El pasado 1 de enero de 2020 entró en vigor el proyecto de la Ley de Protección al Consumidor de California (California Consumer Privacy Act, CCPA).

El objetivo de la norma es proteger la información personal que obtienen las empresas de los consumidores en ese Estado, y es aplicable a aquellas que cumplan uno o más de los siguientes umbrales:

• Tener unos ingresos brutos anuales superiores a 25 millones de dólares
• Comprar, recibir o vender, con fines comerciales, la información personal de 50.000 o más consumidores, hogares o dispositivos (smartphones, tablets, etc.)
• Que el 50% o más de sus ingresos anuales provengan de la venta de información personal de los consumidores

Derechos de los consumidores

 La ley reconoce a los consumidores los siguientes derechos:

• Derecho a saber qué información personal se recoge, de qué fuentes se ha obtenido,  con qué finalidad se utiliza, si se comparte o vende a terceros y, en su caso, a quién; para ello deberán realizar una solicitud formal a las compañías.
• Derecho a negarse a la venta de sus datos a terceros en cualquier momento
• Derecho a solicitar la eliminación de la información personal que las empresas posean y hayan obtenido directamente de ellos
• Derecho a la no discriminación en caso de ejercicio de sus derechos

Obligaciones de las empresas

Los nuevos derechos de los consumidores conllevan, en consecuencia, nuevas obligaciones para las compañías:

• Informarles, antes o durante la recolección de los datos, de las categorías de información que se recogen y con qué propósito, no pudiendo recoger categorías de datos personales que no hayan sido previamente notificadas y consentidas por ellos.
• Al recibir una solicitud formal, divulgar y entregar gratuitamente la información personal requerida, ya sea por correo, o bien electrónicamente en un dispositivo portátil y en un formato fácilmente utilizable que permita al consumidor transmitir los datos a otra entidad sin obstáculos. No obstante, no deberán responder si reciben más de dos solicitudes en 12 meses del mismo consumidor.
• Informarles sobre: i) su derecho a solicitar la supresión de sus datos, y eliminarlos inmediatamente de sus registros, en caso de recibir una solicitud formal; ii) la información que está vendiendo o ha vendido, y a quién, y iii) el derecho de los consumidores a negarse a su venta, a través de un link en su página web titulado “No vender mi información personal”.
• No podrán vender los datos personales de los consumidores menores de 16 años, salvo que aquellos entre 13 y 16 años, o los menores de 13 años con autorización de sus padres o tutores, lo permitan expresamente.
• No discriminarles por haber ejercido alguno de sus derechos: negarles productos o servicios, cobrarles distintos precios o tasas, etc.

Para cumplir con las obligaciones anteriores, las empresas deberán poner a disposición de los consumidores dos o más métodos gratuitos para solicitar información, y tendrán un máximo de 45 días para dar respuesta.

Además, deberán incluir en su “Política de Privacidad” publicada en la web las categorías de información personal que han vendido o revelado en los últimos 12 meses, y mantener esta actualizada todos los años.

¿Qué están haciendo en otros Estados?

Con la aprobación de esta ley, otros Estados americanos han comenzado a considerar modificaciones en su legislación para una mayor protección de los datos personales de los consumidores. Por ejemplo Mississippi, que propuso una réplica de la misma pero fue rechazada a principios de año; Hawaii, Maryland y Massachusetts, que han propuesto leyes sobre privacidad de datos, o el Estado de Nueva York con la publicación de la “Shield Act”, que amplía las obligaciones de notificación en caso de violación de datos y, por primera vez, impone obligaciones en materia de seguridad.