La nueva ley de privacidad de California, la CPRA, fue aprobada: ¿Y ahora qué?

El 3 de noviembre de 2020, los votantes de California aprobaron la Proposición 24, la Ley de Derechos de Privacidad de California (CPRA), por un porcentaje aproximado de 56 a 44%. Esta ley modificará y sustituirá a la todavía reciente Ley de Privacidad del Consumidor de California (CCPA), una vez que entre en vigor el 1 de enero de 2023.

La ley se basa en el marco existente de la CCPA, amplía los derechos de privacidad del consumidor para alinearse más estrechamente con el GDPR de la UE, impone obligaciones adicionales a las empresas y establece la primera agencia del país dedicada a la regulación y aplicación de la privacidad, la Agencia de Protección de la Privacidad de California (CCPA). A continuación, hemos resumido los puntos clave que debe conocer para empezar a prepararse para la CPRA.

Como suele ocurrir con la privacidad, cuanto antes se prepare, más fácil será el cumplimiento.

LO QUE NECESITA SABER

Fechas clave y cambios inmediatos

Fechas operativas y de aplicación: La CPRA en su conjunto no entrará en vigor hasta el 1 de enero de 2023 y sólo se aplicará a la información recogida a partir del 1 de enero de 2022. La aplicación no comenzará hasta el 1 de julio de 2023. Hasta entonces, la CCPA seguirá siendo el régimen de privacidad vigente.

Cambios inmediatos: La aprobación de la ley tendrá algunos impactos inmediatos, entre ellos:

1. Ampliación de la exención para empleados: Las exenciones para los datos de los empleados y de empresa a empresa se amplían hasta el 1 de enero de 2023.
2. Creación de la Agencia de Protección de la Privacidad de California (CPPA): La agencia de vigilancia de la privacidad, la CPPA, entra en vigor inmediatamente. La junta de cinco miembros de la CPPA debe ser nombrada en un plazo de 90 días a partir de la promulgación de la ley, que se produce 5 días después de que el Secretario de Estado certifique la votación final.

PROVISIONES CLAVE

Cambios en las definiciones: Hay varios cambios importantes en las definiciones en la CPRA, incluyendo:

Nueva subcategoría de información personal «sensible»: La CPRA mantiene las once categorías de información personal (IP) de la CCPA, pero añade la nueva subcategoría de información personal «sensible» (IP sensible). Los consumidores tendrán ahora más derechos cuando se trate de IP sensible, incluido el nuevo derecho a limitar el uso y la divulgación de esos datos. La IP sensible incluye (1) el número de la seguridad social, del carné de conducir, del documento de identidad estatal o del pasaporte; (2) la información de inicio de sesión de la cuenta con una contraseña; (3) la ubicación geográfica exacta del consumidor; (4) el origen racial o étnico, las creencias religiosas o la pertenencia a un sindicato; (5) contenido del correo, correo electrónico o texto de un consumidor, a menos que la empresa sea el destinatario previsto; (6) información genética del consumidor; (7) tratamiento de información biométrica para identificar al consumidor; (8) IP analizada sobre la salud de una persona; y (9) IP analizada sobre la vida sexual u orientación sexual de un consumidor.

Nueva definición de «tercero»: La CPRA añade una nueva definición de tercero, que se define en la negativa para excluir a los proveedores de servicios, los contratistas y cualquier empresa con la que el consumidor interactúa intencionadamente y que recoge información del consumidor como parte de la interacción del consumidor con la empresa. Estas excepciones son especialmente importantes, ya que se ha ampliado el derecho del consumidor a optar por no compartir su información con terceros (lo que se explica más adelante): La CPRA añade una definición de «elaboración de perfiles» que significa «cualquier forma de tratamiento automatizado» de la IP utilizada «para analizar o predecir aspectos de las preferencias, la situación económica, el rendimiento laboral, la salud, los intereses, el comportamiento, la ubicación, la fiabilidad o los movimientos de una persona».La elaboración de perfiles puede ahora ser parcialmente limitada por los consumidores a través del derecho a limitar el uso y la divulgación de la IP sensible a «fines comerciales» específicos (que se analizan más adelante), que excluyen la elaboración de perfiles a menos que el consumidor espere razonablemente que la elaboración de perfiles sea necesaria para realizar los servicios o proporcionar los bienes solicitados. Esto podría tener implicaciones significativas para la forma en que se puede utilizar y explicar la Inteligencia Artificial.

Cambios en las obligaciones de las empresas

Limita la retención de datos y requiere la divulgación de los períodos de retención: La CPRA exige a las empresas que informen a los consumidores del tiempo que la empresa pretende conservar cada categoría de IP, incluida la IP sensible. Si por alguna razón no es posible especificar el periodo de tiempo, la empresa debe, como mínimo, informar a los consumidores de los criterios utilizados para determinar el periodo de conservación. En ningún caso la empresa podrá retener la IP del consumidor o la IP sensible más tiempo del que sea razonablemente necesario para el propósito revelado para el que se recogió.

Agrega un derecho a limitar el uso y la divulgación de la IP sensible: Como se ha señalado anteriormente, con la adición de la subcategoría PI sensible viene un nuevo derecho del consumidor a limitar el uso y la divulgación de esta categoría de información. Este derecho a limitar el uso y la divulgación se activa cuando la IP sensible se recoge o procesa con el fin de inferir características sobre el consumidor. El consumidor puede limitar el uso o la divulgación de su IP sensible a (1) lo necesario para realizar servicios o proporcionar bienes, y (2) ciertos «servicios comerciales» limitados. La IP sensible que no se recoja o procese con el fin de «inferir» características sobre el consumidor será tratada como IP y no estará sujeta a esta limitación. La IP sensible debe ser revelada por separado en el aviso de privacidad y los consumidores deben ser notificados de, y la capacidad de ejercer, su derecho a optar por limitar el uso y la divulgación de su IP sensible.

Agrega un derecho a corregir la IP inexacta: La CPRA añade un nuevo derecho del consumidor a corregir la IP inexacta. Las empresas estarán ahora obligadas a añadir un aviso de este derecho a sus declaraciones de política de privacidad y a establecer políticas y procedimientos para responder a estas solicitudes.

Amplía los derechos de exclusión del consumidor a la compartición de la IP para la publicidad contextual cruzada: En virtud de la CCPA, los consumidores tienen derecho a indicar a las empresas que no vendan su IP (lo que se conoce como derecho de exclusión de la venta). Con la CPRA, este derecho se amplía para permitir a los consumidores impedir que las empresas «compartan» su información con terceros. En este contexto, «compartir» significa que una empresa comparte, revela o alquila la IP de un consumidor a un tercero para publicidad contextual cruzada, sea o no a cambio de dinero u otra consideración valiosa, incluso cuando no se intercambia dinero. «Publicidad en varios contextos» significa dirigir la publicidad a un consumidor basándose en la información personal obtenida a partir de la actividad del consumidor en otras empresas, sitios web, aplicaciones o servicios distintos de aquellos con los que el consumidor interactúa intencionadamente. Al igual que el derecho de exclusión voluntaria de la venta en la CCPA, el derecho de exclusión voluntaria de compartir no se extiende a compartir la IP con los proveedores de servicios y contratistas.

Amplía la disposición de no discriminación para incluir la no represalia: La CPRA modifica el derecho del consumidor a la no discriminación para incluir la prohibición de tomar represalias contra un empleado, solicitante de empleo o contratista independiente por ejercer cualquiera de sus derechos en virtud de la ley.

Agrega requisitos contractuales para todas las personas que reciben IP: La CPRA añade nuevos requisitos contractuales para todas las personas que reciben IP, incluyendo la venta y el intercambio, así como los proveedores de servicios y contratistas. El contrato debe ahora:

1. Especificar que la información se proporciona para fines limitados y especificados;
2. Obligar a la persona que recibe la información a cumplir con la CPRA y «proporcionar el mismo nivel de protección de la privacidad que exige» la CPRA;
3. Otorgar a la empresa el derecho a garantizar que la información se transfiere «de forma coherente con las obligaciones de la empresa en virtud de este título»;
4. Exigir a la persona que recibe la IP que notifique a la empresa si ya no puede cumplir con sus obligaciones de la CPRA;
5. Otorgar a la empresa el derecho a tomar medidas para detener y remediar el uso no autorizado de la IP.

Aumento de los derechos de los niños

Aumenta las multas administrativas por la IP de los niños: La CPRA aumenta las multas administrativas por cualquier infracción de la ley que implique la IP de niños menores de 16 años hasta un potencial de 7.500 dólares por infracción. Con la CCPA, esta sanción estaba reservada únicamente a las infracciones intencionadas. La multa máxima de 2.500 dólares por todos los demás actos no intencionados que afecten a personas de 16 años o más sigue siendo la misma.

Requiere el consentimiento expreso para compartir la IP de niños menores de 16 años: Al igual que la CPRA amplía el derecho de los consumidores a excluirse de la venta de IP para incluir el derecho a excluirse de compartir la IP con terceros, el requisito de la CCPA de que una empresa obtenga el consentimiento expreso para vender la IP de niños menores de 16 años ahora también se extiende a compartir la IP de los niños. La CPRA también exige la elaboración de normas para «establecer especificaciones técnicas para una señal de preferencia de exclusión voluntaria que permita al consumidor, o al padre o tutor del consumidor, especificar que el consumidor es menor de 13 años o que tiene al menos 13 años y menos de 16.»

Nueva agencia de vigilancia de la privacidad, nueva elaboración de normas y derecho de acción privado ampliado

Establece la nueva Agencia de Protección de la Privacidad de California (CPPA): Como se ha señalado anteriormente, la CPRA establece una nueva agencia, la CPPA, «para aplicar y hacer cumplir» la CCPA y la CPRA (cuando entre en funcionamiento). La CPPA será la primera agencia de privacidad de Estados Unidos dedicada exclusivamente a la privacidad de los datos de los consumidores y tendrá un amplio mandato para investigar posibles violaciones de la CPRA, hacer cumplir la CPRA a través de acciones administrativas y promulgar normas.

Requiere una nueva normativa sobre seguros: La CPRA requiere que la CPPA «revise el actual Código de Seguros de California» en lo que respecta a la privacidad del consumidor, excepto las disposiciones relativas a las tasas y precios de los seguros. La CPPA debe determinar si el Código de Seguros proporciona mayores protecciones de la privacidad que la CPRA, y si no es así, la CPPA «deberá» adoptar una normativa que aplique las mayores protecciones de la CPRA a las compañías de seguros. El Comisionado de Seguros, sin embargo, mantendrá la jurisdicción sobre las tarifas y los precios de los seguros.

Requiere una nueva normativa sobre ciberseguridad y privacidad: La CPPA emitirá normas que exijan a las empresas «cuyo procesamiento de la información personal de los consumidores presente un riesgo significativo para la privacidad o la seguridad de los consumidores» que (1) realicen una auditoría de ciberseguridad anualmente y (2) presenten una evaluación de riesgos a la CPPA con respecto a su procesamiento de IP.

Amplía el alcance del derecho de acción privada: La CPRA amplía el alcance del derecho de acción privado añadiendo una causa de acción para el acceso no autorizado y la exfiltración, el robo o la divulgación de una dirección de correo electrónico en combinación con una contraseña o una pregunta y respuesta de seguridad que podría permitir el acceso al contenido. Anteriormente, la CCPA sólo reconocía una causa de acción relativa a la IP no cifrada o no redactada. La CPRA también aclara que la aplicación y el mantenimiento de procedimientos y prácticas de seguridad razonables después de la violación no constituye una cura.

Conclusión

La CPRA es un ejemplo más de la rápida evolución del panorama de la privacidad. Pero lo que subyace a la volatilidad es una clara tendencia a aumentar las obligaciones de privacidad de las empresas, que casi con toda seguridad continuará a buen ritmo, tanto en Estados Unidos como en todo el mundo. En este entorno, los que se preparen con antelación, y los que tengan un control firme de la ley y de los datos que tienen, de dónde proceden, a dónde van y cuánto tiempo los conservan, serán los que estén mejor posicionados para cumplirla.