Los EE.UU. carecen notoriamente de una legislación federal exhaustiva en materia de privacidad. En este contexto, la CCPA es un paso adelante y convierte a California en precursora de la privacidad digital en el panorama estadounidense. Como era de esperar, otros Estados han utilizado la CCPA como modelo para su propia legislación.
Pero, ¿cuáles son los derechos de privacidad de los consumidores en virtud de la CCPA y cómo pueden ejercerlos los particulares? Averigüémoslo.
- ¿Cuáles son sus derechos en virtud de la CCPA?
- Derecho a saber
- Derecho de supresión o rectificación
- Derecho de exclusión
- Derecho a limitar el uso y la divulgación de información sensible
- ¿Cómo se comparan estos derechos con el RGPD?
- Conclusiones
¿Cuáles son sus derechos en virtud de la CCPA?
La CCPA enumera varios derechos de los consumidores
- derecho a saber qué datos personales utiliza una empresa y cómo los utiliza
- derecho a que se elimine la información personal
- derecho a excluirse de la venta e intercambio de información personal
- derecho a no ser discriminado en el ejercicio de los derechos previstos en la CCPA
- derecho a rectificar la información inexacta
- derecho a limitar el uso y la divulgación de información sensible.
Los cuatro primeros derechos siempre formaron parte de la CCPA. Los derechos a rectificar la información y a limitar el uso y divulgación de información sensible se añadieron en 2020, cuando la CCPA fue modificada por la CPRA.
Derecho a saber
Según la CCPA, tienes derecho a solicitar información sobre el uso de tus datos. Puede preguntar a una empresa
- qué categorías de información personal se recogieron y utilizaron, y con qué fin
- de qué fuentes se recogió la información
- qué información se compartió y con quién
También puede solicitar información específica sobre los datos recogidos. Las empresas deben responder a las solicitudes en un plazo de 90 días (con un plazo "base" de 45 días, que puede ampliarse 45 días más previo aviso).
El derecho del consumidor a saber no debe confundirse con la obligación de las empresas de avisar en el momento de la recogida. Aunque ambos tienen por objeto, en última instancia, aumentar la transparencia y el control del usuario, los avisos en el momento de la recogida deben facilitarse con independencia de cualquier solicitud al respecto.
Si una empresa vende o comparte información personal, su notificación en el momento de la recogida debe incluir un enlace "No vender ni compartir" (más información al respecto más adelante).
Derecho de supresión o rectificación
Los consumidores tienen derecho a solicitar la supresión o rectificación de su información personal. Hay algunas excepciones a la norma, como la información disponible públicamente, la información de informes de crédito y la información necesaria para ejercer reclamaciones legales.
Las empresas deben cumplir la norma en un plazo de 90 días (de nuevo, se trata de un plazo de 45 días, más una prórroga de 45 días previa notificación).
Derecho de exclusión
Según la CCPA, los consumidores tienen derecho a excluirse voluntariamente de la venta e intercambio de información personal.
Los sitios web que vendan o compartan información personal deben ofrecer la opción de excluirse mediante un enlace visible en su sitio web. Los sitios web también deben ofrecer otro método de exclusión voluntaria, como el Control Global de Privacidad que ofrecen algunos navegadores.
Solía haber cierta incertidumbre en torno al significado de "venta" con arreglo a la CCPA. La ley se modificó posteriormente para hacer referencia a la venta y el intercambio de información personal, con el fin de cubrir el intercambio de datos con terceros como Google y Meta con fines de marketing web y retargeting . Así que no hay duda de que estas actividades entran dentro de las normas de exclusión voluntaria.
Derecho a limitar el uso y la divulgación de información sensible
La CCPA enumera determinadas categorías de datos como información sensible, incluidos identificadores como números de la seguridad social, datos precisos de geolocalización, correos electrónicos y mensajes de texto, datos sanitarios, datos genéticos, datos sobre la vida sexual/orientación sexual, etcétera. Los consumidores tienen derecho a limitar el uso y la divulgación de esa información.
En la práctica, este derecho es similar al de optar por no compartir información personal. Los sitios web y servicios que recojan información sensible deben hacer visible y disponible esta opción en su sitio web. Tras recibir una solicitud de limitación, las empresas sólo pueden procesar datos sensibles de forma estrictamente necesaria para proporcionar los bienes y servicios solicitados.
¿Cómo se comparan estos derechos con el RGPD?
Algunos derechos de la CCPA tienen un claro paralelismo en el GDPR: el derecho a saber, el derecho a la supresión y el derecho a que se corrija la información funcionan de forma similar.
Por otro lado, no existe en el RGPD un derecho equivalente al derecho a excluirse voluntariamente de la venta e intercambio de información personal, ni tampoco un derecho equivalente al derecho a limitar el uso de datos sensibles. Esto no significa que el RGPD sea más permisivo en este sentido, sino todo lo contrario.
El RGPD opta por un enfoque más estricto y prescriptivo al establecer requisitos rigurosos para el tratamiento de datos personales. Los derechos de exclusión voluntaria desempeñan un papel relativamente menor en el Reglamento porque, en primer lugar, existen requisitos estrictos para el tratamiento de datos personales. Por ejemplo, el principio de legalidad (al que ya nos hemos referido en este blog) desempeña un papel crucial en el RGPD y no encuentra paralelo en la LPC.
Por otra parte, la CCPA pretende capacitar a los consumidores dándoles el derecho a decidir sobre el uso de su información personal. Así pues, las empresas gozan de bastante libertad en virtud de la CCPA siempre que el consumidor no opte por no participar.
Cada enfoque tiene sus pros y sus contras. El cumplimiento de la CCPA es definitivamente menos oneroso que el cumplimiento del GDPR. Al mismo tiempo, hacer recaer la carga de la privacidad en el consumidor puede ser arriesgado. Imagínese visitar 50 sitios web al día y tener que rechazar individualmente la venta de sus datos en cada uno de ellos. Se supone que el Control Global de la Privacidad ayudará en este sentido, pero el sistema aún no se ha implantado de forma generalizada. Tampoco existe un equivalente del CGP para limitar el uso de datos sensibles.
El GDPR adopta el enfoque opuesto y traslada la carga de la privacidad del público a las organizaciones. La idea que subyace al RGPD es que las personas no tengan que optar manualmente por no participar en las prácticas invasivas de la privacidad de los innumerables servicios que utilizan. Por eso el Reglamento contiene muchas normas estrictas y detalladas sobre lo que las empresas pueden y no pueden hacer con los datos personales.
En un mundo en el que todo el mundo utiliza cientos de servicios diferentes ávidos de datos, y en el que nadie lee realmente los avisos de privacidad o ajusta la configuración de privacidad, el control individual sobre los datos es a menudo poco más que una farsa. Así pues, hacer recaer la carga de la privacidad en las organizaciones y exigirles unos niveles de exigencia elevados es probablemente un planteamiento más eficaz que dejarlo en manos del individuo. Por otra parte, este enfoque prescriptivo da lugar a normas muy técnicas y complejas que a veces resultan difíciles de entender y cumplir para las empresas (especialmente las más pequeñas).
También es interesante comparar la noción de datos sensibles entre las legislaciones. La información sensible según la CCPA incluye datos como los identificadores gubernamentales, que podrían utilizarse para la usurpación de identidad. La CCPA también considera datos sensibles los datos precisos de geolocalización, lo cual es una buena idea y algo de lo que la legislación de la UE podría tomar ejemplo.
Al mismo tiempo, el RGPD es mucho más restrictivo a la hora de limitar el uso de datos sensibles. Una vez más, la CCPA adopta un enfoque centrado en el consumidor y en la exclusión voluntaria, mientras que el GDPR adopta una vía prescriptiva.
Puede que seamos parciales, pero creemos que el RGPD es el claro vencedor en lo que respecta a los datos sensibles: el derecho a la exclusión voluntaria simplemente no es suficiente en este caso.
Conclusiones
Al fin y al cabo, la privacidad es importante, esté donde esté. Creemos que las empresas deben preservar la privacidad de sus clientes y visitantes, tanto si la ley les obliga a ello como si no.
Hemos creado Simple Analytics para ayudar a nuestros clientes de todo el mundo a aumentar su audiencia de una forma ética y respetuosa con la privacidad. Simple Analytics le proporciona toda la información que necesita sin utilizar cookies, rastreadores ni huellas dactilares de los usuarios. No rastreamos a sus visitantes y no recopilamos ni un solo dato personal. Si esto le parece bien, ¡pruébenos!