Ley de Privacidad del Consumidor de California (CCPA)

¿En qué consiste la Ley de Privacidad del Consumidor de California (CCPA)?

La Ley de Privacidad del Consumidor de California (CCPA) fue sancionada por la legislatura del estado en 2018 y entrará en vigencia el 1 de enero de 2020. La CCPA amplía los derechos a la privacidad de los residentes del estado de California y requiere que las empresas sean transparentes en cuanto al modo en el que recaban, comparten y utilizan los datos personales de los consumidores.  

  • La CCPA se aplica a la mayoría de las empresas que cumplan con al menos una de las siguientes condiciones:
    • Lleven a cabo negocios en California
    • Recopilen información personal de los consumidores
    • Registren ingresos brutos anuales superiores a $25 millones
    • Obtengan al menos un 50% de sus ingresos anuales de la venta de información personal de los consumidores
    • Determinen los fines y medios del procesamiento de la información personal de los consumidores
    • De forma individual o conjunta, anualmente compren, reciban en pos de los objetivos comerciales de la empresa, vendan, o compartan con fines comerciales la información personal de 50,000 o más consumidores, familias, o dispositivos
       
  • Existen limitaciones en la CCPA en lo relativo a las solicitudes de empleo, la información laboral sobre empleados, consultores y trabajadores similares.
  • La CCPA tiene como objeto complementar a la legislación federal y del estado, si fuera posible, aunque no será aplicable si la legislación federal o la Constitución de los EE.UU. o del estado de California prohíben la solicitud o si esta fuese contraria a sus disposiciones. La CCPA establece limitaciones a la información de consumidores y a cierta información relacionada con los negocios que se encuentre en poder de las instituciones financieras regidas por las leyes y regulaciones federales.

Derechos del consumidor de California conforme a la CCPA

Divulgación. Toda empresa debe revelar la información personal recabada, vendida o divulgada con un fin comercial acerca de un consumidor.

  • Una empresa que recabe información personal debe revelar lo siguiente en respuesta a una solicitud verificada de un consumidor:
    • Las categorías de información personal que la empresa haya recopilado acerca del consumidor
    • Las categorías de las fuentes a partir de las cuales se recaba la información personal
    • El fin comercial para el que se recopila la información personal
    • Las categorías de terceros con los que la empresa comparte la información personal
    • La información personal específica que la empresa haya recopilado acerca del consumidor
       
  • Una empresa que venda la información personal de un consumidor o divulgue la información personal de un consumidor con un fin comercial debe revelar lo siguiente en respuesta a una solicitud verificada de un consumidor:
    • Las categorías de información personal que la empresa haya recopilado acerca del consumidor
    • Las categorías de información personal que la empresa haya vendido acerca del consumidor
    • Las categorías de terceros a quienes se les haya vendido la información personal
    • Las categorías de información personal vendida a terceros (en caso de que la empresa no haya vendido información personal de consumidores, deberá declararlo)
    • Las categorías de información personal que la empresa haya revelado acerca del consumidor con un fin comercial (en caso de que la empresa no haya revelado información personal de consumidores con un fin comercial, deberá declararlo)

Acceso. Una empresa que recopile información personal acerca de un consumidor debe, en simultáneo o con anterioridad a dicha recopilación, informar al consumidor acerca de las categorías de información personal a recopilar y cómo se utilizarán dichas categorías de información personal. Una empresa debe revelar y entregar la información personal acerca de un consumidor en respuesta a una solicitud verificable de un consumidor.

Eliminación. Una empresa debe eliminar la información personal recopilada acerca de un consumidor y deberá ordenar a sus proveedores de servicios que eliminen la información personal del consumidor en respuesta a una solicitud verificada de un consumidor, con ciertas excepciones.

Prohibición de discriminar. Una empresa no debe discriminar a un consumidor que ejerza cualquiera de sus derechos como tal en virtud de la CCPA. Sin embargo, toda empresa podrá cobrar precios diferenciales o proveer bienes o servicios de distinta calidad si la diferencia se relaciona razonablemente con el valor que le aportan al consumidor sus propios datos; asimismo, podrá ofrecer incentivos económicos a un consumidor por la recopilación, venta, o eliminación de información personal con su previo consentimiento a la participación.

Opción de exclusión y requisitos del sitio web. Toda empresa que venda información personal de consumidores a terceros deberá notificar a sus consumidores al respecto y acerca del derecho a ser excluidos de la venta de información personal. La empresa deberá incluir en la página de inicio de su sitio web un enlace identificado con la frase "No autorizo la venta de mi información personal" mediante el cual se acceda a una página web que le permita al consumidor excluirse de la venta de información personal. Una empresa no podrá vender información personal de un consumidor si la empresa efectivamente tiene conocimiento de que el consumidor no ha alcanzado los 16 años de edad, a menos que se encuentre entre los 13 y 16 años de edad, o el progenitor o tutor de un consumidor menor de 13 años de edad haya autorizado la venta de la información personal del consumidor.

Requisitos de la política de privacidad. Una empresa deberá describir en su política de privacidad en línea o en toda descripción de los derechos de privacidad del consumidor específica de California lo siguiente, debiendo actualizar la información como mínimo una vez cada 12 meses:

  • Los derechos del consumidor en virtud de la CCPA, incluido el derecho del consumidor a ser excluido de la venta de su información personal y en un enlace por separado a la página web "No autorizo la venta de mi información personal" de internet
  • Los métodos para presentar solicitudes del consumidor
  • Un listado de las distintas categorías de información personal acerca de los consumidores recabada, vendida y revelada por la empresa con un fin comercial en los últimos 12 meses

Declaración conforme a la Ley de Privacidad del Consumidor de California

La presente DECLARACIÓN complementa la información contenida en la Notificación de Privacidad de Comerica Bank y de sus subsidiarias y filiales (denominadas de manera colectiva, "nosotros" o "nuestro") y se aplica únicamente a los visitantes, usuarios, y demás personas que residan en el Estado de California (los "consumidores" o "Ud."). Efectuamos esta declaración en cumplimiento con la Ley de Privacidad del Consumidor de California ("CCPA") y otras leyes sobre privacidad de dicho estado.  Todos los términos definidos en la CCPA que se utilicen en la presente declaración poseen el mismo significado asignado en dicha ley.

Información que recopilamos

Recopilamos información que identifique, describa, se asocie o remita, o bien pueda asociarse o vincularse razonablemente, de manera directa o indirecta, a un consumidor o dispositivo en particular ("información personal"). En particular, hemos recopilado las siguientes categorías de información personal de consumidores dentro de los últimos doce (12) meses:

Categoría

Ejemplos

Recopilada

A. Identificadores

Un nombre real, alias, dirección de correo postal, identificador personal único, identificador en línea, dirección de Protocolo de Internet, dirección de correo electrónico, nombre de usuario, número del Seguro Social, número de licencia de conducir, número de pasaporte, y otros identificadores similares.

       Sí

B. Las categorías de información personal enunciadas en la ley de Registro de Clientes de California (Cód. Civ. de Cal. § 1798.80(e))

Nombre, firma, número de Seguro Social, características o descripción física, domicilio, número de teléfono, número de pasaporte, licencia de conducir o número de identificación del estado, número de póliza de seguros, educación, empleo, experiencia laboral, número de cuenta bancaria, número de tarjeta de crédito, número de tarjeta de débito, o cualquier otra información financiera, médica, o de seguro médico. Alguna información personal incluida en esta categoría podría superponerse con otras categorías.

C. Características de clasificación resguardadas en virtud de la legislación federal o del estado de California

Edad (40 años como mínimo), raza, color de piel, ascendencia, nacionalidad, ciudadanía, religión o credo, estado civil, estado de salud, discapacidad física o mental, sexo (incluido género, identidad de género, expresión de género, embarazo o parto y demás condiciones médicas), orientación sexual, veteranía o servicio militar, información genética (incluida información genética de parentesco).

D. Información Comercial

Registros de bienes muebles, productos o servicios comprados, obtenidos o considerados u otros historiales o tendencias de compras o consumos.

E. Información biométrica

Características genéticas, fisiológicas, actitudinales, y biológicas, o patrones de actividad utilizados para extraer una plantilla u otro identificador o información de identificación, como por ejemplo, huellas digitales, huellas faciales y de voz, escaneo de iris o retina, pulsación de teclas, modo de caminar, u otros patrones físicos y datos sobre el sueño, la salud o el ejercicio físico.

F. Uso de Internet u otra actividad similar en las redes

Historial de navegación, historial de búsquedas, información sobre la interacción de un consumidor con un sitio web, aplicación o anuncio publicitario.

G. Datos de geolocalización

Ubicación física o movimientos.

H. Datos sensoriales

Información auditiva, electrónica, visual, térmica, olfativa u otra similar.

I. Información relacionada con el empleo o profesión

Experiencia laboral actual o pasada o evaluaciones de desempeño.

J. Información educativa de carácter privado (según la Ley de Privacidad y Derechos Educativos de la Familia (20 Cód. de los EE.UU. (U.S.C) Artículo 1232g, 34 Cód. de Reg. Fed. (C.F.R.) Parte 99))

Registros educativos relacionados directamente con un alumno llevados por una institución educativa o un tercero en su nombre, como por ejemplo, calificaciones, certificados analíticos, listado de clases, cronogramas de estudio, códigos de identificación, información financiera, o registros disciplinarios de los alumnos.

K. Conclusiones obtenidas de otra información personal

Perfil que refleje las preferencias, características, tendencias psicológicas, predisposiciones, comportamientos, actitudes, inteligencia, habilidades y aptitudes de una persona.

 

La información personal no incluye:

  • Información pública de registros gubernamentales.
  • Información grupal o anonimizada de consumidores
  • Información excluida del alcance de la CCPA, por ejemplo:
    • Información médica o relativa al estado de salud protegida por la Ley de Responsabilidad y Portabilidad del Seguro de Salud del año 1996 (HIPAA) y la Ley de Confidencialidad de la Información Médica de California (CMIA) o datos de ensayos clínicos
    • Información personal protegida por ciertas leyes específicas de cada sector, incluida la Ley de Informe de Crédito Justo (FRCA), la Ley Gramm-Leach-Bliley (GLBA) o la Ley de Privacidad de la Información Financiera de California (FIPA), y la Ley de Protección de la Privacidad de los Conductores del año 1994

Obtenemos las categorías de información personal enunciadas anteriormente de las siguientes fuentes:

  • Directamente de nuestros clientes o sus representantes. Por ejemplo, de los documentos que nuestros clientes nos suministran en relación con los servicios para los cuales nos contratan
  • Indirectamente de nuestros clientes o sus representantes. Por ejemplo, mediante la información que recopilamos de nuestros clientes en el curso de la prestación de nuestros servicios
  • Directa e indirectamente de la actividad registrada en nuestro sitio web (www.comerica.com) Por ejemplo, de las presentaciones efectuadas mediante nuestro portal web o datos de uso del sitio web recopilados automáticamente
  • De terceros que interactúan con nosotros en relación con los servicios que prestamos

Uso de la Información Personal

Podemos utilizar o revelar la información personal que recopilamos para los siguientes fines comerciales, de forma individual o conjunta:

  • Para cumplir con el objetivo para el cual se suministra la información
  • Para suministrarle información, productos o servicios que solicite de nosotros
  • Para enviarle alertas y otras notificaciones por correo electrónico respecto de nuestros productos o servicios, que puedan resultar de su interés
  • Para mejorar nuestro sitio web y presentarle sus contenidos
  • A los fines de realizar pruebas, investigaciones, análisis y desarrollo de productos
  • Según sea necesario o adecuado para proteger los derechos, bienes o seguridad propia, de nuestros clientes o terceros
  • Para responder a los requerimientos de las fuerzas de seguridad y según lo requerido por la ley aplicable, sentencia judicial o regulaciones gubernamentales
  • Conforme lo que se le haya informado al recopilar su información personal o de cualquier otra manera establecida en la CCPA

No recopilaremos categorías adicionales de información personal ni utilizaremos información personal que recopilamos con fines significativamente diferentes, no relacionados ni compatibles sin previo aviso.

Información personal compartida

Es posible que divulguemos su información personal a terceros con un fin comercial.  Cuando revelamos información personal con un fin comercial, celebramos un contrato que describe el objeto de dicha revelación y requiere que el receptor mantenga el carácter confidencial de esa información y no la utilice para ningún otro propósito distinto a la ejecución del contrato.

Revelamos su información personal con un fin comercial a los siguientes terceros:

  • Nuestras filiales
  • Proveedores de servicios
  • Terceros a quienes Ud. o sus representantes nos hayan permitido revelar su información personal en relación con los productos o servicios que le prestamos a Ud.

En los últimos doce (12) meses, no hemos vendido información personal alguna.

Sus derechos y opciones

La CCPA otorga derechos específicos a los consumidores (residentes de California) respecto de su información personal. Esta sección describe sus derechos conforme a la CCPA y explica cómo ejercer tales derechos.

Acceso a información específica y derechos de portabilidad de datos

Ud. tiene el derecho a solicitar que le revelemos cierta información sobre la recopilación y el uso de información personal en los últimos 12 meses. Una vez que recibamos y confirmemos su solicitud de consumidor verificable, le revelaremos lo siguiente:

  • Las categorías de información personal que recopilamos sobre Ud.
  • Las categorías de fuentes de información personal que recopilamos sobre Ud.
  • Nuestro fin comercial para el cual recopilamos o vendemos información personal
  • Las categorías de terceros con los cuales compartimos dicha información personal
  • La información personal específica que recopilamos sobre Ud. (también denominada solicitud de portabilidad de datos)
  • Si vendimos o divulgamos información personal con un fin comercial, dos listados por separado revelando:
    • ventas, identificando las categorías de información personal que compró cada categoría de receptor; y
    • divulgaciones con un fin comercial, identificando las categorías de información personal que cada receptor obtuvo

Derechos a solicitar la eliminación de información

Ud. tiene el derecho a solicitar que eliminemos la información personal que recopilamos y retuvimos acerca de Ud., con ciertas excepciones. Una vez que recibamos y confirmemos su solicitud verificable de consumidor, eliminaremos su información personal de nuestros registros, a menos que se aplique alguna excepción.

Únicamente Ud. o una persona inscripta ante el Secretario del Estado de California que Ud. autorice para actuar en su nombre, podrá presentar una solicitud verificable de consumidor relacionada con su información personal. Ud. también podrá realizar una solicitud verificable de consumidor en nombre de su hijo menor de edad.

Sólo podrá presentar una solicitud verificable de consumidor para obtener acceso o portabilidad de datos dos veces en un plazo de 12 meses. La solicitud verificable de consumidor deberá:

  • Contener información suficiente que nos permita verificar razonablemente que Ud. es la persona respecto de la cual recopilamos información personal o un representante autorizado
  • Describir su solicitud con suficiente detalle de modo que nos permita entender, evaluar y responder de la manera debida

No podemos responder a su solicitud ni suministrarle información personal a menos que verifiquemos su identidad o autoridad para presentar la solicitud y confirmemos que la información personal se relaciona con Ud.  Para presentar una solicitud verificable de consumidor no es preciso crear una cuenta con nosotros.  Sólo utilizaremos la información personal suministrada en una solicitud verificable de consumidor a los efectos de comprobar la identidad o autoridad del solicitante para presentar la solicitud.

Plazo y formato de la respuesta

Nos comprometemos a responder a una solicitud verificable de consumidor dentro de los 45 días de su recepción.  En caso de necesitar más tiempo (hasta 90 días), le informaremos acerca de la razón y el plazo de la prórroga por escrito.  En caso de tener cuenta con nosotros, entregaremos nuestra respuesta por escrito en dicha cuenta.  Si no tiene una cuenta con nosotros, le entregaremos nuestra respuesta por escrito por correo o correo electrónico, según Ud. lo prefiera.  Las divulgaciones que hagamos únicamente cubrirán el plazo de 12 meses anteriores a la recepción de la solicitud verificable de consumidor.  Nuestra respuesta también explicará las razones por las cuales no podemos cumplir con su pedido, si correspondiere. 

Prohibición de discriminación

No ejerceremos discriminación alguna en su contra por ejercer sus derechos en virtud de la CCPA. A menos que la CCPA lo permita, no efectuaremos los siguientes actos:

  • Negarle bienes o servicios.
  • Cobrarle precios o tarifas diferenciales por bienes o servicios, incluso mediante el otorgamiento de descuentos u otros beneficios, o la imposición de penalidades.
  • Brindarle bienes o servicios de distinto nivel o calidad.
  • Sugerirle que podrían aplicarse precios o tarifas diferenciales por bienes o servicios o que podría recibir bienes o servicios de distinto nivel o calidad.

Cambios a nuestra declaración de privacidad

Nos reservamos el derecho a enmendar esta declaración de privacidad a nuestra discreción en cualquier momento. Todos los cambios introducidos a la presente declaración de privacidad estarán disponibles en nuestro sitio web.

Información de contacto

En caso de tener preguntas o comentarios acerca de la presente declaración, nuestra Notificación de Privacidad, las formas en las que recopilamos y utilizamos su información personal, sus opciones y derechos respecto de dicho uso, o si desea ejercer sus derechos en virtud de la legislación de California, envíemos un correo electrónico a:  OEWCmail[at]comerica.com