Cómo hacer que su sitio web de WordPress cumpla con CCPA

Publicado: 2020-04-29

Después de la introducción de GDPR en 2018, ahora hay otra ley que se establece para afectar aún más a los webmasters de WordPress en su intento de cumplir con las regulaciones locales de privacidad de datos.

¿Su nombre? La Ley de Protección al Consumidor de California (o CCPA para abreviar).

Esta nueva legislación está diseñada para brindar a los californianos una mayor protección con respecto al uso de su información personal. Entró en vigor a principios del año 2020.

Esta guía lo guiará a través de los requisitos de cumplimiento del sitio web de CCPA. También explica lo que significa para su sitio web en la práctica y cómo implementar los cambios necesarios. Entonces, sin más preámbulos, comencemos discutiendo los temas principales de la CCPA.

¿Qué es la Ley de Privacidad del Consumidor de California (CCPA)?

La CCPA se aprobó en 2018. Inicialmente presentada como una iniciativa voluntaria, la ley solo tardó siete días en ser aprobada por los respectivos órganos de la Legislatura del Estado de California.

La ley se apresuró dramáticamente a través de los cuerpos legislativos después de que los políticos prestaron atención al creciente coro de preocupaciones de los electores que sentían que la ley de California no había seguido el ritmo de la cantidad de datos personales que los clientes comparten sin saberlo con las empresas.

En segundo lugar, el escándalo de Cambridge Analytica que envolvió a Facebook y la introducción de las leyes del Reglamento General de Protección de Datos (RGPD) en la UE, realzaron la importancia de llevar adelante esta legislación.

Desde aquellos hechos de junio de 2018, la ley ha sido modificada en dos ocasiones más. El Fiscal General de California ha emitido una guía para ayudar a las empresas a comprender mejor cómo hacer los ajustes necesarios en sus operaciones. La ley entró oficialmente en vigor el 1 de enero de 2020.

Con respecto a los detalles de la CCPA, la ley sigue principalmente el ejemplo proporcionado por su predecesor GDPR. Otorga a los ciudadanos de California el derecho a:

  • Saber qué información personal se recopila sobre ellos
  • Saber si su información personal se vende o divulga y a quién
  • Di no a la venta de su información personal
  • Solicitar la eliminación de su información personal
  • Acceder a su información personal
  • Igualdad de servicio y precio, aunque ejerzan sus derechos de privacidad

Con la ley entendida, probablemente se esté preguntando si estas leyes se aplican a usted, especialmente si su sitio web o negocio está registrado fuera del estado de California.

¿Se aplica la CCPA a su negocio?

Quitar las implicaciones de cualquier ley de privacidad es probablemente la parte más difícil. Pero ahora ha habido suficiente tiempo para que el polvo se asiente. Hay algunas pautas claras sobre cómo y cuándo se debe aplicar esta ley.

El primer elemento a tener en cuenta es que esta ley se refiere a la protección de la información personal de los ciudadanos y residentes de California. Eso significa que a las empresas u organizaciones que tienen tratos con los ciudadanos mencionados anteriormente se les aplicará la ley, sin importar su ubicación.

Como parte de la guía publicada por el Fiscal General de California, la ley se aplica a las organizaciones con fines de lucro que cumplen con los siguientes criterios:

  1. Tiene ingresos brutos anuales de más de $ 25,000,000
  2. Compra o recibe anualmente, con fines empresariales o comerciales, vende o comparte la información personal de 50,000 o más consumidores californianos
  3. Obtiene el 50% o más de sus ingresos anuales de la venta de información personal de los consumidores de California.

Si está sentado pensando: "Genial, mi negocio no se ajusta a ninguno de esos criterios, no necesito hacer ningún cambio", solo tiene razón en parte. Esta nueva ley aún puede aplicarse a usted por extensión. Si realiza transacciones con empresas que deben cumplir con la CCPA, es posible que deba realizar las modificaciones necesarias para cumplir.

Por ejemplo, si compra una lista de correo electrónico con fines de marketing de un proveedor de California que tiene millones de registros, tendrá que hacer los ajustes estipulados por la CCPA por extensión. Del mismo modo, si proporciona servicios de diseño web de WordPress a empresas a gran escala, deberá prestar atención para asegurarse de ofrecer un sitio web compatible.

CCPA frente a RGPD

La legislación CCPA y GDPR, aunque muy similar, tiene algunas diferencias clave. En primer lugar, GDPR tiene un alcance mucho mayor que CCPA.

El RGPD contiene obligaciones para el nombramiento de Oficiales de Protección de Datos, el mantenimiento de un registro de actividades de procesamiento y la necesidad de Evaluaciones de Impacto de Protección de Datos en circunstancias específicas. No existen tales obligaciones legales adjuntas a la CCPA, aunque existen disposiciones similares.

Luego, GDPR trabaja sobre el principio fundamental de que debe haber una base legal para procesar cualquier aspecto de los datos personales. Sin embargo, CCPA ni siquiera se aplica a algunos conjuntos de datos personales. Por ejemplo, los registros médicos y la información personal registrada con fines de informes crediticios no están cubiertos por la CCPA, ya que se considera que están cubiertos por una legislación existente separada.

Finalmente, las distintas leyes difieren en un último principio legal, que es el tema del consentimiento previo. CCPA no requiere que las empresas soliciten consentimiento previo para procesar información personal, que es el pilar legal central sobre el que se basa GDPR.

De hecho, según la CCPA, una empresa no necesita el consentimiento previo de un usuario antes de procesar sus datos, ni un sitio web necesita el permiso previo de un usuario antes de vender sus datos a terceros. Sin embargo, un ciudadano de California tiene derecho a "excluirse" de ese procesamiento y solicitar ver y solicitar la eliminación de sus datos.

En otras palabras, CCPA tiene como objetivo proporcionar transparencia y protección de datos después del hecho. Por el contrario, el RGPD se centra en proporcionar a los ciudadanos de la UE la facultad de obtener el consentimiento previo para el tratamiento de datos personales.

Cómo hacer que su sitio web cumpla con la CCPA

Si su sitio de WordPress necesita actualizarse para cumplir con los requisitos de cumplimiento del sitio web de CCPA, los siguientes pasos deberían ayudarlo a asegurarse de no infringir la nueva ley de privacidad.

Actualice su política de privacidad

Es probable que ya haya establecido una política de privacidad para que su sitio web cumpla con el RGPD, pero deberá actualizarla para reflejar los cambios según lo exige la CCPA. En primer lugar, deberá incluir los nuevos derechos de los visitantes del sitio web tal como se establece en la CCPA.

A continuación, deberá incluir varios métodos de contacto para que los consumidores puedan enviar sus solicitudes para ejercer sus derechos en virtud de la legislación. También es una buena idea actualizar qué datos recopila, cómo los obtiene y con qué fines se utilizan si alguna de esa información ha cambiado desde la introducción de GDPR.

Recuerde detallar un proceso transparente paso a paso sobre cómo los clientes pueden obtener acceso y solicitar la eliminación de sus datos. Finalmente, cambie la fecha de su política de privacidad para mostrar que estas actualizaciones han tenido lugar después de la introducción de la nueva ley.

(Nota: si vende la información personal de 4,000,000 o más de consumidores de California por año, es posible que deba incluir divulgaciones adicionales)

Indique a los clientes dónde pueden obtener más información sobre su Política de privacidad y CCPA

Informar a los clientes sobre la política de privacidad y sus derechos en virtud de la CCPA son requisitos durante el proceso de recopilación de sus datos. Tenga en cuenta que no necesita consentimiento (según GDPR); en cambio, debe informarles dónde pueden obtener más información sobre lo que está recopilando y por qué.

Una excelente manera de informar a sus clientes es a través de un aviso de privacidad o una barra de cookies como ya lo hace para fines de GDPR.

Aviso de cumplimiento/privacidad enviado a través de la barra de cookies o el pie de página

Este aviso será muy similar al que ya proporciona para cumplir con el RGPD. Estos avisos de cumplimiento/privacidad son básicamente versiones extremadamente resumidas de su política de privacidad.

Asegúrese de incluir una lista de categorías de información personal que recopila de los consumidores y, para cada categoría, enumere los fines comerciales para los que se utilizará.

Tendrá espacio limitado si se muestra a través de un pie de página o barra de cookies, así que sea lo más directo y directo posible antes de incluir enlaces a su Política de privacidad y su página "No vender mi información personal".

Asegúrese de que la opción de inclusión/exclusión esté disponible

Como se mencionó, no tiene que obtener el consentimiento para los fines de la CCPA. Sin embargo, deberá proporcionar la opción para que los consumidores opten por no participar en la recopilación de datos personales. Con eso en mente, tiene sentido agrupar este permiso junto con el consentimiento previo requerido por GDPR si ya tiene esos parámetros establecidos.

Dados los criterios de tamaño de empresa establecidos para CCPA, es probable que ya haya implementado una arquitectura de sitio web similar, por lo que tiene sentido realizar los ajustes necesarios para cumplir también con los requisitos de CCPA.

Agregue una página 'No vender mi información' y coloque un enlace a ella en su página de inicio

Si vende la información personal de los residentes de California, la nueva ley le exige tener una página web titulada 'No vender mi información personal' o 'No vender mi información'.

En esa página web recién creada, debe incluir la siguiente información:

  • Detalles sobre el derecho del consumidor a rechazar la venta de sus datos personales
  • Un formulario de contacto para enviar una solicitud para dicho opt-out
  • Información relativa a otros métodos de contacto para darse de baja
  • Un enlace a su Política de Privacidad
  • La carga de la prueba requerida cuando un consumidor ha elegido tener un agente autorizado para presentar una solicitud de exclusión voluntaria en su nombre

Debe colocar un enlace a esta página en el pie de página de su sitio web para que nunca esté a más de un clic de distancia.

Obtener el consentimiento previo de los menores de 13 a 16 años antes de vender datos

Una vez más, si se dedica a la venta de datos personales de residentes de California, no se le permitirá hacerlo con personas de entre 13 y 16 años sin consentimiento previo. Puede optar por utilizar su barra de cookies para incluir un mensaje a tal efecto, con un cuadro de consentimiento adjunto.

O, si no tiene interés en recopilar datos sobre personas de esta edad, puede configurar una política de destrucción de todos los datos relacionados con aquellos que cumplan con este criterio, que debe detallarse en su Política de privacidad.

Resumen

Si bien es indudable que la CCPA no tiene un alcance tan amplio como el RGPD, debe tomarse en serio de todos modos. Es probable que represente solo una de varias leyes de privacidad a nivel estatal que entrarán en vigencia en todo Estados Unidos a lo largo de 2020.

Muchos usarán la CCPA como una plantilla de cortar y pegar para las leyes relacionadas con sus respectivos estados. Por lo tanto, tiene sentido modificar su sitio de WordPress para cumplir con los requisitos de cumplimiento del sitio web de CCPA ahora para que pueda seguir cumpliendo con los requisitos tanto en la UE (GDPR) como en los mercados de América del Norte (CCPA et al.). Para obtener información más detallada sobre la CCPA, consulte el sitio web del Departamento de Justicia del Estado de California.

Aquí en WP White Security, nos tomamos muy en serio el cumplimiento y la seguridad. Desarrollamos complementos de utilidad de administración y seguridad de nicho de alta calidad que ayudan a los administradores a administrar y proteger mejor sus sitios web de WordPress. ¿Por qué no echa un vistazo a nuestra cartera de complementos para ver cómo podemos ayudarlo a proteger mejor su sitio web y administrar a sus usuarios?