CaCPA

¿A quién protege la CaCPA? ¿Quién debe cumplir?

Cualquier consumidor, definido como una “persona física residente de California”. Esto se define además como:

  • Cualquier individuo se encuentra en el estado para cualquier propósito que no sea transitorio o temporal
  • Cualquier individuo que vive en el estado pero que actualmente u ocasionalmente se encuentra fuera del estado por un propósito temporal o transitorio

Lo que significa que los consumidores que viajan ao con residencia parcial en otros estados estarían protegidos, siempre que su hogar sea California. Esto también significa que la ley se aplica a las empresas "empresa a consumidor" (B2C) y a las empresas "empresa a empresa" (B2B).

Un “negocio” cubierto se define como una entidad con fines de lucro que cumple con 1 de las 3 condiciones siguientes.

  1. Gana $25 millones o más en ingresos anuales.
  2. Contiene los datos personales de al menos 50 000 personas, hogares o dispositivos.
  3. Obtiene al menos la mitad de sus ingresos vendiendo datos personales. Vender no es solo intercambiar datos por dinero en efectivo. La mera divulgación de datos a un tercero si resulta en una ganancia financiera está sujeta a la ley.

CaCPA establece que también deben cumplir con las siguientes 4 condiciones.

  1. Ser una entidad comercial legal que esté organizada y operada con fines de lucro.
  2. Recopila información personal de los consumidores, o hace que alguien la recopile en su nombre.
  3. Determina los fines y medios del tratamiento de la información personal de los consumidores.
  4. Hace negocios en California

Cualquier “negocio con fines de lucro” que pase esta prueba estará sujeto a la ley, independientemente de su ubicación geográfica. Según iapp, se estima que la ley se aplicará a más de 500.000 empresas estadounidenses, la mayoría de las cuales son pequeñas y medianas. También afectará a las empresas fuera de los EE. UU., siempre que realicen sus negocios en California.

¿Cuál es la sanción por incumplimiento?

Para las violaciones intencionales que no se aborden dentro de los 30 días, la multa es de $2,500 a $7,500 por violación (por ejemplo, por registro en la base de datos). Las violaciones no intencionales que no se aborden dentro de los 30 días, los Consumidores pueden recuperar los daños por un monto no menor a cien dólares ($100) y no mayor a setecientos cincuenta ($750) por consumidor por incidente o daños reales, lo que sea mayor.

El veinte por ciento de las multas recaudadas por el Estado se destinarán a un nuevo “Fondo de Privacidad del Consumidor”. Todos los fondos que excedan los costos judiciales y de cobranza pueden depositarse en el Fondo General del Estado de CA.

¿De dónde viene esta ley?

La CaCPA se aprobó rápidamente en Legislación en solo 7 días y se firmó solo unas horas antes del cierre de la sesión legislativa de California de 2017-18. Rápido para una Ley con ramificaciones tan amplias.

Este apuro fue en respuesta a una iniciativa electoral mucho más estricta propuesta por el promotor inmobiliario de San Francisco, Alistair Mactaggart. Mactaggart gastó $3.5 millones de su propio dinero para financiar la medida de iniciativa No. 17-0039 que recibió más de 629,000 firmas, más que suficiente para colocar el tema en la boleta electoral de noviembre de 2018.

¿Cómo define la CaCPA la "información personal"?

La definición de información personal de CaCPA es mucho más extensa que la definición de PII, se alinea más estrechamente con la lista más amplia del RGPD. Se define como "información que identifica, se relaciona, describe, se puede asociar o podría vincularse razonablemente, directa o indirectamente, con un consumidor u hogar en particular". Además de la información que normalmente se incluye en PII, también incluye:

  • Datos de geolocalización
  • Información sobre Educación
  • Información de audio, electrónica, visual, térmica o similar
  • Información profesional y laboral
  • Direcciones IP
  • Actividad de Internet (es decir, historial de navegación y búsqueda, datos de seguimiento web)
  • Alias
  • Características de las clasificaciones protegidas bajo la ley federal o de California
  • Información comercial (es decir, registros de propiedad personal, historial de compras)
  • Inferencias extraídas de cualquiera de la información contenida en la definición

¿Por qué CaCPA?

Apenas unos días antes de que Mactaggart pudiera certificar las firmas, los demócratas de California acordaron impulsar un proyecto de ley de compromiso a cambio de abandonar la iniciativa. Los cabilderos de la industria tecnológica creen que tendrán muchas más posibilidades de controlar la narrativa y el impacto final de la CaCPA. Los cabilderos de la industria acordaron no oponerse al proyecto de ley ya que la iniciativa de votación mucho menos favorable tenía buenas posibilidades de ser aprobada más adelante en el año.

¿Qué obtuvieron por su cumplimiento?

  • 18 meses de tiempo para cabildear sobre cómo reescribir los detalles del proyecto de ley.
  • La legislatura de CA puede modificar la CaCPA con una mayoría simple en lugar de una súper mayoría 70% requerida por la Ley de Privacidad del Consumidor de CA de 2018.
  • CaCPA hace que sea más difícil para los consumidores demandar a las empresas que no cumplen, otorgando la mayor parte del control de cumplimiento al Fiscal General del estado de California.
  • CaCPA afecta a más empresas, ya que redujo el umbral a la mitad a empresas con solo $25 millones de ingresos anuales.

“La política de regulación de datos es compleja e impacta en todos los sectores de la economía, incluida la industria de Internet”, dijo el grupo de cabildeo de la Asociación de Internet. “Eso hace que la falta de discusión pública y proceso en torno a este proyecto de ley de gran alcance sea aún más preocupante. Es fundamental en el futuro que los legisladores trabajen para corregir las inevitables ramificaciones negativas de políticas y cumplimiento que este acuerdo de última hora creará para los consumidores y las empresas de California por igual”.

Los ganadores y perdedores de esta parte de la legislación (10,660 palabras) aún no se han determinado, debido a la reescritura masiva de los detalles que se está llevando a cabo en este momento. Es muy probable que el CaCPA nuevo y mejorado se aplique principalmente a las pequeñas y medianas empresas, aquellas que no pueden pagar los altos precios de los cabilderos y sus enormes gastos. Este proyecto de ley escrito apresuradamente y apenas revisado por nadie más que sus redactores con sus muchos errores tipográficos y texto mal escrito fue aprobado por el gobernador Brown el 28 de junio.el 2018. El 24 de agostoel solo 57 días después llegaron las primeras 45 enmiendas. Estas enmiendas fueron principalmente para corregir errores técnicos. Prepararse.

Fuentes: Proyecto de Ley de la Asamblea No. 375, iapp El asesor de privacidad, New York Times, FairWarning

 

Bill Vann tiene más de 25 años de experiencia en TI y tecnologías empresariales. Recibió su licenciatura en Negocios y una maestría en Gestión Empresarial de la Universidad Nacional en San Diego, CA. Bill ha sido miembro activo y colaborador de asociaciones locales como AGC, NECA y CFMA.