Bandera de la República de California

La nueva ley de privacidad de datos de California afectará a las empresas de todo el mundo

Griffen Thorne

Bandera de la República de California

Esta no es la primera vez que escribo en China Law Blog sobre la Ley de Privacidad del Consumidor de California (o "CCPA", por sus siglas en inglés), la nueva ley de privacidad de California que muchos comparan con el Reglamento General de Protección de Datos de la UE (o "GDPR", por sus siglas en inglés), pero ciertamente se está volviendo más importante ahora que la CCPA entra en vigor en aproximadamente seis semanas. Si antes no te tomabas en serio la CCPA, ahora deberías hacerlo.

La CCPA entra en vigor el 1 de enero de 2020. Es comparable en alcance y amplitud al GDPR, lo que significa que puede ser una pesadilla para las empresas. La CCPA es, con mucho, la ley de privacidad estadounidense más importante y amplia hasta la fecha. Ha habido una docena de intentos de modificar la ley, muchos de los cuales han tenido éxito (algunas organizaciones de privacidad incluso han creado rastreadores de enmiendas), y el Fiscal General de California publicó recientemente propuestas de reglamentos que añaden otra capa de complejidad a la ya compleja ley.

Uno de los primeros (y más complicados) aspectos de la CCPA es averiguar a quién se aplica. La CCPA se aplica a (a) las empresas con ánimo de lucro que (b) operan en California y (c) recopilan información personal de los consumidores por sí mismas o a través de terceros o determinan los fines y medios del tratamiento de la información personal de los consumidores y (d) cumplen uno de los tres criterios siguientes:

  1. Una empresa genera más de 25 millones de dólares de ingresos brutos anuales (esta cifra se ajustará con el tiempo).
  2. Una empresa "sola o en combinación, anualmente compra, recibe para los fines comerciales de la empresa, vende o comparte para fines comerciales, sola o en combinación, la información personal de 50.000 o más consumidores, hogares o dispositivos".
  3. Una empresa obtiene al menos el 50% de sus ingresos anuales de la venta de información personal de los consumidores.

Esto es un bocado. He aquí algunas de las notas más importantes:

  • No se exige que la empresa esté ubicada en California. Una empresa de cualquier otro estado o país (incluso China) podría verse obligada a cumplirla siempre que satisfaga los criterios anteriores.
  • "Hacer negocios" no está definido y puede (y probablemente se interpretará) en sentido amplio para incluir relaciones aparentemente menores con el estado de California.
  • La CCPA puede aplicarse a determinadas empresas matrices o filiales de empresas a las que se aplica la CCPA. En otras palabras, si una empresa de otro estado es propietaria de una empresa a la que se aplica la CCPA, la CCPA puede aplicarse a ambas empresas aunque la empresa matriz tenga su sede en otro lugar y, de otro modo, no tendría que cumplirla.
  • Para muchas empresas, los puntos 1 y 3 pueden no ser aplicables. Sin embargo, el punto 2 debería hacer reflexionar a cualquier empresa. En unas directrices recientes, el Fiscal General de California interpretó esta disposición afirmando que "cualquier empresa que recopile información personal de más de 137 consumidores o dispositivos al día alcanzará el umbral de 50.000". Para proporcionar un límite superior en el número de empresas potencialmente afectadas por la normativa CCPA, consideramos dos supuestos alternativos. Suponemos que el 50% o el 75% de todas las empresas de California con ingresos inferiores a 25 millones de dólares estarán cubiertas por la CCPA". En otras palabras, si una empresa obtiene información personal (que se define de forma extremadamente amplia) de tan sólo 137 consumidores o "dispositivos" al día, entonces podría aplicarse la CCPA. Y, por supuesto, esto no se limita a la recopilación en línea.

Si la CCPA se aplica a una empresa, su cumplimiento no será tarea fácil. A continuación se exponen algunos de los aspectos clave de la CCPA que las empresas deben conocer:

  1. La CCPA crea numerosos derechos para los consumidores con respecto a las empresas que poseen su información personal, entre ellos el derecho a saber qué información sobre el consumidor posee una empresa, el derecho a la supresión de determinada información, el derecho a optar por la no venta de información, etcétera. Las empresas deben ser capaces de satisfacer las peticiones de los clientes, y hacerlo puede resultar complejo. ¿Puede la empresa media dejarlo todo e identificar a un consumidor en un breve plazo de tiempo exactamente qué información tiene la empresa sobre el cliente?
  2. Para poder cumplir realmente con la CCPA, las empresas deben ser capaces de identificar cómo recopilan información de cualquier fuente y qué hacen con ella. Esto puede ser una tarea tremendamente complicada, especialmente para las empresas más grandes o las que tienen presencia en línea.
  3. Las empresas deben tener políticas de privacidad que expliquen a los clientes qué información tienen, cómo la han obtenido y qué hacen con ella. Aunque California ya exigía que las empresas con sitios web tuvieran políticas de privacidad, las políticas de privacidad del tipo de la CCPA serán mucho más amplias y no se aplicarán sólo a la información recogida a través de sitios web. Por otra parte, de conformidad con la propuesta de reglamento publicada recientemente por el Fiscal General de California, esas políticas deben ser accesibles a los consumidores con discapacidad, lo que puede suponer un enorme reto para las empresas cubiertas.
  4. Si las empresas venden (o en algunos casos incluso facilitan) información sobre los clientes a terceros, habrá que explicárselo a los clientes desde el principio, y los clientes tendrán la posibilidad de optar por no compartir esa información. De hecho, según la normativa del Fiscal General, los sitios web deben incluir incluso un botón especial de exclusión.
  5. Las empresas que proporcionan información sobre los consumidores a terceros "proveedores de servicios" para que procesen la información en nombre de la empresa deben firmar contratos con los proveedores de servicios que les obliguen a cumplir determinadas normas de la CCPA.
  6. Las empresas deben formar a sus empleados y agentes sobre determinadas prácticas de privacidad.
  7. La CCPA crea un derecho de acción privado para los consumidores y les permite reclamar daños y perjuicios legales o reales en caso de determinadas infracciones en las que las empresas no hayan adoptado medidas de seguridad razonables. Esto significa que es probable que en el futuro se produzca una avalancha de demandas colectivas contra todo tipo de empresas. Incluso las empresas que crean haber adoptado medidas de seguridad razonables tendrán que demostrarlo mediante costosos litigios. La única salvación es que puede haber un periodo de subsanación para algunas empresas, pero lo más probable es que las demandas sigan su curso.

Esta es sólo una breve lista de algunos de los requisitos más importantes de la CCPA. Como cualquier lector puede ver, el cumplimiento no será fácil. Las empresas que no empiecen a pensar en la CCPA ahora correrán riesgos más adelante.

Compartir

Griffen Thorne

Griffen es abogado en la oficina de Harris Sliwoski en Los Ángeles, donde centra su práctica en asuntos corporativos, transaccionales, de propiedad intelectual, seguridad de datos, regulatorios y litigios en una amplia variedad de industrias nacionales e internacionales.

Harris Sliwoski Abogado Leer más artículos
Seguir leyendo

Internet, Noticias Jurídicas

Entradas relacionadas

Un hombre en una escalera busca una pieza de rompecabezas que representa la necesidad de comprender los requisitos de información CFIUS para la inversión extranjera sobre un mapamundi digital iluminado por conexiones de red.

Requisitos de información CFIUS para inversores no estadounidenses
Debida diligencia en China

Aspectos básicos del cumplimiento de la legislación china
Abogados chinos para estafas en China

Ningún producto de China a pesar de haber pagado por él
Condiciones de pago en China que harán que le paguen

Cómo asegurarse de que le pagan cuando hace negocios con empresas chinas
Maqueta de una tarjeta de identificación personal china.

Su marca en China ya está registrada: ¿Y ahora qué?
Ejecución de sentencias estadounidenses en China

Ejecución de sentencias estadounidenses en China: Lo que debe saber
Política comercial de EE.UU. con China

Duelo de sanciones entre EE.UU. y China: Guía para empresas
Guía para elegir fabricante

Las tres claves para no ser estafado al fabricar en el extranjero
Abogados especializados en diligencia debida en China

Diligencia debida en China: NO es opcional
china law blog

Redactar su propio contrato con China
Acuerdos NNN en China

Acuerdos NNN en China: Respuesta a las diez preguntas más frecuentes
Pantalla de ordenador portátil que muestra un despertador e iconos que indican la prohibición de música y sonido.

El tic-tac del reloj se detiene en TikTok
Varios moldes de resina epoxi junto a recipientes de resina y endurecedor sobre una superficie de madera.

Nuevas peticiones AD/CVD: Determinadas resinas epoxi originarias de China, India, Corea del Sur, Taiwán y Tailandia (AD/CVD)
Trasladar su fabricación de China a México

México frente a China en riesgos de fabricación
Legislación china sobre derechos de autor

Ley de Propiedad Intelectual de China: Conceptos básicos