Qué aprenderás
Conozca las preguntas más frecuentes sobre la CCPA (Ley de Privacidad del Consumidor de California) y la CPRA (Ley de Derechos de Privacidad de California).
La información aquí facilitada tiene un carácter educativo y no debe interpretarse como asesoramiento jurídico. Klaviyo anima a todos nuestros clientes - y a todos los comerciantes de comercio electrónico - a que busquen asesoramiento legal para saber cómo deben cumplir específicamente con la CCPA y la CPRA.
¿Qué es la CCPA?
La CCPA es una ley que entró en vigor el 1 de enero de 2020 y regula la forma en que las empresas manejan la información personal de los residentes de California.
La CCPA es una respuesta a una laguna percibida en la protección de la privacidad en Estados Unidos. Las empresas que manejan la información personal de los residentes de California están obligadas a informar a los residentes de las prácticas de privacidad de la empresa y de los derechos de privacidad de los residentes, incluido el derecho a:
- Conocer la información personal que una empresa recopila sobre ellos y cómo se utiliza
- Eliminar la información personal recopilada (con algunas excepciones)
- Optar por la no venta de su información personal
- No discriminación por ejercer sus derechos CCPA
¿Qué es la CPRA?
La CPRA es una ley que modifica y amplía los requisitos de la CCPA, incluyendo:
- Añadir una categoría "de información personal sensible"
- Establecer el derecho a limitar el uso y la divulgación de información personal sensible
- Establecer el derecho a corregir la información personal inexacta
- Ampliación del requisito de exclusión voluntaria "No vender" al "intercambio" de información personal con fines de publicidad cruzada (o de terceros)
La CPRA entra en vigor el 1 de enero de 2023.
¿Quién debe cumplir con la CCPA y la CPRA?¿Quién debe cumplir con la CCPA y la CPRA?
EmpresasEmpresas
La mayoría de los requisitos de la CCPA y la CPRA se aplican a las "empresas", definidas como compañías que recopilan información personal de los consumidores de California, ya sea por sí mismas o recurriendo a proveedores.
La CCPA se aplica a las empresas que cumplen alguna de las siguientes condiciones:
- Maneja la información personal de los residentes de California
- Está "haciendo negocios" en California (incluida la relación con personas ubicadas en California a través de un sitio web o aplicación de comercio electrónico o interactivo)
- Satisface uno o varios de los umbrales siguientes:
- Tiene unos ingresos brutos anuales superiores a 25 millones de dólares
- Compra, recibe o vende anualmente información personal de 50.000 o más residentes, hogares o dispositivos de California
- Obtiene el 50 por ciento o más de sus ingresos anuales de la "venta" de información personal de residentes en California (es decir, la venta incluye la divulgación, puesta a disposición, transferencia o comunicación de información personal a terceros a cambio de una contraprestación monetaria u otra contraprestación de valor).
La CPRA modifica esta aplicabilidad de la siguiente manera:
- Satisface uno o varios de los umbrales siguientes:
- Tuvieron ingresos brutos anuales superiores a 25 millones de dólares el año pasado
- Compra, vende o comparte anualmente información personal de 100.000 o más residentes u hogares de California
- Obtiene el 50 por ciento o más de sus ingresos anuales de la venta o el intercambio de información personal de residentes de California (el intercambio incluye la divulgación, puesta a disposición, transferencia o comunicación de información personal a un tercero para publicidad conductual de contenido cruzado, ya sea a cambio o no de una contraprestación monetaria u otra contraprestación valiosa).
Proveedores de servicios y contratistas
Para ser considerado proveedor de servicios, una persona física o jurídica debe:
- Procesar información personal en nombre de una empresa
- Estar vinculado por un contrato escrito que imponga ciertas restricciones y obligaciones en torno al uso de la información personal, incluyendo no más allá:
-
- Recoger
- Vender
- Utilizar la información personal excepto en la medida necesaria para llevar a cabo el propósito comercial
De forma similar a los proveedores de servicios, la excepción a una venta o reparto también se aplica a los contratistas en virtud de la CPRA. Los contratistas son personas o entidades a las que una empresa pone a disposición información personal, en virtud de un contrato escrito que impone restricciones y obligaciones similares a las que se aplican a un proveedor de servicios. Los contratistas también deben tener una certificación de que comprenden las restricciones y las cumplirán.
Tenga en cuenta que la divulgación de datos por parte de una empresa a un proveedor de servicios o a un contratista no se considera una venta ni un intercambio cuando es necesaria para llevar a cabo un propósito empresarial.
¿Qué se clasifica como cumplimiento personal?¿Qué se clasifica como cumplimiento personal?
La CCPA define la información personal de forma muy amplia para incluir información que identifique, describa o sea razonablemente susceptible de ser asociada con un consumidor o un hogar en particular. En la práctica, esta amplia definición significa que información como la información de contacto, los datos de las transacciones, las direcciones del protocolo de Internet (IP), los identificadores de dispositivos móviles, los datos de clics y los detalles de los pedidos pueden entrar en el ámbito de la definición de información personal de la CCPA y estar sujetos a sus requisitos.
La CPRA crea una nueva categoría de información personal, la "información personal sensible", y proporciona a los consumidores un nuevo derecho a limitar el uso y la divulgación de su información sensible.
La información personal sensible según la CPRA incluye:
- Número de la seguridad social
- Número del permiso de conducir
- Número de pasaporte
- Credenciales de la cuenta
- Geolocalización precisa
- Origen racial o étnico
- Creencias religiosas
- Datos biométricos
- Datos genéticos
- Datos sanitarios
- Información relativa a la vida sexual u orientación sexual del consumidor
- El contenido del correo, el correo electrónico y los mensajes de texto de un consumidor, a menos que la empresa sea el destinatario de la comunicación
Klaviyo no permite que se recopile o almacene información personal sensible en la plataforma.
¿Qué debo hacer para prepararme?
La CCPA y la CPRA son leyes complejas. Este artículo proporciona las obligaciones clave en virtud de la CCPA y la CPRA en lo que pueda estar relacionado con el uso de los servicios de Klaviyo, pero no tiene en cuenta todos los requisitos que puedan aplicarse a su negocio. P�óngase en contacto con su asesor jurídico para obtener asesoramiento específico.
Si la CCPA y la CPRA son aplicables a su empresa, debe tener en cuenta los siguientes derechos y divulgaciones.
AvisoAviso
Su empresa debe tener una política de privacidad en su sitio web que sea accesible en todos los puntos en los que recopile información personal, como los formularios de registro. La política debe incluir, entre otras cosas
- Categorías de información personal que recopila, vende y divulga con fines comerciales
- Categorías de fuentes de la información personal
- Fines empresariales o comerciales para recopilar o vender la información personal
- Descripción de los siguientes derechos de los consumidores y de los métodos designados para presentar solicitudes:
- Derecho a eliminar la información personal
- El derecho a acceder a categorías y piezas específicas de información personal
- El derecho a excluirse de la venta o el intercambio de información personal
- El derecho a la no represalia
La CPRA amplía esta lista de derechos de los consumidores para incluir:
- Derecho a corregir la información inexacta
- El derecho a limitar el uso y la divulgación de información personal sensible
- Derecho a excluirse de la tecnología de toma de decisiones automatizada
La CPRA también exige a las empresas que incluyan las siguientes divulgaciones adicionales:
- Si la información personal del individuo se vende o comparte
- El período de tiempo que la empresa tiene previsto conservar cada categoría de información personal o los criterios que utilizará para determinar cuánto tiempo conservará dicha información.
- Si la empresa recopila "información personal sensible":
- Una divulgación separada que identifique las categorías de información sensible recopilada
- El uso y la finalidad de estos datos
- Si dicha información se vende o comparte
Derechos de exclusión
Los consumidores tienen derecho a optar en cualquier momento por no vender sus datos personales a terceros. Su empresa debe dejar de vender información personal en cuanto reciba la solicitud, a menos que el consumidor proporcione una autorización expresa posterior. Las empresas deben esperar al menos 12 meses antes de pedir a un consumidor que opte de nuevo por la venta de información personal. Para habilitar este derecho de exclusión voluntaria, las empresas deben, entre otras cosas:
- Proporcione un enlace claro y visible en la página de inicio de la empresa, titulado "No venda mis datos personales". El enlace debe permitir al consumidor, o a una persona autorizada por él, optar por no vender la información personal del consumidor
- No exigir al consumidor que cree una cuenta para indicar a la empresa que no venda la información personal del consumidor.
La CPRA amplía este derecho de exclusión voluntaria existente y los requisitos de inclusión voluntaria para incluir tanto la venta como el intercambio de información personal. En consecuencia, el enlace publicado en la página de inicio de una empresa debe actualizarse y titularse "No venda ni comparta mi información personal".
Los consumidores también tienen derecho a oponerse en cualquier momento a que sus datos personales sean vendidos por un tercero que haya comprado los datos personales del consumidor a una empresa. El tercero debe dejar de vender cuando reciba la solicitud de exclusión, a menos que el consumidor proporcione una autorización expresa posterior.
Otros derechos de los consumidoresOtros derechos de los consumidores
Las empresas deben disponer de procesos para verificar la identidad de un residente de California cuando respondan a solicitudes de acceso o eliminación de información personal. Una vez recibida la solicitud de un residente de California y confirmada su identidad, asegúrese de incluir lo siguiente al cumplimentar la solicitud, según proceda, para respetar sus derechos.
Derecho a saber: Un consumidor puede solicitar que la empresa revele la recopilación y el tratamiento de su información personal, incluida la:
- Categorías de información personal recopilada sobre ese consumidor (en los 12 meses anteriores)
- Categorías de fuentes de las que se recoge la información personal
- Propósito empresarial o comercial de la recogida o venta de información personal
- Categorías de terceros con los que la empresa divulgó información personal
- Categorías de información que la empresa vende o divulga a terceros
- Datos personales concretos que ha recopilado sobre ese consumidor
La CPRA modifica y amplía este derecho para exigirlo:
- Proporcionar información sobre las categorías de información personal "compartida" con terceros
- Eliminar la limitación de 12 meses de información retrospectiva exigiendo a la empresa que proporcione más de 12 meses de información, siempre que dicha divulgación no sea "imposible" o "suponga un esfuerzo desproporcionado" (este requisito no se aplicaría a ningún dato recopilado por la empresa antes del 1 de enero de 2022).
Derecho de supresión: La empresa debe borrar la información del consumidor (sujeto a ciertas excepciones) y notificar a sus proveedores de servicios que borren la información del consumidor. En virtud de la CPRA, la empresa debe notificar a sus proveedores de servicios y contratistas y notificar también a cualquier tercero al que la empresa haya vendido o compartido (con fines de publicidad cruzada) la información personal del consumidor, a menos que esto "resulte imposible o suponga un esfuerzo desproporcionado". Además, cada proveedor de servicios también debe notificar a sus propios proveedores de servicios posteriores que eliminen la información del consumidor.
Derecho a corregir la información personal inexacta: Una vez que una empresa recibe una solicitud verificada para corregir información personal inexacta, la empresa debe realizar "esfuerzos comercialmente razonables" para corregir dicha información personal según las indicaciones del consumidor. Se esperan orientaciones adicionales sobre esta obligación por parte del Fiscal General de California.
También debe tener en cuenta que si el consumidor es menor de 13 años, se requiere el consentimiento expreso (opt-in) de un padre o tutor antes de vender su información personal. Si el consumidor tiene entre 13 y 16 años, se requiere su consentimiento expreso antes de vender su información personal.
Satisfacer las peticiones de los consumidoresSatisfacer las peticiones de los consumidores
Debe disponer de al menos 2 métodos designados para que los consumidores presenten solicitudes de información.
Estos deben incluir, como mínimo
- Un número de teléfono gratuito (algunas empresas que operan exclusivamente en línea y tienen una relación directa con el consumidor del que recaban información personal están exentas del requisito del número gratuito).
- Dirección web, si la empresa tiene un sitio web
Las solicitudes de los consumidores deben atenderse en un plazo de 45 días a partir de la recepción de la solicitud, por correo o electrónicamente (en un formato que permita al consumidor facilitarla a otra entidad) o a través de una cuenta de usuario. El plazo de respuesta puede ampliarse 45 días más si es razonablemente necesario en función de la complejidad y el número de solicitudes, y si se notifica la ampliación al solicitante (detallando los motivos). El proceso de solicitud también debe ser gratuito.
Las empresas no están obligadas a realizar más de dos solicitudes por consumidor en un periodo de 12 meses.
¿Cuál es el papel de Klaviyo en virtud de la CCPA y la CPRA en lo que respecta al servicio Klaviyo?¿Cuál es el papel de Klaviyo en virtud de la CCPA y la CPRA en lo que respecta al servicio Klaviyo?
Klaviyo no tiene ninguna relación directa con los individuos cuya información personal es recogida por nuestros clientes y almacenada en nuestra plataforma. Klaviyo actúa como proveedor de servicios, mientras que nuestros clientes son las empresas porque procesamos la información personal en nombre de nuestros clientes.
Las obligaciones de Klaviyo para con los clientes como proveedor de servicios se establecen en nuestro Acuerdo de Procesamiento de Datos.
¿Qué está haciendo Klaviyo para que los clientes cumplan la normativa?¿Qué está haciendo Klaviyo para que los clientes cumplan la normativa?
Los clientes de Klaviyo tienen la capacidad y las herramientas para atender las solicitudes de los residentes de California para ejercer sus derechos como consumidores a acceder, eliminar o corregir la información personal en virtud de la CCPA y la CPRA. Específicamente:
- La plataforma permite a los clientes informar sobre la información personal que mantiene sobre los usuarios finales en respuesta a las solicitudes de acceso.
- La plataforma permite la eliminación de la información personal que mantiene sobre los usuarios finales en respuesta a las solicitudes de eliminación y la corrección de la información personal inexacta en los perfiles en Klaviyo.
- Klaviyo no apoya y restringe la recopilación y almacenamiento de información personal sensible, según nuestra Política de Uso Aceptable.
Si necesita asistencia adicional, Klaviyo está preparada para adaptarse razonablemente en los casos en los que las limitaciones técnicas puedan requerir ayuda.