Lima, 18 de marzo de 2020
(*) Elaborado por Alejandro Morales Cáceres,
Jefe del Área de Derecho y Nuevas Tecnologías
El 01 de enero entró en vigor en California la Ley de Privacidad del Consumidor (California Consumer Privacy Act – en adelante, “CCPA”, por sus siglas en inglés), norma dirigida a mejorar y favorecer los derechos de los consumidores residentes en California, en relación con sus datos de carácter personal. De este modo, la CCPA recoge el derecho de los consumidores a saber qué información recopilan las empresas sobre ellos, para qué propósito y con quién la comparten.
Al respecto, el ámbito de aplicación de esta norma se reduce a empresas que “hagan cualquier tipo de negocio en California” y que además cumplen alguna de estas tres condiciones (i) tengan unos ingresos brutos de, al menos, 25 millones de dólares; (ii) posean información personal de, al menos, 50,000 residentes, hogares, o dispositivos de California al año; y (iii) generen, al menos, el 50% de sus ingresos anuales gracias a la venta de datos personales de californianos.
Al igual que la Ley de Protección de Datos Personales peruana (en adelante, “LPDP”), la CPPA considera como dato personal aquella información personal que permita la identificación directa o indirecta de una persona natural. En el caso concreto, la CPPA protege al consumidor, mientras que en la LPDP se hace referencia al “titular del dato personal”, pudiendo ser un consumidor o un trabajador. En ese sentido, se puede apreciar que la LPDP es más general que la CPPA. En ambas normas se tutelan los derechos de las personas naturales, dejando de lado los datos pertenecientes a las personas jurídicas.
Cabe señalar que la CCPA introduce cuatro derechos básicos de los consumidores. De esta manera introduce el derecho a saber – “right to know”, en virtud del cual los consumidores tienen derecho a conocer la información que una empresa ha recopilado sobre ellos, las fuentes de las que se ha obtenido, la finalidad de su uso y su cesión a terceras personas; el derecho de supresión o cancelación de los datos personales de un consumidor – “right to delete”, a excepción de aquellos casos en los que una ley no permite su supresión.
Asimismo, las empresas sólo están obligados a eliminar los datos que hayan recogido directamente del consumidor, no aquellos que hayan adquirido por otra vía. Adicionalmente, la CPPA introduce además otros derechos, como el de impedir la venta o cesión de los datos personales a otra empresa. Para ello, la página web debe incluir un enlace titulado “Do Not Sell My Personal Information” a través del cual los consumidores puedan ejercitar este derecho. Se reconoce también, entre otros, el derecho de no discriminación por ejercer alguno de los derechos anteriormente descritos.
La CCPA recoge a lo largo de sus disposiciones una serie de obligaciones para las empresas, tales como, la de divulgar proactivamente la existencia de los derechos de los consumidores y de comunicar los fines y las categorías de datos personales que recogen; facilitar el “derecho a no participar” u “opt-out”, cuando la empresa se dedica a la venta de datos personales, debiendo informar de dicha práctica en su página web para que los usuarios puedan negarse a este tratamiento con facilidad. Asimismo, las empresas que compren los datos personales de otra empresa no podrán revendérselos a terceros a menos que lo notifiquen al consumidor y le den la oportunidad de negarse a dicho tratamiento.
Además, las empresas deberán anunciar las categorías de datos personales que han vendido o revelado en los últimos doce meses, a través de las Políticas de Privacidad, debiendo mantenerse actualizada todos los años. Finalmente, tienen la obligación de facilitar un teléfono gratuito para que la gente pueda ejercer sus derechos, además de habilitar un sitio web específico para tal fin, debiendo entregar gratuitamente la información personal de un consumidor que lo requiera en menos de cuarenta y cinco días. Las empresas no están obligadas a entregar la información personal de un consumidor más de dos veces en un periodo de 12 meses.
Cabe señalar que una diferencia con nuestra LPDP es que no se requiere el consentimiento expreso de los consumidores para tratar sus datos, de modo que las empresas pueden tratar y comercializar sus datos libremente salvo que los consumidores se opongan al tratamiento y utilización de sus datos. Para el caso de los menores de 16 años, la CPPA señala que sí es necesario el consentimiento, siendo obligatorio la autorización de los padres o tutores legales para aquellos menores de 13 años.
Otra novedad es que la CCPA incluye un particular régimen sancionador, contando los consumidores con un derecho privado de acción contra una empresa ante toda brecha de seguridad que afecte a sus datos personales no encriptados o protegidos y que no haya sido remediada en el plazo de 30 días. En particular, todo consumidor puede exigir un resarcimiento de daños y perjuicios de entre 100 y 750 dólares. Además, el Procurador General puede igualmente demandar a una empresa por cualquier incumplimiento de la CCPA y exigir sanciones de hasta 7,500 dólares por incumplimiento.
A modo de reflexión, la CCPA es un paso importante para la protección de datos personales en Estados Unidos, pues sin duda alguna esta norma se convertirá en un elemento de discusión dentro de gobiernos y ciudadanía, por lo que progresivamente otros estados comenzarán a crear legislación destinada a la protección de datos personales. Asimismo, se incentiva a las empresas para que eleven sus estándares en relación a esta materia. Microsoft, por ejemplo, ha señalado que piensa aplicar las disposiciones de la CCPA no sólo a California, sino a todo Estados Unidos. Esta ley nos recuerda que los datos personales no deben ser visto como mercancía y que un mal tratamiento de estos puede conllevar a que se vulnere la privacidad, el honor y la dignidad de las personas.
Leer la noticia completa aquí.