La Ley de Privacidad del Consumidor de California se encuentra entre las leyes de privacidad más influyentes en Estados Unidos. Dado que muchas grandes empresas tecnológicas tienen su sede en California, la CCPA tiene un impacto desproporcionado en la economía digital.

Qué cubre la CCPA

La CCPA otorga a los residentes de California derechos específicos de privacidad y se aplica a grandes empresas o aquellas que controlan cantidades sustanciales de información personal, incluyendo organizaciones fuera de California e incluso fuera de EE. UU. Las agencias gubernamentales y las organizaciones sin fines de lucro están generalmente exentas.

La información personal bajo la CCPA se define de manera amplia: cualquier información que pueda ser razonablemente vinculada a un consumidor o hogar particular, incluyendo identificadores únicos encontrados en las cookies.

Impacto en las cookies y la analítica web

Aunque la CCPA no tiene reglas específicas sobre cookies, sus disposiciones sobre el intercambio de datos con terceros afectan directamente a la analítica web. Compartir información personal con proveedores de analítica o publicidad puede constituir una "venta" bajo la ley, activando el derecho a optar por no participar. Las empresas deben proporcionar ventanas emergentes informativas y opciones de exclusión visibles. Se requiere consentimiento previo antes de vender datos personales de menores de 16 años. Las empresas también deben respetar las señales del Global Privacy Control (GPC) de los navegadores.

El caso de aplicación de Sephora ilustra estas obligaciones. La empresa de cosméticos llegó a un acuerdo de 1,2 millones de dólares tras no revelar el intercambio de datos con un proveedor de analítica, no respetar las solicitudes de exclusión y no corregir las infracciones dentro del plazo permitido. Cabe destacar que la empresa no estaba vendiendo datos a intermediarios -- fueron las actividades rutinarias de marketing web y analítica las que desencadenaron la infracción.

Implicaciones para el marketing directo

Aunque la CCPA no regula específicamente el marketing directo, sus normas de intercambio de datos restringen la disponibilidad de datos de terceros para fines de marketing. Legislación adicional como la Ley Delete limitará aún más la disponibilidad de datos para empresas que dependen del enriquecimiento de datos de terceros.

Protecciones de información sensible

Los consumidores pueden limitar el uso y la divulgación de información sensible -- incluyendo geolocalización precisa, datos genéticos, orientación sexual e identificadores financieros -- a lo estrictamente necesario para proporcionar los servicios solicitados.

El panorama más amplio de la privacidad en EE. UU.

La CCPA existe dentro de un entorno regulatorio fragmentado. Sin una legislación federal integral de privacidad, los estados han promulgado sus propias leyes, creando complejidad de cumplimiento para las empresas que operan a nivel nacional. Si la legislación federal propuesta como la ADPPA prevalecerá o complementará las leyes estatales sigue siendo una cuestión abierta.