Ley de Privacidad del Consumidor de California y Reglamento General de Protección de Datos: Guía para las empresas de California

Desde la promulgación de la Ley de Protección de la Privacidad en Línea de California (CalOPPA) en 2004, California ha liderado la adopción de leyes para proteger la privacidad de sus residentes en los Estados Unidos. California continuó esta tendencia al promulgar la Ley de Privacidad del Consumidor de California de 2018 (CCPA), convirtiéndose en el primer estado de los Estados Unidos en contar con una ley integral de privacidad del consumidor. En virtud de la CCPA, que entró en vigor el 1 de enero de 2020, las entidades que operan en California y sus proveedores de servicios tendrán nuevas obligaciones en materia de protección de datos y los consumidores de California tendrán nuevos derechos en relación con su información personal (incluido el derecho a interponer una acción privada).

Entre estas nuevas obligaciones se incluyen los requisitos para que las empresas actualicen o creen avisos de privacidad, ofrezcan a los consumidores la posibilidad de permitir o no la venta de su información personal, así como otros derechos para acceder o eliminar su información personal, y establezcan nuevas restricciones a los modelos de negocio que se basan en la monetización de los datos personales. La primera sección de la publicación de Foley titulada «California Consumer Privacy Act and General Data Protection Regulation: A Guide to California Businesses» (Ley de Privacidaddel Consumidor de California y Reglamento Generalde Protecciónde Datos: Guía para las empresasde California) está diseñada para ayudar a las empresas a comprender el alcance de la CCPA, así como a identificar los derechos de los consumidores y destacar las obligaciones de las empresas en virtud de la CCPA.

Cabe destacar que, a pesar del amplio alcance de la CCPA, ciertas organizaciones que están sujetas a leyes federales de privacidad, como la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) y la Ley Gramm-Leach-Bliley (GLBA), están excluidas de las disposiciones de la CCPA en lo que respecta a las actividades relacionadas con la información personal vinculadas a sus actividades principales, aunque pueden seguir estando sujetas a algunos de los requisitos de la CCPA en lo que respecta a la información personal de sus empleados.

El amplio alcance de la CCPA imita otra importante ley internacional sobre privacidad. El Reglamento General de Protección de Datos (RGPD) entró en vigor el 25 de mayo de 2018, derogando la anterior Directiva de Protección de Datos de 1995. Para las empresas sujetas al RGPD, que incluye tanto a las empresas con establecimientos en la Unión Europea (UE) como a las empresas fuera de la UE que ofrecen sus productos y servicios a personas físicas en la UE, el RGPD creó importantes obligaciones adicionales en materia de privacidad, así como nuevos derechos para los interesados.

Las obligaciones del RGPD incluyen el requisito de nombrar a un delegado de protección de datos (DPO) y a un representante en la UE para las empresas que no tengan un establecimiento en la UE, así como la obligación de realizar evaluaciones de impacto sobre la privacidad y adoptar el principio de privacidad desde el diseño. Los interesados tienen derecho a obtener información sobre la recogida y el uso de sus datos personales, así como una copia de los mismos, a que se corrijan o eliminen sus datos personales y a oponerse y restringir el tratamiento de sus datos personales. La segunda sección de esta guíaestá diseñada para ayudar a las empresas sujetas al RGPD a comprender sus obligaciones y los derechos de los consumidores en virtud del RGPD.

Las entidades que operan en California pueden estar sujetas tanto al RGPD como a la CCPA. Aunque el RGPD y la CCPA tienen muchas similitudes, el cumplimiento del RGPD no es suficiente para cumplir con la CCPA. Cada una de estas leyes tiene sus propios requisitos específicos. No obstante, las empresas que ya han adoptado políticas y procedimientos para cumplir con el RGPD tienen una ventaja significativa para cumplir con la CCPA. La tercera sección de esta guíaestá diseñada para ayudar a las empresas a comprender las diferencias entre el RGPD y la CCPA, así como lo que pueden necesitar hacer para cumplir con la CCPA si ya cumplen con el RGPD.

Para obtener más información sobre las obligaciones de su empresa en virtud de la CCPA y cómo Foley puede ayudarle a cumplir con la normativa, póngase en contacto con cualquiera de los abogados autores que se indican a continuación.