Con un gran cantidad de datos, viene una gran responsabilidad…
Desde el comienzo de Purple en 2012, la seguridad de los datos ha estado a la vanguardia de nuestra empresa y siempre hemos ido un paso más allá al brindarles a los huéspedes en el momento en que inician sesión una política comercial y de privacidad fácil de leer y digerible que les permite a los huéspedes gestione sus preferencias de marketing de forma rápida y sin estrés.
Es por eso que hemos asumido nuestra responsabilidad de garantizar no solo que Purple cumpla con las nuevas regulaciones, sino que todos nuestros clientes estén al tanto de cuáles son los cambios y cómo podrían afectarlos.
Nuevas leyes de privacidad en California
El estado de California ha anunciado un nuevo conjunto de leyes de privacidad, la Ley de Protección de los Consumidores de California 2018 (CCPA) que será efectiva a partir de enero 2020 y será aplicable seis meses después de la adopción del Reglamento del Fiscal General o el 1 de julio de 2020 (lo que ocurra antes). La CCPA no reemplazará ninguna ley de privacidad de datos vigente en California, por lo que la organización aún deberá cumplir con las leyes existentes, como la Ley de Protección de Privacidad en Línea de California (CalOPPA), Shine the Light y los Derechos de Privacidad para Menores de California en el Mundo Digital.
- Tiene ingresos brutos anuales superiores a $25 millones;
- Compra, recibe, vende o comparte la información personal de 50.000 o más residentes, hogares o dispositivos de California por año; o
- Obtiene más del 50% de los ingresos anuales de la venta de información personal de los consumidores de California.
A los fines del CCPA, la información personal se define como “… información que identifica, se relaciona, describe o puede asociarse con, o podría estar razonablemente vinculada, directa o indirectamente, con un consumidor u hogar en particular”. Esta definición es casi idéntica a la del GDPR. El CCPA va más allá del GDPR y enumera ejemplos de tipos de datos que estarán dentro del alcance de la nueva ley, estos incluyen:
- Identificadores: incluidos identificadores personales únicos (que incluyen cookies, balizas, etiquetas de píxeles, ID de anuncios móviles, seudónimos únicos, identificadores probabilísticos, un número de teléfono); identificadores en línea; direcciones IP; nombres de cuenta;
- Internet u otra información de actividad de la red electrónica: como el historial de navegación; historial de búsqueda; datos de flujo de clics; la interacción de un consumidor con un anuncio en línea;
- Datos de geolocalización.
- Inferencias extraídas de cualquiera de la información para crear un perfil sobre un consumidor: incluidas sus preferencias, características, tendencias psicológicas, preferencias, predisposiciones, comportamiento, actitudes, inteligencia, habilidades y aptitudes.
Según la CCPA, los consumidores tienen derecho a saber si una empresa “vende” sus datos personales y, de ser así, tienen “… el derecho, en cualquier momento, de ordenar una empresa que venda información personal sobre el consumidor a terceros que no lo hagan”.Este derecho puede denominarse derecho de exclusión voluntaria”.
El término “vender” incluye la transferencia de datos personales a un tercero por “consideración monetaria u otra consideración valiosa” e incluye el alquiler, divulgación, difusión, puesta a disposición, transferencia o comunicación. Hay una serie de exenciones que también pueden aplicarse.
Por lo tanto, las compañías que están dentro del ámbito de la CCPA deberán asegurarse de comunicar cierta información a los consumidores a través de su política de privacidad. Esta información incluye:
- El tipo de información personal que recopilas y procesas;
- Las razones para recopilar y procesar información personal y cómo se recopila;
- Una explicación de cómo los consumidores pueden ejercer sus derechos de acceso, cambio o borrado de información personal (las empresas deben tener un número gratuito y una dirección web);
- Cómo verificarás la identificación de un consumidor cuando ejerza sus derechos;
- Detalles sobre si vendes o no datos personales y los métodos disponibles para que los consumidores opten por no vender sus datos;
Además, deberás actualizar tu sitio web para incluir un enlace de “No vender mi información personal” en tu página de inicio para que los consumidores puedan informarte que no desean que se vendan sus datos personales. Se debe hacer referencia a este enlace desde todos los avisos de privacidad , páginas web o plataformas de aplicaciones al recopilar datos personales.
La CCPA también cubre a menores (de 13 a 16 años) y exige que las empresas obtengan su consentimiento antes de vender su información personal. Si el niño es menor de 13 años, se requerirá el consentimiento de sus padres o tutores. Vender los datos de menores sin su consentimiento violará sus derechos de privacidad y puede resultar en multas. Por lo tanto, es esencial conservar los detalles del consentimiento obtenido de los menores o de sus padres/tutores.
El incumplimiento de la CCPA puede resultar en multas masivas de $ 7.500 por violación, es decir, si una compañía viola los derechos de 1.000 usuarios, puede recibir una multa de $ 7,5m.