Preguntas frecuentes sobre la CCPA y la CPRA
Objetivos de aprendizaje
Infórmate sobre las preguntas más frecuentes relativas a la CCPA (Ley de Privacidad del Consumidor de California) y la CPRA (Ley de Derechos de Privacidad de California).
La información que aquí se facilita pretende ser educativa y no debe interpretarse como asesoramiento jurídico. Klaviyo anima a todos nuestros clientes -y a todos los comerciantes de ecommerce - a buscar asesoramiento jurídico para saber cómo deben cumplir específicamente la CCPA y la CPRA.
¿Qué es la CCPA?
La CCPA es una ley que entró en vigor el 1 de enero de 2020 y regula la forma en que las empresas manejan la información personal de los residentes de California.
La CCPA es una respuesta a una laguna percibida en la protección de la privacidad en Estados Unidos. Las empresas que manejan datos personales de residentes en California están obligadas a informar a los residentes de las prácticas de privacidad de la empresa y de los derechos de privacidad de los residentes, incluido el derecho a:
- Conocer la información personal que una empresa recoge sobre ellos y cómo se utiliza
- Eliminar los datos personales recogidos (con algunas excepciones)
- Excluirse de la venta de sus datos personales
- No discriminación por ejercer sus derechos CCPA
¿Qué es la CPRA?
La CPRA es una ley que modifica y amplía los requisitos de la CCPA, incluyendo:
- Añadir una categoría "de información personal sensible"�
- Establecer el derecho a limitar el uso y la divulgación de información personal sensible
- Establecer el derecho a corregir la información personal inexacta
- Ampliar el requisito de exclusión voluntaria "No vender" al "intercambio" de información personal con fines de publicidad cruzada (o de terceros).
La CPRA entra en vigor el 1 de enero de 2023.
¿Quién debe cumplir la CCPA y la CPRA?¿Quién debe cumplir la CCPA y la CPRA?
EmpresasEmpresas
La mayoría de los requisitos de la CCPA y la CPRA se aplican a las "empresas", definidas como empresas que recogen información personal de los consumidores de California, ya sea por sí mismas o recurriendo a proveedores.
La CCPA se aplica a las empresas que cumplen alguna de las siguientes condiciones:
- Maneja información personal de residentes en California
- Está "haciendo negocios" en California (incluida la relación con personas ubicadas en California a través de un sitio web o aplicación ecommerce o interactiva)
- Satisface uno o más de los siguientes umbrales:
- Tiene unos ingresos brutos anuales superiores a 25 millones de dólares
- Compra, recibe o vende anualmente información personal de 50.000 o más residentes, hogares o dispositivos de California
- Obtiene el 50 por ciento o más de sus ingresos anuales de la "venta" de información personal de residentes en California (es decir, la venta incluye revelar, poner a disposición, transferir o comunicar información personal a terceros a cambio de una contraprestación monetaria u otra contraprestación de valor).
La CPRA modifica esta aplicabilidad del siguiente modo:
- Satisface uno o más de los siguientes umbrales:
- Tuvieron ingresos brutos anuales superiores a 25 millones de dólares el año pasado
- Compra, vende o comparte anualmente información personal de 100.000 o más residentes u hogares de California
- Obtiene el 50 por ciento o más de sus ingresos anuales de vender o compartir información personal de residentes en California (compartir incluye revelar, poner a disposición, transferir o comunicar información personal a un tercero para publicidad conductual de contenido cruzado, sea o no a cambio de una contraprestación monetaria u otra contraprestación valiosa).
Proveedor de servicios y contratistas
Para ser considerado proveedor de servicios, una persona física o jurídica debe
- Tratar información personal en nombre de una empresa
- Estar vinculado por un contrato escrito que imponga ciertas restricciones y obligaciones en torno al uso de la información personal, entre las que no se incluyen otras:
-
- Recogiendo
- Vender
- Utilizar la información personal excepto en la medida necesaria para llevar a cabo el propósito empresarial
De forma similar al proveedor de servicios, la excepción a la venta o reparto también se aplica a los contratistas en virtud de la CPRA. Los contratistas son personas o entidades a las que una empresa pone a disposición información personal, en virtud de un contrato escrito que impone restricciones y obligaciones similares a las que se aplican a un proveedor de servicios. Los contratistas también deben tener una certificación de que comprenden las restricciones y las cumplirán.
Ten en cuenta que la revelación de datos por parte de una empresa a un proveedor de servicios o a un contratista no se considera una venta ni una puesta en común cuando es necesaria para llevar a cabo una finalidad empresarial.
¿Qué se clasifica como cumplimiento personal?¿Qué se clasifica como cumplimiento personal?
La CCPA define la información personal de forma muy amplia para incluir información que identifique, describa o sea razonablemente susceptible de ser asociada a un consumidor u hogar concreto. En la práctica, esta amplia definición significa que información como la información de contacto, los datos de transacciones, las direcciones del Protocolo de Internet (IP), los identificadores de dispositivos móviles, los datos de clics y los detalles de pedidos pueden estar dentro del ámbito de la definición de información personal de la CCPA, y sujetos a los requisitos de la CCPA.
La CPRA crea una nueva categoría de información personal, la "información personal sensible", y proporciona a los consumidores un nuevo derecho a limitar el uso y la divulgación de su información sensible.
La información personal sensible según la CPRA incluye
- Número de la Seguridad Social
- Número del permiso de conducir
- Número de pasaporte
- Credenciales de la cuenta
- Geolocalización precisa
- Origen racial o étnico
- Creencias religiosas
- Datos biométricos
- Datos genéticos
- Datos sanitarios
- Información relativa a la vida sexual u orientación sexual del consumidor
- El contenido de la correspondencia, correo electrónico y mensajes de texto de un consumidor, a menos que la empresa sea el destinatario de la comunicación
Klaviyo no permite que se recoja información personal sensible o tienda, comercio en la plataforma.
¿Qué tengo que hacer para prepararme?
La CCPA y la CPRA son leyes complejas. Este artículo proporciona las obligaciones clave en virtud de la CCPA y la CPRA en relación con el uso del servicio Klaviyo, pero no tiene en cuenta todos los requisitos que pueden aplicarse a tu empresa. Ponte en contacto con tu asesor jurídico para obtener asesoramiento específico.
Si la CCPA y la CPRA son aplicables a tu empresa, debes tener en cuenta los siguientes derechos y divulgaciones.
AvisoAviso
Tu empresa debe tener una política de privacidad en tu sitio web que sea accesible en todos los puntos en los que recojas información personal, como el formulario de registro. La política debe incluir, entre otras cosas
- Categorías de información personal que recopila, vende y revela de otro modo con fines empresariales
- Categorías de fuentes de la información personal
- Fines empresariales o comerciales para recoger o vender la información personal
- Descripción de los siguientes derechos de los consumidores y los métodos designados para presentar solicitudes:
- Derecho a eliminar información personal
- Derecho de acceso a categorías y datos personales concretos
- Derecho a optar por no vender o compartir información personal
- Derecho a la no represalia
La CPRA amplía esta lista de derechos de los consumidores para incluir:
- Derecho a corregir la información inexacta
- Derecho a limitar el uso y la divulgación de información personal sensible
- Derecho a excluirte de la tecnología de toma de decisiones automatizada
La CPRA también exige a las empresas que incluyan la siguiente información adicional:
- Si la información personal del individuo se vende o comparte
- El tiempo que la empresa pretende conservar cada categoría de información personal o los criterios que utilizará para determinar cuánto tiempo conservará dicha información.
- Si la empresa recoge "información personal sensible":
- Una divulgación separada que identifique las categorías de información sensible recopilada
- El uso y la finalidad de estos datos
- Si dicha información se vende o comparte
Derecho de exclusión
Los consumidores tienen derecho a oponerse en cualquier momento a la venta de sus datos personales a terceros. Tu empresa debe dejar de vender información personal al recibir la solicitud, a menos que el consumidor proporcione una autorización expresa posterior. Las empresas deben esperar al menos 12 meses antes de pedir a un consumidor que opte de nuevo por la venta de información personal. Para habilitar este derecho de exclusión voluntaria, las empresas deben, entre otras cosas
- Proporcionar un enlace claro y visible en la página principal de la empresa, titulado "No vender mis datos personales". El enlace debe permitir al consumidor, o a una persona autorizada por él, excluirse de la venta de sus datos personales.
- No exigir al consumidor que cree una cuenta para indicar a la empresa que no venda la información personal del consumidor.
La CPRA amplía este derecho de exclusión voluntaria existente y los requisitos de inclusión voluntaria para incluir tanto la venta como el intercambio de información personal. En consecuencia, el enlace publicado en la página principal de una empresa debe actualizarse y titularse "No venda ni comparta mis datos personales".
Los consumidores también tienen derecho a oponerse en cualquier momento a que sus datos personales sean vendidos por un tercero que haya comprado los datos personales del consumidor a una empresa. El tercero debe dejar de vender cuando reciba la solicitud de exclusión, a menos que el consumidor dé una autorización expresa posterior.
Otros derechos de los consumidoresOtros derechos de los consumidores
Las empresas deben disponer de procesos para verificar la identidad de un residente en California cuando respondan a solicitudes de acceso o eliminación de información personal. Una vez recibida la solicitud de un residente en California y confirmada su identidad, asegúrate de incluir lo siguiente al cumplimentar la solicitud, según proceda, para respetar sus derechos.
Derecho a saber: Un consumidor puede solicitar que la empresa revele la recopilación y el tratamiento de sus datos personales, incluidos los:
- Categorías de información personal recopilada sobre ese consumidor (en los 12 meses anteriores)
- Categorías de fuentes de las que se recoge la información personal
- Finalidad empresarial o comercial de la recogida o venta de información personal
- Categorías de terceros con los que la empresa divulgó información personal
- Categorías de información que la empresa vende o revela a terceros
- Datos personales concretos que ha recopilado sobre ese consumidor
La CPRA modifica y amplía este derecho para exigirlo:
- Proporcionar información sobre las categorías de información personal "compartida" con terceros
- Suprimir la limitación de 12 meses de consulta, exigiendo a la empresa que facilite más de 12 meses de información, siempre que dicha divulgación no sea "imposible" o "suponga un esfuerzo desproporcionado" (este requisito no se aplicaría a ningún dato recopilado por la empresa antes del 1 de enero de 2022).
Derecho de supresión: La empresa debe eliminar la información del consumidor (salvo determinadas excepciones) y notificar a su proveedor de servicios que elimine la información del consumidor. Según la CPRA, la empresa debe notificarlo a su proveedor de servicios y a sus contratistas, así como a cualquier tercero al que la empresa haya vendido o compartido (con fines de publicidad cruzada) los datos personales del consumidor, a menos que esto "resulte imposible o suponga un esfuerzo desproporcionado". Además, cada proveedor de servicios también debe notificar a su propio proveedor de servicios descendente que elimine la información del consumidor.
Derecho a corregir la información personal inexacta: Una vez que una empresa recibe una solicitud verificada para corregir información personal inexacta, la empresa debe hacer "esfuerzos comercialmente razonables" para corregir dicha información personal según las indicaciones del consumidor. Se esperan orientaciones adicionales sobre esta obligación por parte del Fiscal General de California.
También debes tener en cuenta que si el consumidor es menor de 13 años, se requiere el consentimiento expreso (opt-in) de uno de sus padres o tutores antes de vender su información personal. Si el consumidor tiene entre 13 y 16 años, se requiere su consentimiento expreso antes de vender su información personal.
Satisfacer las peticiones de los consumidoresSatisfacer las peticiones de los consumidores
Debes tener al menos 2 métodos designados para que los consumidores presenten solicitudes de información.
Éstas deben incluir, como mínimo
- Un número de teléfono gratuito (algunas empresas que operan exclusivamente en línea y tienen una relación directa con el consumidor del que recogen información personal están exentas del requisito del número gratuito).
- Dirección web, si la empresa tiene un sitio web
Las solicitudes de los consumidores deben atenderse en un plazo de 45 días a partir de la recepción de la solicitud, por correo o electrónicamente (en un formato que permita al consumidor facilitarla a otra entidad) o a través de una cuenta de usuario. El plazo de respuesta puede ampliarse 45 días más si es razonablemente necesario en función de la complejidad y el número de solicitudes, y si se notifica la ampliación al solicitante (detallando los motivos). El proceso de solicitud también debe ser gratuito.
Las empresas no están obligadas a realizar más de dos solicitudes por consumidor en un periodo de 12 meses.
¿Cuál es el papel de Klaviyo en virtud de la CCPA y la CPRA en relación con el Servicio Klaviyo?¿Cuál es el papel de Klaviyo en virtud de la CCPA y la CPRA en relación con el Servicio Klaviyo?
Klaviyo no tiene ninguna relación directa con las personas cuyos datos personales son recogidos por nuestro cliente y tienda, comercio en nuestra plataforma. Klaviyo actúa como proveedor de servicios, mientras que nuestros clientes son las empresas, ya que procesamos la información personal en nombre de nuestros clientes.
Klaviyocomo proveedor de servicios se establecen en nuestro Acuerdo de Procesamiento de Datos.
¿Qué hace Klaviyo para que el cliente pueda cumplir?¿Qué hace Klaviyo para que el cliente pueda cumplir?
Klaviyo cliente tienen la capacidad y las herramientas necesarias para atender las solicitudes de los residentes de California para ejercer sus derechos como consumidores a acceder, eliminar o corregir la información personal en virtud de la CCPA y la CPRA. Específicamente:
- La plataforma permite al cliente informar sobre la información personal que conserva sobre los usuarios finales en respuesta a las solicitudes de acceso.
- La plataforma permite la eliminación de la información personal que mantiene sobre los usuarios finales en respuesta a las solicitudes de eliminación y la corrección de la información personal inexacta sobre el perfil en Klaviyo.
- Klaviyo no equipo de asistencia y restringe la recogida y almacenamiento de información personal sensible, según nuestra Política de uso aceptable.
Si necesitas asistencia adicional, Klaviyo está preparado para acomodarte razonablemente cuando las limitaciones técnicas puedan requerir un equipo de asistencia.