¿Qué es CPRA? Ley de derechos de privacidad de California: conceptos básicos y descripción general

Publicado: 2021-05-27

La CPRA afectará la privacidad y los derechos del consumidor en los años venideros. En noviembre de 2020, los votantes de California aprobaron la Ley de Derechos de Privacidad de California de 2020, también conocida como CPRA. Esta es una enmienda a la Ley de Privacidad del Consumidor de California (CCPA) que los votantes aprobaron en 2018.

La CPRA ha modificado, ampliado y aclarado los derechos de privacidad de los residentes de California, y se inspira en la política GDPR de la UE de varias maneras.

Por ejemplo, la CPRA crea una nueva agencia de cumplimiento. Anteriormente, la CCPA era aplicada por la Oficina del Fiscal General de California. Sin embargo, en la UE, las autoridades de protección de datos hacen cumplir el RGPD, y ahora, California también tiene una: la Agencia de Protección de la Privacidad de California (CPPA).

A esta agencia se le otorgarán facultades de investigación, aplicación y reglamentación. Lo que es más importante para las empresas, esta agencia no estará obligada a permitir un período de subsanación de 30 días, y las sanciones por algunas infracciones de la política ahora pueden ser de hasta $7,500 por infracción. Eso es un aumento de 3x.

¿Qué es CPRA? CPRA explicado

El propósito de CPRA es redefinir y expandir la Ley de Privacidad del Consumidor de California (CCPA) para fortalecer los derechos de los residentes de California. Brinda a los consumidores una mayor oportunidad de optar por no participar y requiere una gestión deliberada de la privacidad de los datos por parte de las empresas.

Con tanto en juego, es posible que se pregunte qué ha cambiado y qué significa para su empresa. No estás solo. Si bien el potencial de multas se ha triplicado, su negocio tiene hasta el 1 de enero de 2023 como tiempo de aceleración para el cumplimiento. Esto es lo que las empresas deben saber sobre la CPRA .

Ley de derechos de privacidad de California explicada: lo que su empresa necesita saber

La CCPA ya era la ley de privacidad centrada en el consumidor más sólida de los Estados Unidos. La CPRA lleva todo un paso más allá y hace que sea más desafiante para cualquier clemencia futura a menos que se revoque toda la política.

En otras palabras, desea que su negocio esté en forma según la CPRA. No hay vuelta atrás en el reloj de esta política de privacidad. En cambio, es probable que más estados comiencen a adoptar políticas similares.

Vamos a cubrir los conceptos básicos.

¿Qué es la plataforma de datos del cliente? ¿Puede mejorar CX?

Una computadora presenta datos procesables. Plataforma de datos de clientes / CDP creando soluciones para cx. Una plataforma de datos de clientes es un software diseñado para dar sentido a los datos de sus clientes para que pueda interactuar con ellos en un nivel más personal, efectivo (y valioso). Pero, ¿qué significa eso para los especialistas en marketing? ejecutivos? ¿Clientes? ¿Cómo cambian las experiencias de los CDP?

¿Cuándo debe cumplir con la CPRA?

La mayoría de las disposiciones de la Ley de derechos de privacidad de California de 2020 no entrarán en vigencia hasta el 2 de enero de 2023. Sin embargo, la información personal recopilada a partir del 1 de enero de 2022 será parte de la expansión de la sección "Derecho a saber".

Su empresa deberá permitir a los consumidores el "Derecho a saber" qué datos ha recopilado sobre ellos y cómo se utilizan para cualquier información que haya recopilado a partir del 1 de enero de 2022.

¿Quién debe cumplir con la CPRA?

No todos, y de hecho, esta es una de las áreas en las que la CPRA es más indulgente que la CCPA original.

En la CCPA, las empresas con un número total de consumidores de 50,000 o más debían cumplir. En la CPRA, ese número se duplica. La CPRA se aplica solo a empresas con más de 100.000 consumidores.

Si es una empresa con más de 100 000 clientes, se le aplicará la CPRA si genera al menos el 50 % de los ingresos anuales por la venta o el intercambio de información personal (PI) del consumidor. Esta es otra actualización en la CPRA en comparación con la CCPA. En la CCPA, solo se cubría la venta de información personal del consumidor. En la CPRA, eso se ha ampliado a “compartir”, es decir, con terceros.

¿Qué nuevas regulaciones introduce la CPRA?

Gran parte de la CPRA es una modificación de la CCPA, pero un área de introducción es la "información personal confidencial". Ahora será un conjunto de datos regulado en el estado de California.

La información personal confidencial para CPRA incluye:

  1. Identificadores gubernamentales: los ejemplos incluyen números de Seguro Social y licencias de conducir
  2. Cuenta financiera e información de inicio de sesión: los ejemplos incluyen el número de tarjeta de crédito o débito junto con las credenciales de inicio de sesión
  3. Geolocalización precisa
  4. Raza, etnia, creencias religiosas o filosóficas, o afiliación sindical
  5. Contenido de las comunicaciones no públicas: los ejemplos incluyen correo postal, correo electrónico y mensajes de texto.
  6. Datos genéticos, biométricos o de salud
  7. Información sobre la vida sexual o la orientación sexual.

Las organizaciones que recopilen, vendan o compartan esta información deberán revelar que lo están haciendo y permitir que los consumidores opten por participar o no.

Los nuevos derechos establecidos por la CPRA

  • Derecho a la corrección
  • Derecho a acceder a la información sobre la toma de decisiones automatizada
  • Derecho a optar por no participar en la tecnología de toma de decisiones automatizada
  • Obligaciones de Auditoría

¿Qué significa CPRA para su programa de privacidad de datos?

Si tiene una empresa con más de 100 000 clientes o con datos de más de 100 000 consumidores, y utiliza esos datos para marketing o publicidad, o para generar ingresos para su negocio, entonces la CPRA significa varias cosas para su programa de privacidad de datos.

El imperativo de los datos del cliente: lo que las marcas deben saber

datos_del_cliente_imperativo.jpg Las marcas reconocen que la experiencia del cliente impacta directamente en la facturación y el margen, y pronto prevalecerán sobre el precio y el producto como diferenciadores en un futuro próximo, si es que aún no lo ha hecho.

Consentimiento y políticas de exclusión continua

Se han reforzado las normas de consentimiento en la CPRA, específicamente para menores. Esto significa que para recopilar los datos de un usuario, deben dar su consentimiento explícito con el conocimiento de cómo se utilizarán sus datos y durante cuánto tiempo.

Además, los consumidores pueden solicitar, y las empresas deben confirmar, su exclusión voluntaria de programas específicos, incluida la eliminación de sus datos, incluso si se ha dado su consentimiento previo.

Para las organizaciones, será crucial utilizar herramientas como una plataforma de datos de clientes (CDP) para automatizar qué opciones aceptan los consumidores, cuáles no y la eliminación de datos cuando así lo soliciten. Esto también hará que las obligaciones de auditoría introducidas en este proyecto de ley sean mucho más fáciles de administrar para las organizaciones porque CDP ayuda a cumplir con los requisitos de privacidad y gobierno de datos .

Derecho de acceso a la información

Según la CPRA, los consumidores ahora tienen derecho a ver qué información ha recopilado sobre ellos y cómo eso afecta su experiencia personalizada con su marca. De hecho, los consumidores pueden solicitar una descripción significativa de la lógica involucrada en el proceso de toma de decisiones para campañas, anuncios y similares automatizados. Es imprescindible disponer de un plan de privacidad de datos.

Para facilitar esto a los equipos, nuevamente es útil un CDP, especialmente uno que está integrado con una solución CRM. Juntas, estas herramientas se pueden usar para crear inicios de sesión y páginas personalizados para que los consumidores vean todos sus datos, en qué flujos se encuentran como resultado y administren sus propias preferencias de datos.

Propósito y limitaciones de almacenamiento

Como se mencionó anteriormente, la CPRA se inspira en parte en la política GDPR en la UE. Éstas incluyen:

  1. Minimización de datos
  2. Limitación de propósito
  3. Limitación de almacenamiento

Estos requisitos significan que las empresas deben recopilar la menor cantidad de información que necesitan y deben indicar el propósito de su recopilación de datos (es decir, cómo se utilizarán) y durante cuánto tiempo los conservarán.

Por qué necesita una plataforma de datos: los 5 principales problemas de privacidad de datos

Una abrumadora mayoría de los consumidores afirman que se quedarán y pagarán más por una marca en la que confían. Conozca los principales problemas de privacidad de datos que generan, o destruyen, su confianza. Una abrumadora mayoría de los consumidores afirman que se quedarán y pagarán más por una marca en la que confían. Conozca los principales problemas de privacidad de datos que generan, o destruyen, su confianza.

Independientemente de la política que decida su empresa, querrá asegurarse de automatizar lo que dice su política de privacidad con su sistema. Por ejemplo, si declara que mantendrá los datos en el sistema durante dos años, querrá automatizar la eliminación de esa información tan pronto como pasen esos 24 meses.

Nuevamente, esto será increíblemente útil para las auditorías y garantizará que no haya errores manuales ni olvidos por parte de los empleados.

Próximos pasos proactivos para cumplir con la Ley de Derechos de Privacidad de California (CPRA)

Para las organizaciones que obtienen más de $25 millones en ingresos anuales, recopilan datos de más de 100,000 consumidores y obtienen al menos el 50 % de las ganancias de la venta o el intercambio de esos datos, ahora es el momento de obtener un CDP.

La centralización de los datos de los clientes de todas las fuentes mediante un CDP ayudará a su equipo a automatizar varias de las nuevas políticas, facilitará las auditorías y mantendrá contentos a los clientes, sin tener que aumentar la carga de trabajo del equipo para marketing, ventas, publicidad o cualquier otro departamento.

Recuerde, la CPRA es, con mucho, la ley de privacidad del consumidor más sólida de los EE. UU., pero no será la última, ni tampoco esta enmienda. A medida que la web que prioriza la privacidad continúa avanzando y ganando fuerza, las organizaciones deberán volverse más inteligentes y transparentes sobre lo que recopilan, sobre quién y cómo lo usan. Invertir ahora te ahorra multas y dolores de cabeza en el futuro.