Ley de privacidad del consumidor de California (CCPA)

Información general sobre CCPA

La Ley de Privacidad del Consumidor de California (CCPA) es la primera ley de privacidad completa de la Estados Unidos. Proporciona varios derechos de privacidad a los consumidores de California. Las empresas reguladas por el CCPA tendrán una serie de obligaciones para esos consumidores, incluidas las divulgaciones, el Reglamento General de Protección de Datos (RGPD), los derechos de interesados de consumidor (DSR), una "exclusión" para ciertas transferencias de datos y un requisito de "participación" para menores.

El CCPA solo se aplica a las empresas que realizan negocios en California y cumplen uno o varios de los siguientes requisitos: (1) tienen unos ingresos anuales brutos de más de 25 millones de dólares, o (2) obtienen más del 50% de sus ingresos anuales de la venta de información personal del consumidor de California, o (3) compran, venden o comparten la información personal de más de 50,000 consumidores de California al año.

El CCPA entró en vigor el 1 de enero de 2020. La aplicación por parte del Fiscal General de California (AG) comenzó el 1 de julio de 2020.

El grupo de disponibilidad de California aplica el CCPA y tiene poder para emitir multas por incumplimiento. El CCPA también proporciona un derecho de acción privado que se limita a las infracciones de datos. Bajo el derecho privado de acción, los daños oscilan entre 100 y 750 dólares por incidente y consumidor. El Fiscal General de California también puede aplicar la CCPA en su totalidad para imponer una sanción civil que no supere los 2500 USD por infracción o los 7500 USD por infracción intencional.

Microsoft y el CCPA

Para los clientes comerciales que realizan negocios en California, Microsoft actúa como "proveedor de servicios" con respecto a nuestra oferta de servicios en línea y servicios profesionales. Los términos de los Términos de servicios en línea (OST) y el Anexo de protección de datos de Servicios profesionales de Microsoft (MSDPA) ya cumplen los requisitos de los proveedores de servicios en virtud del CCPA y generalmente son suficientes para permitir a los clientes seguir transfiriendo datos a nuestros Servicios en línea. Por lo tanto, no se requieren cambios contractuales adicionales para que los clientes puedan confiar en Microsoft como proveedor de servicios en el CCPA.

Como se establece en la OST, Microsoft cumple con todas las leyes y regulaciones aplicables a su prestación de los Servicios en línea, que incluirían el CCPA.

Servicios y plataformas en la nube dentro de Microsoft

Cómo puede prepararse para el cumplimiento de CCPA al usar productos y servicios de Microsoft

Estos son algunos pasos que puede seguir para prepararse para el CCPA:

  • Empiece a aprovechar la evaluación del RGPD en el Administrador de cumplimiento como parte de su programa de privacidad de CCPA.
  • Establezca un proceso para responder de forma eficaz a las solicitudes de acceso del interesado (DSAR) mediante la herramienta Solicitudes del interesado.
  • Configure etiquetas y directivas para detectar, clasificar & etiqueta y proteger datos confidenciales con Microsoft Purview Information Protection.
  • Use las capacidades de cifrado de correo electrónico para controlar aún más la información confidencial.

Preguntas más frecuentes

¿Cómo afectará la CCPA a mi empresa?

Muchos de los derechos del CCPA concedidos a los californianos son similares a los derechos que proporciona el RGPD, incluidas las solicitudes de divulgación y derecho de interesado (DSR), como el acceso, la eliminación y la portabilidad. Por lo tanto, el cliente puede buscar nuestras soluciones de RGPD ya existentes para ayudarle con su cumplimiento de CCPA.

Para comenzar el recorrido de CCPA, debe centrarse en la detección de información, determinar cómo se comparte la información personal, cómo se usa, cómo se protege y tener un programa formal de respuesta de vulneración de datos.

¿Cuáles son las diferencias entre el RGPD y la CCPA?

Hay muchas diferencias. Es más fácil centrarse en las similitudes, entre las que se incluyen:

  • Obligaciones de transparencia y divulgación,
  • Derechos de los consumidores para acceder, eliminar y recibir una copia de datos,
  • Definición de "proveedores de servicios" que es similar a la forma en que el RGPD define "procesadores" con una obligación contractual similar, y
  • Definición de "empresas" que abarca la definición del RGPD de "controladores".

La mayor diferencia en el CCPA es el requisito básico para permitir la exclusión de las ventas de datos a terceros (con una "venta" ampliamente definida para incluir el uso compartido de datos para una consideración valiosa).

¿Qué derechos deben habilitar las empresas conforme a la CCPA?

El CCPA requiere empresas reguladas que recopilen, transfieran y vendan información personal a, entre otras cosas:

  • Informar a los consumidores, antes de la recogida de datos, de las categorías y propósitos de la recogida.
  • Proporcione divulgaciones más detalladas en una política de privacidad sobre las fuentes, los fines empresariales y las categorías de información personal que se recopilan, incluida la forma en que esas categorías se venden o transfieren a otras entidades.
  • Habilite los derechos de acceso, eliminación y portabilidad de DSR para los fragmentos específicos de información personal recopilados por usted.
  • Habilite un control que permita a los consumidores no participar en la venta de los datos del consumidor. Sin embargo, se permitirán las transferencias a entidades exentas, como proveedores de servicios.
  • Para menores de 16 años, habilite un proceso de participación para que no se pueda realizar ninguna venta de la información personal del menor sin participar activamente en la venta.
  • Asegurarse de que no se discrimina a los consumidores que ejerciten cualquiera de sus derechos otorgados por la CCPA.

¿Cómo se aplica la CCPA a los niños?

  • La CCPA introduce obligaciones del consentimiento paterno compatibles con la Ley de Protección de la Privacidad en Línea de los Niños (COPPA) para menores de 13 años.
  • Para los niños entre 13 y 16 años, CCPA impone una nueva obligación de obtener el consentimiento de participación del niño.

Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo

El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Recursos