El Reglamento General de Protección de Datos de la Unión Europea (UE) (GDPR) y la Ley de Privacidad del Consumidor de California (CCPA) tienen muchas similitudes: se introdujeron casi al mismo tiempo, ambas otorgan a los consumidores mayores derechos sobre sus datos y ambas tienen repercusiones a escala mundial, pero también existen diferencias importantes.
Entonces, ¿cuáles son algunas de las diferencias clave entre GDPR y CCPA? ¿Cómo puede estar seguro de que su sitio web es compatible?
CCPA vs. GDPR
| Area | CCPA | GDPR |
|---|---|---|
| Scope | For-profit business trading in California with gross annual revenue over $25 million, or processing data of over 50,000 consumers, households or devices or deriving over 50% of annual revenue from selling consumer data Non-profits controlled by a for-profit parent company are also covered | Data controllers and processors either established in the EU or located outside the EU but processing the data of EU data subjects in connection with selling goods or services or monitoring consumer behavior in the EU |
| Beneficiaries of protection | California residents, including where they are travelling out of state | Data subjects, meaning where data relates to identified or identifiable individuals. |
| Type of information | Personal information - this identifies, relates to, describes or is capable of being associated with, or may reasonably be linked (directly or indirectly) to a particular consumer or household. Some categories of personal information are identified as falling within the definition | Personal data - information relating to an identified or identifiable subject. Some categories of personal data can only be processed if a lawful justification can be found |
| Privacy notice | Privacy notice must confirm what categories of personal data are collected and for what intended purpose. Third parties must give consumer the opportunity to opt out of their data being re-sold | Data controllers must provide detailed information about how data is collected and processed, including whether third parties are involved |
| Right to access | Consumers can request disclosure of their data, which must be provided free of charge in a portable format | Data subjects can access their data following a written request, which must be provided in a portable format |
| Right to delete | Consumers can request the deletion of their data, although there are some grounds for organizations to refuse | Data subjects can request erasure of personal data if it falls within one of six circumstances |
| Right to correct | Consumers can ask for incorrect data about them to be corrected | Data subjects can ask for incorrect data about them to be corrected |
| Right to refuse | Consumers can opt out of their data being processed for particular purposes such as direct marketing, profiling and research | Consent must be given before personal data is collected and this can be withdrawn subsequently |
| Right to opt out of third party sales | Users must be given the opportunity to opt out of consumers’ personal information being sold on to third parties | No specific right to opt out of third party sales but data subjects can opt out of processing data for marketing and withdraw consent for data processing |
| Freedom from discrimination | Individuals have the right to freedom from discrimination where they exercise CCPA rights, for example withholding services if an individual opts out of data collection | The right not to be discriminated against is not explicitly stated |
| Security controls | Data security requirements are not contained in the CCPA but if a business violates its duty to implement reasonable security practices, individuals may be able to seek damages | Data controllers and processors are required to select appropriate technical and organizational measures to manage security risk |
| Enforcement | Breaches can be punished by a fine applied by the California Attorney General of up to $2,500 per violation or $7,500 for intentional violations. There is no cap on the total fine amount. Businesses are given 30 days to rectify breaches before fines are assessed. Individuals can only bring a lawsuit privately where businesses can be shown to be in violation of their duty to implement reasonable security procedures and only for a specific category of personal information, which excludes redacted or encrypted data | Fines are capped at €20 million or 4% of annual global turnover. Individuals can also take court action seeking compensation from a data controller or processor |
Los derechos de las personas para la CCPA y GDPR
Si bien las dos leyes se aplican a diferentes jurisdicciones, comparten algunas similitudes en términos de los derechos que otorgan a las personas.
Derecho a ser informado
Tanto la CCPA como el GDPR requieren que las empresas informen a las personas sobre la recopilación, el uso y el intercambio de su información personal. Esto incluye proporcionar un aviso de privacidad y especificar los fines para los que se procesarán los datos.
Derecho de acceso
Las personas tienen derecho a solicitar acceso a su información personal en poder de una empresa tanto en virtud de la CCPA como del RGPD. Esto les permite ver qué datos se están procesando y verificar su exactitud.
Derecho de rectificación
Para cumplir con el GDPR, las personas tienen derecho a solicitar la corrección de información personal inexacta o incompleta. Si bien la CCPA no otorga explícitamente este derecho, es posible que las empresas aún deban corregir datos inexactos para cumplir con otros requisitos de la CCPA.
Derecho de supresión/supresión
Tanto la CCPA como el GDPR otorgan a las personas el derecho a solicitar la eliminación de su información personal en ciertas circunstancias, como cuando los datos ya no son necesarios para el propósito para el que se recopilaron o si el individuo retira su consentimiento.
Derecho a la portabilidad de los datos
El GDPR otorga a las personas el derecho a obtener su información personal en un formato estructurado, de uso común y legible por máquina, lo que les permite transmitirla a otro controlador. La CCPA no ofrece explícitamente este derecho, pero permite a las personas solicitar su información personal en un formato fácilmente utilizable.
Derecho a objetar/restringir el procesamiento
Bajo el GDPR, las personas pueden oponerse al procesamiento de su información personal para fines específicos, como el marketing directo, y pueden solicitar restricciones en el procesamiento en ciertas situaciones. La CCPA no proporciona un derecho equivalente, pero sí requiere que las empresas cumplan con las solicitudes de «No vender mi información personal» de los consumidores.
Derecho a optar por no vender información personal
La CCPA otorga a los consumidores el derecho de optar por no vender su información personal por parte de una empresa. GDPR no tiene una disposición equivalente específica, pero las personas pueden ejercer su derecho a oponerse al procesamiento basado en intereses legítimos o con fines de marketing directo, lo que puede lograr un resultado similar.
Derecho a la no discriminación
Tanto la CCPA como el GDPR prohíben a las empresas discriminar a las personas que ejercen sus derechos de privacidad. Esto incluye cobrar precios diferentes, proporcionar diferentes niveles de servicio o negar bienes y servicios por completo.
Es importante tener en cuenta que estos derechos no son absolutos y pueden estar sujetos a excepciones, dependiendo de las circunstancias específicas y los requisitos legales.
¿Entiendes las diferencias entre CCPA y GDPR?
CCPA y GDPR cubren gran parte del mismo territorio, pero hay algunas diferencias importantes entre los dos regímenes. A medida que más países preparan su propia legislación de datos, es vital estar al tanto de los detalles de lo que debe hacer para cumplir con los requisitos de la CCPA, cumplir con los requisitos de consentimiento de GDPR y cualquier otra regla que se aplique a sus operaciones.
¿Por qué no dejar que CookieHub le ayude a administrar sus políticas de cookies, para que pueda estar seguro de que cumple con los requisitos en diferentes ubicaciones?