La Privacy Right Act de California mejora la protección de datos e introduce nuevos derechos equiparables a los de la Unión Europea

11-11-2020 — AR/2020/173

El estado de California aprobó la Ley del derechos de privacidad de California (CPRA, por sus siglas en inglés) que amplía los derechos de los residentes en California y otorga a los consumidores mayor control sobre su información. Este estado es pionero en los EE. UU. en actualizar la legislación de datos y parece que con ello busca alinearse con el nivel de protección de la Unión Europea y favorecer así los intercambios de datos con ella.

California, en los Estados Unidos, se halla a la cabeza en la promulgación de normas sobre el ámbito de la privacidad.

Otros estados están siguiendo este camino, pero algunas normas aprobadas en California pueden llegar a tener alcance federal, como la Ley de notificación de brechas de seguridad (Security breach notification law [California Civil Code §1798.82]).

Este estado ha dado un paso más con la aprobación, el 3-11-2020, de una nueva norma, la Ley de derechos de privacidad de California, «The California Privacy Rights Act Of 2020» (CPRA), que entrará en vigor el 1 de febrero de 2023.

Esta nueva ley introduce diversas enmiendas a la CCPA con las que incrementa los derechos de los consumidores. Al fortalecer las normas de privacidad, parece buscar la alineación del sistema de protección en California al de la Unión Europea, para facilitar las transferencias de datos y, además, promover el proceso de aprobación de una futura ley federal de privacidad.

Antecedentes de la nueva ley

En 2018, California aprobó la Ley de privacidad de los consumidores, conocida como CCPA (por sus siglas en inglés). Desde entonces, se ha considerado a esta ley de privacidad como la más rigurosa de los Estados Unidos.

Esta ley atribuye a los consumidores (entendiendo por tal cualquier persona física residente en California) cuatro derechos básicos relacionados con su información personal:

  1. Derecho de acceso.
  2. Derecho a oponerse a que las compañías vendan su información personal a terceros.
  3. Derecho de supresión de la información.
  4. Derecho a no sufrir represalias por ejercer derechos de privacidad, como pueden ser la negativa a suministrarles bienes o servicios, discriminación en el precio o en las condiciones del servicio o la amenaza de sufrir tales discriminaciones.

Asimismo impone a las compañías la obligación de informar acerca del tratamiento de datos personales mediante políticas de protección de datos, y de renovar estas políticas cada 12 meses, entre otros aspectos.

La nueva Ley de derechos de privacidad de California 

Los principales cambios que introduce esta norma son:

Creación de una Agencia de Privacidad

Esta Agencia de Privacidad de California es la primera de su tipo en los Estados Unidos.

Estará formada por una junta de 5 miembros con plenos poderes administrativos y jurisdiccionales para hacer cumplir la CPRA. En la actualidad, es el Fiscal General de California quien ejerce los poderes administrativos de control de cumplimiento de la CCPA. La Agencia de Protección de la Privacidad de California asumirá esta autoridad de control independiente y especializada.

Atribución a los consumidores de nuevos derechos

Estos nuevos derechos, que se suman a los ya existentes, son:

  1. Derecho de rectificación.
  2. Derecho a conocer el plazo de conservación de los datos.
  3. Derecho de exclusión de anunciantes que utilicen una localización geográfica precisa.
  4. Derecho de oposición al uso de información sensible en el tratamiento de los datos.

Nuevos conceptos relacionados con la protección de datos

Entre estos conceptos que se introducen, se encuentra el de «información personal sensible», para atribuir un régimen especial, más estricto, a la información biométrica, las credenciales de cuentas o los datos genéticos, entre otros.

Moratoria para la protección de los datos de los empleados

Se prorroga la moratoria del sometimiento al sistema de protección de los datos de los empleados hasta el 1 de enero de 2023, fecha de entrada en vigor de la CPRA. A partir de esta fecha, los datos de empleados estarán también protegidos.

Acciones legales ante los responsables de tratamiento

Se amplían también los supuestos en los que se permiten ejercer acciones legales frente a los responsables del tratamiento de los datos y reclamar la indemnización de daños.

Incluye también los supuestos de acceso no autorizado a los datos, la divulgación de correos electrónicos y contraseñas o la infracción del deber de mantener medidas de seguridad razonables.

Iniciativas relacionadas
Documentos vinculados
Ámbitos
Más información