La Ley de Privacidad del Consumidor de California (CCPA) entra en vigor el 1 de enero de 2020. El proyecto de ley, AB-375, es similar al RGPD. Pero la CCPA pone más énfasis en qué datos de los consumidores están protegidos y se centra un poco menos en la seguridad.
Sin embargo, es probable que la CCPA tenga un mayor impacto en las empresas de EE. UU. que el RGPD. Y la ventana para cumplir se cerrará rápidamente.
Teniendo esto en cuenta, esto es lo que los especialistas en marketing por correo electrónico deben saber sobre la CCPA.
¿Quién debe cumplir con las regulaciones CCPA?
La CCPA se redactó y aprobó en menos de siete días. Todavía se están haciendo modificaciones. Por lo tanto, es prudente que cualquier empresa que haga negocios en California cumpla con las nuevas regulaciones.
Pero el proyecto de ley se aplica explícitamente a las empresas que cumplen uno de estos tres criterios:
Empresas con ingresos brutos anuales de $25 000 000 o más. Empresas que compran, venden o reciben comercialmente información personal de 50 000 o más consumidores anualmente. Empresas que obtienen el 50 % o más de los ingresos anuales de la venta de información personal de los consumidores.
Además, es importante comprender que la CCPA se aplica según la ubicación del consumidor. Las empresas que tienen su sede fuera de California y, e incluso fuera de los Estados Unidos, deben cumplir con la CCPA si tienen cualquier clientes en California, incluso si la empresa no tiene presencia física en California.
Las únicas excepciones son “instituciones de seguros, agentes y organizaciones de apoyo”. Pero estas organizaciones deben cumplir con la Ley de Protección de la Privacidad e Información de Seguros de California (IIPPA), que es similar a la CCPA.
Pero, en resumen, la CCPA se redactó para garantizar que las empresas no puedan utilizar la geografía para eludir las regulaciones.
¿Qué hace la CCPA?
La CCPA todavía está en proceso de modificaciones. Pero los principios fundamentales están vigentes y es poco probable que cambien. En términos generales, la CCPA consta de tres secciones principales:
Definición de qué información personal está protegida
La CCPA arroja una red aún más amplia que el RGPD. Es seguro decir que toda la información que una empresa recopila sobre los clientes está sujeta a las protecciones de la CCPA. Simplemente no vale la pena invertir tiempo y dinero en separar los datos en categorías protegidas y no protegidas.
Sin embargo, la CCPA tiene un par de ampliaciones notables en la definición de “información personal”:
Información sonora, visual, olfativa, térmica, electrónica y similares. La adición más notable es “olfativa”. Es probable que este lenguaje mantenga la relevancia del proyecto de ley a medida que los teléfonos inteligentes y otros dispositivos mejoren en la recopilación de datos de comportamiento de las interacciones físicas.Inferencias extraídas de cualquier información personal protegida. Por lo tanto, si utiliza una base de datos de datos personales para generar conocimientos que no contienen información personal, esos conocimientos inferidos también están protegidos por la CCPA, ya que se obtuvieron a partir de información protegida.
Nuevamente, si cree que algo puede considerarse información personal según la CCPA, lo más probable es que así sea.
Nuevos derechos de privacidad de datos para los consumidores de California
Los consumidores de California tienen mucho más control sobre lo que hacen las empresas con sus datos según la CCPA. La CCPA crea seis derechos clave de privacidad de datos:
Acceso a los datos. Los consumidores de California pueden solicitar copias de cualquier información personal que una empresa haya recopilado sobre ellos. Las empresas deben proporcionar la información en un formato fácil de usar dentro de los 45 días.Eliminación de datos. Las empresas deben eliminar cualquier información personal que tengan sobre un consumidor a petición del consumidor.Optar por no participar en la venta. Los consumidores pueden optar por no participar en la venta de su información personal.Enlaces de “no vender”. Las empresas deben agregar un enlace a su página de inicio titulado “No vender mi información personal”. Las empresas también deberán actualizar sus políticas de privacidad para reflejar esta opción para los consumidores de California.Consentimiento para menores. Si un menor desea dar su consentimiento para que se venda su información personal, debe obtener el consentimiento de un padre o tutor.Derecho de acción. Los residentes de California pueden demandar por daños y perjuicios si creen que se han violado sus derechos.
La CCPA está claramente configurada para brindar a los consumidores el mayor control posible sobre lo que hacen las empresas con sus datos y brindarles más opciones si las empresas no cumplen con las regulaciones.
Multas por infracción de la CCPA
Como ocurre con cualquier normativa, existen multas por su incumplimiento. Aunque la CCPA no contiene directrices tan estrictas para la seguridad de los datos como el RGPD, todavía tiene un marco para castigar a las empresas que no toman las medidas de seguridad adecuadas.
La multa por infracciones de protección de datos se fija en 7.500 dólares por infracción. La CCPA clasifica cada registro de cliente como una infracción separada. Una empresa tiene 30 días para cumplir con las leyes CCPA una vez que se le ha notificado una infracción.Las multas por acceso no autorizado oscilan entre $100 y $750 por registro de cliente por incidente, o el costo de los daños al consumidor, lo que sea mayor.
El “acceso no autorizado” es información personal que queda expuesta a través de cualquier tipo de violación de datos, incluida la “divulgación como resultado de la violación por parte de la empresa del deber de implementar y mantener procedimientos y prácticas de seguridad razonables”.
Dado que el marco para sancionar las infracciones se toma por registro, las multas pueden acumularse muy rápidamente. Por lo tanto, es fundamental que las empresas tomen medidas rápidas para cumplir con los estándares de cumplimiento.
Por qué esto es importante para los especialistas en marketing por correo electrónico
Claramente, las direcciones de correo electrónico y la información asociada están protegidas por la CCPA. Por lo tanto, habrá un impacto en la forma en que los especialistas en marketing por correo electrónico hacen negocios.
Pero, en un nivel más amplio, esta es la primera vez que un estado individual aprueba su propia legislación sobre privacidad. Le seguirán más estados.
Además, no existe un estándar federal de cumplimiento de privacidad. A medida que más estados creen sus propias regulaciones de protección de datos del consumidor, la lista de requisitos de cumplimiento crecerá y el cumplimiento de la protección de datos del consumidor podría convertirse en una tarea enorme para los especialistas en marketing basados en datos.
La buena noticia es que la CCPA es bastante estricta. Por lo tanto, es poco probable que cualquier nueva regulación requiera un esfuerzo significativamente mayor para mantener su cumplimiento.
Cómo prepararse para la CCPA
Si ya cumple con el RGPD, tiene gran parte del camino cubierto. Las empresas que no cumplen con el RGPD tienen más trabajo por hacer.
En cualquier caso, lo más importante que hay que hacer ahora es desarrollar un proceso para manejar las solicitudes de acceso y eliminación de datos.
En muchas empresas, los datos de los clientes se distribuyen en múltiples plataformas de procesamiento y almacenamiento de datos, que son proporcionadas por múltiples proveedores. Es fundamental que desarrolle un proceso para acceder a los datos y eliminarlos de todos sus silos de datos, e implementar un proceso de control de calidad para garantizar que no se pase por alto ningún dato.
Garantizar que los datos de sus clientes estén organizados y sean lo suficientemente accesibles para llevar a cabo solicitudes de acceso y eliminación de datos es el mayor desafío.
Después de eso, comuníquese con su equipo legal para analizar el cumplimiento de la CCPA y cómo afectará sus políticas de privacidad existentes para que esté listo para seguir haciendo negocios en California.
Qué hacer ahora
Realizaremos un seguimiento de cómo la CCPA (y todas las demás leyes de privacidad) afectan el marketing por correo electrónico. Suscríbase para mantenerse actualizado sobre el cumplimiento de la legislación de privacidad con más artículos como este.