El pasado 1 de enero de 2020 entró en vigor la California Consumer Privacy Act (CCPA), de 28 de junio de 2018, cuyo cometido es proteger los datos personales de los ciudadanos de dicho estado norteamericano, en clara consonancia con la normativa europea en concreto, el Reglamento general de protección de datos.
Antecedentes fácticos
LA CCPA es fruto de la actual realidad tecnológica y el escándalo «Cambridge Analytica», que puso de manifiesto cómo nuestros datos personales pueden ser utilizados y cedidos en las redes sociales, generando una enorme desconfianza entre los usuarios, y, a la vez, una mayor concienciación en materia de protección de privacidad y transparencia en la protección de datos.
Aspectos básicos de la Ley californiana de protección de datos
Lo primero que merece destacarse de la CCPA es que afecta a las principales big techs norteamericanas, como es el caso de Facebook, Google, Amazon o Microsoft, por lo que su impacto internacional y global es indudable.
Lo segundo es que identifica al titular del derecho de protección de datos (la persona física) en una doble condición: como titular del derecho y como “consumidor o usuario”, siempre que consiente o autoriza el tratamiento de datos o la venta o cesión en favor de una sociedad, empresa o empresario.
Principales novedades de los derechos garantizados por la CCPA
Esta Ley parte de que los ciudadanos (californianos), como personas físicas individuales y sujetos pasivos del derecho de protección de datos, deben poder ejercer el control sobre su información personal, y gozar de total protección frente al uso indebido de los datos personales frente a cualquier empresario individual, sociedad, asociación u otra entidad legal que trate información personal o decida sobre los fines del tratamiento.
Por ello, la CCPA garantiza los siguientes derechos:
- El derecho de conocer y acceder a la información propia.
El consumidor tiene derecho a solicitar del empresario o empresa responsable del tratamiento de los datos que le informe de la clase de datos personales recogidos sobre él, las fuentes de las que se han obtenido dichos datos, la finalidad del tratamiento o la cesión o venta de datos, los terceros con quienes se comparte esa información personal y el contenido concreto de los datos personales.
Asimismo, se reconoce un derecho a la supresión o eliminación de datos personales, excepto si dicha información es necesaria para cumplir con obligaciones legales o el ejercicio de derechos.
- El derecho a saber si dicha información personal es vendida a terceros o compartida, y quiénes son sus destinatarios, y el derecho de oponerse a la venta de esta información.
Este derecho supone una diferenciación con el RGPD, y se materializa en la obligación de las empresas de incluir en sus páginas web un botón de “Do Not Sell My Personal Information” (es decir, “No vendan mi información personal”).
También se incluye la prohibición de que se vendan los datos de los menores de 16 años, a no ser que conste su autorización expresa si cuentan entre 13 y 16 años y de sus padres o tutores si son menores. El derecho español, por su parte, permite a los menores de 14 años vender o ceder sus datos sin necesidad de contar con el consentimiento de los padres o tutores.
Otra gran novedad es la posibilidad de que las empresas y empresarios ofrezcan incentivos, incluyendo pagos o compensaciones, por la recopilación y venta o por la eliminación de la información personal. Incluso pueden ofrecerse diferentes precios, condiciones, niveles o calidades de bienes o servicios en atención al valor de los datos facilitados o suministrados por el consumidor, lo que permitirá al consumidor californiano beneficiarse de precios más bajos por bines o servicios en función de si facilita o no el tratamiento y/o la cesión o venta de datos. El RGPD, sin embargo, se limita a reconocer el carácter oneroso de aquellos productos o servicios que se adquieren (aparentemente de manera gratuita) sin más contraprestación que los datos personales, pero dicho carácter oneroso se limita al cumplimiento de deberes de información o transparencia, sin que se haya llegado a contemplar el pago directo o el precio minorado de concretos productos o servicios.
Todo ello con la garantía de no ser discriminado por el hecho de haber ejercido alguno de estos derechos que reconoce la Ley.
Y a lo anterior debe añadirse el derecho a ser indemnizado por los daños sufridos como consecuencia del incumplimiento, por parte de una empresa, de sus obligaciones de mantener “medidas de seguridad razonablemente adecuadas” (es decir, se prevé una responsabilidad objetiva), cuando terceros hayan tenido acceso no autorizado a datos personales, o hayan robado y/o difundido o revelado esos datos.
- El derecho a un servicio universal de acceso a internet igualitario en condiciones y precios.
Concluimos señalando que desde Navas &Cusí Abogados, en tanto que expertos en Derecho de protección de datos, inteligencia artificial y Big data, vamos a tener muy presente la CCPA y su impacto en el sector de la protección y tratamiento de los datos personales. Si cree que sus derechos en materia de datos han sido vulnerados, puede ponerse en contacto con nosotros rellenando el formulario de contacto o llamando al 915 76 11 50
> Leer más en nuestro blog sobre noticias sobre Derecho al Olvido y de las Nuevas Tecnologías
