Una guía práctica de Sus derechos de privacidad según CCPA

Esta guía explica Sus derechos de privacidad según CCPA de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

La Ley de Privacidad del Consumidor de California, ampliada por la Ley de Derechos de Privacidad de California, otorga a los residentes de California derechos prácticos sobre la información personal en poder de las empresas cubiertas. No es idéntica a la GDPR, pero se ha convertido en una de las leyes de privacidad más importantes para los sitios web, aplicaciones y equipos de marketing de EE. UU.

Esta guía está dirigida a consumidores y equipos que necesitan comprender qué tienen derecho a solicitar los usuarios.

¿A quién protege el CCPA?

El CCPA protege a los residentes de California. Una empresa puede estar cubierta incluso si no está ubicada físicamente en California, siempre que haga negocios en California y cumpla con los umbrales de la ley.

La Agencia de Protección de la Privacidad de California explica en sus Preguntas frecuentes que la información personal es amplia. Puede incluir identificadores, actividad de navegación, información comercial, geolocalización precisa, datos biométricos, inferencias e información personal sensible como identificadores gubernamentales, información de salud, origen racial o étnico, creencias religiosas, afiliación sindical y el contenido de ciertas comunicaciones.

Tus Principales Derechos CCPA

Derecho a saber

Puede preguntarle a una empresa cubierta qué categorías de información personal recopiló, de dónde provino, por qué se recopiló, qué categorías de terceros la recibieron y si se vendió o compartió.

También puede solicitar información personal específica, aunque las empresas pueden retener ciertos valores confidenciales por razones de seguridad.

Derecho a eliminar

Puede pedirle a una empresa que elimine la información personal que recopiló sobre usted. Este derecho tiene excepciones. Una empresa puede conservar la información necesaria para completar una transacción, detectar incidentes de seguridad, cumplir con obligaciones legales, ejercer la libertad de expresión o utilizar la información internamente de manera compatible con el contexto original.

Derecho a corregir

Puede pedirle a una empresa que corrija información personal inexacta. Esto es especialmente importante para los datos del perfil, los datos de la cuenta, los registros de facturación y las decisiones de elegibilidad.

Derecho a optar por no vender o compartir

El CCPA cubre más que las ventas literales de dinero por datos. Compartir información personal para publicidad conductual multicontexto puede generar derechos de exclusión voluntaria. Los sitios web que venden o comparten información personal generalmente necesitan un mecanismo claro de "No vender ni compartir mi información personal".

California también exige que las empresas respeten las señales válidas de preferencia de exclusión voluntaria en muchos contextos. El Global Privacy Control es la señal de navegador más conocida. La CPPA ha publicado materiales sobre las próximas actualizaciones regulatorias CCPA que continúan enfatizando las señales de preferencia de exclusión voluntaria y la elección del consumidor.

Derecho a limitar la información personal sensible

Puede limitar ciertos usos y divulgaciones de información personal confidencial. Por ejemplo, la geolocalización precisa, la información de salud y los identificadores gubernamentales no deben usarse para elaborar perfiles no relacionados si el consumidor ha limitado ese uso.

Derecho a la no discriminación

Una empresa no puede tomar represalias contra usted por ejercer los derechos CCPA. No puede negar bienes o servicios, cobrar un precio diferente ni proporcionar un nivel de servicio diferente porque usted realizó una solicitud de privacidad, a menos que se aplique un programa de incentivo financiero permitido y se divulgue adecuadamente.

Cómo ejercer sus derechos

Busque un enlace a la política de privacidad en el pie de página del sitio web. Una empresa cubierta debe explicar los métodos de solicitud, los pasos de verificación, los métodos de exclusión voluntaria y las categorías de datos recopilados.

Para solicitudes de acceso, eliminación o corrección, es posible que deba verificar su identidad. Las empresas no deberían exigir más información de la necesaria para la verificación. Para las solicitudes de exclusión voluntaria, generalmente no deberían obligarlo a crear una cuenta.

Una petición práctica puede ser breve:

Soy residente de California y ejerzo mis derechos CCPA. Proporcione las categorías y piezas específicas de información personal que recopiló sobre mí, las categorías de fuentes, propósitos, categorías de terceros y si mi información personal fue vendida o compartida. Elimine también la información personal que no esté sujeta a una excepción.

Guarde una copia de la solicitud y la fecha. Si utilizas un navegador que admita Global Privacy Control, habilítelo como señal adicional.

Lo que las empresas deberían aprender del CCPA

Para los equipos de análisis y marketing, el CCPA crea un trabajo operativo real:

• Sepa si tu proveedor de analítica recibe información personal.
• Decide si las integraciones publicitarias cuentan como venta o uso compartido.
• Respetar las señales de preferencia de exclusión voluntaria.
• No envíe información personal sensible a eventos de analítica.
• Mantener un mapa de datos que conecte cookies, píxeles, formularios, registros CRM y plataformas publicitarias.
• Hacer posible la eliminación y corrección entre proveedores, no solo en su base de datos principal.

La analítica que priorizan la privacidad reducen la carga porque la medición agregada y sin cookies evita muchos flujos de datos de alto riesgo. Si tu herramienta de analítica no identifica a los visitantes, no configura cookies de seguimiento y no comparte datos para publicidad, las operaciones CCPA se vuelven más simples.

CCPA frente a GDPR

El GDPR parte de un modelo de base legal: las organizaciones necesitan una base legal válida antes de procesar datos personales. El CCPA está más orientado al control del consumidor: las empresas pueden procesar muchas categorías de información, pero deben proporcionar avisos, derechos de acceso, derechos de eliminación y opciones de exclusión voluntaria para la venta, el intercambio y el uso de datos confidenciales.

La diferencia práctica es la carga. GDPR impone más responsabilidad a las organizaciones antes de que comience el tratamiento. CCPA brinda a los consumidores herramientas sólidas, pero a menudo los consumidores tienen que notar el problema, encontrar el control y actuar. Por eso es importante la privacidad desde el diseño. Una empresa que recopila menos datos crea menos dolores de cabeza en materia de derechos de los consumidores y menos problemas de confianza.

Cuando una empresa no responde

Si una empresa ignora una solicitud, da una respuesta incompleta o dificulta innecesariamente la exclusión voluntaria, conserve capturas de pantalla y copias de la solicitud. Los residentes de California pueden presentar quejas ante la Agencia de Protección de la Privacidad de California o el Fiscal General de California. Para los usuarios habituales, el primer paso más eficaz suele ser una solicitud clara por escrito, seguida de un recordatorio que indique el derecho que se está ejerciendo.

Para las empresas, la lección es hacer operativas las solicitudes de privacidad antes de que se conviertan en quejas. Un enlace de pie de página no es suficiente si el servidor no puede encontrar, eliminar, corregir o suprimir los datos relevantes.

CCPA Lista de verificación de acciones

Los consumidores deben saber el derecho que están ejerciendo: acceso, eliminación, corrección, exclusión voluntaria de la venta, exclusión voluntaria de compartir publicidad conductual en contextos cruzados, limitación de información personal sensible o no discriminación. Mantén la solicitud breve, guarde la fecha y conserve las capturas de pantalla si la empresa dificulta el proceso.

Las empresas deberían traducir esos derechos en controles operativos. Mapee cookies, píxeles, formularios, registros CRM, proveedores de enriquecimiento y plataformas publicitarias; distinguir la venta de compartir; respetar las señales Global Privacy Control válidas cuando sea necesario; y evite enviar datos de analítica a proveedores de publicidad cuando la medición agregada sea suficiente.