GDPR vs CPRA: Cómo se compara la ley más reciente de California
El CPRA (Ley de Derechos de Privacidad de California) modificó y amplió el CCPA con vigencia a partir de enero de 2023. Aunque acercó la ley de privacidad de California a los estándares del GDPR al añadir principios de minimización de datos y limitación de finalidad, aún mantiene el modelo de consentimiento de exclusión. El CPRA también creó la Agencia de Protección de la Privacidad de California (CPPA) como organismo de aplicación dedicado.
| Característica | GDPR | CPRA |
|---|---|---|
| Alcance geográfico | Unión Europea y estados miembros del EEE | California, Estados Unidos (vigente desde enero de 2023) |
| A quién se aplica | Cualquier organización que procese datos de residentes de la UE | Empresas con fines de lucro que cumplan los umbrales del CCPA, ahora incluye la compartición además de la venta |
| Requisitos de consentimiento | Opt-in: se requiere consentimiento afirmativo antes del procesamiento | Opt-out: los consumidores pueden excluirse de la venta y compartición de información personal |
| Reglas de cookies y seguimiento | Las cookies no esenciales requieren consentimiento explícito previo | Sin reglas específicas de cookies, pero la publicidad conductual entre contextos activa derechos de exclusión |
| Derechos individuales | Acceso, rectificación, supresión, portabilidad, restricción, oposición | Conocer, eliminar, corregir, excluirse de la venta/compartición, limitar el uso de IP sensible, portabilidad |
| Sanciones máximas | Hasta EUR 20 millones o el 4% de la facturación anual global | Hasta $7.500 por violación intencional, aplicado por la CPPA y el Fiscal General |
| Autoridad de aplicación | Autoridades Nacionales de Protección de Datos de cada estado miembro de la UE | Agencia de Protección de la Privacidad de California (CPPA) y Fiscal General de California |
Diferencias clave
El CPRA introdujo varios conceptos similares al GDPR en la ley de California. Añadió requisitos de minimización de datos, lo que significa que las empresas solo deben recopilar información personal que sea razonablemente necesaria para el propósito declarado. También introdujo la limitación de finalidad, requiriendo que las empresas informen a los consumidores sobre cuánto tiempo retendrán los datos y no los utilicen más allá del propósito original declarado.
Un cambio importante fue la creación de la categoría de información personal sensible bajo el CPRA. Esto incluye números de Seguro Social, detalles de cuentas financieras, geolocalización precisa, origen racial o étnico y datos biométricos. Los consumidores pueden limitar el uso y la divulgación de información sensible. El GDPR tiene un concepto similar con sus categorías especiales de datos, aunque las categorías específicas difieren ligeramente.
El CPRA también estableció la Agencia de Protección de la Privacidad de California (CPPA), un organismo regulador dedicado con autoridad normativa y de aplicación. Anteriormente, la aplicación del CCPA recaía únicamente en el Fiscal General de California. La aplicación del GDPR está a cargo de las Autoridades de Protección de Datos de cada estado miembro, muchas de las cuales existen desde hace décadas.
Cómo ayuda Pryvii
Pryvii detecta si su sitio web cumple con los requisitos más recientes del CPRA, incluyendo la verificación de divulgaciones de información personal sensible, políticas de retención de datos y la presencia de enlaces de exclusión tanto para la venta como para la compartición de información personal. Compara su sitio con los estándares del GDPR y el CPRA en un solo análisis.
Preguntas frecuentes
¿En qué se diferencia el CPRA del CCPA?
El CPRA amplió el CCPA al añadir requisitos de minimización de datos y limitación de finalidad, crear una categoría de información personal sensible, establecer la agencia de aplicación CPPA, añadir derechos de corrección y extender los derechos de exclusión para cubrir la compartición de datos para publicidad conductual entre contextos.
¿El cumplimiento del CPRA significa que también cumplo con el GDPR?
No necesariamente. Aunque el CPRA se acercó al GDPR, todavía utiliza un modelo de exclusión en lugar de inclusión. El GDPR requiere consentimiento explícito antes del procesamiento de datos, tiene derechos de los interesados más amplios y aplica diferentes bases legales para el procesamiento. Necesita abordar cada regulación por separado.
¿Qué se considera información personal sensible bajo el CPRA?
El CPRA define la información personal sensible como números de Seguro Social, números de licencia de conducir, información de cuentas financieras, geolocalización precisa, origen racial o étnico, creencias religiosas, afiliación sindical, contenido de correo/email/mensajes de texto, datos genéticos, datos biométricos, información de salud y datos sobre orientación sexual.
Comparaciones relacionadas
Verifique su cumplimiento
Analice su sitio web frente a múltiples regulaciones en minutos.