CCPA vs CPRA: Qué cambió en la ley de privacidad de California
El CPRA (Ley de Derechos de Privacidad de California) fue aprobado por los votantes de California en 2020 y entró en vigor el 1 de enero de 2023. Modificó y amplió significativamente el CCPA original al introducir la información personal sensible como categoría, añadir requisitos de minimización de datos y limitación de finalidad, crear la agencia de aplicación CPPA y ampliar los derechos del consumidor incluyendo la corrección y la exclusión de la toma de decisiones automatizada.
| Característica | CCPA | CPRA |
|---|---|---|
| Alcance geográfico | California, Estados Unidos (vigente desde enero de 2020) | California, Estados Unidos (vigente desde enero de 2023, modificando el CCPA) |
| A quién se aplica | Empresas con fines de lucro que cumplan umbrales de ingresos, volumen de datos o ventas de datos | Mismos umbrales que el CCPA, pero también cubre la compartición de información personal |
| Requisitos de consentimiento | Exclusión de la venta de información personal | Exclusión de la venta y compartición; derecho a limitar el uso de información personal sensible |
| Reglas de cookies y seguimiento | Sin reglas específicas de cookies; el derecho de exclusión se activa por la venta de datos mediante seguimiento | Los derechos de exclusión se extienden a la publicidad conductual entre contextos mediante cookies |
| Derechos individuales | Conocer, eliminar, excluirse de la venta, no discriminación | Conocer, eliminar, corregir, excluirse de la venta/compartición, limitar el uso de IP sensible, portabilidad |
| Sanciones máximas | $7.500 por violación intencional, $2.500 por violación no intencional | $7.500 por violación intencional, $2.500 por no intencional; aplicación adicional de la CPPA |
| Autoridad de aplicación | Fiscal General de California | Agencia de Protección de la Privacidad de California (CPPA) y Fiscal General de California |
Diferencias clave
El CPRA introdujo el concepto de información personal sensible, una nueva categoría de datos que incluye números de Seguro Social, geolocalización precisa, origen racial o étnico, datos biométricos, información de salud y contenido de correo o mensajes de texto. Los consumidores obtuvieron el derecho de limitar el uso y la divulgación de esta información sensible. El CCPA original no distinguía entre información personal sensible y no sensible.
La minimización de datos y la limitación de finalidad son nuevos requisitos bajo el CPRA. Las empresas ahora solo deben recopilar información personal que sea razonablemente necesaria y proporcional para los propósitos declarados, y no deben retenerla más tiempo del necesario. El CCPA no tenía tales requisitos, permitiendo prácticas de recopilación de datos más amplias.
El CPRA también creó la Agencia de Protección de la Privacidad de California (CPPA), la primera agencia dedicada de aplicación de la privacidad en los Estados Unidos. Bajo el CCPA, la aplicación era manejada únicamente por el Fiscal General de California. La CPPA tiene autoridad normativa y puede investigar e iniciar acciones de aplicación de forma independiente. El CPRA también amplió el derecho de exclusión para incluir la compartición de datos para publicidad conductual entre contextos, no solo la venta de datos.
Cómo ayuda Pryvii
Pryvii verifica su sitio web tanto para los requisitos originales del CCPA como para las obligaciones ampliadas del CPRA. Verifica que los enlaces de exclusión cubran tanto la venta como la compartición, comprueba las divulgaciones de información personal sensible y asegura que su política de privacidad refleje los derechos y requisitos actualizados bajo el CPRA.
Preguntas frecuentes
¿Necesito actualizar mi sitio web para el CPRA si ya cumplía con el CCPA?
Sí. El CPRA introdujo nuevos requisitos que van más allá del CCPA original. Necesita actualizar su política de privacidad para reflejar nuevos derechos (corrección, portabilidad), añadir mecanismos de exclusión para la compartición de datos, incluir divulgaciones de información personal sensible e implementar programas de retención de datos.
¿Cuál es la diferencia entre vender y compartir bajo el CPRA?
Bajo el CCPA, el derecho de exclusión solo se aplicaba a la venta de información personal por contraprestación monetaria. El CPRA amplió esto para incluir la 'compartición', definida como hacer disponible la información personal para publicidad conductual entre contextos, incluso sin intercambio monetario. Esto captura muchas prácticas de tecnología publicitaria y análisis.
¿Cuándo entró en vigor el CPRA?
El CPRA entró en vigor el 1 de enero de 2023, con un período retroactivo al 1 de enero de 2022. La CPPA comenzó la aplicación formal el 1 de julio de 2023. Las empresas deberían haber actualizado sus prácticas antes de estas fechas, pero las acciones de aplicación pueden hacer referencia a prácticas de datos del período retroactivo.
Comparaciones relacionadas
Verifique su cumplimiento
Analice su sitio web frente a múltiples regulaciones en minutos.