacidad, como el Reglamento general de protección de datos (RGPD) de la Unión Europea, utilizan sus propias definiciones.

¿Es el cumplimiento de la CCPA lo mismo que el cumplimiento del RGPD?

Aparte de que estos dos marcos de privacidad se aplican a regiones diferentes, la CCPA y el RGPD no son iguales. Definen los términos de forma diferente, tienen requisitos distintos para las empresas, y tienen estructuras de multas y sanciones diferentes. El cumplimiento del RGPD no garantiza el cumplimiento de la CCPA, y viceversa.

¿La CCPA anula la HIPAA?

La Ley de Transferencia y Responsabilidad de Seguros Médicos (HIPAA) es una ley federal estadounidense que regula la privacidad y la protección de los datos sanitarios. La CCPA no se aplica a la información sanitaria personal que ya está regulada por la HIPAA.

¿Cómo afecta la CCPA al uso de las cookies?

Una "cookie" es un pequeño archivo de información que un sitio web genera y envía al navegador del usuario cuando este visita el sitio web. Algunas cookies recopilan el historial de navegación del usuario, el historial de búsqueda del usuario o las interacciones del usuario con un sitio web. Según la CCPA todo ello se considera "información personal". Debido al derecho a saber, las organizaciones tienen que informar a los usuarios de los datos que recopilan a través de las cookies y de cómo se utilizan esos datos.

Sin embargo, a diferencia de otros marcos de privacidad, la CCPA no requiere que las organizaciones obtengan el consentimiento del usuario para las cookies.

Más información sobre las cookies o sobre la privacidad de datos.