Entra en vigor el RGPD californiano

El pasado 1 de enero entró en vigor en California la Ley de Privacidad del Consumidor (California Consumer Privacy Act) (en adelante, “CCPA”, por sus siglas en inglés), por la que se introducen en dicho estado unos principios en cierto modo similares a los establecidos en la Unión Europea a través del Reglamento General de Protección de Datos (en adelante, “RGPD”).

No obstante, como veremos, la CCPA es en algunos extremos menos estricta que el RGPD, y su ámbito de aplicación se reduce a empresas que “hagan cualquier negocio en California” y que (i) tengan unos ingresos brutos de, al menos, 25 millones de dólares; (ii) posean información personal de, al menos, 50.000 residentes, hogares, o dispositivos de California al año; y (iii) generen, al menos, el 50% de sus ingresos anuales gracias a la venta de datos personales de californianos.

En primer lugar, cabe señalar que no existe una gran diferencia en relación con lo que se considera información personal en Europa y en California, pues la CCPA también entiende como información personal toda aquella que permita la identificación directa o indirecta de –en este caso– un consumidor u hogar (entendiendo como tal «una persona o grupo de personas que ocupan una sola vivienda”), entre la que incluye explícitamente, dado su destino y naturaleza particulares, la información comercial relacionada con un consumidor (p. ej. tendencias de compras o consumo, registro de bienes, etc.).

La CCPA introduce además ciertos derechos básicos de los consumidores quea los europeos nos resultan familiares. Entre otros, introduce el derecho a saber – “right-to-know” – (en virtud del cual los consumidores tienen derecho a conocer la información que una empresa ha recopilado sobre ellos, las fuentes de las que se ha obtenido, la finalidad de su uso y su cesión a terceras personas); y el derecho desupresión de los datos personales de un consumidor (“right-to-delete”). Sin embargo, en este último caso las empresas únicamente están obligadas a eliminar los datos recogidos directamente de los consumidores. La ley introduce además otros derechos, como el de impedir la venta o cesión de los datos personales a otra empresa. Para ello, la página web debe incluir un enlace titulado “Do Not Sell My Personal Information” a través del cual los consumidores puedan ejercitar este derecho. Se reconoce también, entre otros, el derecho de no discriminación por ejercer alguno de los derechos previstos en la CCPA. 

Asimismo, la CCPA recoge a lo largo de sus disposiciones una serie de obligaciones para las empresas, tales como, entre otras, la de divulgar proactivamente la existencia de los derechos de los consumidores y de comunicar los fines y las categorías de datos personales que recogen; la prohibición de reventa (salvo ciertas excepciones en las que medie el consentimiento) de los datos personales que una empresa haya obtenido como consecuencia de la compra de los mismos a otra empresa; o la obligación de comunicar las categorías de datos personales vendidos o revelados por una empresa en los últimos 12 meses.

Existen no obstante importantes diferencias entre lo previsto en la nueva ley californiana y el RGPD. Entre ellas, es interesante destacar las siguientes:

• En primer lugar, la CCPA no recoge el derecho al olvido, el derecho de rectificación ni el derecho a no ser objeto de decisiones automatizadas.

• Además, no requiere el consentimiento expreso de los consumidores para tratar sus datos, de modo que las empresas pueden tratar y comercializar sus datos libremente salvo que los consumidores se opongan al tratamiento y utilización de sus datos.

• La prueba de cumplimiento con la normativa aplicable puede ser recogida a posteriori, sin que sea necesario que las empresas cuenten con documentación previa y específica que acredite tal extremo.

• La CCPA otorga a las empresas la posibilidad de proporcionar incentivos financieros a aquellos consumidores que consientan la recolección y tratamiento de sus datos.

¿Garantiza el cumplimiento con el RGPD el cumplimiento automático de la CCPA?

En líneas generales, es probable que el cumplimiento con el reglamento europeo suponga el cumplimiento de las medidas californianas, si bien las últimas introducen normas explícitas para la venta de datos personales que las empresas deben tener en cuenta.

Además, la CCPA incluye un particular régimen sancionador, contando los consumidores con un derecho privado de acción contra una empresa ante toda brecha de seguridad que afecte a sus datos personales no encriptados o protegidos y que no haya sido remediada en el plazo de 30 días. En particular, todo consumidor puede exigir un resarcimiento de daños y perjuicios de entre 100 y 750 dólares. Además, el Procurador General puede igualmente demandar a una empresa por cualquier incumplimiento de la CCPA y exigir sanciones de hasta 7.500 dólares por incumplimiento.

Con todo, la CCPA se alza, según diversas fuentes y, al menos, hasta la aprobación definitiva de la ley de privacidad de Nueva York, como la ley estadounidense más estricta en la materia, y tendrá un indudable impacto en la manera en que las empresas y operadores de sitios web manejan los datos personales y la privacidad de los californianos (a quienes la CCPA limita sus efectos).

Autora: Ana Sánchez