Lo que necesita saber sobre el nuevo …



La Proposición 24 cambiará los derechos de los californianos y las responsabilidades comerciales con respecto a la protección de datos del consumidor.

En las elecciones de noviembre, los californianos votaron a favor de la Proposición 24, que amplía efectivamente la legislación estatal sobre privacidad de datos con un nuevo conjunto de reglas. A un nivel amplio, la Ley de Derechos de Privacidad de California (CPRA) sucederá a la Ley de privacidad del consumidor de California (CCPA) el 1 de enero de 2023.

Es posible que muchas organizaciones se hayan familiarizado con el Reglamento normal de protección de datos (GDPR) o el cumplimiento de la CCPA. Probablemente se estén preguntando qué implica la CPRA y qué significan esos cambios en el futuro.

En los próximos meses, la legislatura de California resolverá los detalles sobre la CPRA. Sin embargo, los principales cambios entre la CCPA y la CPRA ya han cristalizado. Aunque esta lista no es exhaustiva, los siguientes son algunos de los cambios más importantes en la regulación.

Nace una nueva agencia de aplicación
La CPRA presenta una nueva agencia de aplicación, la Agencia de Protección de la Privacidad de California (CPPA). Esta agencia es related a las autoridades de supervisión de protección de datos que existen en otros países. La agencia estará compuesta por una junta de cinco personas, dos de las cuales deberán ser designadas por el gobernador de California. La Asamblea del Estado de California, el Senado y el Fiscal Standard nombrarán a los miembros restantes. La CCPA tiene la tarea de investigar las violaciones de la CPRA, realizar audiencias y emitir sanciones cuando sea necesario. La agencia también brindará orientación sobre la implementación de la CPRA.

Requisitos sobre información personal confidencial
La CPRA introduce el concepto de «información private wise». Según la nueva ley, la información own confidencial incluye números de identificación, como números de Seguro Social, números de licencia de conducir, números de pasaporte o tarjeta de identidad, credenciales de cuenta, detalles de tarjetas de crédito, información de geolocalización, contenido de comunicaciones en correos electrónicos y mensajes de texto (si es una empresa no es el destinatario de la comunicación) y elementos de datos que se alinean con el RGPD de Europa. Estos elementos incluyen creencias religiosas o filosóficas Membresía de la unión datos de salud, genéticos y biométricos e información relacionada con la vida sexual u orientación sexual de una persona. La CPRA establece que los consumidores tienen derecho a pedirle a una empresa que no divulgue información personal confidencial.

Derechos del consumidor con respecto a los datos
La CPRA ahora otorga a los consumidores una serie de derechos con respecto a los datos que utilizan las empresas. La CCPA ya incluye el derecho a la eliminación, mediante el cual los consumidores pueden pedirle a una empresa que elimine la información private que tiene archivada. La CPRA ampliará este derecho para garantizar que las empresas cooperen con las solicitudes de eliminación y permitir que las empresas mantengan un registro confidencial de las solicitudes de eliminación para referencia futura. La CPRA también introducirá un derecho de corrección, que permite a los consumidores solicitar que una empresa corrija información personalized inexacta. Según la CCPA, los consumidores podían solicitar ver los datos que una empresa recopiló sobre ellos durante los 12 meses anteriores a la solicitud. Según la CPRA, los consumidores pueden solicitar ver los datos que las empresas recopilaron antes de los 12 meses anteriores a esa solicitud si la empresa posee esa información.

Los consumidores tendrán más voz sobre los datos recopilados para publicidad
Muchas empresas utilizan publicidad conductual en contextos cruzados, una práctica que aprovecha los perfiles de consumidores individuales con fines publicitarios. Según la CPRA, los consumidores pueden optar por no participar en estas recopilaciones de datos. Este cambio también afectará la forma en que las empresas presentan opciones para optar por no participar por ejemplo, las empresas no podrán mostrar botones de preferencias «aceptar todos» grandes y de colores brillantes a los consumidores que visiten sus sitios website.

CPRA amplía los requisitos de violación de datos
Cuando se concede acceso no autorizado a información como información no encriptada o no redactada o credenciales de inicio de sesión y combinaciones de contraseñas, se considera una violación de datos según la CCPA. La CPRA autoriza a los consumidores a reclamar una indemnización u otro recurso que un tribunal considere necesario para compensar el incumplimiento. Si un tribunal determina que una violación de datos fue causada por una seguridad de datos insuficiente, también puede buscar la aplicación administrativa contra la organización.

¿Qué pueden hacer las empresas ahora?
La buena noticia es que las empresas tienen hasta el 1 de enero de 2023, fecha de aplicación para cumplir con estos (y otros cambios) introducidos en la CPRA. Aunque las empresas no necesitan abordar la CPRA específicamente en este momento, las organizaciones de cumplimiento deben comenzar a prepararse tomando nota de los cambios principales y pensando si sus programas de privacidad existentes podrán escalar fácilmente para respaldarlos.

K Royal es un abogado y profesional de cumplimiento global con 25 años de experiencia en los campos lawful y relacionados con la salud. K tiene un interés distinct en la tecnología junto con sus desafíos y oportunidades. En un día normal, trabaja con GDPR. HIPAA, CCPA, incidente … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first