CCPA vs LGPD: Comparación de las leyes de privacidad de California y Brasil
El CCPA y la LGPD representan enfoques fundamentalmente diferentes para la regulación de la privacidad. El CCPA es una ley de exclusión que permite la recopilación de datos por defecto y otorga a los consumidores el derecho a decir que no. La LGPD sigue un modelo de consentimiento previo más similar al GDPR, requiriendo una base legal antes de procesar datos personales. También difieren en alcance, sanciones y los derechos otorgados a las personas.
| Característica | CCPA | LGPD |
|---|---|---|
| Alcance geográfico | California, Estados Unidos | Brasil (se aplica al procesamiento de datos de personas en Brasil) |
| A quién se aplica | Empresas con fines de lucro que cumplan umbrales de ingresos, volumen de datos o ventas de datos | Cualquier organización que procese datos personales de personas en Brasil, sin umbrales mínimos |
| Requisitos de consentimiento | Opt-out: recopilación de datos por defecto con derecho a excluirse de la venta | Consentimiento previo: se requiere una de 10 bases legales, el consentimiento es la más común |
| Reglas de cookies y seguimiento | Sin ley específica de cookies; la venta mediante seguimiento activa derechos de exclusión | Sin ley específica de cookies; los principios de consentimiento se aplican a cookies y seguimiento |
| Derechos individuales | Conocer, eliminar, excluirse de la venta, no discriminación | Acceso, corrección, anonimización, eliminación, portabilidad, información sobre compartición, revisión de decisiones automatizadas |
| Sanciones máximas | $7.500 por violación intencional, $2.500 por violación no intencional | Hasta el 2% de los ingresos en Brasil, limitado a BRL 50 millones por infracción |
| Autoridad de aplicación | Fiscal General de California y CPPA | ANPD (Autoridade Nacional de Protecao de Dados) |
Diferencias clave
El modelo de consentimiento es la diferencia más fundamental. El CCPA permite a las empresas recopilar y usar información personal por defecto, otorgando a los consumidores el derecho a excluirse de la venta de esa información. La LGPD requiere una de 10 bases legales antes de procesar datos personales, siendo el consentimiento la más común. Esto significa que la LGPD requiere permiso afirmativo en muchos casos donde el CCPA no lo haría.
Las estructuras de sanciones difieren significativamente. Las multas del CCPA son por violación ($7.500 por intencional, $2.500 por no intencional), que pueden acumularse pero tienden a ser predecibles. Las sanciones de la LGPD son basadas en porcentaje, hasta el 2% de los ingresos de la empresa en Brasil, limitadas a BRL 50 millones por infracción. Para empresas con grandes operaciones en Brasil, las multas de la LGPD pueden ser sustanciales.
El alcance también difiere. El CCPA se aplica solo a empresas con fines de lucro que cumplan umbrales específicos y solo protege a los residentes de California. La LGPD se aplica a cualquier organización que procese datos personales de personas ubicadas en Brasil, independientemente de dónde esté basada la organización y sin umbrales de ingresos o volumen de datos. Este alcance extraterritorial es similar al del GDPR.
Cómo ayuda Pryvii
Pryvii analiza su sitio web contra los requisitos del CCPA y la LGPD en un solo paso. Verifica los mecanismos de exclusión necesarios bajo el CCPA, los mecanismos de consentimiento requeridos por la LGPD y asegura que su política de privacidad aborde ambos marcos. El informe multi-regulación destaca claramente dónde su sitio no cumple con cada ley.
Preguntas frecuentes
Si cumplo con el CCPA, ¿también cumplo con la LGPD?
No. El modelo de exclusión del CCPA es fundamentalmente diferente del enfoque de consentimiento previo de la LGPD. El cumplimiento del CCPA por sí solo no satisface los requisitos de la LGPD. Necesitaría implementar mecanismos de consentimiento, establecer una base legal para el procesamiento y potencialmente designar un DPO (encarregado) para cumplir con la LGPD.
¿Se aplica la LGPD a mi negocio si estoy basado en Estados Unidos?
Sí, si procesa datos personales de personas ubicadas en Brasil. La LGPD tiene alcance extraterritorial similar al GDPR, aplicándose independientemente de dónde esté la sede de la organización de procesamiento. Si su sitio web recopila datos de visitantes brasileños, la LGPD puede aplicarse.
¿Qué ley otorga más derechos a los consumidores?
La LGPD proporciona un conjunto más amplio de derechos individuales, incluyendo acceso, corrección, anonimización, eliminación, portabilidad, información sobre compartición con terceros y el derecho a revisar decisiones automatizadas. El CCPA proporciona los derechos a conocer, eliminar, excluirse de la venta y no discriminación. El marco de derechos de la LGPD es más completo.
Comparaciones relacionadas
Verifique su cumplimiento
Analice su sitio web frente a múltiples regulaciones en minutos.