Una guía práctica de CCPA vs RGPD

Esta guía explica CCPA vs RGPD de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

CCPA vs GDPR no es una competencia sobre qué ley es "más estricta" en cada situación. La mejor pregunta es cómo cambia cada ley la forma en que se recopilan, usan, comparten y explican los datos personales.

Para los equipos de análisis, la diferencia es importante. Una configuración que parece manejable según el modelo de exclusión voluntaria de California aún puede fallar en Europa si establece cookies no esenciales antes del consentimiento, transfiere datos sin garantías o perfila a los visitantes sin una base legal válida.

La diferencia fundamental

El GDPR se basa en un tratamiento lícito. Antes de procesar datos personales, una organización necesita una base legal como consentimiento, contrato, obligación legal, intereses vitales, tarea pública o intereses legítimos. También debe seguir principios como limitación de finalidad, minimización de datos, precisión, limitación de almacenamiento, integridad, confidencialidad y responsabilidad (GDPR Artículo 5 y Artículo 6).

La Ley de Privacidad del Consumidor de California, modificada por CPRA, otorga a los residentes de California derechos sobre la información personal recopilada por las empresas cubiertas. El Fiscal General de California resume los derechos que incluyen acceso, eliminación, corrección, exclusión voluntaria de la venta o uso compartido y limitación del uso y divulgación de información personal confidencial (página de California AG CCPA).

En resumen: GDPR pregunta "¿qué permite este tratamiento?" CCPA a menudo pregunta "¿qué derechos y avisos deben recibir los consumidores? ¿Pueden optar por no vender o compartir?"

Alcance y aplicabilidad

El GDPR puede aplicarse a organizaciones fuera de la UE si ofrecen bienes o servicios a personas en la UE o monitorean su comportamiento en la UE. No se limita a las grandes empresas. Una pequeña empresa SaaS puede estar incluida en el GDPR si presta servicios intencionalmente a usuarios de la UE.

El CCPA se aplica a empresas con fines de lucro que realizan negocios en California y cumplen con los umbrales legales. Para 2025, la CPPA enumera un umbral de ingresos brutos anuales ajustados a la inflación de 26.625.000 dólares. Otros umbrales incluyen comprar, vender o compartir información personal de 100.000 o más residentes u hogares de California, o obtener el 50% o más de los ingresos anuales de la venta de información personal de residentes de California. Las organizaciones sin fines de lucro y las agencias gubernamentales generalmente están fuera de su alcance.

Esa diferencia es importante para las pequeñas empresas. Una startup con clientes de la UE puede necesitar el cumplimiento de GDPR incluso si está muy por debajo de los umbrales de CCPA.

Datos personales versus información personal

Ambas leyes definen los datos cubiertos de manera amplia. Según GDPR, datos personales significa información relacionada con una persona identificada o identificable. Los identificadores en línea pueden calificar, incluidos los ID de cookies y los identificadores de dispositivos.

El CCPA utiliza "información personal" e incluye información que identifica, se relaciona, describe o podría vincularse razonablemente con un consumidor o un hogar. California AG enumera ejemplos como el historial de navegación en Internet, datos de geolocalización, huellas dactilares e inferencias que crean un perfil.

Para la analítica, esto significa que "no recopilamos nombres" no es suficiente. Los ID de cliente, los ID de cookies, los ID de publicidad, la ubicación derivada de IP, los historiales de eventos y las inferencias a nivel del hogar pueden ser importantes.

Consentimiento, exclusión voluntaria y cookies

El GDPR no siempre requiere consentimiento para cada actividad de tratamiento, pero el consentimiento es fundamental para muchas prácticas de análisis y publicidad. En Europa, las reglas de cookies provienen del marco ePrivacy implementado por los estados miembros. Las cookies no esenciales y tecnologías de seguimiento similares generalmente requieren consentimiento previo.

El consentimiento válido GDPR debe ser otorgado libremente, específico, informado e inequívoco, y las personas deben poder retirarlo. El CEPD explica que el consentimiento requiere una auténtica elección libre, suficiente información y una acción afirmativa clara sin casillas marcadas previamente (orientación sobre el consentimiento del CEPD).

El CCPA se centra más en los derechos de exclusión voluntaria para la venta y el intercambio, incluida la publicidad conductual en contextos cruzados. Las empresas deben proporcionar avisos claros y respetar las señales de exclusión voluntaria, como Global Privacy Control, cuando corresponda. El consentimiento se vuelve especialmente importante para menores y algunos usos sensibles, pero la estructura predeterminada no es idéntica al consentimiento de cookies GDPR.

Datos confidenciales

El GDPR generalmente prohíbe el tratamiento de categorías especiales de datos personales a menos que se aplique una excepción del Artículo 9. Las categorías especiales incluyen datos que revelan origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos utilizados para la identificación, datos de salud y datos sobre la vida sexual o la orientación sexual.

El CCPA otorga a los consumidores el derecho de limitar el uso y la divulgación de información personal confidencial. California AG enumera ejemplos que incluyen identificadores gubernamentales, credenciales de inicio de sesión de cuentas, geolocalización precisa, contenidos de comunicaciones, datos genéticos, información biométrica, información de salud, vida sexual u orientación sexual, y cierta información racial, religiosa, filosófica o sindical.

Los equipos de análisis deben tener cuidado con el contexto de la página. Una URL, un término de búsqueda o un nombre de evento pueden revelar información confidencial incluso cuando no se envía ningún formulario.

Aplicación y sanciones

Las sanciones GDPR pueden alcanzar hasta 20 millones de euros o el 4 % de la facturación mundial anual, lo que sea mayor, para las infracciones más graves. Las autoridades de supervisión también pueden ordenar cambios en el tratamiento, suspender transferencias y exigir medidas de cumplimiento.

Las autoridades de California, incluida la Agencia de Protección de la Privacidad de California y el Fiscal General, hacen cumplir la CCPA. También incluye un derecho de acción privado limitado para determinadas violaciones de datos. El riesgo operativo no son solo las multas; incluye órdenes de ejecución, interrupción de contratos y pérdida de confianza.

Transferencias Internacionales de Datos

El GDPR tiene restricciones detalladas sobre la transferencia de datos personales fuera del EEE. Las transferencias pueden depender de decisiones de adecuación, cláusulas contractuales estándar, normas corporativas vinculantes o derogaciones específicas. La Comisión Europea explica que una decisión de adecuación permite que los datos fluyan sin mayores garantías, mientras que otras transferencias pueden requerir mecanismos adicionales (orientación sobre transferencias de la Comisión Europea).

El CCPA no tiene un régimen de transferencias transfronterizas equivalente. Es por eso que los proveedores de análisis con sede en EE. UU. pueden representar un problema mucho mayor para el cumplimiento de la UE que para el cumplimiento de California.

Lista de verificación de análisis para ambas leyes

Utiliza el estándar práctico más estricto cuando una configuración sirva a ambas regiones: evite cookies e identificadores persistentes a menos que sean realmente necesarios, no envíe datos personales en URLs o propiedades personalizadas, proporcione avisos claros, respete las opciones de consentimiento y exclusión voluntaria antes de cargar etiquetas de marketing, separe la analítica agregados de los sistemas publicitarios, revise los contratos de los proveedores y mantenga los períodos de retención proporcionados.

La arquitectura de análisis más segura es la que minimiza los datos de forma predeterminada. Si puede responder preguntas comerciales con una medición agregada, sin cookies y propia, reducirá la fricción tanto con GDPR como con CCPA en lugar de crear dos máquinas de cumplimiento independientes.

Lista de verificación de análisis de régimen dual

Para California, verifique si se aplica CCPA, incluido el [umbral de ingresos brutos anuales de $26,625,000 vigente a partir del 1 de enero de 2025] actualizado de la CPPA (https://cppa.ca.gov/regulations/cpi_adjustment.html), y revise la venta, el intercambio, los datos confidenciales, los avisos, los enlaces de exclusión voluntaria y el manejo de Global Privacy Control.

Para Europa, revise la base legal, el consentimiento o exención ePrivacy, las transferencias internacionales, los términos del procesador y la retención. Una configuración de análisis compartido debe seguir el estándar práctico más estricto: minimizar los datos de eventos, evitar identificadores publicitarios, mantener los datos personales fuera dla URLs, respetar las opciones antes de que se activen las etiquetas y conciliar solo los resultados comerciales que realmente necesita.