Ley de privacidad del consumidor de California (CCPA)

Introducción a CCPA

La Ley de privacidad del consumidor de California (CCPA) es la primera ley de privacidad completa en los Estados Unidos. Proporciona una variedad de derechos de privacidad a los consumidores de California. Las empresas reguladas por el CCPA tendrán una serie de obligaciones para esos consumidores, incluidas las divulgaciones, los derechos del interesado de consumidor (DSR) del Reglamento general de protección de datos (RGPD), una "exclusión" para determinadas transferencias de datos y un requisito de "participar" para los menores.

El CCPA solo se aplica a las empresas que hacen negocios en California que satisfacen uno o más de los siguientes requisitos: (1) tienen unos ingresos anuales brutos de más de 25 millones de dólares, o (2) derivan más del 50 % de sus ingresos anuales de la venta de información personal del consumidor de California, o (3) compran, venden o comparten la información personal de más de 50 000 consumidores de California anualmente.

La CCPA entra en vigor el 1 de enero de 2020. Sin embargo, la aplicación por parte del Fiscal General de California (AG) comenzará el 1 de julio de 2020.

La AG de California aplicará el CCPA y tendrá poder para emitir multas de incumplimiento. El CCPA también proporciona un derecho de acción privado que se limita a las infracciones de datos. Bajo el derecho privado de acción, los daños oscilan entre 100 y 750 dólares por incidente y consumidor. El Fiscal General de California también puede aplicar la CCPA en su totalidad para imponer una sanción civil que no supere los 2500 USD por infracción o los 7500 USD por infracción intencional.

Microsoft y el CCPA

Para los clientes comerciales que hacen negocios en California, Microsoft actuará como "proveedor de servicios" con respecto a nuestra oferta de servicios en línea y Professional servicios. Los términos de los Términos de servicios en línea (OST) y el Addendum de protección de datos de servicios de Microsoft Professional (MSDPA) ya cumplen los requisitos para los proveedores de servicios en virtud del CCPA y, por lo general, son suficientes para permitir que los clientes sigan transfiriendo datos a nuestros Servicios en línea. Por lo tanto, no se requieren cambios contractuales adicionales para que los clientes puedan confiar en Microsoft como proveedor de servicios en el CCPA.

Como se establece en la OST, Microsoft cumple con todas las leyes y reglamentos aplicables a su provisión de los Servicios en línea, que incluirían el CCPA.

Servicios y plataformas en la nube dentro de Microsoft

Cómo prepararse para el cumplimiento de ccpa al usar productos y servicios de Microsoft

Estos son algunos pasos que puede seguir para prepararse para el CCPA:

  • Comience a aprovechar la evaluación del RGPD en el Administrador de cumplimiento como parte de su programa de privacidad ccpa.
  • Establecer un proceso para responder de forma eficaz a las solicitudes de acceso del interesado (DSARs) mediante la herramienta Solicitudes del interesado.
  • Configure etiquetas y directivas para detectar, clasificar, etiquetar y proteger los datos confidenciales con Microsoft Information Protection.
  • Use las capacidades de cifrado de correo electrónico para controlar aún más la información confidencial.

Preguntas frecuentes.

¿Cómo afectará la CCPA a mi empresa?

Muchos de los derechos del CCPA que se proporcionan a los californianos son similares a los derechos que proporciona el RGPD, incluidas las solicitudes de derechos de divulgación y de interesados (DSR), como el acceso, la eliminación y la portabilidad. Por lo tanto, el cliente puede buscar nuestras soluciones de RGPD ya existentes para ayudarles con su cumplimiento de CCPA.

Para comenzar el recorrido del CCPA, debe centrarse en la detección de información, determinar cómo se comparte la información personal, cómo se usa, cómo se protege y tener un programa formal de respuesta a infracciones de datos.

¿Cuáles son las diferencias entre el RGPD y la CCPA?

Hay muchas diferencias. Es más fácil centrarse en las similitudes, como:

  • Obligaciones de transparencia y divulgación,
  • Derechos de los consumidores para acceder, eliminar y recibir una copia de datos,
  • Definición de "proveedores de servicios" que es similar a la forma en que el RGPD define los "procesadores" con una obligación contractual similar y
  • Definición de "empresas" que abarca la definición RGPD de "controladores".

La mayor diferencia en CCPA es el requisito principal para permitir la exclusión de ventas de datos a terceros (con la "venta" definida ampliamente para incluir el uso compartido de datos para consideraciones valiosas).

¿Qué derechos deben habilitar las empresas conforme a la CCPA?

El CCPA requiere empresas reguladas que recopilan, transfieren y venden información personal a, entre otras cosas:

  • Informar a los consumidores, antes de la recogida de datos, de las categorías y propósitos de la recogida.
  • Proporcione divulgaciones más detalladas en una directiva de privacidad con respecto a los orígenes, propósitos empresariales y categorías de información personal que se recopilan, incluida la forma en que esas categorías se venden o transfieren a otras entidades.
  • Habilite los derechos de acceso, eliminación y portabilidad de DSR para las partes específicas de información personal que haya recopilado.
  • Habilitar un control que permita a los consumidores no participar en la venta de los datos del consumidor. Sin embargo, se permitirán las transferencias a entidades exentas, como los proveedores de servicios.
  • Para los menores de 16 años, habilite un proceso de participación para que no se pueda vender la información personal del menor sin participar activamente en la venta.
  • Asegurarse de que no se discrimina a los consumidores que ejerciten cualquiera de sus derechos otorgados por la CCPA.

¿Cómo se aplica la CCPA a los niños?

  • La CCPA introduce obligaciones del consentimiento paterno compatibles con la Ley de Protección de la Privacidad en Línea de los Niños (COPPA) para menores de 13 años.
  • Para los niños de entre 13 y 16 años, CCPA impone una nueva obligación de obtener el consentimiento de opt-in del niño.

Usar el Administrador de cumplimiento de Microsoft para evaluar el riesgo

El Administrador de cumplimiento de Microsoft es una característica en el Centro de cumplimiento de Microsoft 365 que le ayuda a entender la actitud de su organización en relación con el cumplimiento normativo y a tomar medidas para contribuir a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Recursos