La California Consumer Privacy Act (CCPA), codificada en Cal. Civ. Code sections 1798.100 a 1798.199.100, cambió fundamentalmente la forma en que las empresas deben manejar la información personal de los residentes de California. Según las enmiendas del California Privacy Rights Act (CPRA) de 2023, la ley impone requisitos específicos de política de privacidad que van mucho más allá de lo que muchas empresas están acostumbradas. Si su sitio web recopila información personal de consumidores californianos, su política de privacidad debe cumplir estándares legales detallados o enfrentar acciones de aplicación significativas. Esta guía desglosa exactamente lo que exige el CCPA y cómo poner su política de privacidad en cumplimiento.
Quién debe cumplir con el CCPA
El CCPA no se aplica a todas las empresas. Se dirige a entidades con ánimo de lucro que realizan negocios en California y cumplen al menos uno de los tres umbrales establecidos en el Cal. Civ. Code section 1798.140(d):
1. Ingresos brutos anuales superiores a 25 millones de dólares. Este umbral se aplica a los ingresos mundiales de la empresa, no solo a los ingresos de las operaciones en California. Si su empresa genera más de 25 millones de dólares anuales de cualquier fuente, el CCPA se aplica al tratamiento de datos de consumidores californianos.
2. Compra, venta o intercambio de información personal de 100.000 o más consumidores o hogares. Este umbral se elevó de 50.000 a 100.000 con las enmiendas CPRA. Dado que la “información personal” bajo el CCPA incluye direcciones IP, identificadores de dispositivos e historial de navegación, muchas empresas en línea con tráfico californiano moderado pueden alcanzar este número sin darse cuenta.
3. Obtener el 50 % o más de los ingresos anuales de la venta o intercambio de información personal. Los intermediarios de datos y las empresas dependientes de la publicidad entran frecuentemente en esta categoría.
Incluso si su empresa no tiene sede en California, debe cumplir si alcanza cualquiera de estos umbrales y recopila información personal de residentes californianos. El alcance extraterritorial del CCPA significa que una empresa de comercio electrónico en Madrid o una empresa SaaS en Barcelona puede estar sujeta a la ley de privacidad de California.
Para las empresas españolas sujetas también al RGPD, es esencial comprender las diferencias entre ambos marcos. La Agencia Española de Protección de Datos (AEPD) aplica el RGPD en España junto con la LOPDGDD, con requisitos que difieren del CCPA en varios aspectos importantes.
Qué debe divulgar su política de privacidad CCPA
El CCPA establece requisitos de divulgación específicos en Cal. Civ. Code sections 1798.100(a) y 1798.130(a). Su política de privacidad debe incluir los siguientes elementos:
Categorías de información personal recopilada. Debe enumerar las categorías de información personal que ha recopilado en los últimos 12 meses. El CCPA define 12 categorías bajo la section 1798.140(v), incluyendo identificadores (nombre, correo electrónico, dirección IP), información comercial (historial de compras), actividad en Internet (historial de navegación, historial de búsqueda), datos de geolocalización e información profesional o laboral.
Fines de la recopilación. Para cada categoría de información personal, divulgue el fin comercial para el cual fue recopilada. Declaraciones vagas como “para mejorar nuestros servicios” son insuficientes. Debe ser específico: “para procesar pedidos y realizar entregas”, “para servir publicidad dirigida basada en el comportamiento de navegación”, “para detectar incidentes de seguridad”.
Categorías de terceros con quienes se comparte la información. Si comparte información personal con terceros, divulgue las categorías de destinatarios: redes publicitarias, proveedores de análisis, procesadores de pago, servicios de alojamiento en la nube. Bajo las enmiendas CPRA, también debe divulgar las categorías de terceros a quienes se vende o comparte información para publicidad comportamental entre contextos.
Derechos de los consumidores y cómo ejercerlos. Su política debe explicar los derechos que tienen los consumidores californianos bajo el CCPA: el derecho a saber, el derecho a eliminar, el derecho a optar por no participar en la venta o el intercambio de información personal, el derecho a corregir información inexacta y el derecho a limitar el uso de información personal sensible. Debe proporcionar instrucciones claras para enviar solicitudes, incluyendo al menos dos métodos designados (un número gratuito y una dirección web).
Períodos de retención. El CPRA añadió el requisito de divulgar el período de retención para cada categoría de información personal, o los criterios utilizados para determinar los períodos de retención.
Enlace “No vender ni compartir mi información personal”. Si su empresa vende o comparte información personal, debe proporcionar un enlace claramente etiquetado en su página de inicio titulado “No vender ni compartir mi información personal”. Este mecanismo de exclusión debe ser funcional y fácil de usar. Bajo el CPRA, esto se extiende a la publicidad comportamental entre contextos, no solo a las ventas tradicionales de datos. Un banner de cookies gratuito puede proporcionar esta funcionalidad de exclusión junto con la gestión del consentimiento RGPD.
Aviso de incentivo financiero. Si ofrece incentivos financieros (descuentos, programas de fidelidad) a cambio de la recopilación, venta o retención de información personal, su política de privacidad debe describir los términos materiales del programa de incentivos y explicar cómo los consumidores pueden inscribirse o retirarse.
Información personal sensible bajo el CPRA
El CPRA introdujo el concepto de “información personal sensible”, que incluye números de seguridad social, credenciales de cuentas financieras, geolocalización precisa, origen racial o étnico, creencias religiosas, contenido de correo o mensajes de texto, datos genéticos, información biométrica, información de salud y orientación sexual.
Si su empresa recopila información personal sensible, su política de privacidad debe divulgarlo y proporcionar a los consumidores el derecho a limitar su uso a los fines necesarios para proporcionar los bienes o servicios solicitados. También debe incluir un enlace separado en su página de inicio: “Limitar el uso de mi información personal sensible”.
Esta protección elevada para categorías de datos sensibles refleja disposiciones similares en el RGPD (Artículo 9) — aplicado en España por la AEPD y desarrollado por la LOPDGDD — lo que refleja una tendencia global hacia un tratamiento más estricto de la información personal de alto riesgo.
Errores comunes de cumplimiento
Muchas empresas no cumplen con el CCPA no por negligencia deliberada sino por malentendido de los requisitos de la ley. Estos son los errores más frecuentes:
Usar una política de privacidad solo para RGPD. Aunque el RGPD y el CCPA se solapan en algunas áreas, una política de privacidad diseñada exclusivamente para el cumplimiento del RGPD no satisfará los requisitos del CCPA. El CCPA tiene sus propias categorías de divulgación específicas, su propio marco de derechos de los consumidores y sus propios mecanismos de exclusión que difieren sustancialmente del derecho europeo. Para empresas españolas familiarizadas con la AEPD, la LOPDGDD y la LSSI, es crucial añadir los elementos específicos del CCPA.
No actualizar anualmente. Cal. Civ. Code section 1798.130(a)(5) requiere que las empresas actualicen su política de privacidad al menos una vez cada 12 meses. La fecha de última actualización debe mostrarse de forma destacada. Muchas empresas crean una política una vez y nunca la revisan, dejándola desactualizada a medida que sus prácticas de datos evolucionan.
Divulgaciones de categorías incompletas. Listar “información personal” como una sola categoría no es suficiente. El CCPA requiere una divulgación granular a través de sus 12 categorías enumeradas. Revise sus flujos de datos reales, incluyendo herramientas de análisis, píxeles publicitarios, integraciones CRM y procesadores de pago, para asegurarse de que cada categoría está cubierta.
Sin mecanismo de exclusión funcional. Tener un enlace “No vender” que lleve a un formulario roto, una dirección de correo electrónico no supervisada o una página de contacto genérica es una infracción. La exclusión debe funcionar, y debe procesar las solicitudes en un plazo de 15 días hábiles.
Ignorar a los proveedores de servicios y contratistas. El CCPA distingue entre “proveedores de servicios” (que procesan datos en su nombre bajo contrato) y “terceros” (que reciben datos para sus propios fines). Su política de privacidad debe caracterizar con precisión estas relaciones, y sus contratos deben incluir cláusulas de tratamiento de datos conformes al CCPA. En España, esta distinción es paralela a la del RGPD entre responsables y encargados del tratamiento (artículos 26 y 28).
Aplicación y sanciones del CCPA
La oficina del fiscal general de California ha estado aplicando activamente el CCPA desde julio de 2020. Bajo el Cal. Civ. Code section 1798.155, las sanciones incluyen:
- Hasta 2.500 $ por infracción no intencional. Dado que cada registro de consumidor puede constituir una infracción separada, las multas se acumulan rápidamente. Una brecha de datos que afecte a 10.000 consumidores californianos podría teóricamente resultar en 25 millones de dólares en sanciones.
- Hasta 7.500 $ por infracción intencional. Las infracciones conscientes del CCPA o las infracciones que involucran información personal de menores de 16 años conllevan la sanción más elevada.
- Derecho de acción privada por brechas de datos. Bajo la section 1798.150, los consumidores pueden demandar directamente a las empresas por brechas de datos resultantes del incumplimiento de implementar medidas de seguridad razonables. Los daños estatutarios van de 100 $ a 750 $ por consumidor por incidente, o los daños reales, lo que sea mayor.
La California Privacy Protection Agency (CPPA), establecida por el CPRA, ahora comparte la autoridad de aplicación con el fiscal general y ha estado emitiendo activamente regulaciones y realizando investigaciones. Para más detalles sobre los riesgos de aplicación, lea nuestro artículo sobre sanciones CCPA y nuestra comparación CCPA vs RGPD.
Cuatro enfoques para el cumplimiento de la política de privacidad CCPA
Contratar a un abogado especializado en privacidad
Coste: 3.000 a 8.000 $ por una política de privacidad CCPA completa e infraestructura de exclusión. Plazo: 2 a 6 semanas.
Un abogado especializado en privacidad californiana realizará un ejercicio detallado de mapeo de datos, revisará sus acuerdos con proveedores y redactará una política adaptada a sus prácticas de datos específicas. Esto se recomienda para empresas con flujos de datos complejos, altos volúmenes de datos u operaciones en múltiples estados de EE. UU. con sus propias leyes de privacidad. Para empresas españolas, un abogado experto tanto en RGPD/LOPDGDD como en CCPA es ideal.
Usar una herramienta de IA genérica
Coste aparente: 0 $. Coste real: potencialmente significativo en riesgo de aplicación.
Los chatbots de IA genéricos pueden producir texto que parece una política de privacidad pero a menudo omiten requisitos específicos del CCPA: las 12 categorías estatutarias, el requisito de enlace de exclusión, las divulgaciones de información personal sensible y la cadencia de actualización requerida. Una política que parece conforme pero carece de elementos obligatorios crea una falsa sensación de seguridad.
Copiar una plantilla gratuita
Coste: 0 $. Riesgo: alto.
Las plantillas CCPA gratuitas encontradas en línea son típicamente genéricas, desactualizadas (muchas son anteriores a las enmiendas CPRA) y no están adaptadas a su negocio específico. Raramente incluyen mecanismos de exclusión adecuados o divulgaciones de proveedores de servicios. Usar una plantilla sin una personalización significativa es improbable que satisfaga los requisitos del CCPA.
Usar un generador de documentos legales especializado
Coste: 14,90 € a 49,90 €. Plazo: menos de 10 minutos.
Un generador de documentos legales especializado formula preguntas específicas sobre sus actividades comerciales, prácticas de recopilación de datos y relaciones con terceros, y luego produce una política de privacidad que aborda los requisitos del CCPA. Este enfoque equilibra el rigor de cumplimiento con la accesibilidad y la relación coste-eficacia para la mayoría de las empresas en línea.
Conclusión
El CCPA impone requisitos detallados y específicos a las políticas de privacidad que van más allá de las buenas prácticas generales. Si su empresa cumple cualquiera de los tres umbrales de aplicabilidad, su política de privacidad debe enumerar las categorías de información personal que recopila, explicar sus fines, divulgar la compartición con terceros, describir los derechos de los consumidores y cómo ejercerlos, y proporcionar mecanismos de exclusión funcionales.
Comience con un escaneo de conformidad gratuito para evaluar su situación actual. Para las empresas españolas sujetas al RGPD a través de la AEPD, el CCPA añade una capa adicional de obligaciones específicas. Con la CPPA aplicando activamente la ley y las sanciones acumulándose por infracción, el coste del incumplimiento supera con creces el coste de poner su política de privacidad en regla. Ya sea que contrate a un abogado especializado para situaciones complejas o use un generador especializado para necesidades de cumplimiento sencillas, lo importante es actuar ahora. Cada día sin una política de privacidad conforme al CCPA es un día de exposición legal innecesaria.