Ley de Privacidad del Consumidor de California

Cumplimiento de CCPA y CPRA simplificado

La ley de privacidad integral de California protege a 40 millones de residentes con estrictos derechos del consumidor y obligaciones empresariales. Le ayudamos a implementar practicas de datos conformes, responder a solicitudes de derechos y evitar acciones de aplicacion de la CPPA.

Iniciar evaluacion de cumplimientoReservar consulta de cumplimiento

Que es CCPA/CPRA?

La Ley de Privacidad del Consumidor de California (CCPA), promulgada en 2018 y vigente desde el 1 de enero de 2020, creo derechos de privacidad integrales para los residentes de California. La Ley de Derechos de Privacidad de California (CPRA), aprobada en 2020, fortalecio significativamente la CCPA con enmiendas vigentes desde el 1 de enero de 2023.

Por que es importante ahora: La CPRA creo la Agencia de Proteccion de la Privacidad de California (CPPA), el regulador de privacidad dedicado de California con autoridad de aplicacion. Los requisitos mejorados incluyen nuevos derechos del consumidor, protecciones de IP sensible y obligaciones de divulgacion de IA.

40M protegidos

Residentes de California cubiertos

$7.500 maximo

Por infraccion intencional

Complementa el RGPD para cumplimiento global de privacidad y se integra con la Ley de IA de la UE para gobernanza de IA.

Quien necesita cumplir con la CCPA?

Umbral de ingresos de California

Ingresos brutos anuales superiores a 25 millones de dolares

Umbral de volumen de datos

Comprar, vender o compartir datos de mas de 100.000 consumidores/hogares

Ingresos por ventas de datos

Mas del 50% de los ingresos anuales de la venta de IP del consumidor

Empresas que tratan datos de residentes de CA

Hacer negocios en California con datos de consumidores

Proveedores de servicios

Tratar IP en nombre de empresas cubiertas

Terceros

Recibir IP de empresas mediante ventas/comparticion

Como VerifyWise apoya el cumplimiento de la CCPA

Herramientas integrales que abordan derechos del consumidor, obligaciones empresariales y riesgos de aplicacion de la CPPA

Gestion de solicitudes de derechos del consumidor

Flujos de trabajo automatizados para procesar solicitudes de Conocimiento, Eliminacion, Correccion, Exclusion y Limitacion dentro de los plazos legales. Seguimiento de metodos de verificacion, tiempos de respuesta y mantenimiento de pistas de auditoria completas para el cumplimiento de la CPPA.

Aborda: Derecho a Conocer, Eliminar, Corregir, Exclusion, Limitar

Inventario y mapeo de datos

Registro completo de categorias de informacion personal, fuentes de recopilacion, propositos comerciales y comparticion con terceros. Mantenga los mapas de datos detallados que la CCPA requiere para las obligaciones de notificacion.

Aborda: Divulgaciones de aviso de privacidad, requisitos de inventario de datos

Generacion y gestion de avisos de privacidad

Genere avisos de privacidad conformes con la CCPA que divulguen claramente las practicas de recopilacion, los derechos del consumidor y la informacion de contacto. El control de versiones garantiza la documentacion historica de cumplimiento.

Aborda: Requisitos de notificacion §1798.100-130

Seguimiento de tecnologia de toma de decisiones automatizada (ADMT)

Registre los sistemas de IA utilizados para perfilado y decisiones automatizadas. Documente la logica, la importancia y los mecanismos de exclusion segun lo requerido por las disposiciones de ADMT de la CPRA.

Aborda: Regulaciones de ADMT CPRA §1798.185(a)(16)

Documentacion de salvaguardas de seguridad

Haga seguimiento de los procedimientos de seguridad razonables que protegen la informacion personal. Documente los controles tecnicos, administrativos y fisicos que demuestran el cumplimiento de las obligaciones de seguridad.

Aborda: Requisitos de seguridad §1798.150

Supervision de terceros y proveedores de servicios

Mantenga contratos de proveedores con las disposiciones requeridas por la CCPA. Supervise las actividades de tratamiento de terceros y documente el cumplimiento de las restricciones de proveedores de servicios.

Aborda: Requisitos de proveedor de servicios §1798.140(w)

Todas las solicitudes de consumidores tienen marca de tiempo con registros de verificacion, fechas de respuesta y pistas de auditoria. Esta documentacion demuestra esfuerzos de cumplimiento de buena fe durante investigaciones de la CPPA.

Cobertura completa de requisitos de CCPA/CPRA

VerifyWise aborda todas las areas principales de cumplimiento con flujos de trabajo dedicados

23

Requisitos de CCPA/CPRA

23

Requisitos con soporte de plataforma

100%

Cobertura en todas las obligaciones

Derechos del consumidor8/8

Conocer, eliminar, exclusion, corregir, limitar uso

Obligaciones empresariales6/6

Avisos de privacidad, minimizacion de datos, seguridad

Cumplimiento ADMT4/4

Divulgaciones de toma de decisiones automatizada

Inventario de datos5/5

Categorias, fuentes, propositos, comparticion

Construido para la ley de privacidad de California desde cero

Seguimiento de plazo de 45 dias

Recordatorios automatizados para plazos de respuesta legales

Motor de divulgacion ADMT

Seguimiento de cumplimiento de tecnologia de toma de decisiones automatizada

Senales universales de exclusion

Reconocimiento de Global Privacy Control y senales del navegador

Cumplimiento multi-ley

Integracion con RGPD, Ley de IA de la UE y leyes estatales de privacidad

Derechos del consumidor bajo CCPA/CPRA

Seis derechos fundamentales que los residentes de California pueden ejercer

Derecho a conocer

Los consumidores pueden solicitar la divulgacion de categorias y datos especificos de informacion personal recopilada.

Requisitos clave

  • Periodo retrospectivo de 12 meses
  • Gratis dos veces al ano
  • Respuesta en 45 dias (+ 45 de extension)

Derecho a eliminar

Los consumidores pueden solicitar la eliminacion de informacion personal con excepciones especificadas.

Requisitos clave

  • Verificar identidad
  • Dirigir a proveedores de servicios
  • Documentar excepciones

Derecho a la exclusion

Exclusion de la venta/comparticion de informacion personal y publicidad dirigida.

Requisitos clave

  • Enlace No Vender
  • Senales universales de exclusion
  • Sin discriminacion

Derecho a corregir

Solicitar la correccion de informacion personal inexacta (adicion de la CPRA).

Requisitos clave

  • Verificar correcciones
  • Respuesta en 45 dias
  • Notificar a terceros

Derecho a limitar

Limitar el uso y divulgacion de informacion personal sensible (adicion de la CPRA).

Requisitos clave

  • Enlace Limitar Recopilacion
  • Usos de datos sensibles
  • Requisitos de notificacion

Derecho a la no discriminacion

Las empresas no pueden discriminar por ejercer derechos de la CCPA con excepciones limitadas.

Requisitos clave

  • Servicio igualitario
  • Calidad igualitaria
  • Avisos de incentivos financieros

Obligaciones empresariales

Lo que CCPA/CPRA requiere de las empresas cubiertas

Aviso de privacidad en la recopilacion

Informar a los consumidores en o antes de la recopilacion sobre las categorias de IP recopilada y los propositos

Plazo: En o antes de la recopilacion

Politica de privacidad integral

Divulgacion detallada de practicas de datos, derechos del consumidor e informacion de contacto

Plazo: Actualizada al menos anualmente

Enlace No Vender/Compartir

Enlace claro y visible en la pagina principal para exclusion de ventas/comparticion

Plazo: Implementacion inmediata

Procedimientos de verificacion de solicitudes

Metodos razonables para verificar la identidad del consumidor para solicitudes de derechos

Plazo: Antes de responder a solicitudes

Politicas de retencion de datos

Retener IP solo el tiempo razonablemente necesario para los propositos divulgados

Plazo: Cumplimiento continuo

Contratos con terceros

Acuerdos con proveedores de servicios con las disposiciones requeridas por la CCPA

Plazo: Antes de compartir datos

Hoja de ruta de implementacion de 20 semanas

Un camino practico hacia el cumplimiento de CCPA/CPRA con hitos claros

Fase 1Semanas 1-4

Descubrimiento de datos

  • Mapear todos los flujos de informacion personal
  • Identificar puntos de recopilacion y fuentes
  • Documentar propositos comerciales
  • Catalogar comparticion con terceros
Fase 2Semanas 5-8

Cumplimiento de notificaciones

  • Redactar aviso de privacidad en la recopilacion
  • Actualizar politica de privacidad integral
  • Implementar enlaces No Vender/Compartir
  • Crear avisos de incentivos financieros
Fase 3Semanas 9-14

Infraestructura de derechos

  • Construir portal de solicitudes del consumidor
  • Establecer procedimientos de verificacion
  • Crear flujos de trabajo de respuesta
  • Capacitar al personal en gestion de derechos
Fase 4Semanas 15-20

Preparacion operativa

  • Probar procesamiento de solicitudes de extremo a extremo
  • Implementar senales universales de exclusion
  • Finalizar contratos de proveedores de servicios
  • Documentar divulgaciones de ADMT

Sanciones por incumplimiento

CCPA/CPRA crea riesgos financieros y legales significativos

Sanciones civiles

Acciones de aplicacion de la CPPA por infracciones

  • $2.500 por infraccion no intencional
  • $7.500 por infraccion intencional
  • Medida cautelar disponible

Derecho de accion privada

Demandas de consumidores por violaciones de datos (§1798.150)

  • $100-$750 por consumidor por incidente
  • O danos reales (el que sea mayor)
  • Los danos legales se acumulan rapidamente

Dano reputacional

Mas alla de las sanciones financieras

  • Erosion de la confianza del consumidor
  • Desventaja competitiva
  • Escrutinio regulatorio

Exposicion a demandas colectivas

Las violaciones de datos que afectan a miles de consumidores pueden resultar en danos legales que se multiplican hasta demandas colectivas multimillonarias. El derecho de accion privada bajo §1798.150 crea un riesgo de litigio significativo incluso con medidas de seguridad razonables.

Plantillas de politicas

Politicas de privacidad y gobernanza de IA

Acceda a plantillas de politicas de privacidad listas para usar alineadas con CCPA/CPRA, el RGPD y los requisitos de la Ley de IA de la UE

Avisos de privacidad

  • Plantilla de politica de privacidad
  • Aviso en la recopilacion
  • Aviso de incentivos financieros
  • Aviso de No Vender
  • Acuerdo de proveedor de servicios
  • Politica de cookies
  • + 3 plantillas mas

Derechos del consumidor

  • Procedimientos de solicitud de derechos
  • Politica de verificacion de identidad
  • Plantillas de respuesta a solicitudes
  • Procedimientos de exclusion
  • Politica de eliminacion de datos
  • Procedimientos de correccion
  • + 4 plantillas mas

Divulgaciones de IA

  • Plantilla de divulgacion ADMT
  • Aviso de perfilado
  • Inventario de sistemas de IA
  • Politica de decisiones automatizadas
  • Evaluacion de riesgos de IA
  • Manejo de IP sensible
  • + 2 plantillas mas
Explorar todas las plantillas de politicas

Preguntas frecuentes

Preguntas comunes sobre el cumplimiento de CCPA/CPRA

La CCPA se aplica si usted hace negocios en California y cumple uno de tres umbrales: (1) ingresos brutos anuales de mas de $25M, (2) trata datos de mas de 100.000 consumidores/hogares de CA anualmente, o (3) obtiene mas del 50% de ingresos de la venta de IP del consumidor. La ley se aplica independientemente de donde se encuentre fisicamente su empresa. Consulte la pagina de la CCPA del Fiscal General de California para orientacion oficial.
La CCPA (2018) fue la ley de privacidad inicial de California. La CPRA (2020) enmendo significativamente la CCPA con requisitos mas estrictos vigentes desde el 1 de enero de 2023. Adiciones clave de la CPRA: categoria de IP sensible, derecho a corregir, derecho a limitar, divulgaciones de toma de decisiones automatizada y creacion de la Agencia de Proteccion de la Privacidad de California (CPPA). Al hablar de cumplimiento, asuma los requisitos mejorados de la CPRA.
Ambas son leyes de privacidad integrales pero difieren en alcance y enfoque. La CCPA se aplica a residentes de California (40M personas) con umbrales centrados en empresas. El RGPD se aplica a todos los residentes de la UE (450M+) con un alcance territorial mas amplio. La CCPA tiene un modelo de exclusion para ventas; el RGPD generalmente requiere consentimiento opt-in. Las sanciones de la CCPA son generalmente menores que el tope del 4% de ingresos globales del RGPD.
Las empresas deben responder a solicitudes verificadas dentro de 45 dias, con una posible extension de 45 dias (total 90 dias) cuando sea razonablemente necesario. Debe notificar al consumidor de la extension dentro de los primeros 45 dias y explicar la razon. Para solicitudes de Conocimiento, los consumidores pueden hacer solicitudes dos veces por periodo de 12 meses de forma gratuita.
La CCPA define ampliamente la venta como divulgar IP a terceros a cambio de contraprestacion monetaria u otra de valor. Esto incluye muchos acuerdos de comparticion de datos que no son ventas de datos tradicionales. La CPRA agrego 'compartir' para publicidad conductual entre contextos. La mayoria de las asociaciones de analitica de terceros, tecnologia publicitaria y datos activan obligaciones de No Vender. Revise la orientacion del Fiscal General sobre que constituye una venta.
La CPRA define la IP sensible como: SSN, licencia de conducir, pasaporte, detalles de cuentas financieras, geolocalizacion precisa, origen racial/etnico, creencias religiosas, afiliacion sindical, contenidos de correo/email/texto, datos geneticos, datos biometricos, datos de salud, vida sexual/orientacion. Los consumidores tienen el derecho de limitar el uso de IP sensible a los propositos necesarios para prestar los servicios solicitados.
La CPRA requiere que las empresas que usan ADMT (incluido el perfilado) lo divulguen en los avisos de privacidad y proporcionen informacion sobre la logica involucrada y la importancia del resultado probable. Las regulaciones bajo §1798.185(a)(16) detallan el cumplimiento de ADMT. Esto impacta los sistemas de IA usados para empleo, credito, vivienda, educacion y otras decisiones consecuentes. Vea nuestra pagina de Ley de IA de la UE para requisitos de gobernanza de IA relacionados.
Los requisitos de verificacion son proporcionales a la sensibilidad y el riesgo de la solicitud. Para Conocer (categorias), use un proceso de dos pasos. Para Conocer (datos especificos) o Eliminar, use un proceso de tres pasos o declaracion firmada bajo pena de perjurio. Las cuentas protegidas por contrasena pueden verificar mediante autenticacion existente. Mantenga documentacion de los metodos de verificacion y haga coincidir el grado de certeza razonablemente necesario.
Los acuerdos con proveedores de servicios deben prohibir: (1) retener, usar o divulgar IP para cualquier proposito distinto a la prestacion de servicios, (2) retener, usar o divulgar IP fuera de la relacion comercial directa, (3) combinar IP con otra IP a menos que este permitido. Los contratos deben especificar propositos permitidos, requerir eliminacion/devolucion de IP, permitir auditorias y requerir transferencia descendente a subcontratistas. Vea los requisitos de §1798.140(w).
Si, las empresas deben reconocer las senales del navegador o dispositivo que comunican la preferencia de exclusion (como Global Privacy Control). La CPRA requiere tratar estas senales como solicitudes validas de No Vender/Compartir. Debe divulgar como procesa las senales de exclusion en su politica de privacidad y respetarlas durante al menos 12 meses.
La Agencia de Proteccion de la Privacidad de California (CPPA) puede imponer sanciones civiles de $2.500 por infraccion no intencional o $7.500 por infraccion intencional. Los consumidores tambien tienen derecho de accion privada bajo §1798.150 por violaciones de datos, solicitando $100-$750 por consumidor por incidente o danos reales. Las infracciones que afectan a miles de consumidores pueden convertirse rapidamente en exposiciones multimillonarias.
Si, VerifyWise proporciona gestion de solicitudes de derechos del consumidor, herramientas de inventario de datos, generadores de avisos de privacidad y seguimiento de divulgaciones de ADMT alineados con los requisitos de CCPA/CPRA. Nuestra plataforma se integra con el RGPD, la Ley de IA de la UE y otros marcos de privacidad para una gestion de cumplimiento integral.

Listo para lograr el cumplimiento de la CCPA?

Comience a gestionar solicitudes de derechos del consumidor, inventarios de datos y avisos de privacidad con nuestra plataforma de cumplimiento.

Iniciar evaluacion de cumplimientoProgramar consulta
CCPA and CPRA compliance requirements guide