Una guía práctica de CCPA vs CPRA

Esta guía explica CCPA vs CPRA de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad. CCPA vs CPRA es una frase ligeramente engañosa porque CPRA no reemplazó a CCPA con una ley de privacidad separada. Lo modificó y amplió. Los reguladores de California ahora comúnmente se refieren a la ley como CCPA "según enmendada" por la CPRA, como explica el Procurador General de California.

Para las empresas, la cuestión práctica no es qué acrónimo utilizar. Se trata de si sus avisos, flujos de exclusión voluntaria, herramientas de analítica, píxeles publicitarios, reglas de retención de datos y contratos con proveedores reflejan los requisitos más estrictos posteriores a CPRA que comenzaron a aplicarse en 2023.

Lo que creó el CCPA original

El CCPA otorgó a los consumidores de California derechos sobre la información personal recopilada por las empresas cubiertas. Los derechos fundamentales incluyen:

• Saber qué información personal recopila, utiliza, comparte o vende una empresa.
• Eliminar información personal, sujeto a excepciones.
• Optar por no vender información personal.
• No discriminación por el ejercicio del derecho a la privacidad.

La ley original ya era amplia porque la "información personal" incluye identificadores, actividad en Internet, geolocalización, inferencias e información vinculada o razonablemente vinculable a un hogar o consumidor.

Para los equipos de análisis y publicidad, el problema más importante CCPA fue el concepto de "venta". Muchas empresas asumieron que la venta significaba intercambiar datos por dinero. La definición de California era más amplia y captaba algunos aspectos compartidos para una consideración valiosa.

Lo que cambió el CPRA

El CPRA amplió la ley en varios aspectos importantes para el análisis y el marketing web.

Compartir se convirtió en tu propia actividad regulada. El CPRA agregó el derecho a optar por no "compartir" información personal para publicidad conductual en contextos cruzados. Esto es importante incluso si el dinero no cambia de manos. Si un sitio web envía identificadores o datos de eventos a una red publicitaria para que los anuncios puedan orientarse en todos los sitios, puede activar obligaciones de exclusión voluntaria.

La información personal confidencial se convirtió en una categoría especial. Los consumidores obtuvieron el derecho de limitar el uso y la divulgación de información personal confidencial. La información confidencial incluye categorías como geolocalización precisa, origen racial o étnico, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, información biométrica, información de salud, vida sexual u orientación sexual y ciertas credenciales de cuenta.

Se agregaron derechos de corrección. Los consumidores pueden solicitar a las empresas que corrijan información personal inexacta.

La minimización de datos se volvió más explícita. La Agencia de Protección de la Privacidad de California ha enfatizado que la minimización de datos es un principio fundamental CCPA, incluso en su aviso de aplicación de 2024. Las empresas deben recopilar, utilizar, retener y compartir información personal solo en la medida razonablemente necesaria y proporcionada para los fines divulgados.

Se creó una agencia dedicada. La CPRA estableció la Agencia de Protección de la Privacidad de California (CPPA), con autoridad para formular normas y hacer cumplir la ley (página de regulaciones de la CPPA).

Por qué debería importarle a los equipos de análisis

Una configuración de análisis estándar puede involucrar información personal según la ley de California. La dirección IP, los identificadores de dispositivo, los ID de cookies, los ID de publicidad móvil, el comportamiento de navegación, la página URLs, los datos de referencia y los intereses inferidos pueden ser relevantes.

El mayor riesgo no es la simple medición propia. Consiste en enviar eventos de analítica a terceros que utilizan los datos para tu propia publicidad, elaboración de perfiles, mejora de productos o enriquecimiento de datos. Según CPRA, eso puede ser "compartir" incluso cuando el proveedor llama al análisis de integración.

Revise estas herramientas detenidamente:

• Google Analytics con elementos publicitarios.
• Meta Píxeles y Conversiones API.
• TikTok, LinkedIn, Pinterest y X píxeles.
• Herramientas de reproducción de sesiones y mapas de calor.
• Salas blancas de datos y plataformas de datos de clientes.
• SDK de atribución móvil.
• Proveedores de enriquecimiento y resolución de identidad.

Implicaciones del aviso y la exclusión voluntaria

Un aviso de privacidad compatible debe describir categorías de información personal, propósitos, períodos o criterios de retención, categorías de terceros y derechos. Si vende o comparte información personal, necesita un mecanismo de "No vender ni compartir mi información personal". Las empresas también deben gestionar las señales de preferencia de exclusión voluntaria cuando sea necesario, incluido Global Privacy Control en muchos contextos.

No entierres esto en un banner de cookies. El consentimiento de cookies, la exclusión voluntaria de CCPA y el consentimiento de GDPR están relacionados pero no son idénticos. La opción de un consumidor de California de no compartir información debería detener las divulgaciones de publicidad conductual en contextos cruzados, no simplemente ocultar un banner.

CCPA vs CPRA para analítica que priorizan la privacidad

La analítica que priorizan la privacidad reducen la exposición de CPRA al evitar identificadores entre contextos y el intercambio de tecnología publicitaria. Una configuración más segura se ve así:

• Sin cookies publicitarias de terceros.
• No compartir datos de eventos con redes publicitarias.
• No hay perfiles de visitantes persistentes para la orientación entre sitios.
• Informes agregados de páginas vistas, referencias, campañas y conversiones.
• Propiedades de eventos que evitan correos electrónicos, nombres, ID de cuentas y ubicaciones precisas.
• Un calendario de retención claro.
• Contratos de proveedores que restringen el uso secundario.

Esto no significa que la analítica que priorizan la privacidad estén exentos del CCPA. Significa que la superficie de cumplimiento es más pequeña y más fácil de explicar.

Lista de verificación de revisión práctica

Haga estas preguntas durante una revisión de CPRA:

1. ¿Algunos proveedores de análisis o marketing reciben información personal?
2. ¿Puede cualquier proveedor utilizar esos datos para sus propios fines?
3. ¿Está compartiendo datos para publicidad conductual multicontexto?
4. ¿Los avisos describen la analítica y la publicidad por separado?
5. ¿Las opciones de exclusión voluntaria realmente suprimen los píxeles, las llamadas SDK y los eventos del lado del servidor?
6. ¿Los campos de datos confidenciales están excluidos de los eventos de analítica?
7. ¿Se documentan y hacen cumplir los períodos de retención?
8. ¿Pueden aceptar solicitudes de eliminación y corrección entre proveedores?

La lección del CPRA es simple: el cumplimiento de la privacidad ahora llega a la pila de mediciones. Si los datos de analítica pueden seguir a las personas en todos los contextos, ya no se trata solo de informes. Se trata de infraestructura publicitaria regulada.

CPRA Lista de verificación de revisión

Revise la analítica y el marketing como flujos de datos separados. Vender y compartir no son lo mismo: la venta puede implicar un intercambio de valor, mientras que el intercambio cubre específicamente divulgaciones para publicidad conductual en contextos cruzados. Ambos pueden requerir un manejo de exclusión voluntaria, y se deben respetar señales de preferencia de exclusión voluntaria válidas, como Global Privacy Control, cuando sea necesario.

Para cada proveedor, documente si los datos se utilizan únicamente para brindar su servicio, si alimentan publicidad o conjuntos de datos entre clientes, si los datos confidenciales pueden aparecer en URLs o eventos, y si las opciones de exclusión suprimen tanto los píxeles del navegador como los eventos del lado del servidor.