En septiembre de 2022, el minorista en línea Sephora acordó pagar $ 1.2 millones por violar la Ley de Privacidad del Consumidor de California (CCPA), la primera vez que el Fiscal General de California tomó medidas de cumplimiento público desde la introducción de la ley en 2020.
La medida marcó el fin del período de asentamiento para la ley de datos y el comienzo de un enfoque más estricto para la aplicación. Si no está seguro de que su organización cumpla con la CCPA, es hora de dar un paso adelante, o podría enfrentar una multa.
Veamos las consecuencias de violar la CCPA y la mejor manera de cumplir con los requisitos de cumplimiento de la CCPA.
Sanciones de la CCPA
La CCPA se aplica a las empresas con fines de lucro que recopilan o procesan los datos personales de los residentes de California.
La CCPA establece mecanismos para penalizar el incumplimiento de la ley de California. Una infracción puede incluir:
– No tener una política de privacidad compatible con la CCPA
– No responder a una solicitud de divulgación de datos de un consumidor según lo requerido por la CCPA
– No proporcionar la notificación correcta de los datos personales que se recopilan
– No permitir que los usuarios opten por no vender su información personal
– Tener políticas discriminatorias contra los usuarios que ejercen los derechos de la CCPA
Es importante tener en cuenta que se aplica un período de «curación» a las violaciones de la CCPA. El Fiscal General debe dar a las empresas 30 días para lograr el cumplimiento de la CCPA. Si los problemas no se rectifican en este período, se pueden aplicar sanciones. Ha habido algunas críticas a esta disposición, así que manténgase alerta a posibles cambios en el futuro.
CCPA distingue entre violaciones intencionales y no intencionales de la ley. Una vez que una empresa ha recibido notificación oficial del Fiscal General, el incumplimiento después del período de 30 días puede interpretarse como una violación intencional.
Multas de la CCPA
La CCPA establece sanciones por incumplimiento. El Fiscal General de California está autorizado a tomar medidas contra aquellos que violen la CCPA.
La multa civil máxima por una violación no intencional de la CCPA es de $ 2,500 por infracción. Para violaciones intencionales, la multa máxima es de $ 7,500 por infracción. No hay un límite establecido en el monto total de las multas que se pueden imponer.
Los montos máximos de la multa pueden sonar bastante modestos, pero si se descubre que una empresa ha cometido intencionalmente miles o incluso cientos de miles de infracciones intencionales, por ejemplo, al no cumplir con los requisitos de exclusión voluntaria de la CCPA, la cantidad total podría ser enorme.
Cabe señalar que $ 2,500 y $ 7,500 son los niveles máximos establecidos para las multas. Al considerar qué sanciones deben aplicarse, el tribunal considerará múltiples factores, como la naturaleza, la gravedad y la persistencia de la conducta, si fue intencional, el período durante el cual tuvieron lugar las violaciones, el número de violaciones y los medios de pago del acusado.
Los ciudadanos también tienen un derecho privado de acción cuando se produce una violación de los derechos de la CCPA que resulta en acceso no autorizado, robo o divulgación de datos personales, cuando esa violación es el resultado de una falla en mantener procedimientos y prácticas de seguridad razonables. Lo que se considera «razonable» se juzga en relación con la naturaleza de la información personal del consumidor de que se trate.
La CCPA permite a los consumidores reclamar $750 por consumidor, por incidente, o buscar daños reales donde se pueda demostrar que la pérdida ocurrió como resultado de la violación. Una vez más, esta es una ley relativamente nueva y es probable que los abogados busquen desafiar estas disposiciones, especialmente en torno a la posibilidad de presentar demandas colectivas, así que tenga cuidado con los desarrollos.
Una vez más, cuando los particulares notifican una violación, la empresa tiene 30 días para resolver el problema sin enfrentar más acciones.
Cómo evitar multas y sanciones
La forma más sencilla de evitar tener que pagar multas de la CCPA es comprender y cumplir con los requisitos de la ley. Las sanciones por violar la CCPA son solo una consecuencia del incumplimiento: una violación de datos podría resultar en daños mucho más graves a su negocio a través de la pérdida de clientes, publicidad negativa, calificación crediticia reducida, falta de inversores, etc.
Para asegurarse de cumplir con la CCPA, considere estos pasos:
1. Actualice su política de privacidad: esto debe cumplir con la CCPA, con revisiones anuales para garantizar que se mantenga actualizada
2. Lleve a cabo una revisión interna: planifique cómo fluye la información personal a través de su organización para señalar cualquier problema
3. Verifique sus avisos al consumidor: ¿proporciona suficiente información sobre cómo y cuándo recopila información personal?
4. Asegúrese de que puede defender los derechos de la CCPA: por ejemplo, ¿puede cumplir con el plazo de 45 días para cumplir con las solicitudes de divulgación de datos personales?
5. Mantenga un inventario de datos sólido: necesita saber exactamente cuándo y dónde ingresan los datos a sus sistemas: un inventario automatizado puede ayudar con el cumplimiento
6. Prepárese para las violaciones de datos: los errores ocurren y las violaciones de datos pueden ocurrir a pesar de los mejores esfuerzos de una organización. Preparar una respuesta puede ayudar a minimizar el daño si se produce una violación.
Consulte nuestra práctica lista de verificación de cumplimiento de CCPA para obtener más información.
Las notificaciones de cookies son una parte importante del cumplimiento de la CCPA: ¿necesita ayuda para asegurarse de que la suya esté a la altura del trabajo? Póngase en contacto con CookieHub para discutir sus necesidades.