CCPA vs. RGPD – introducción
El Acta de privacidad del consumidor de California (CCPA) es la primera legislación con alcance estatal concerniente a la privacidad en Estados Unidos.
Entró en vigor el 1 de enero de 2020 en USA después de que el RGPD europeo redefiniera la manera de abordar las leyes sobre privacidad, desde su entrada en escena el 25 de mayo de 2018.
Es cierto que Maine y Nevada también ha aprobado una nueva legislación de privacidad o enmiendas a las leyes actuales, de hecho, la ley de privacidad de Nevada (en inglés) entró en funcionamiento el 1 de octubre de 2019.
Sin embargo, la magnitud de la CCPA es completamente distinta.
La CCPA cambia la manera en cómo los Californianos pueden gestionar sus propios datos, a la vez que les dota con nuevos derechos para solicitar a los negocios la información o eliminación de los datos que hayan recogido hasta la fecha, u optar por no participar totalmente en la venta de datos a terceras partes.
La CCPA también crea nuevas obligaciones para entidades comerciales que hacen negocios en California. Si tu negocio se encuentra o no en el marco de las obligaciones de la CCPA depende de una serie de definiciones que repasaremos más adelante.
Es importante saber, sin embargo, que las disposiciones de la CCPA requieren que los negocios provean a los consumidores con la información sobre los datos recogidos, procesados y vendidos en los últimos 12 meses.
Prueba gratis Cookiebot durante 14 días, o siempre si tienes una pequeña web.
RGPD vs. CCPA
El Reglamento general de protección de datos es una ley de la UE que entró en vigor en mayo de 2018 y es vinculante para los 27 estados miembros.
Controla cómo las webs, empresas y organizaciones pueden manejar datos personales, que puede ser desde nombres, direcciones de correo electrónico, datos de geolocalización, historial de navegación y otras muchas cosas.
Si tu web tiene visitantes de la UE y tú, o servicios integrados de terceras partes como Google o Facebook, procesa cualquier tipo de datos personales, el RGPD dice que tienes que obtener el consentimiento previo del usuario.
Para que este consentimiento sea válido, debe estar basado en una información clara sobre el propósito, la extensión y duración de tu procesamiento de datos.
Si realizas esto a través de un banner de consentimiento de cookies, el Tribunal europeo de justicia (CJEU) (en inglés) ha estipulado que tu banner no puede tener casillas pre-seleccionadas en ninguna categoría de cookies, excepto las estrictamente necesarias para el funcionamiento de tu web.
Esto se aplica a cualquier web sin tener en cuenta dónde este situada y desde donde opere, siempre y cuando tenga visitantes de la Unión Europea.
Una web de California que tiene visitantes de la UE está obligada a cumplir con los requisitos del RGPD en lo concerniente al procesamiento de datos personales.
Si tienes base en USA (o en cualquier otra parte del mundo) y ofreces servicios en la UE y procesas datos en la UE, puedes probar Cookiebot, plataforma de gestión de consentimientos, de manera gratuita hoy para asegurarte de que tu web cumple con el RGPD.
CCPA vs. RGPD – comparación general
El RGPD se centra en la creación de un marco legal de “privacidad por defecto” para la UE en su totalidad, mientras que la CCPA pretende crear transparencia en el enorme negocio de datos y el derecho de sus consumidores.
Donde el RGPD crea una puerta para que el usuario de la UE pueda bloquear cualquier procesamiento de datos previo al consentimiento, la CCPA crea una ventana al consumidor para averiguar qué datos de los suyos han sido recogidos por negocios o terceras partes.
Esta es una manera gráfica de explicar la diferencia principal entre CCPA vs. RGPD – a saber, consentimiento previo y optar por no participar.
Donde el RGPD exige a las webs, compañías y negocios tener unas bases legales para el procesamiento (en inglés) de datos personales en la UE (de los cuáles la primera base legal es el consentimiento), la CCPA no tiene un marco de actuación parecido.
De hecho, de acuerdo con la CCPA, un negocio no necesita el consentimiento previo del usuario antes de procesar sus datos, ni una web necesita el consentimiento previo del mismo para vender sus datos a terceras partes.
Principales derechos de la CCPA/RGPD
Los principales derechos de la CCPA y el RGPD incluyen el derecho a estar informado, el derecho de acceso y el derecho a la portabilidad.
También incluye el derecho a la eliminación (CCPA) y la supresión (RGPD), con muy pequeñas diferencias entre las dos, también el derecho de optar por no participar (CCPA) y el derecho al consentimiento previo (RGPD).
Los dos últimos son comparables en cierto sentido, ya que el derecho a optar por no participar (CCPA) está unido al derecho de retirar el consentimiento (RGPD), mientras que el derecho fundamental a consentimiento previo no tiene parangón dentro de la CCPA.
Para una extensa comparación entre los derechos de la CCPA y el RGPD, puedes leer la página 26 en la comparación de las leyes de privacidad de FPF (en inglés).
Cuando se comparan los derechos de la CCPA y el RGPD, está claro que el derecho al consentimiento previo – exclusivo del RGPD – realmente marca la diferencia ya que crea un marco de trabajo en la UE que está basado en la privacidad primero a través del control del usuario.
CCPA vs. RGPD – ¿de qué tratan las leyes?
En esta sección, echaremos un vistazo a los asuntos centrales tanto de la CCPA como del RGPD.
Información personal (CCPA) vs. Datos personales (RGPD)
La CCPA define información personal como “información que identifica, relaciona, describe, es capaz de ser asociada con o puede ser razonablemente ligada, directa o indirectamente, con un consumidor en particular o una unidad familiar” (traducción cortesía de Cookiebot).
Mientras, el RGPD define los datos personales como “toda información sobre una persona física identificada o identificable («el interesado»), directa o indirectamente, en particular mediante un identificador (…)”.
La gran diferencia entre ambas es que la definición de la CCPA va más allá de lo personal, lo que significa que incluye datos que nos específicos de un individuo y se categoriza como datos de una unidad familiar, mientras que el RGPD permanece exclusivamente individual.
A diferencia de la CCPA, sin embargo, el RGPD crea una categoría especial que se llama datos personales sensibles, de los cuáles está terminantemente prohibido su procesamiento al no ser que se den unos requisitos específicos.
No vender mi información personal (CCPA) vs. fundamentos jurídicos para el procesamiento de datos (RGPD)
El RGPD tiene seis requisitos legales (en inglés) para el procesamiento de datos personales en UE, la CCPA no tiene ninguno a la hora de procesar información personal en California.
Esto significa que los negocios pueden procesar los datos de los californianos como quieran, al no ser que los consumidores ejerzan su derecho a optar por no participar y que sus datos no sean vendidos.
Esto es evidente en el requisito de la CCPA que exige a los negocios proveer con una tecla o un link en la web de dicho negocio que diga explícitamente – “No vender mi información personal”– que permite a los consumidores optar rápidamente por o participar en la venta de datos a terceras partes.
Así que si tu compañía entra dentro de la definición de negocio de la CCPA (leer la definición a continuación), para cumplir con la ley debes tener una tecla clara, visible y accesible en tu web que diga No vender mi información personal.
CCPA vs. RGPD – ¿a quién se aplican las leyes?
En este apartado, revisaremos el alcance de las leyes de protección de datos de California y de la UE.
Consumidores (CCPA) vs. sujeto de datos (RGPD)
El RGPD protege a los sujetos de datos, definidos como “persona física identificada o identificable”, mientras que el CCPA otorga ciertos derechos a los consumidores, definidos como “una persona natural que es a su vez un residente en California” (traducción realizada por Cookiebot).
Un sujeto de datos, de acuerdo con el RGPD, puede ser cualquier persona y no sólo los residentes de la UE o ciudadanos, al contrario que consumidor que se define en la CCPA bien como un individuo que bien “está en el estado por un propósito que no es temporal ni transitorio” o un individuo “que está domiciliado en el estado y que está fuera del mismo por un propósito temporal o transitorio”.
Todos los demás individuos no son residentes, según estipula la CCPA.
El RGPD protege a sujetos de datos, no a ciudadanos o residentes, al contrario que la CCPA.
Si un turista americano está de viaje por Europa y sus datos están siendo procesados, el RGPD les protegerá. Las empresas que procesan sus datos, aunque tengan su sede en Estados Unidos, deberán cumplir con la ley, mientras ofrezcan sus servicios a sujetos de datos dentro de la UE.
En otras palabras, sujetos de datos son cualquier persona natural cuyos datos están siendo procesados dentro de la UE por empresas que ofrecen sus servicios y/o productos en la unión.
Alcance de la CCPA y el RGPD
Tanto la CCPA como el RGPD tienen un alcance extraterritorial.
La CCPA se aplica a las empresas que encajan dentro de la definición de negocios (ver más adelante), sin importar si la empresa está ubicada en California.
Como ejemplo, una compañía con sede en Europa que encaja dentro de la definición de negocio de la CCPA (comercia con datos de más de 50.000 californianos anualmente) estará obligada a cumplir con la CCPA.
De manera parecida, el RGPD se aplica a todas las webs, compañías y organizaciones (controladores de datos) en el mundo, si ofrece sus mercancías o servicios a individuos dentro de la UE.
La diferencia del alcance es que, aunque el RGPD protege a cualquier individuo (sujeto de datos) que está dentro de la Unión Europea en el momento de la recogida o el procesamiento, mientras que la CCPA sólo protege a los individuos que cabe dentro de su definición de consumidor como residente de California (i.e. en el estado por un propósito que no sea temporal o transitorio).
Negocios (CCPA) vs. controladores de datos (RGPD)
La CCPA controla las condiciones de los negocios y sus actividades de procesamiento de datos, asimismo define ambas figuras y establece clasificaciones estrictas.
Un negocio, según la CCPA, es una entidad con ánimo de lucro, que recoge información personal de los consumidores, determina el propósito y los medios de dicha actividad, realiza negocios en California y cumple al menos con uno de estos tres supuestos legales:
- Una facturación anual de más de 25 M. $.
- Procesa información personal de por lo menos cincuenta mil californianos al año
- Obtiene el 50% o más de sus ingresos anuales de la venta de información personal.
Obviamente, esto incluye un sinfín de empresas, organizaciones y webs, que procesan datos personales de los californianos diariamente y podrán continuar haciéndolo desde la entrada en vigor de la CCPA.
Por otro lado, los requisitos del RGPD se aplican a los controladores de datos, definidos como cualquier entidad que realice actividades de tratamiento de datos.
Pero, el RGPD no establece restricciones de tamaño, lucro o no, pública o privada, dentro o fuera de la UE además de los tres supuestos legales que se estipulan en la CCPA.
Un controlador de datos, de acuerdo con el RGPD, es simplemente una entidad que recoge y/o procesa data en la UE.
Esto incluye a cualquier empresa, negocio, organización y, por último, pero no por ello menos importante, cualquier web, sin importar su tamaño, configuración y propósito. Al contrario que la CCPA, si procesas cualquier dato estás obligado a cumplir con el RGPD.
Esto subraya una diferencia importante entre la CCPA y el RGPD: concretamente, que este último tiene un ámbito de actuación más amplio de a quién y a qué se aplica, ya que no discrimina, por ejemplo, en base a la facturación anual de la empresa u organización.
Resumiendo, el RGPD simplemente protege a más gente de más prácticas de procesamiento de datos que la CCPA.
CCPA vs. RGPD – aplicación y autoridad supervisora
Cuando se trata de la aplicación de la CCPA vs. RGPD, las dos leyes de privacidad son similares, pero otra vez más difieren en su alcance.
El RGPD se puede aplicar a través de multas pecuniarias emitidas por las autoridades nacionales de protección de datos de los estados miembros. Éstas pueden ascender hasta el 4% del total de los ingresos de la empresa o 20 M., cualquiera de las cantidades que sea mayor.
Las multas del RGPD se determinan por la naturaleza, gravedad y duración de la infracción. Las sanciones más elevadas hasta el momento por violaciones del RGPD han sido emitidas por la autoridad francesa de protección de datos, el CNIL, y ascienden a 50 M.
La CCPA se puede aplicar por el fiscal general de California a través de multas pecuniarias, aunque están son mucho menores que las emitidas por el no-cumplimiento del RGPD.
Dichas multas pueden alcanzar un máximo de 2.500 $ por infracción, para infracciones internacionales pueden llegar a los 7.500 $.
Las violaciones y el no-cumplimiento de la CCPA tienen que ser evaluadas y emitidas a través de acciones civiles por el fiscal general de California.
RGPD vs. CCPA: autoridad supervisora
En la UE, de acuerdo con el RGPD, son las autoridades nacionales de protección de datos que son las encargadas de promover la concienciación y el ofrecimiento de consejo a las empresas, organizaciones y webs de cómo pueden cumplir con el RGPD.
Las autoridades europeas de protección de datos también tienen competencias de investigación, lo que quiere decir que pueden llevar a cabo auditorías de empresas bajo sospecha de romper el RGPD. Pueden emitir advertencias y ordenar a los controladores de datos cumplir con el RGPD, además de imponer vetos de procesamiento, emitir multas administrativas y eliminar los datos obtenidos de manera errónea.
La CCPA, por otro lado, tiene posibilidades de supervisión más limitadas. Recae solamente en el Fiscal general iniciar las investigaciones.
Sin embargo, se espera que no más tarde el 20 de julio de 2020, el fiscal general haya creado regulaciones para áreas específicas de la CCPA que traten con la aplicación y la supervisión de la misma.
Resumen de la comparación entre la CCPA vs. el RGPD
El RGPD es una ley de privacidad más grande y amplia que conforma el marco de protección de datos de la UE, donde la privacidad es, por defecto, basada en el consentimiento previo de los usuarios de la UE. Dota a los individuos de la unión con los derechos de acceso, eliminación, información y retirada del consentimiento.
En comparación, la CCPA, es una ley sectorial más pequeña y específica que crea a los residentes californianos el derecho a decidir sobre los datos que ciertos negocios (que se enmarcan dentro de la definición de la CCPA) ha obtenido, a través de la petición de acceso a la misma, tenerla, borrarla u optar por no participar en la recogida y venta de datos por parte de un negocio a terceras partes.
Las dos leyes son diferentes a niveles fundamentales y crean dos marcos legales muy distintos en lo referente a la privacidad y la soberanía de los datos en Europa y California.
Cómo cumplir con el RGPD y la CCPA
Cookiebot puede ayudarte a cumplir con el RGPD y la CCPA.
Cookiebot es una solución de gestión de consentimientos que escanea tu web, encuentra todas las cookies y rastreadores, y automáticamente las bloquea hasta que los usuarios finales dan su consentimiento a qué categorías específicas de cookies permiten establecer en sus dispositivos.
Cookiebot permite múltiples soluciones de cumplimiento para la misma web a través de una función de geolocalización; así a los visitantes de la UE se les presentará un banner en cumplimiento con el RGPD, mientras que los usuarios californianos encontrarán una declaración de cookies de acuerdo con la CCPA.
De esta manera, tu web podrá proteger a sus usuarios finales de modos de acuerdo con las leyes de privacidad de su país o estado.
Prueba Cookiebot de manera gratuita hoy.
Fuentes
Texto oficial de la CCPA (en inglés)
Extensa comparación entre la CCPA y el RGPD por el Forum para el futuro dela privacidad (en inglés)
La corte de justicia europea y su sentencia sobre el cosentimiento válido en la UE (en español)