La Ley de Privacidad del Consumidor de California (CCPA) está diseñada para proteger la privacidad de los residentes de California y tiene implicaciones para las empresas que manejan su información personal. En muchos sentidos, la CCPA se considera el equivalente del GDPR en Europa.
En este artículo, explicaremos qué significa la CCPA y cómo se aplica. Además, proporcionamos los pasos que deben seguir las empresas que utilizan Google Analytics para garantizar su cumplimiento.
Entremos en materia.
- ¿Qué es la CCPA?
- ¿Quién tiene obligaciones en virtud de la CCPA?
- ¿Qué significa la CCPA para la analítica web?
- ¿Cumple Google Analytics la CCPA?
- ¿Cómo puedo hacer que Google Analytics respete la privacidad?
- Reflexiones finales
¿Qué es la CCPA?
La Ley de Privacidad del Consumidor de California es un estatuto que protege los derechos de privacidad de los residentes de California. La CCPA fue adoptada en 2018 y modificada en 2020 por la Ley de Derechos de Privacidad de California. Forma parte del Código Civil de California.
Puede encontrar información en profundidad sobre la CCPA en el sitio web del gobierno californiano.
¿Quién tiene obligaciones en virtud de la CCPA?
No todas las organizaciones están cubiertas por la CCPA.
La ley sólo cubre a las empresas cuando cumplen determinados criterios:
- tienen unos ingresos brutos anuales superiores a 25 millones de dólares
- compran, venden o comparten la información personal de 100.000 o más residentes, hogares o dispositivos de California
- al menos el 50% de sus ingresos proceden de la venta de información personal de residentes en California.
Estos criterios son alternativos: siempre que se cumpla uno, se aplica la CCPA. La CCPA también tiene un efecto extraterritorial en el sentido de que puede aplicarse a empresas establecidas fuera de California y de EE.UU..
La CCPA se centra en las empresas y, en su mayor parte, no se aplica a los organismos gubernamentales ni a las organizaciones sin ánimo de lucro. Tampoco se aplica a entidades cubiertas por otras leyes de privacidad, como la HIPAA.
¿Qué significa la CCPA para la analítica web?
En un principio, la CCPA exigía un sistema de consentimiento previo para la venta de información personal.
La CCPA definía la venta de información personal en términos muy amplios. Aún así, algunas empresas argumentaron que la divulgación de información personal para la publicidad conductual de contexto cruzado no constituía una venta.
La Legislatura de California decidió aclarar el punto con la CPRA. La nueva ley amplió el sistema de consentimiento previo de la CCPA al intercambio de información personal y aclaró que el intercambio de información incluye la publicidad basada en el comportamiento en contextos cruzados.
En resumen, la publicidad basada en el comportamiento en contextos cruzados requiere el consentimiento expreso. Esto ya estaba bastante claro antes de la CPRA y ahora es cierto sin lugar a dudas.
Por otro lado, si analiza el comportamiento de los visitantes con fines estrictamente analíticos, no se aplica el requisito de exclusión voluntaria.
¿Cumple Google Analytics la CCPA?
La CCPA no exige el consentimiento expreso para colocar cookies. Sin embargo, los consumidores tienen derecho a oponerse a que se vendan y compartan sus datos personales.
La noción de compartir los datos abarca la publicidad conductual entre contextos, es decir, la elaboración de perfiles y la publicidad llevada a cabo por una empresa basándose en información recopilada de otros sitios web y aplicaciones.
Google Analyticslo hace por defecto. El uso conforme de Google Analytics es posible, pero es responsabilidad del cliente utilizar la herramienta de forma legal.
Si utiliza Google Analytics, tiene dos alternativas para cumplir con la CCPA:
- proporcionar a sus visitantes una opción de exclusión voluntaria a través de una página "No vender ni compartir mis datos
- habilitar la configuración de tratamiento de datos restringido para Google Analytics.
Si decide restringir el procesamiento de datos, es posible que también deba habilitar la configuración para otros servicios de Google. Por ejemplo, esta configuración debe habilitarse manualmente para Google Ads (que restringirá la publicidad en su sitio web a anuncios no orientados). Esta lista de Google aclara qué servicios de Google admiten esta opción y si está habilitada de forma predeterminada.
Tanto si decide compartir información personal como si no, también debe proporcionar un aviso sobre la recopilación de información personal y atender las solicitudes de acceso y eliminación de información de sus visitantes.
¿Cómo puedo hacer que Google Analytics respete la privacidad?
Ofrezca una página de "No vender ni compartir".
La CCPA exige a las empresas que venden o comparten datos que incluyan en sus sitios web una página de "No vender ni compartir mis datos ".
El enlace a la página debe ser claro y visible: si es difícil de encontrar, el sitio web está infringiendo la ley. La opción de excluirse también debe ser fácilmente accesible: las empresas no pueden exigir el registro o la verificación de la identidad para excluirse.
Además, la ley no le permite negar funciones de su sitio web o servicio a los usuarios que opten por no vender ni compartir sus datos personales: debe tratar a los usuarios que opten por no participar igual que a los demás.
Por supuesto, la página no es sólo para mostrar: debe asegurarse de que dispone de procedimientos técnicos para atender las solicitudes de no vender o compartir.
Control global de la privacidad
El Control Global de laPrivacidad es una norma técnica para las solicitudes de no rastreo. Una señal GPC se envía desde el navegador del visitante y pide a los sitios web que no vendan ni compartan la información del visitante. Algunos navegadores soportan GPC de forma nativa, mientras que otros requieren una extensión.
Según la legislación de California, las señales GPC deben respetarse como si fueran solicitudes de exclusión voluntaria. Por tanto, si comparte información personal, debe dejar de hacerlo. Esta norma ya se ha aplicado en el pasado contra el minorista de cosméticos Sephora.
Tenga en cuenta que la GPC no es una exclusión voluntaria de la recopilación de datos en sí misma, sino sólo del intercambio de datos. Puede seguir recopilando información personal de los visitantes que envían una señal GPC si no la vende ni la comparte.
Notificación
Los sitios web sujetos a la CCPA deben informar a los visitantes de que se están recogiendo sus datos. La información debe facilitarse en el momento de recoger los datos o con anterioridad.
El aviso debe informar a los visitantes sobre la información recogida y los fines de la recogida. También debe incluir un enlace a la política de privacidad del sitio web (que no es lo mismo que el propio aviso). Además, si el sitio web comparte la información de los visitantes, debe informarles de ello y enlazar con la página No venda ni comparta mis datos.
Este requisito no depende de que se vendan o compartan los datos: incluso si no comparte los datos que recopila, debe proporcionar un aviso a sus visitantes.
Atender las peticiones de los consumidores
Los consumidores pueden pedir a las empresas información sobre los datos, incluidos los tipos y fuentes de la información personal, los fines de su uso e información sobre la divulgación de datos. También pueden exigir a las empresas que eliminen su información.
Si recibe una de estas solicitudes, puede atenderla en un plazo de 45 días (que puede ampliarse 45 días más, hasta un total de 90 días). Para gestionar correctamente las solicitudes, debe establecer de antemano procedimientos estándar y formar adecuadamente a su personal.
Las empresas deben comprobar que la solicitud procede del consumidor al que se refieren los datos personales. Para ello, pueden solicitar más información personal. Esta información sólo puede utilizarse para la verificación y no puede ser utilizada por la empresa de ninguna otra manera.
Al igual que el suministro de información, el deber de responder a las solicitudes también abarca a las empresas que no comparten datos: si recopila información personal de residentes en California, tiene el deber de responder a dichas solicitudes, independientemente de lo que haga con la información.
Reflexiones finales
Hemos proporcionado los pasos necesarios para que las empresas garanticen el cumplimiento en relación con el análisis de sitios web. Cumplir la normativa sobre privacidad es importante, pero a veces puede resultar complicado. Por suerte, existen productos de análisis de sitios web que cumplen la normativa desde el primer momento.
Hemos creado Simple Analytics pensando en la privacidad. Adoptamos un enfoque de privacidad por diseño y proporcionamos la información que toda empresa necesita sin utilizar cookies ni recopilar datos personales. Cumplimos al 100% con la CCPA. Creemos que Internet debe ser independiente y amigable para los visitantes del sitio web. Si está de acuerdo, ¡pruébenos!