¿Qué es la CCPA? Guía sobre la Ley de Privacidad del Consumidor de California
La Ley de Privacidad del Consumidor de California (CCPA) es la ley de privacidad estatal más importante de los Estados Unidos. Desde su entrada en vigor el 1 de enero de 2020 – y tras ser reforzada de forma sustancial por la Ley de Derechos de Privacidad de California (CPRA) en 2023 – ha establecido el estándar de protección de datos de los consumidores en EE. UU.
Si su sitio web tiene visitantes de California, es probable que la CCPA le sea aplicable. Con una población de casi 40 millones de personas y una cuota desproporcionada del tráfico de internet en EE. UU., la mayoría de los editores con audiencia estadounidense necesitan conocer esta ley. Esta guía explica qué es la CCPA, qué exige, cómo la modificó la CPRA y qué deben hacer los editores para cumplirla.
¿Qué es la CCPA?
CCPA son las siglas de California Consumer Privacy Act (Ley de Privacidad del Consumidor de California). Fue promulgada en junio de 2018 y entró en vigor el 1 de enero de 2020. Fue la primera ley integral de privacidad del consumidor de los Estados Unidos: otorga a los residentes de California derechos específicos sobre su información personal e impone obligaciones a las empresas que la recopilan.
La ley surgió como respuesta directa a la creciente preocupación por la forma en que las empresas – en particular las grandes plataformas tecnológicas – recopilan, venden y comparten datos personales. Estuvo parcialmente inspirada en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, aunque adopta un enfoque netamente americano al centrarse en el derecho a la exclusión voluntaria (opt-out) en lugar de exigir un consentimiento previo.
La CCPA es aplicada por el Fiscal General de California y, desde las enmiendas de la CPRA, por la Agencia de Protección de la Privacidad de California (CPPA), el primer organismo estatal dedicado exclusivamente a la aplicación de la privacidad en EE. UU.
¿A quién se aplica la CCPA?
La CCPA se aplica a las empresas con ánimo de lucro que recopilan información personal de residentes de California y que cumplen al menos uno de los siguientes umbrales:
- Ingresos brutos anuales superiores a 25 millones de dólares.
- Volumen de datos: la empresa compra, vende o comparte información personal de 100.000 o más consumidores, hogares o dispositivos de California al año.
- Ingresos procedentes de datos: la empresa obtiene el 50 % o más de sus ingresos anuales de la venta o el intercambio de información personal de los consumidores.
Para los editores, el umbral de ingresos es el criterio más habitual. Si su sitio web genera más de 25 millones de dólares en ingresos anuales y recibe visitantes de California, la CCPA le es aplicable. Los editores más pequeños también pueden quedar sujetos a la ley si atienden suficiente tráfico de California como para superar el umbral de volumen de datos, o si el intercambio de datos a través de la publicidad programática constituye una parte significativa de sus ingresos.
Cabe destacar que la CCPA no exige que una empresa esté establecida en California – ni siquiera en los Estados Unidos – . Cualquier entidad con ánimo de lucro que opere en California y supere los umbrales indicados está sujeta a la ley.
¿Qué es la información personal según la CCPA?
La CCPA define la información personal de forma amplia: abarca cualquier información que «identifique, se relacione con, describa, pueda asociarse razonablemente o pueda vincularse, directa o indirectamente, con un consumidor o un hogar en particular».
Para los editores, las categorías más relevantes son:
- Identificadores: nombres, direcciones de correo electrónico, direcciones IP, nombres de cuenta
- Actividad en internet: historial de navegación, historial de búsquedas, interacciones con un sitio web o un anuncio
- Datos de geolocalización: ubicación aproximada derivada de direcciones IP
- Identificadores de dispositivo: cookies, ID de publicidad, huellas digitales de dispositivos
- Inferencias: perfiles elaborados a partir de datos recopilados que reflejan preferencias, comportamientos o intereses
Esta amplia definición implica que gran parte de los datos recopilados mediante las operaciones habituales de ad tech – seguimiento por cookies, segmentación de audiencias, señales de subastas en tiempo real – queda comprendida en el ámbito de la CCPA.
Derechos de los consumidores bajo la CCPA
La CCPA reconoce a los consumidores de California un conjunto de derechos sobre su información personal. Estos derechos fueron ampliados por las enmiendas de la CPRA, lo que hace que el marco actual sea más completo que la versión original de 2020.
Derecho a saber
Los consumidores pueden solicitar a una empresa que revele qué información personal ha recopilado sobre ellos, las fuentes de las que procede, la finalidad comercial para la que fue recopilada, las categorías de terceros con quienes se ha compartido y los datos específicos recopilados.
Derecho de supresión
Los consumidores pueden solicitar a una empresa que elimine la información personal que ha recopilado sobre ellos. La empresa también debe ordenar a sus proveedores de servicios que eliminen los datos, con excepciones limitadas (como completar una transacción, detectar incidentes de seguridad o cumplir una obligación legal).
Derecho a la exclusión de la venta o el intercambio
Esta es la disposición más característica de la CCPA. Los consumidores tienen derecho a ordenar a una empresa que deje de vender o compartir su información personal. Con las enmiendas de la CPRA, el concepto de «compartir» se incorporó junto al de «vender» para cubrir expresamente la transferencia de datos personales para publicidad comportamental entre contextos, lo que resulta directamente relevante para la publicidad programática.
Las empresas que venden o comparten información personal deben incluir un enlace visible de «No vender ni compartir mi información personal» en su sitio web.
Derecho de rectificación
Introducido por la CPRA, los consumidores pueden solicitar a una empresa que corrija la información personal inexacta que conserva sobre ellos.
Derecho a limitar el uso de información personal sensible
También incorporado por la CPRA, los consumidores pueden indicar a las empresas que limiten el uso y la divulgación de su información personal sensible – como la geolocalización precisa, la raza, los datos de salud o la información financiera – a lo estrictamente necesario para prestar el servicio solicitado.
Derecho a la no discriminación
Las empresas no pueden discriminar a los consumidores que ejerzan sus derechos bajo la CCPA, por ejemplo, cobrándoles precios más altos, ofreciéndoles un servicio inferior o denegándoles el acceso a servicios.
¿Qué es la CPRA? Cómo modificó la CCPA
La Ley de Derechos de Privacidad de California (CPRA) fue aprobada por los votantes de California en noviembre de 2020 como la Proposición 24. Entró en vigor el 1 de enero de 2023 y modificó y amplió la CCPA original sin reemplazarla. La ley combinada se conoce habitualmente como «CCPA enmendada por la CPRA» o simplemente «CCPA/CPRA».
Los principales cambios que introdujo la CPRA son:
- Nueva categoría: «compartir»: la CPRA añadió el «intercambio» de información personal como actividad regulada junto a la «venta». Compartir implica la transferencia de datos para publicidad comportamental entre contextos, independientemente de si media una contraprestación económica. Esto cubre directamente los flujos de datos en la publicidad programática.
- Información personal sensible: la CPRA creó una nueva categoría de datos sensibles (números de la Seguridad Social, geolocalización precisa, origen racial o étnico, datos de salud) con derechos adicionales para que los consumidores limiten su uso.
- Derecho de rectificación: los consumidores obtuvieron el derecho a solicitar la corrección de su información personal inexacta.
- Minimización de datos: las empresas deben limitar la recopilación y la conservación de datos a lo que sea «razonablemente necesario y proporcional» para la finalidad declarada.
- Agencia de Protección de la Privacidad de California (CPPA): la CPRA creó un organismo de aplicación dedicado con competencia normativa, complementando los poderes de aplicación del Fiscal General de California.
- Requisitos contractuales ampliados: normas más estrictas para los contratos con proveedores de servicios, contratistas y terceros que traten información personal.
- Evaluaciones de riesgos: las empresas deben realizar auditorías de ciberseguridad y evaluaciones de riesgos periódicas para las actividades de tratamiento de alto riesgo.
CCPA vs RGPD: diferencias clave
La CCPA y el RGPD son ambas leyes de privacidad integrales, pero adoptan enfoques fundamentalmente distintos. Comprender las diferencias es esencial para los editores que atienden audiencias tanto en California como en Europa.
| Aspecto | CCPA/CPRA | RGPD |
|---|---|---|
| Modelo de consentimiento | Exclusión voluntaria (opt-out): los consumidores deben elegir activamente detener la venta o el intercambio de sus datos | Consentimiento previo (opt-in): las empresas deben obtener el consentimiento antes de tratar los datos |
| Ámbito de aplicación | Empresas con ánimo de lucro que superan los umbrales de ingresos o volumen de datos | Todas las organizaciones que traten datos personales de personas en la UE/EEE |
| Personas protegidas | Residentes de California («consumidores») | Cualquier persona en la UE/EEE («interesados») |
| Definición de datos personales | Incluye datos a nivel de hogar | Limitada a personas físicas identificadas o identificables |
| Base legal para el tratamiento | No es obligatoria: las empresas pueden tratar datos salvo que el consumidor se excluya | Se requiere una de las seis bases legales (consentimiento, contrato, interés legítimo, etc.) |
| Datos sensibles | Derecho a limitar su uso (CPRA) | Tratamiento generalmente prohibido sin consentimiento explícito |
| Aplicación | Fiscal General de California + CPPA; acción civil privada en caso de brechas de datos | Autoridades nacionales de protección de datos; multas de hasta el 4 % de los ingresos globales |
| Sanciones | Hasta 2.500 $ por infracción; hasta 7.500 $ por infracción intencionada | Hasta 20 millones de euros o el 4 % de la facturación anual global |
La diferencia más relevante para los editores es el modelo de consentimiento. Con el RGPD, debe obtener el consentimiento afirmativo antes de establecer cookies publicitarias o compartir datos con proveedores de ad tech. Con la CCPA, puede tratar los datos por defecto, pero debe ofrecer a los consumidores la posibilidad de excluirse de la venta o el intercambio de su información.
En la práctica, los editores que atienden ambas audiencias necesitan implementar ambos modelos: opt-in para los visitantes europeos y opt-out para los californios. Una plataforma de gestión de consentimiento (CMP) que gestione ambos marcos simplifica considerablemente esta tarea.
Cumplimiento de la CCPA para editores
Cumplir con los requisitos de la CCPA implica varios pasos prácticos. A continuación se detalla lo que los editores deben tener implementado.
1. Determine si la CCPA le es aplicable
Revise los umbrales de aplicabilidad: 25 millones de dólares en ingresos anuales, datos de 100.000 o más consumidores de California tratados al año, o el 50 % o más de los ingresos procedentes de la venta o el intercambio de información personal. Si cumple alguno de estos criterios, está obligado a cumplir la ley.
Aunque no supere los umbrales, tenga en cuenta que otras leyes de privacidad estatales en EE. UU. (como las de Virginia, Colorado, Connecticut y otros estados) pueden seguir siendo aplicables, y muchas siguen un modelo de exclusión voluntaria similar.
2. Proporcione los enlaces de exclusión voluntaria requeridos
Si vende o comparte información personal – y la publicidad programática generalmente se considera «intercambio» según la definición de la CPRA – debe mostrar un enlace de «No vender ni compartir mi información personal» en su sitio web. Este enlace debe ser claramente visible y estar operativo.
También debe respetar la señal del Control Global de Privacidad (GPC). El GPC es una configuración a nivel de navegador que comunica automáticamente la preferencia de exclusión del consumidor. Según la normativa CCPA, las empresas deben tratar una señal GPC como una solicitud de exclusión válida.
3. Actualice su política de privacidad
La CCPA exige divulgaciones específicas en su política de privacidad, entre ellas:
- Las categorías de información personal recopiladas en los últimos 12 meses
- Las finalidades para las que se recopila y utiliza cada categoría
- Las categorías de terceros con quienes se comparte la información personal
- Si la información personal se vende o comparte y las categorías implicadas
- Los derechos de los consumidores bajo la CCPA y cómo ejercerlos
- El periodo de conservación de cada categoría de información personal (añadido por la CPRA)
La política de privacidad debe actualizarse al menos una vez cada 12 meses.
4. Gestione las solicitudes de los consumidores
Debe ofrecer al menos dos métodos para que los consumidores presenten solicitudes (por ejemplo, un número de teléfono gratuito y un formulario web). Las solicitudes deben responderse en un plazo de 45 días, con la posibilidad de ampliar el plazo otros 45 días en casos complejos.
También necesita un proceso para verificar la identidad de los consumidores que realizan solicitudes, con el fin de evitar el acceso no autorizado a información personal.
5. Implemente una plataforma de gestión de consentimiento
Para los editores que gestionan publicidad programática, una plataforma de gestión de consentimiento es esencial para el cumplimiento de la CCPA. Una CMP gestiona el mecanismo de exclusión voluntaria, procesa las señales GPC, administra la funcionalidad de «No vender ni compartir» y garantiza que sus proveedores de ad tech respeten las elecciones de los consumidores.
Clickio Consent ofrece soporte para las leyes de privacidad de EE. UU. a través del marco nacional del Global Privacy Platform (GPP) del IAB. Incluye soporte integrado para la exclusión de la publicidad dirigida, el reconocimiento de señales GPC, la exclusión del tratamiento de datos sensibles y las protecciones para los datos de menores. Puede configurarlo para cubrir únicamente los estados que exigen legalmente mecanismos de exclusión voluntaria, o para aplicarlo a nivel nacional para un cumplimiento más amplio.
6. Revise los contratos con proveedores de servicios y contratistas
La CCPA/CPRA exige disposiciones contractuales específicas con cualquier proveedor de servicios, contratista o tercero que trate información personal en su nombre. Estos contratos deben restringir el uso que el destinatario puede hacer de los datos y obligarle a cumplir las obligaciones de la CCPA.
Sanciones y aplicación de la CCPA
La aplicación de la CCPA está a cargo de dos organismos: el Fiscal General de California y la Agencia de Protección de la Privacidad de California (CPPA).
Las sanciones por incumplimiento incluyen:
- Hasta 2.500 $ por infracción no intencionada
- Hasta 7.500 $ por infracción intencionada
- Hasta 7.500 $ por infracción relativa a datos de menores (según la CPRA, estas infracciones no tienen periodo de subsanación)
Estas sanciones se aplican por infracción y por consumidor, lo que significa que un fallo sistemático que afecte a miles de consumidores de California puede derivar en multas cuantiosas. La CPRA también eliminó el periodo de subsanación de 30 días que preveía la CCPA original, aunque la CPPA puede concederlo a su discreción.
Además, la CCPA reconoce una acción civil privada en caso de brechas de datos. Si una empresa no implementa medidas de seguridad razonables y una brecha expone la información personal de los consumidores, los afectados pueden reclamar daños estatutarios de entre 100 y 750 dólares por consumidor y por incidente, o los daños reales sufridos, aplicándose el importe mayor.
La CCPA y el panorama más amplio de la privacidad en EE. UU.
La CCPA fue la primera ley integral de privacidad estatal en EE. UU., pero ya no es la única. Desde 2021, un número creciente de estados ha aprobado sus propias leyes de privacidad del consumidor, muchas de las cuales siguen un modelo de exclusión voluntaria similar.
Los estados con leyes integrales de privacidad actualmente en vigor incluyen Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Texas (TDPSA), Oregón (OCPA), Montana (MCDPA) y otros. Aunque los detalles varían, la mayoría comparten elementos comunes con la CCPA: derechos de los consumidores de acceso, supresión y exclusión de la venta de datos o de la publicidad dirigida.
Para los editores, este mosaico de leyes estatales refuerza la importancia de contar con una solución de gestión del consentimiento que abarque múltiples jurisdicciones. En lugar de crear mecanismos de cumplimiento independientes para cada estado, una CMP que cubra el conjunto de leyes de privacidad estatales de EE. UU. ofrece un enfoque práctico y escalable.
Preguntas frecuentes sobre la CCPA
¿Se aplica la CCPA a las organizaciones sin ánimo de lucro?
No. La CCPA se aplica únicamente a las empresas con ánimo de lucro que superan los umbrales de aplicabilidad. Las organizaciones sin ánimo de lucro y los organismos gubernamentales están generalmente exentos, aunque las filiales con ánimo de lucro de entidades sin ánimo de lucro sí quedan sujetas a la ley.
¿La publicidad programática se considera «venta» o «intercambio» de datos?
Según la definición de la CPRA, la transferencia de información personal para publicidad comportamental entre contextos se considera «intercambio», incluso si no media contraprestación económica. Esto significa que las subastas en tiempo real y la mayoría de las formas de publicidad programática implican «compartir» datos en el sentido de la CCPA/CPRA, lo que activa los requisitos de exclusión voluntaria.
¿Qué es el Control Global de Privacidad (GPC) y debo implementarlo?
El Control Global de Privacidad es una señal a nivel de navegador que comunica la preferencia de exclusión voluntaria de un usuario. Según la normativa CCPA, las empresas deben tratar una señal GPC como una solicitud de exclusión legalmente vinculante. La implementación del GPC no es opcional para las empresas sujetas a la CCPA.
¿Cuál es la diferencia entre la CCPA y la CPRA?
La CPRA no es una ley independiente: es una enmienda a la CCPA que entró en vigor el 1 de enero de 2023. La CPRA amplió la CCPA incorporando nuevos derechos de los consumidores (rectificación, limitación del uso de datos sensibles), creando la CPPA como organismo de aplicación, introduciendo requisitos de minimización de datos y ampliando la definición de actividades de datos reguladas para incluir el «intercambio». Cuando se habla de «CCPA», generalmente se hace referencia a la ley tal y como ha sido enmendada por la CPRA.
¿Se puede cumplir la CCPA y el RGPD al mismo tiempo?
Sí, pero debe aplicar mecanismos distintos según la ubicación del visitante. Los visitantes europeos requieren el consentimiento previo (RGPD), mientras que los visitantes de California necesitan un mecanismo de exclusión voluntaria (CCPA). Una plataforma de gestión de consentimiento que sea compatible tanto con el marco de consentimiento del RGPD como con las leyes de privacidad estatales de EE. UU. puede gestionar esto de forma automática, mostrando la interfaz adecuada según la jurisdicción del visitante.
Conclusión
La Ley de Privacidad del Consumidor de California – reforzada por la CPRA – ha establecido el estándar de referencia para la privacidad del consumidor en los Estados Unidos. Para los editores, los requisitos clave son claros: ofrecer mecanismos de exclusión voluntaria de la venta e intercambio de datos personales, respetar las señales GPC, mantener políticas de privacidad transparentes y gestionar las solicitudes de los consumidores con prontitud.
A medida que más estados siguen el ejemplo de California, invertir ahora en una configuración de cumplimiento de privacidad sólida resultará beneficioso a medida que el panorama regulatorio continúe expandiéndose. Una plataforma de gestión de consentimiento que sea compatible tanto con el RGPD como con las leyes de privacidad estatales de EE. UU. permite gestionar el cumplimiento en todas las jurisdicciones desde una única solución, ahorrando tiempo y reduciendo el riesgo de infracciones.
Clickio Consent ofrece soporte integral para las leyes de privacidad de EE. UU. a través del marco IAB GPP, incluyendo la gestión de la exclusión voluntaria bajo la CCPA, el procesamiento de señales GPC y la cobertura de más de 20 leyes de privacidad estatales, junto con el cumplimiento completo del RGPD y TCF v2.3 para su audiencia europea.