clipart cubo rubix sobre fondo verde con sombra

Privacidad del consumidor, cannabis en California y solicitudes de supresión CCPA

Griffen Thorne

clipart cubo rubix sobre fondo verde con sombra

La Ley de Privacidad del Consumidor de California (CCPA) entró en vigor a principios de año. CCPA es una ley de privacidad masiva similar en alcance al infame Reglamento General de Protección de Datos de la Unión Europea, y se aplica a muchas empresas (no sólo las empresas de cannabis) que se basan en o incluso "hacer negocios" en California. Escribí sobre los umbrales para saber si la CCPA se aplica aquí, y la moraleja de la historia es que el listón puede ser bastante bajo cuando se trata de la aplicación de la ley.

Para las empresas sujetas a la CCPA, su cumplimiento puede resultar difícil. Una de las características distintivas de la ley es que proporciona a los consumidores de California muchos derechos nuevos que pueden ejercer con respecto a las empresas que poseen la información personal de los consumidores. Estos derechos incluyen cosas como el derecho a ordenar a una empresa que no venda información personal del consumidor, el derecho a saber específicamente qué tipo de información personal ha recopilado una empresa y, lo que es importante para este artículo, el derecho a solicitar que las empresas eliminen la información personal del consumidor.

El derecho de supresión es en lo que quiero centrarme hoy. Según la normativa de la CCPA, las empresas que reciben solicitudes de supresión deben confirmar la recepción en un plazo breve y, a continuación, responder a la solicitud en un plazo de 45 días a partir de la fecha de recepción (en algunos casos, este plazo puede duplicarse hasta 90 días). Las empresas pueden utilizar varios métodos para confirmar que la persona que hace la solicitud es realmente la persona cuya información se va a borrar (podría escribir un post entero sólo sobre la verificación). Al final del proceso, la empresa estará obligada a eliminar la información personal a menos que haya una excepción, de la que hablaré más adelante.

Las solicitudes de supresión pueden ser muy importantes para las empresas cubiertas. Dichas empresas pueden necesitar purgar información de marketing u otra información clave que, por lo demás, es valiosa. El proceso de supresión en sí también puede llevar mucho tiempo y ser costoso (especialmente para las pequeñas empresas que pueden no tener un equipo dedicado al cumplimiento). Sin embargo, cuando se trata de empresas de cannabis, es posible que haya muchos motivos para conservar la información.

La CCPA deja claro que las empresas cubiertas pueden tener derecho a rechazar una solicitud de supresión si es necesario para la empresa o su proveedor de servicios:

  1. Completar la transacción para la que se recopiló la información personal, cumplir los términos de una garantía escrita o retirada de productos realizada de conformidad con la legislación federal, proporcionar un bien o servicio solicitado por el consumidor, o razonablemente previsto en el contexto de una relación comercial en curso de la empresa con el consumidor, o ejecutar de otro modo un contrato entre la empresa y el consumidor.
  2. Detectar incidentes de seguridad, proteger contra actividades maliciosas, engañosas, fraudulentas o ilegales, o perseguir a los responsables de dichas actividades.
  3. Depurar para identificar y reparar errores que afecten a la funcionalidad prevista.
  4. Ejercer la libertad de expresión, garantizar el derecho de otro consumidor a ejercer su derecho a la libertad de expresión o ejercer otro derecho previsto por la ley.
  5. Cumplir la Ley de Privacidad de las Comunicaciones Electrónicas de California de conformidad con el Capítulo 3.6 (a partir de la Sección 1546) del Título 12 de la Parte 2 del Código Penal.
  6. Participar en investigaciones científicas, históricas o estadísticas, públicas o revisadas por pares, de interés público que respeten el resto de la legislación aplicable en materia de ética y privacidad, cuando la eliminación de la información por parte de la empresa pueda imposibilitar o perjudicar gravemente la realización de dichas investigaciones, si el consumidor ha dado su consentimiento informado.
  7. Permitir únicamente usos internos que se ajusten razonablemente a las expectativas del consumidor en función de su relación con la empresa.
  8. Cumplir una obligación legal.
  9. Por lo demás, utilizar la información personal del consumidor, internamente, de forma lícita y compatible con el contexto en el que el consumidor facilitó la información.

Estos incidentes son increíblemente amplios y pueden aplicarse a una gran variedad de información. Pero el número 8 es bastante significativo para las empresas de cannabis. En los materiales interpre tativos publicados en coordinación con las regulaciones CCPA, el personal del Fiscal General de CA señaló que:

Esta aclaración no es necesaria porque [la sección antes citada] establece cuándo una empresa no estará obligada a cumplir el derecho del consumidor a la supresión, lo que incluye los casos en que deba conservar la información para cumplir una obligación legal. El artículo 1798.145(c) del Código Civil también establece que la CCPA no restringirá la capacidad de las empresas para cumplir las leyes federales, estatales y locales, entre otras cosas. Además, el artículo 1798.196 del Código Civil establece que su finalidad es complementar la legislación federal y estatal, si está permitido, pero que no se aplicará si dicha aplicación está prohibida por la legislación federal de los Estados Unidos o la Constitución de California o entra en conflicto con ellas.

Al analizar esta interpretación, parece probable que las empresas de cannabis autorizadas que están obligadas por la Ley de Regulación y Seguridad del Cannabis Medicinal y de Uso Adulto ("MAUCRSA", por sus siglas en inglés) y la normativa correspondiente a conservar determinadas categorías de información personal de los consumidores puedan estar exentas de eliminar dicha información. He aquí dos buenos ejemplos:

  1. Las empresas de venta de cannabis al por menor están obligadas por la normativa de la Oficina de Control del Cannabis (BCC) a mantener grabaciones de vídeo de seguridad durante 90 días o más, y están obligadas a utilizar cámaras capaces de grabar los rasgos faciales en la zona de venta al por menor. Esto puede constituir información "biométrica" en virtud de la CCPA (que se define para incluir "imágenes de la . . . cara") y por lo tanto puede ser considerada información personal en virtud de la CCPA.
  2. Las empresas de reparto de cannabis están obligadas a mantener registros que permitan a la BCC averiguar a qué personas entregaron cannabis. Al parecer, esta obligación es de 7 años. Esta información contendría sin duda datos personales.

En la medida en que las empresas de cannabis están obligadas por ley a conservar la información personal, pueden utilizarla como escudo para cumplir con las solicitudes de eliminación de datos. Se trata de una simplificación excesiva. Como cabría esperar, no siempre está claro si (1) algo constituye información personal y (2) existe una obligación legal real de conservar esa información. Las empresas que reciban solicitudes de supresión u otras solicitudes de la CCPA deben consultar con profesionales de la privacidad o abogados para determinar el alcance de las solicitudes. No responder adecuadamente puede acarrear importantes sanciones.

Compartir

Griffen Thorne

Griffen es abogado en la oficina de Harris Sliwoski en Los Ángeles, donde centra su práctica en asuntos corporativos, transaccionales, de propiedad intelectual, seguridad de datos, regulatorios y litigios en una amplia variedad de industrias nacionales e internacionales.

Harris Sliwoski Abogado Leer más artículos
Seguir leyendo

California, Datos / Cibernética

Entradas relacionadas

arizona cannabis

Las ventas de cannabis en Arizona superan los 1.400 millones de dólares
jesse ventura cannabis

El ex gobernador de Minnesota Jesse Ventura crea una marca de cannabis
mercado ilegal

California se rinde ante el mercado ilegal de cannabis: Más de lo mismo
Material promocional de un seminario web sobre la compra o venta de un negocio de cannabis organizado por el bufete de abogados harris sliwoski con los ponentes griffen thorne, vince sliwoski y andy shelley programado para el 17 de abril de 2024.

Webinar GRATUITO Mañana, 17 de abril: Cómo comprar o vender un negocio de cannabis
inversión en cannabis

Inversión extranjera en el cannabis estadounidense: Cinco consideraciones clave
Equidad social del cannabis de Missouri

Missouri revoca nueve licencias de equidad social
Lupa enfocando un documento titulado "contrato de cannabis" con el símbolo de una hoja de cannabis de una autoridad de fondo.

Contratos de cannabis 101: Autoridad y por qué es importante
El edificio del tribunal supremo de Florida iluminado en luz verde contra un cielo crepuscular.

El Tribunal de Florida aprueba la iniciativa sobre el cannabis
industria del cannabis

Salvar la industria del cannabis en Oregón
Washington

El cannabis es ahora un poco más verde en Washington
industria del cannabis

El enigma de la industria del cannabis en California y el camino por recorrer
requerimiento

Litigios sobre cannabis en California: Amenazas de pérdida de licencia y medidas cautelares
Material promocional de un seminario web sobre la compra o venta de un negocio de cannabis organizado por el bufete de abogados harris sliwoski con los ponentes griffen thorne, vince sliwoski y andy shelley programado para el 17 de abril de 2024.

Webinar GRATUITO: Cómo comprar o vender un negocio de cannabis | 17 de abril
Arizona

Cannabis en Arizona: De la aprobación de la equidad social al cannabis corporativo
LOI

Cómo las cartas de intención pueden salir terriblemente mal