Cumplimiento de CCPA/CPRA: Guía de privacidad de California para empresas

Las leyes de privacidad de California son las más completas de los Estados Unidos y se aplican a empresas de todo el mundo que cumplen con umbrales específicos. La Ley de Privacidad del Consumidor de California (CCPA, vigente desde el 1 de enero de 2020) fue ampliada significativamente por la Ley de Derechos de Privacidad de California (CPRA, vigente desde el 1 de enero de 2023), que creó una agencia de aplicación dedicada, introdujo nuevos derechos de los consumidores y aumentó las obligaciones de cumplimiento para las empresas que manejan "información personal confidencial". Ahora que la Agencia de Protección de la Privacidad de California (CPPA) está operativa e investiga activamente las infracciones, el riesgo de aplicación de la ley es real y creciente.

Esta guía cubre todo lo que las empresas necesitan saber para lograr y mantener el cumplimiento de CCPA/CPRA: umbrales de alcance, derechos del consumidor, divulgaciones requeridas, mecanismos de exclusión voluntaria, obligaciones de minimización de datos y el enfoque de aplicación de la CPPA.

Conclusiones clave

• CCPA/CPRA se aplica a empresas con fines de lucro que cumplen CUALQUIERA de los tres umbrales: ingresos, volumen de datos o ingresos por intercambio de datos.
• Los consumidores tienen 11 derechos distintos según la CPRA, incluido el derecho a corregir y el derecho a limitar el uso de información personal confidencial.
• La opción de exclusión "No vender ni compartir" debe ser un enlace único y claramente visible en su página de inicio.
• La información personal sensible (SPI) genera obligaciones adicionales, incluido el derecho a limitar el procesamiento
• La aplicación de la CPPA se activó en 2023 con multas de hasta $7500 por infracción intencional
• Las empresas deben realizar evaluaciones anuales de protección de datos para actividades de procesamiento de alto riesgo.
• Los contratos de proveedores de servicios deben restringir el uso posterior de información personal
• Los períodos de conservación deben divulgarse y los datos deben eliminarse cuando ya no sean necesarios para los fines establecidos

---

Umbrales de aplicabilidad de CCPA/CPRA

CCPA/CPRA se aplica a empresas con fines de lucro que recopilan información personal de los consumidores de California y cumplen CUALQUIERA de los siguientes umbrales:

1. Ingresos brutos anuales superiores a $25 millones (en el año calendario anterior)
2. Compra, vende, recibe o comparte información personal de más de 100 000 consumidores u hogares anualmente (CPRA redujo el umbral original de la CCPA de 50 000)
3. Obtiene el 50 % o más de los ingresos anuales de la venta o el intercambio de información personal de los consumidores

Ámbito geográfico: la ley se aplica según el lugar donde residen los consumidores, no donde está constituida su empresa. Una empresa de software paquistaní que genera 30 millones de dólares en ingresos anuales con clientes de California debe cumplir.

Exenciones: Los datos de empleo (datos de empleados B2B) recibieron exenciones temporales de la CCPA que expiraron el 1 de enero de 2023 según la CPRA. Las exenciones de información de contacto B2B también expiraron. Muchas instituciones financieras están parcialmente exentas según la Ley Gramm-Leach-Bliley; Los datos de salud cubiertos por HIPAA tienen un tratamiento separado.

Nota sobre otras leyes estatales de EE. UU.: Si bien esta guía se centra en CCPA/CPRA, a partir de 2025, diecinueve estados de EE. UU. han promulgado leyes de privacidad integrales con diferentes umbrales y requisitos. Las empresas que realizan cumplimiento en varios estados deben evaluar Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Texas (TDPSA) y otros junto con California.

---

Información personal e información personal sensible

Información personal (PI) según CCPA/CPRA significa información que identifica, se relaciona, describe, es razonablemente capaz de asociarse o podría vincularse razonablemente a un consumidor u hogar en particular. Esto es notablemente más amplio que la "información de identificación personal" (PII) según las leyes estadounidenses más antiguas.

Las categorías cubiertas explícitamente incluyen:

• Identificadores (nombres, correo electrónico, teléfono, dirección IP, nombres de cuentas, SSN, número de licencia de conducir)
• Información comercial (registros de productos/servicios adquiridos, historial de navegación/compras)
• Información biométrica
• Actividad en Internet u otra red electrónica (historial de navegación, historial de búsqueda, interacción con sitios web)
• Datos de geolocalización
• Información profesional o relacionada con el empleo.
• Información educativa
• Inferencias extraídas de cualquiera de los anteriores para crear perfiles de consumidores.

Información personal confidencial (SPI), una adición de CPRA, incluye un subconjunto de PI que requiere mayor protección:

• Números de Seguro Social, licencia de conducir, identificación estatal o pasaporte
• Credenciales de inicio de sesión de la cuenta (nombre de usuario/correo electrónico + contraseña o pregunta de seguridad)
• Información de la cuenta financiera + claves de acceso
• Geolocalización precisa (dentro de 1/8 de milla)
• Origen racial o étnico
• Creencias religiosas o filosóficas
• Membresía sindical
• Contenido de correo, correo electrónico o mensaje de texto (a menos que la empresa sea el destinatario previsto)
• Datos genéticos
• Datos de salud o condición médica.
• Orientación sexual o vida sexual.
• Información biométrica para una identificación única.

Para SPI, los consumidores tienen el derecho adicional de limitar el uso: las empresas no pueden usar SPI más allá de lo necesario para proporcionar el producto o servicio solicitado (más propósitos adicionales limitados), a menos que el consumidor haya optado por un uso más amplio.

---

Derechos del consumidor según la CPRA

CPRA amplió los cinco derechos del consumidor de la CCPA a once. Las empresas deben tener procesos documentados para cumplir con cada uno de:

Requisitos de verificación: antes de responder a las solicitudes de los consumidores, debe verificar la identidad del solicitante utilizando un método "razonablemente seguro". Para solicitudes en línea, normalmente es suficiente hacer coincidir la dirección de correo electrónico + otro identificador. No puede exigir a los consumidores que creen cuentas únicamente para enviar solicitudes. Las solicitudes no verificables de piezas específicas de PI deben tratarse como solicitudes de categorías únicamente.

Agentes autorizados: los consumidores pueden designar agentes autorizados para presentar solicitudes en su nombre. Es posible que le solicite al agente que proporcione prueba de la autorización firmada por el consumidor.

---

Requisitos del aviso de privacidad

En el momento de la recopilación o antes: las empresas deben informar a los consumidores sobre qué PI se recopila y con qué fines antes o en el momento de la recopilación. Esto se aplica a todos los puntos de recogida: formularios de sitios web, aplicaciones móviles, puntos de venta, chatbots y compras de corredores de datos.

Requisitos de la política de privacidad (actualización al menos cada 12 meses):

• Categorías de PI recopiladas en los últimos 12 meses
• Fines para los que se utiliza PI
• Categorías de PI vendidas o compartidas en los últimos 12 meses
• Categorías de terceros a quienes se divulga la PI
• Categorías de fuentes de las que se recopila PI
• Derechos del consumidor y cómo ejercerlos
• Información de contacto para enviar solicitudes.
• Si PI se vende o comparte y cómo cancelar la suscripción
• Si SPI se procesa para fines distintos de proporcionar el producto/servicio
• Períodos de retención para cada categoría de PI (o criterios utilizados para determinar la retención)

Enlace "No vender ni compartir mi información personal": debe ser un enlace claro y visible en su página de inicio y en su política de privacidad. Si el enlace está en un pie de página o en un área de navegación compartida en su sitio, califica. El enlace debe conducir a una página donde los consumidores puedan optar por no participar con un solo paso (no enterrado en formularios de varios pasos).

Enlace "Limitar el uso de mi información personal confidencial": Requerido si procesa SPI más allá de lo necesario para proporcionar el producto o servicio solicitado. Puede ser un enlace separado o combinado con el enlace No vender/Compartir.

Señales de preferencia de exclusión voluntaria (GPC): las empresas deben respetar la señal de Control de privacidad global (GPC), una configuración a nivel del navegador que los consumidores pueden activar para indicar la exclusión voluntaria de la venta y el intercambio. Muchos navegadores centrados en la privacidad admiten GPC de forma nativa. Su sitio web debe detectar y respetar las señales de GPC. La CPPA ha citado a empresas específicamente por no cumplir con GPC.

---

Venta e intercambio de información personal

"Venta" según CCPA/CPRA significa revelar o poner a disposición información personal a otra empresa o a un tercero a cambio de una contraprestación monetaria u otra contraprestación valiosa. Esto es más amplio que la comprensión común de "vender datos".

"Compartir" según CPRA agrega publicidad conductual en contextos cruzados, incluso sin contraprestación monetaria, dirigida específicamente a publicidad basada en la navegación de un consumidor a través de diferentes sitios web o servicios.

En la práctica, las siguientes prácticas comunes probablemente constituyan venta o intercambio:

• Compartir PI con corredores de datos
• Uso de píxeles publicitarios de terceros (Meta Pixel, Google Analytics 4 en modo publicitario) que envían datos del usuario a plataformas para su orientación.
• Compartir listas de clientes con redes publicitarias para audiencias similares
• Participar en ecosistemas de licitación en tiempo real.

Requisitos de consentimiento para menores:

• Edades de 13 a 15 años: se requiere suscripción antes de vender/compartir su IP
• Menores de 13 años: se requiere la inscripción del padre/tutor (también se aplica COPPA)

Proveedores de servicios frente a terceros: la PI divulgada a un proveedor de servicios en virtud de un contrato de proveedor de servicios conforme (que restringe su uso a la prestación de servicios a usted) no es una "venta". La PI divulgada a un tercero que puede utilizarla para sus propios fines (plataformas publicitarias, intermediarios de datos) es una "venta" o "compartición". Esta distinción es fundamental para su arquitectura de intercambio de datos.

Requisitos del contrato del proveedor de servicios: Debe exigir al proveedor de servicios que:

• No vender ni compartir el PI recibido
• No conservar, utilizar ni divulgar PI fuera del contexto del servicio.
• Cumplir con los requisitos CPRA aplicables.
• Otorgar a la empresa el derecho de auditoría.

---

Minimización de datos y limitación de finalidad (CPRA)

La CPRA introdujo requisitos explícitos de minimización de datos: las empresas pueden recopilar, usar, retener y compartir PI solo cuando sea razonablemente necesario y proporcionado para lograr los propósitos establecidos. Esto representa un cambio significativo con respecto al enfoque centrado en la divulgación de la CCPA.

Implicaciones de implementación:

• Auditar cada punto de recopilación de datos y eliminar la recopilación de PI no utilizada para fines divulgados.
• Documentar el propósito comercial de cada categoría de PI recopilada
• Configurar programas de retención: la PI debe eliminarse o anonimizarse cuando ya no sea necesaria para los fines establecidos
• Evite el uso secundario de PI para fines incompatibles con el propósito de recopilación original sin el consentimiento del consumidor

Divulgación de retención: Las políticas de privacidad deben revelar períodos de retención o criterios para determinar la retención para cada categoría de PI. Se espera que la CPPA emita regulaciones con orientaciones más específicas. Por ahora, documente un período de retención razonable justificado por el negocio para cada categoría de PI.

---

Evaluaciones de Protección de Datos y Gestión de Riesgos

La CPRA exige que las empresas realicen evaluaciones de riesgos (llamadas evaluaciones de protección de datos) antes de implementar actividades de procesamiento que presenten un riesgo significativo para los consumidores. La CPPA está desarrollando regulaciones que especifican qué actividades activan los requisitos de evaluación, pero la ley ya identifica categorías que incluyen:

• Vender o compartir PI
• Procesamiento SPI
• Elaboración de perfiles que presenten un riesgo significativo.
• Tramitación de IP de menores
• Usar IP de maneras que presenten un riesgo significativo de daño

Documente sus evaluaciones y mantenga registros. Las evaluaciones deben identificar: el propósito del procesamiento, la IP involucrada, los riesgos potenciales para los consumidores y las salvaguardas implementadas para mitigar esos riesgos.

---

Aplicación y sanciones de la CPPA

La Agencia de Protección de la Privacidad de California (CPPA) entró en pleno funcionamiento en 2023 como el primer organismo dedicado a hacer cumplir la privacidad en los Estados Unidos. La CPPA tiene autoridad para investigar, celebrar audiencias administrativas e imponer sanciones civiles:

La CPPA aplica sanciones por infracción, lo que significa que cada consumidor cuyos derechos fueron violados representa una infracción separada. En teoría, una violación de datos que afecte a 100.000 consumidores podría dar lugar a sanciones de 750 millones de dólares (100.000 × 7.500 dólares). La aplicación temprana de la CPPA se ha centrado en grandes empresas con incumplimiento sistemático.

Derecho de acción privado: Según la Sección 1798.150 de la CCPA, los consumidores tienen un derecho de acción privado limitado por violaciones de datos que involucren información personal no cifrada o no redactada que resulte de la falta de implementación de medidas de seguridad razonables por parte de la empresa. Daños legales: $100–$750 por consumidor por incidente, o daños reales si son mayores.

---

Lista de verificación de cumplimiento de CCPA/CPRA

• Análisis del umbral de aplicabilidad completado
• [] Inventario de PI y SPI completado en todos los sistemas y puntos de recolección
• [] Política de privacidad actualizada con todas las divulgaciones requeridas (revisión de 12 meses)
• [] Enlace "No vender ni compartir mi información personal" en la página de inicio
• Enlace "Limitar el uso de mi información personal confidencial", si corresponde
• Se implementó la detección y el respeto del Control de privacidad global (GPC)
• Se establece el proceso de admisión de solicitudes del consumidor (formulario web + número gratuito)
• Procedimiento de verificación de identidad documentado
• [] Flujos de trabajo de respuesta para los 11 derechos del consumidor documentados y probados
• [] Cronograma de respuesta de 45 días rastreado y documentado para todas las solicitudes
• Contratos de proveedores de servicios revisados y actualizados con las disposiciones requeridas por la CPRA
• Intercambio de datos con terceros auditado (determinación de venta/intercambio para cada destinatario)
• [] Auditoría de minimización de datos completada: se eliminó la recopilación innecesaria de PI
• Períodos de retención documentados y eliminación automatizada configurada
• Se completó la capacitación de los empleados sobre los procedimientos de respuesta a los derechos del consumidor.
• Evaluaciones de protección de datos realizadas para actividades de procesamiento de alto riesgo
• Mecanismos de consentimiento de menores implementados si se recopila información personal de menores

---

Preguntas frecuentes

¿Se aplica CCPA/CPRA a los datos de los empleados?

Sí, a partir del 1 de enero de 2023, cuando entró en vigor la CPRA. Las exenciones temporales de la CCPA para B2B y datos de empleados expiraron. Los empleados de California (y los solicitantes de empleo, contratistas y directores) ahora tienen los mismos derechos bajo CCPA/CPRA que los consumidores con respecto a su información personal. Esto significa que los empleadores en California deben actualizar los avisos de privacidad para los empleados, establecer procesos de cumplimiento de derechos para la PI laboral y revisar las prácticas de datos del sistema de recursos humanos.

¿Cuál es la diferencia entre "venta" y "compartir" según la CPRA?

La "venta" implica revelar PI a cambio de una contraprestación monetaria o de otro valor; el pago puede ser cualquier cosa de valor, incluidos acuerdos de intercambio de datos. CPRA añadió "Compartir" y cubre específicamente la publicidad conductual entre contextos en la que la PI se comparte con terceros con fines publicitarios, incluso sin contraprestación monetaria. El impacto práctico: compartir datos de usuario con plataformas publicitarias para segmentación (incluso si les paga, no al revés) es "compartir" según la CPRA y activa derechos de exclusión voluntaria.

¿Las cookies y las tecnologías de seguimiento están sujetas a CCPA/CPRA?

Sí, donde recopilan información personal (incluidos identificadores en línea como direcciones IP) y donde los datos resultantes se comparten con terceros con fines publicitarios. Muchas prácticas comunes (Google Analytics con funciones publicitarias, Meta Pixel, etiquetas publicitarias programáticas) constituyen "compartir" PI con plataformas publicitarias, lo que desencadena requisitos de exclusión voluntaria. Implementar una plataforma de gestión del consentimiento de cookies (OneTrust, Osano, Cookiebot) para gestionar el consentimiento y respetar las señales de exclusión voluntaria.

¿En qué se diferencia la "información personal confidencial" de la CPRA de las "categorías especiales" del RGPD?

Ambos identifican categorías de información que justifican una mayor protección, pero difieren en contenido y tratamiento. Las categorías especiales del RGPD (Artículo 9) prohíben el procesamiento sin el consentimiento explícito o una excepción específica del Artículo 9; es casi una prohibición. El SPI de CPRA crea un derecho a limitar: los consumidores pueden restringir el uso para proporcionar el producto/servicio solicitado, pero las empresas aún pueden procesar el SPI con el consentimiento del consumidor para propósitos más amplios. La lista SPI de CPRA incluye, en particular, credenciales de inicio de sesión y geolocalización precisa, que no se encuentran en las categorías especiales del RGPD.

¿Qué son "proveedores de servicios", "contratistas" y "terceros" según la CPRA?

CPRA añadió "contratistas" como categoría. Los proveedores de servicios reciben PI para proporcionar un servicio en su nombre en virtud de un contrato que les prohíbe utilizar PI para sus propios fines. Los contratistas son empresas que reciben PI para fines comerciales bajo contrato, similar a los proveedores de servicios, pero los requisitos del contrato difieren ligeramente. Los terceros reciben PI y pueden utilizarla para sus propios fines; cualquier divulgación a un tercero es potencialmente una "venta" o "compartición" que desencadena obligaciones de exclusión voluntaria. Estructurar sus relaciones de intercambio de datos como relaciones de proveedor de servicios o contratista (con contratos adecuados) evita la clasificación como una "venta".

---

Próximos pasos

El cumplimiento de CCPA/CPRA es un programa continuo, no un proyecto único. A medida que la CPPA emita nuevas regulaciones (se esperan reglas de toma de decisiones automatizadas en 2025-2026), los requisitos de cumplimiento evolucionarán. Crear un programa de operaciones de privacidad escalable, con cumplimiento automatizado de los derechos del consumidor, mapeo de datos y gestión del consentimiento, es el camino sostenible.

ECOSIRE ayuda a las empresas a evaluar sus obligaciones CCPA/CPRA, implementar medidas de cumplimiento técnico en sus plataformas digitales y establecer flujos de trabajo de operaciones de privacidad.

Comenzar: Servicios ECOSIRE

Descargo de responsabilidad: esta guía tiene fines informativos únicamente y no constituye asesoramiento legal. Los requisitos de CCPA/CPRA son complejos y se actualizan con frecuencia a través de regulaciones y guías de cumplimiento. Consulte a un asesor legal calificado para obtener asesoramiento específico para su organización.