Como muchos de vosotros ya sabréis, el Estado de California ha publicado su Propuesta de Ley de Privacidad de Consumidores (“CCPA”) que se encuentra en fase de consulta pública. A través de esta publicación esperamos proporcionar una primera aproximación a las implicaciones que tiene esta propuesta para compañías con intereses en California.

California ha sido desde hace años particularmente sensible con la protección de privacidad. La CCPA es un avance importante en la protección de datos de los consumidores en USA. Podría parecer que esta legislación busca seguir la estela de la normativa de privacidad en la Unión Europea. Sin embargo, la CCPA presenta importantes diferencias con el Reglamento General de Protección de Datos (“RGPD”). Cumplir con el RGPD no implica necesariamente cumplir con la CCPA, y viceversa.

Al igual que sucede con el RGPD, los efectos de la CCPA van más allá del territorio donde se pretende aprobar. Las empresas europeas deben tener en el radar esta norma ya que les podrá aplicar si se cumplen las siguientes condiciones:

  1. Son compañías que “hacen negocios” en California, siempre que superen ciertos umbrales de facturación o de tratamientos de datos con finalidades comerciales. Es por tanto muy probable que se produzcan efectos extraterritoriales.
  2. Son compañías con consumidores residentes en California.

Como se puede observar, puede darse la situación de que aplique simultáneamente el RGPD y el CCPA a la misma relación jurídica entre una empresa y sus clientes consumidores.

¿Y cuáles son las principales novedades?

  • Obligación de proporcionar información antes de la recogida de datos

Muy en línea con el RGPD (y posiblemente compatible), es necesario utilizar un aviso de privacidad previo con las categorías de datos recabados y las finalidades del tratamiento. Debe ser visible. Si una compañía tiene intención de utilizar los datos personales para finalidades no recogidas en el aviso de privacidad, deberán obtener el consentimiento explícito del consumidor.

  • Obligación de proporcionar un opt-out a la venta de datos personales

Este concepto puede resultar algo extraño bajo estándares europeos. Las empresas que pretendan vender datos personales deben ofrecer la oportunidad de oponerse de manera visible a los interesados. Existen garantías reforzadas a este respecto (transparencia, accesibilidad, formularios, etc.). Podrían apreciarse ciertas semejanzas con el derecho de oposición bajo el RGPD. Sin embargo, difícilmente el interés legítimo “europeo” podría amparar la comercialización de datos personales de la manera que sí permite la CCPA.

  • Obligación de gestionar solicitudes de consumidores

Existen similitudes con el RGPD. Las empresas deben proporcionar canales adecuados para las solicitudes de consumidores. Incluso aunque la solicitud no sea completa o sea recibida por otros canales, debe ser gestionada (incluyendo el opt-out a la venta de datos). Sin embargo, la tipología y el alcance de los derechos difiere del RGPD.

  • Consentimiento en materia de menores

Existen reglas específicas en relación al consentimiento paterno para menores de 13 años.

  • Prohibición de disciminación

Se permite incentivar económicamente a los consumidores cuyos datos sean más valiosos, siempre que no se produzca discriminación y que la práctica sea transparente. Esto puede resultar controvertido bajo el RGPD, teniendo en cuenta la reciente Guía 2/2019 del Comité Europeo de Protección de Datos, que excluye que los datos personales puedan ser tratados como una mercancía comerciable.

En definitiva, es un régimen menos exhaustivo que el RGPD (lo cual no es difícil) y que da más libertad a las empresas (lo que tampoco era difícil, especialmente en USA), pero que presenta bastante problemática en las materias que regula. Esperaremos con atención las novedades que se produzcan en la tramitación de la CCPA para estar preparados.

¡Espero que os haya resultado de interés!