Casi todas las interacciones con una empresa, especialmente online, implican compartir datos personales. Los datos compartidos pueden incluir un nombre, una ubicación o incluso cómo un usuario navega por un sitio web.
Compartir su información personal con una empresa tiene sus ventajas: la página se muestra en su idioma además,recogerá también sus preferencias de navegación e incluso su historial de compras. Pero, tiene un precio: los consumidores están cada vez más preocupados por cómo se podrían utilizar sus datos.
Como resultado, leyes de protección de datos, como la Ley de Privacidad del Consumidor de California de 2018 (CCPA) y el Reglamento General de Protección de Datos (RGPD). ¿Cuáles son estas dos leyes, en qué se diferencian y qué suponen para las empresas? Adentrémonos en ello.
Resumen :
- ¿Qué son el RGPD y la CCPA?
- ¿En qué se diferencia la CCPA del RGPD?
- ¿Cómo puedo hacer que mi sitio web sea conforme?
- Preguntas frecuentes sobre la CCPA y el RGPD
¿Qué son el RGPD y la CCPA?
Echemos un vistazo a la descripción general de estas normativas:
¿Qué es el RGPD?
El RGPD se lanzó en abril de 2016 con la finalidad de aumentar la protección de los datos de los ciudadanos de la Unión Europea (UE).
Como resultado, el RGPD establece protocolos para el manejo de la información personal por parte de las empresas. Este también da nuevas definiciones para los datos personales, el consentimiento, la responsabilidad sobre estos y la explicación sobre todas las etapas del procesamiento de datos.
Desde finales de mayo de 2018, cualquier sitio web que reciba visitantes de la UE y procese datos personales (o que trabaje con un servicio de terceros que lo haga) debe cumplir con esta normativa (RGPD). Parte del cumplimiento, incluye solicitar permiso a cada usuario para acceder y utilizar sus datos.
Desde la perspectiva de un usuario, el RGPD le ayuda a:
- Comprender exactamente cómo una empresa utilizará sus datos antes de que se recopilen.
- Tomar una decisión informada antes de compartir sus datos.
- Obtener información sobre cómo presentar una reclamación por una mala gestión del consentimiento.
¿Qué es la CCPA?
La CCPA es el primer intento en EEUU para regular todo lo referente a la privacidad de datos. La CCPA busca dar a los usuarios más control sobre la información personal que recopilan las empresas.
Con esto se establecen nuevos derechos para los consumidores de California, tales como:
- El derecho a conocer los datos personales que una empresa recopila, cómo se utilizan y cómo se comparten.
- El derecho a eliminar dichos datos recopilados (con excepciones).
- El derecho a que sus datos no sean vendidos a terceros.
- El derecho a la no discriminación en el ejercicio de sus derechos de la CCPA.
La CCPA ha sido enmendada por la Ley de Derechos de Privacidad de California (CPRA), que entrará en vigor en enero de 2023. A partir de julio de ese año, se aplicará retroactivamente al procesamiento de datos personales desde enero de 2022.
¿En qué se diferencia la CCPA del RGPD?
La primera diferencia es geográfica: el RGPD trabaja para establecer una base legal que priorice la privacidad en toda la UE. Por otro lado, la CCPA se enfoca en proporcionar transparencia de datos para los consumidores de California.
Otra diferencia es el enfoque: el RGPD entra en acción antes de que un usuario mire el contenido de un sitio web ( ya que tiene que dar su consentimiento o rechazo para seguir navegando), mientras que la CCPA ayuda a los usuarios a ver quién tiene sus datos y cómo se utilizan una vez recogidos.
Aquí tenemos un gráfico de resumen
Reglamento
RGPD
CCPA
Solo protege a personas físicas + personas no jurídicas
✓
✓
Se aplica al procesamiento de datos personales
✓
✗
Se aplica a la recopilación, venta y uso compartido de información personal
✗
✓
Excluye categorías específicas de datos personales
✗
✓
Protege los datos personales relacionados con la salud
✓
✗
No define el término "niño"
✓
✓
Solo puede procesar datos personales cuando existan fundamentos legales
✓
✗
Afecta a terceros que quieran recopilar datos
✓
✓
Las personas tienen derecho a ser informadas sobre las categorías de procesamiento de datos + fines de procesamiento
✓
✓
La política de privacidad debe actualizarse cada 12 meses
✗
✓
Los interesados/consumidores tienen opciones para optar por no participar
✓
✓
Los interesados/consumidores tienen derecho a acceder a sus datos de forma completa
✓
✓
Información personal (CCPA) vs. Datos personales (RGPD)
Según la CCPA, las categorías de información personal incluyen cualquiera que "identifique, se relacione, describa, pueda asociarse o pueda vincularse razonablemente, directa o indirectamente, con un consumidor u hogar en particular".
En la definición de la CCPA, tenga en cuenta que no se trata de datos específicos de una sola persona, sino de un hogar.
En el RGPD, los datos personales son "cualquier información relacionada con una persona física identificada o identificable (dueño de los datos), directa o indirectamente".
La definición de datos personales del RGPD está estrictamente relacionada con un individuo, no con un hogar. Y además, hay una categoría de datos personales confidenciales, y la CCPA no.
CCPA vs. RGPD: ¿A quién le afecta?
La CCPA afecta a las empresas (incluso si no tienen su sede en California). Según la CCPA, una empresa es:
- Una entidad con ánimo de lucro,
- Que recopila información personal de los usuarios,
- Determina el razonamiento y los medios para procesar la información personal,
- Opera en California,
- Y cumple con uno de los siguientes: ingresos anuales de más de 255 millones de dólares, procesa información personal de 50,000 residentes de California al año u obtiene el 50% de sus ingresos anuales de la venta de información personal.
Muchas empresas seguirán procesando datos personales de muchos californianos regularmente con esta definición. Imagine que una empresa con sede en Europa se ajusta a la definición de negocio de la CCPA: estará obligada a cumplir con esta normativa.
El RGPD se aplica a cualquier entidad que procese datos. Tenga en cuenta que no hay reglas para, el tamaño, lo público o lo privado, la ubicación, etc. Como resultado, todos los sitios web, organizaciones y empresas que ofrecen bienes y servicios a la UE deben cumplir con el RGPD.
La diferencia más significativa entre el RGPD y la CCPA es el alcance. La normativa europea cubre a cualquier persona en la UE mientras se recopilan sus datos, pero la segunda solo protege a los consumidores de California.
Requisitos del RGPD vs. los de la CCPA
El RGPD y la CCPA están obligados a respetar los derechos de datos de los usuarios.
Los principales derechos de la CCPA y el RGPD incluyen:
- El derecho a estar informado: comprender qué datos se recopilan y cómo la organización los utilizará.
- El derecho de acceso: la capacidad de ver fácilmente sus datos.
- El derecho a la portabilidad: la capacidad de obtener una copia de sus datos.
La CCPA también incluye:
- El derecho de supresión: borrar los datos.
- El derecho a optar por no participar en la venta de datos: el usuario puede elegir no vender sus datos.
El RGPD incluye:
- El derecho a retirar el consentimiento: cancelar el permiso para recopilar o vender datos en cualquier momento.
- El derecho de consentimiento previo: los métodos de consentimiento previo ya no son válidos.
Si bien el derecho a optar por la no venta de datos es similar al derecho a retirar el consentimiento, el derecho de consentimiento previo (RGPD) no tiene equivalente en la CCPA. En lo que respecta a la guía de uso de datos de la CCPA vs. los del RGPD, es vital comprender y respetar los derechos de los usuarios.
¿Cómo puedo hacer que mi sitio web sea conforme?
Para cualquier consulta de cumplimiento, no dude en comunicarse con Didomi. Ayudamos a las empresas a crear valor con confianza y garantizar el cumplimiento de las normativas de privacidad de datos a través de la tecnología de consentimiento y gestión de preferencias a medida (CMP Y PMP).
{{discover-didomi-for-compliance}}
Tener un sitio web conforme con la CCPA
Antes de comenzar a trabajar en la conformidad de la CCPA, descubra si su empresa lo necesita. La CCPA define empresa como una entidad con ánimo de lucro que:
- Tiene ingresos brutos anuales de más de 25 millones de dólares.
- Recibe, procesa o transfiere datos de más de 50,000 residentes de California al año (CPRA: + 100,000).
- Obtiene al menos la mitad de sus ingresos anuales de la venta o el intercambio de los datos personales de los residentes de California.
Si al menos una de las anteriores describe su organización, estos son los pasos que deberá seguir:
Crear una política de privacidad integral
Su política de privacidad debe hacer tres cosas:
- Cumplir con los requisitos de consentimiento de la CCPA informando a los consumidores de sus intenciones antes o durante e la recopilación de datos
- Estar disponible en los idiomas en los que dicha empresa proporciona información en California
- Estar disponible a través de un banner o ventana emergente para cuando los usuarios visiten su sitio utilizando una Consent Management Platform
Informar a los usuarios sobre sus derechos
Bajo las regulaciones de la CCPA, los usuarios tienen:
- Derecho a la información
- Derecho de cancelación
- Derecho a la no discriminación
- Derecho de renuncia
- Derecho a la protección de los menores
- Derecho a la portabilidad de los datos
También hay cuatro nuevos derechos en referencia a la CPRA:
- Derecho a réplica
- Derecho a saber sobre la toma de decisiones automatizada
- Derecho a optar por no participar
- Derecho a limitar el uso de información personal confidencial
Actualizar su política de privacidad cada año
Su política de privacidad debe:
- Reflejar cualquier nuevo cambio en las regulaciones de la CCPA
- Tener visible la fecha de la actualización más reciente
- Enumere todas las categorías de información personal que su empresa ha vendido en el último año
Volver a ofrecer la opción de consentimiento cada 12 meses
Si el consumidor ha optado por no dar el consentimiento, puede volver a presentar la opción para su opt-in nuevamente tras 12 meses.
Incluir un enlace "No vender" (opt-out)
Los usuarios deben poder optar por la opción “opt-out”, y debe ser fácilmente visible y accesible en su sitio web. También tendrá que autenticar el consentimiento para recopilar información personal de menores de entre 13 y 16 años.
Permitir que los consumidores realicen solicitudes de acceso a sus datos (DSAR)
Un DSAR otorga a las personas el derecho a acceder a la información sobre los datos personales que la empresa ha procesado sobre ellos. Y esta solicitud debe ser un trámite lo más sencillo posible.
Para ello se debe proporcionar al menos dos modos de contacto: un número de teléfono gratuito, un formulario web o una dirección de correo electrónico. Además de la configuración de un sistema para permitir la presentación de dichas solicitudes.
Configurar un sistema para verificar los DSAR
Los usuarios deben poder adjuntar documentos de verificación a las solicitudes que envíen. Las empresas deben tener un sistema que habilite estos envíos y verifique la identidad del cliente. Si no se puede verificar la identidad del usuario, el sistema debe informar al usuario y explicar el motivo.
Realizar un seguimiento de los DSAR
Este mismo sistema mencionado anteriormente debe rastrear además todas las solicitudes y respuestas durante dos años.
Cumplir con los DSAR
Los usuarios tienen derecho a una respuesta en un plazo de 45 días. Si es necesario, el período de respuesta se puede extender hasta 90 días a partir de la fecha de solicitud.
Para un sitio web conforme con el RGPD
El cumplimiento del RGPD es algo distinto al de la CCPA. Estos son los pasos que debe seguir:
Crear unas políticas de privacidad integral
Las políticas de privacidad deben:
- Ser fácil de encontrar, leer y entender.
- Informar sobre la finalidad de cada cookie y si terceros pueden tener acceso a dichas cookies.
- Disponer de información similar en un banner de privacidad cuando el usuario visite su sitio.
Informar a los usuarios de que está utilizando cookies u otras tecnologías de seguimiento
- Los usuarios deben conocer tus intenciones antes o en el momento en que comiences a rastrearlas
- Esta información debe estar en las políticas de privacidad de la empresa
Explicar qué están haciendo sus cookies y por qué
- Informar a los usuarios sobre el propósito de cada tipo de datos que está recopilando para que puedan dar su consentimiento (o no) a su recopilación.
- Esta información debe estar en su política de privacidad.
Obtener el consentimiento válido de sus usuarios para almacenar una cookie en su dispositivo
Informar a los usuarios sobre la recopilación de datos: ¿qué está recopilando, por qué los recopila y durante cuánto tiempo se almacenan? Pedir el consentimiento de los usuarios debe ser fácil, como marcar una casilla.
Recuerde, no debe recopilar ningún dato antes de que un usuario dé su consentimiento. Pedir consentimiento debe ser independiente, para que no se pierda en la mezcla de otra información. Asegúrese de que optar por no participar en cualquier momento sea tan fácil como optar por participar.
Documente toda esta información en caso de que se realice una auditoría.
Dar a los usuarios acceso a su servicio incluso si no dan su consentimiento a las cookies
Si un usuario rechaza el procesamiento de datos, asegúrese de que los usuarios aún puedan acceder a su servicio.
Recopilar y procesar datos sólo después de obtener un consentimiento válido
Las cookies no se pueden cargar hasta que un usuario haya dado su consentimiento. Una vez que un usuario proporciona su consentimiento, puede recopilar y procesar datos personales precisamente de la manera en que el usuario dio su consentimiento.
Documentar y almacenar el consentimiento recibido de los usuarios
Cumplir con su obligación de documentación para garantizar que puede verificar el consentimiento de los usuarios en una auditoría por parte de las autoridades de protección de datos (DPA).
Muestre la opción de “opt-out”, con la simplicidad que muestra la opción de “opt-in”
El consentimiento debe ser fácil de aceptar y rechazar. Para hacer esto, asegúrese de que ambas opciones están diseñadas de manera similar.
Asegúrese de que no se recopilen ni envíen más datos desde que se activa el “opt-out”
Cuando un usuario selecciona “opt-out”, ya no puede recopilar datos.
Tanto si está trabajando para cumplir con la CCPA o el RGPD, hay mucho que gestionar. Una Consent Management Platform ayudará a administrar la recopilación, el almacenamiento y la sincronización del consentimiento entre países y plataformas para que pueda cumplir con las regulaciones de privacidad de datos de manera eficiente.
{{discover-our-cmp}}
Preguntas frecuentes sobre la CCPA y el RGPD
¿Cuáles son las principales diferencias entre la CCPA y el RGPD?
Las principales diferencias entre el RGPD frente esta ley estadounidense (CCPA) son:
- El enfoque. El RGPD se centra en una base legal que antepone la privacidad para toda la UE. Por otro lado, la CCPA se enfoca en proporcionar transparencia de datos para los consumidores de California.
- El momento de aplicación. El RGPD entra en juego antes de que un usuario vea el contenido de un sitio web, mientras que la CCPA ayuda a los usuarios a ver quién tiene sus datos y cómo se usan (a posteriori).
- Los datos. En la definición de la CCPA, tenga en cuenta que no se trata de datos específicos de una sola persona, sino de un hogar. La definición de datos personales del RGPD está estrictamente relacionada con un individuo, no con un hogar. Pero, el RGPD también tiene una categoría de datos personales confidenciales, y la CCPA no.
¿Cuáles son los derechos de los interesados en virtud de la CCPA y el RGPD?
Los principales derechos de los interesados de la CCPA y el RGPD, que incluyen:
- El derecho a estar informado: comprender qué datos se recopilan y cómo la organización los utilizará.
- El derecho de acceso: la capacidad de ver fácilmente sus datos.
- El derecho a la portabilidad: la capacidad de obtener una copia de sus datos.
La CCPA también incluye:
- El derecho de supresión: borrar los datos.
- El derecho a optar por no participar: elija no vender datos.
El RGPD incluye:
- El derecho a retirar el consentimiento: cancelar el permiso para recopilar o vender datos en cualquier momento.
- El derecho de consentimiento previo: los métodos de consentimiento previo ya no son válidos.
Si bien el derecho a optar por no participar es similar al derecho a retirar el consentimiento, el derecho de consentimiento previo (RGPD) no tiene equivalente en la CCPA.
¿Quién debe cumplir con la CCPA?
La CCPA define las empresas como entidades con ánimo de lucro que:
- tiene ingresos brutos anuales de más de 25 millones de dólares
- recibe, procesa o transfiere datos anualmente de más de 50,000 residentes de California (CPRA: + 100,000), u
- obtiene al menos la mitad de sus ingresos anuales de la venta o el intercambio de los datos personales de los residentes de California.
Si al menos una de las anteriores describe su organización, debe cumplir.
¿La CCPA sigue el modelo RGPD?
Muchos dicen que la CCPA es el equivalente de California al RGPD o se refieren a ella como el Reglamento de Protección de Datos de California. Aunque la CCPA incorpora algunos de los mismos conceptos, no se basa en el RGPD. El RGPD se centra en crear una base legal que anteponga la privacidad para toda la UE. Por otro lado, la CCPA se enfoca en proporcionar transparencia de datos para los consumidores de California.
Piense en el RGPD como algo que sucede antes de que un usuario mire el contenido de un sitio web, mientras que la CCPA ayuda a los usuarios a ver quién tiene sus datos y cómo se utilizan.
¿Cómo se comparan la CCPA y el RGPD con la LGPD?
Es fácil ver esta comparación: RGPD vs. CCPA vs. LGPD. La Lei Geral de Proteção de Dados Pessoais (LGPD) es la ley de protección de datos de Brasil. Su abreviatura oficial es LGPDP, pero comúnmente se la conoce como LGPD. Esta ley se inspiró muy de cerca en el RGPD y se centra en la creación de una base legal para el manejo de datos personales en Brasil.
¿Cómo se aplican el RGPD y la CCPA?
El RGPD se aplica a través de multas de las autoridades nacionales de protección de datos de la UE. Las sanciones relacionadas con el RGPD oscilan entre el 4% de los ingresos globales de una empresa o 20 millones de euros, lo que sea mayor.
Las multas también hacen cumplir la CCPA a través del fiscal general de California a través de sanciones monetarias. Estas multas tienen un máximo de 2,500 dólares por infracción, con infracciones internacionales de 7,500 dólares .
Asegúrese de cumplir con la CCPA o el RGPD mediante el uso de un aviso de consentimiento de Didomi hecho a medida. Una Consent Management Platform comercial garantizará el cumplimiento en un ecosistema en evolución sin sacrificar el rendimiento o la visualización de datos.
Las organizaciones deben comprender las implicaciones de las cookies y el consentimiento, prestando especial atención a cómo recopilan, almacenan e implementan datos personales a través de sus rastreadores web y aplicaciones móviles.
Póngase en contacto con Didomi para cualquier consulta de cumplimiento de la CCPA o el RGPD o para más información sobre nuestras soluciones. Nos aseguraremos de que logre la conformidad.
{{book-a-slot-now}}