Preguntas frecuentes sobre la ley CCPA

CCPA es el acrónimo que se le da a la Ley de Privacidad del Consumidor de California (California Consumer Privacy Act) de 2018, una ley que proporciona a los residentes de California determinados derechos en relación con su información personal.

La ley CCPA entra en vigencia el 1.° de enero de 2020.

La ley CCPA se aplica a la información personal que ciertos negocios procesan sobre los individuos que viven en California. Esta ley no se aplica a los datos sobre negocios (incluidas las empresas unipersonales) u otras entidades jurídicas, pero sí se aplica a los datos que los negocios o entidades jurídicas recopilan o conservan sobre los individuos que son residentes de California (p. ej., sus clientes).

La información personal es cualquier información que identifique, se relacione, describa o sea razonablemente capaz de asociarse o de vincularse de manera directa o indirecta con un residente o un hogar de California en particular. Puede incluir el nombre, número de teléfono, dirección de correo electrónico o domicilio postal de un residente de California. También puede incluir registros de productos o servicios adquiridos, historiales o tendencias de compra o de consumo o información que un negocio obtiene sobre la actividad en línea de un individuo (p. ej., la dirección IP, el historial de navegación, etc.).

Debes familiarizarte con la información personal que es posible que tengas sobre tus clientes (y otras personas) que sean residentes de California.

La ley CCPA se aplica a “negocios” con fines de lucro que:

• Operan en California;
• Recopilan información personal sobre residentes de California;
• Deciden cómo y por qué se procesa la información personal; el negocio debe determinar, por sí mismo o en conjunto con otros, los objetivos y los medios de procesamiento de la información personal; y
• Cumplen o exceden uno de los siguientes tres límites conforme a la ley:
  • Tienen ingresos brutos anuales superiores a $25,000,000;
  • Compran, venden, reciben o comparten anualmente información personal con fines comerciales de 50,000 o más residentes, familias o dispositivos de California;
  • Obtienen el 50% o más de sus ingresos anuales de la “venta” de información personal de residentes de California.

La CCPA define el procesamiento de información personal de manera amplia como cualquier operación o conjunto de operaciones que se realizan sobre información personal, ya sea por medios automáticos o no. El “procesamiento” incluye la recopilación, la grabación, la organización, la estructuración, el almacenamiento, la adaptación o la alteración, la recuperación, la consulta, el uso, la divulgación mediante transmisión, la difusión o la disposición de otro modo, la alineación o la combinación, la restricción, la eliminación o la destrucción.

En un alto nivel, la ley CCPA otorga a las personas que viven en California determinados derechos sobre su información personal, como los siguientes:

• El derecho de acceder a su propia información personal;
• El derecho de eliminar su información personal;
• El derecho a optar por que no se pueda “vender” su información personal

Además del deber de cumplir con estos derechos, la ley CCPA también impone otros requisitos a los negocios. Por ejemplo, la ley CCPA requiere que los negocios:

• Divulguen contenido especificado en sus políticas de privacidad;
• Restrinjan contractualmente las actividades de “proveedores de servicios” que procesan información personal en su nombre; y
• Capaciten personal relevante responsable del cumplimiento con la ley CCPA.

Los negocios no pueden discriminar a los residentes de California por ejercer sus derechos conforme a la ley CCPA. Los negocios pueden ofrecer incentivos financieros para la recopilación, venta o eliminación de la información personal de los individuos únicamente si obtienen su consentimiento para la inclusión.

Como se menciona anteriormente, la ley CCPA se aplica a aquellos “negocios” que cumplan con ciertos factores. Según la ley CCPA, los “negocios” tienen la decisión con respecto a cómo y por qué se procesa información personal.

En cambio, un “proveedor de servicios” procesa información personal en nombre de un negocio conforme a un contrato por escrito que le prohíbe conservar, usar o divulgar la información personal que recibe de un negocio con fines distintos a la prestación de servicios en virtud del contrato. A diferencia de un negocio, un proveedor de servicios no determina los fines ni los medios de procesamiento de la información personal que recibe de un negocio.

Un negocio puede recibir una multa de un máximo de $2,500 por cada incumplimiento de la ley CCPA y de $7,500 por cada incumplimiento intencional.

Las personas también pueden demandar legalmente a un negocio por una infracción de seguridad relacionada con su información personal si dicha infracción es el resultado del incumplimiento de un negocio de su deber de implementar y mantener procedimientos y prácticas de seguridad razonables.

Para los negocios, la ley CCPA estipula qué tipos de solicitudes pueden hacer sus clientes de California sobre su información personal. Por ejemplo, si tienes un “negocio” conforme a la ley CCPA, tus clientes de California tienen derecho a solicitar la siguiente información sobre tus prácticas en los 12 meses anteriores:

• las categorías de información personal que recopiló sobre ese consumidor;
• las categorías de los orígenes desde los cuales el vendedor recopiló esa información personal;
• los objetivos comerciales o de negocios para recopilar o vender la información;
• las categorías de terceros con quienes el negocio compartió la información personal del consumidor;
• la información personal específica que el negocio recopiló sobre ese consumidor;
• si el negocio divulga información personal con fines comerciales, las categorías de información que el negocio recopiló con un fin comercial y las categorías de terceros con quienes la información se divulgó con un fin comercial; y
• si el negocio “vende” la información personal, las categorías de la información personal “vendida” y las categorías de terceros a quienes se les vendió.

Esta información debe proporcionarse a las personas de manera segura en un formato listo para usar que les permita transmitirla de una entidad a otra sin obstáculos.

Tus clientes de California también tienen el derecho de solicitar que se elimine su información personal, sujeto a ciertas excepciones enumeradas en la ley CCPA.

La CCPA define la “venta” de manera diferente a como la mayoría de las personas podrían considerar una “venta”. Define la “venta” de información personal como “la venta, el alquiler, la divulgación, la difusión, la disponibilidad, la transferencia o la comunicación de otro modo oral, por escrito o con medios electrónicos o de otro tipo de la información personal de un consumidor a otro negocio o tercero por consideración monetaria u otro tipo de valor”.

Los datos compartidos con empresas que califiquen como “proveedores de servicios” según la ley CCPA, no se consideran “ventas” según esta ley. Square actúa como proveedor de servicios de sus vendedores según la ley CCPA, tal como se describe en nuestras condiciones de servicio actualizadas.

Los vendedores considerados “negocios” según la ley CCPA deben revisar si algo de lo que hacen con los datos de sus clientes o empleados puede considerase “venta” según la ley CCPA. De ser así, es posible que, según esta ley, se requiera que los vendedores coloquen un enlace claro y visible en su sitio web bajo el título “No vender mi información personal”. Este enlace debe dirigir al cliente a una página web que les permita elegir que no se venda su información personal.

Datos de vendedores

Cuando procesamos la información personal de nuestros vendedores, actuamos como negocio según la ley CCPA. Square describe qué datos del vendedor recopilamos, cómo los utilizamos y con quiénes podemos compartirlos en nuestro Aviso de privacidad del vendedor. Dado que los vendedores de Square son negocios también, sus derechos según la ley CCPA difieren de los derechos que los consumidores de California tienen según la ley. Hasta el 1.° de enero de 2023, la ley CCPA tiene una excepción limitada para la información personal que refleja comunicaciones y transacciones entre negocios, por ejemplo, entre Square y los vendedores de Square.

Datos de consumidores

Square actúa principalmente como proveedor de servicios respecto a la información personal que procesamos sobre los clientes que realizan transacciones con los vendedores de Square. Por ejemplo, cuando un cliente le compra a un vendedor de Square, procesamos la transacción como proveedor de servicios en nombre del cliente.

También ofrecemos determinadas funciones directamente a clientes que realizan transacciones con vendedores de Square. Las llamamos nuestras “Funciones para el comprador”. Los clientes pueden obtener más información sobre los datos que recopilamos para las “Funciones para el comprador” en nuestro Aviso de privacidad para las Funciones para el comprador de Square. Los clientes de California pueden ejercer sus derechos conforme a la ley CCPA para las Funciones para el comprador desde su perfil de Square.

Los vendedores de Square pueden ser “negocios” con respecto a la información personal que procesan sobre los clientes de California. Esto significa que los vendedores de Square son responsables por entender sus responsabilidades como “negocios” según la ley CCPA.

Proporcionaremos herramientas a nuestros vendedores para ayudarles a responder las solicitudes que reciban de clientes.

Square está comprometido con resguardar los datos que administra y proteger los derechos de privacidad conforme a la ley CCPA.

Como se mencionó en la pregunta frecuente 12 especificada anteriormente, Square actúa principalmente como un proveedor de servicios para los vendedores cuando procesamos la información personal de tus clientes. Para los clientes que interaccionan con nuestras Funciones para el comprador, nuestro Aviso de privacidad para las Funciones para el comprador de Square describe el modo en que Square procesa su información personal y cómo pueden ejercer sus derechos conforme a la ley CCPA.

Para vendedores de Square, puedes consultar nuestro aviso de privacidad relevante.

Si eres un vendedor que tiene una cuenta con nosotros, puedes encontrar el aviso de privacidad de Square que aplica a los vendedores en nuestro sitio web. Los clientes que opten por usar nuestras Funciones para el comprador, incluido el Portal para el comprador, también pueden encontrar el aviso de privacidad que se aplica a los compradores en nuestro sitio web.

Los visitantes de nuestro sitio web Squareup.com que no tengan una cuenta con nosotros y no usen las Funciones para el comprador pueden consultar el aviso de privacidad en nuestro sitio web.

Si eres vendedor de Square, puedes enviar una solicitud de acceso, eliminación o corrección por correo electrónico a privacy@squareup.com. O bien, llámanos al 1 844 213 7377. Una vez que recibamos tu solicitud, te pediremos que confirmes cierta información personal asociada con tu cuenta a modo de verificación. También es posible que tengas derecho a enviar una solicitud a través de un agente autorizado.

Para obtener más información, consulta nuestro artículo dirigido a vendedores de Square.

Generalmente, actuamos como proveedor de servicio para Vendedores de Square, que son operadores y propietarios de negocios. Si eres residente de California y cliente de un vendedor que usa Square, es posible que tengas el derecho de solicitar cierta información a ese vendedor relacionada con la información personal que recopiló sobre ti. Realiza las solicitudes de información personal que tengas directamente al Vendedor de Square en cuestión. Ten en cuenta que no todos los Vendedores de Square estarán sujetos a la ley CCPA. Obtén más información sobre cómo realizar una solicitud de datos según la ley CCPA en nuestro Centro de Atención al Cliente.

Si eres cliente de un Vendedor de Square y optaste por usar nuestras Funciones para el comprador, tienes la libertad de realizar solicitudes sobre los datos que usamos en las Funciones para el comprador en tu perfil de Square.

Conforme a la ley CCPA, los negocios no tienen la obligación de eliminar información personal si, entre otras excepciones, los datos son necesarios para proporcionar bienes o servicios a un cliente, cumplir con obligaciones legales, detectar y resolver problemas relacionados con la seguridad o la funcionalidad o utilizarse de manera interna de modos esperables para un cliente.