Una guía práctica de Cuándo se aplica el CCPA
TL;DR — Respuesta rápida
5 min de lecturaEl CCPA generalmente se aplica a empresas con fines de lucro que realizan negocios en California y recopilan información personal de los residentes y cumplen con un umbral de ingresos, volumen de datos o ingresos por ventas/participación.
Esta guía explica Cuándo se aplica el CCPA de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.
¿Cuándo se aplica el CCPA? La respuesta corta es: cuando una empresa con fines de lucro cubierta hace negocios en California, recopila información personal de los residentes de California y cumple al menos un umbral legal.
La respuesta más larga es importante porque las prácticas analíticas y publicitarias de rutina pueden contribuir al análisis. No es necesario que una empresa tenga su sede en California para tener obligaciones de privacidad en California.
La prueba de aplicabilidad básica
Las preguntas frecuentes de la Agencia de Protección de la Privacidad de California enumeran los principales umbrales para una empresa cubierta. A partir de las preguntas frecuentes públicas actuales de la CPPA, la ley se aplica a las empresas con fines de lucro que realizan negocios en California y recopilan información personal de los residentes de California y cumplen al menos una de estas condiciones:
- Ingresos anuales brutos de $26,625 millones o más para el año calendario anterior, a partir del 1 de enero de 2025.
- Comprar, vender o compartir la información personal de 100.000 o más residentes u hogares de California.
- Obtener el 50% o más de los ingresos anuales vendiendo o compartiendo información personal de los residentes de California.
Debido a que la cifra de ingresos se ajusta a la inflación, verifique la cifra actual con la CPPA en lugar de copiar el antiguo lenguaje de "$25 millones". La agencia publica umbrales monetarios actualizados y preguntas frecuentes (Actualización del umbral CPPA, Preguntas frecuentes sobre la CPPA).
"Hacer negocios en California" es más amplio que tener una oficina
Una empresa fuera de California aún puede estar dentro del alcance si hace negocios en el estado, recopila información personal de los residentes de California y cumple con un umbral. Para las empresas web, los usuarios de California pueden llegar a través de búsquedas, anuncios pagados, redes sociales, registros de SaaS, pedidos de comercio electrónico, boletines informativos o cuentas de aplicaciones.
Los indicadores prácticos incluyen:
- Vender productos o suscripciones a residentes de California.
- Orientación de anuncios a California.
- Tener clientes o usuarios de California.
- Envío de mercancías a California.
- Ofreciendo servicios disponibles para los residentes de California.
- Recopilación de datos analíticos de visitantes de California a escala.
Si está cerca de un umbral, obtenga asesoramiento legal. Las decisiones de alcance pueden afectar los avisos de privacidad, los enlaces de exclusión voluntaria, los contratos y los flujos de trabajo de derechos de datos.
¿Qué se considera información personal?
La definición CCPA es amplia. La información personal puede incluir identificadores, identificadores en línea, direcciones IP, historial de navegación, historial de búsqueda, datos de geolocalización, información comercial e inferencias. La página CCPA del Fiscal General de California resume los derechos del consumidor y enlaces al marco legal (Fiscalía General de California).
Para los equipos de análisis, esto significa que la información personal puede incluir:
- Identificadores de cookies.
- Identificadores de dispositivos.
- Ubicación derivada de IP.
- Historiales de páginas vistas.
- Parámetros de campaña.
- Eventos de productos vinculados a cuentas.
- Datos publicitarios multicontexto.
Incluso si el panel es agregado, la canalización de datos subyacente puede procesar información personal.
Cómo la analítica puede afectar los umbrales
El umbral de 100.000 consumidores o hogares es el que muchos equipos digitales pasan por alto. Los sitios web con mucho tráfico pueden alcanzar ese número mediante visitas normales. Si los administradores de análisis, píxeles o etiquetas recopilan información personal de los residentes de California, esos visitantes pueden contar para el análisis del volumen de datos.
El umbral de venta/acciones también es importante. "Compartir" según CPRA está vinculado a la publicidad conductual entre contextos. Si divulga información personal a plataformas publicitarias para reorientación o creación de audiencia, es posible que tenga obligaciones de exclusión voluntaria incluso si el dinero no cambia de manos.
Exenciones y límites comunes
El CCPA no se aplica a todas las organizaciones ni a todos los tipos de datos. Las agencias gubernamentales y muchas organizaciones sin fines de lucro generalmente quedan fuera de la definición de negocio principal. Parte de la información regulada por leyes sectoriales específicas puede estar exenta o recibir un tratamiento diferente. Los contextos de empleo y contacto comercial han cambiado según la CPRA y deben revisarse cuidadosamente en lugar de asumirse como exentos.
No confíe en una lista de exenciones genérica sin verificar la ley vigente y el flujo de datos específico.
Flowsery
Prueba gratuita
Panel en tiempo real
Seguimiento de objetivos
Rastreo sin cookies
Lista de verificación del alcance del propietario de un sitio web
Utilice esta evaluación:
- ¿Somos una entidad con fines de lucro?
- ¿Hacemos negocios en California?
- ¿Recopilamos información personal de los residentes de California?
- ¿Estamos por encima del umbral de ingresos actual?
- ¿Compramos, vendemos o compartimos información personal de 100.000 o más residentes u hogares de California?
- ¿Obtenemos un 50% o más de ingresos vendiendo o compartiendo información personal?
- ¿Nuestras herramientas de análisis o publicidad revelan datos a terceros?
- ¿Utilizamos publicidad conductual multicontexto?
- ¿Respetamos las señales de preferencia de exclusión voluntaria cuando sea necesario?
- ¿Están vigentes nuestra política de privacidad y nuestros contratos?
Por qué ayuda el análisis de privacidad primero
Si su configuración de análisis evita cookies, identificadores persistentes, almacenamiento completo de IP, creación de perfiles entre sitios e intercambio de datos publicitarios, el análisis CCPA se vuelve más simple. Es posible que aún sea una empresa cubierta debido a otras operaciones, pero el sistema de análisis en sí crea menos obligaciones y menos casos extremos de derechos de usuario.
Para las empresas en crecimiento, ese es el punto estratégico. Diseñe análisis para que responda preguntas comerciales sin acercarlo a umbrales de privacidad evitables o complejidad de "venta/compartición".
Cómo estimar los umbrales de visitantes
No espere hasta fin de año para estimar si el umbral de 100.000 consumidores o hogares podría importar. Utilice una revisión mensual conservadora para el tráfico de California. Combine análisis web, registros de servidores, registros de cuentas, registros de boletines y audiencias de plataformas publicitarias cuando sea relevante. Deduplicar sólo cuando tenga un método defendible; la deduplicación excesivamente confiada puede ocultar el riesgo.
También separe la recogida de la compartición. Un sitio con mucho tráfico que utiliza análisis agregados propios puede tener un perfil de obligación diferente al de un sitio con poco tráfico que envía identificadores a redes publicitarias para publicidad conductual en contextos cruzados. Mantenga una nota simple al lado de cada rastreador principal: recopila información personal, la comparte con fines publicitarios, respeta la exclusión voluntaria y admite la eliminación. Eso hace que el análisis del alcance sea mucho más fácil cuando el negocio crece.
Lista de verificación de revisión del alcance CCPA
Revise la pregunta de alcance trimestralmente si el tráfico, la inversión publicitaria, los ingresos o el tamaño de la audiencia de California están creciendo. Consulte la página de umbrales de la CPPA actual, calcule de manera conservadora a los consumidores o hogares de California y separe la recaudación ordinaria de la venta o el intercambio para publicidad conductual en contextos cruzados.
Para análisis, revise los píxeles publicitarios, los destinos del administrador de etiquetas, la conversión del lado del servidor APIs, los proveedores de enriquecimiento, las propiedades de eventos, los enlaces de exclusión voluntaria, el manejo del control de privacidad global, los límites de datos confidenciales, los contratos de proveedores y la retención. Si el análisis agregado responde a la pregunta comercial, utilícelo en lugar de compartirlo a nivel de visitante.
¿Te resultó útil este artículo?
¡Cuéntanos qué opinas!
Antes de irte...
Flowsery
Analítica orientada a ingresos para tu sitio web
Rastrea cada visitante, fuente y conversión en tiempo real. Simple, potente y totalmente conforme con el RGPD.
Panel en tiempo real
Seguimiento de objetivos
Rastreo sin cookies
Artículos relacionados
Una guía práctica de HIPAA, CCPA y RGPD comparados
Aprende cómo HIPAA, CCPA y RGPD comparados afecta a la analítica respetuosa con la privacidad, la calidad de medición y las decisiones prácticas del sitio web.
Una guía práctica de Infracciones comunes de HIPAA y cómo evitarlas
Infracciones comunes de HIPAA y cómo evitarlas cubre las infracciones, salvaguardas y errores de flujo de trabajo que con mayor frecuencia generan multas y cumplimiento.
Una guía práctica de analítica centrada en la privacidad
Aprende cómo analítica centrada en la privacidad afecta a la analítica respetuosa con la privacidad, la calidad de medición y las decisiones prácticas del sitio web.