CCPA para los vendedores de Square sobre cómo gestionar los pedidos de datos de tus clientes
En Square, estamos comprometidos a proteger los derechos de privacidad de nuestros clientes en virtud de la ley CCPA y a ayudar a nuestros vendedores a cumplir con las solicitudes de la ley CCPA de sus propios clientes. Si bien no podemos proporcionarte asesoramiento legal*, hemos creado artículos del Centro de Atención al Cliente para ayudarte a comprender cómo puede usar las herramientas de Square para cumplir con tus obligaciones de cumplimiento de la ley CCPA.
¿Qué es la ley CCPA y cómo afecta a mi negocio?
Para ver una descripción rápida sobre la ley CCPA y cómo puede aplicarse a ti, visita nuestras Preguntas frecuentes sobre la ley CCPA.
Desde el 1.° de enero de 2020, conforme a la ley CCPA, los residentes de California tiene derecho (con sujeción a determinadas limitaciones) a solicitar lo siguiente de los “negocios” que administran su información personal:
-
Determinados detalles sobre la información personal que conserva sobre ellos el negocio, incluidos:
las categorías de información personal que recopiló sobre ese consumidor;
las categorías de los orígenes desde los cuales el vendedor recopiló esa información personal;
los objetivos comerciales o de negocios para recopilar o vender la información;
las categorías de terceros con quienes el negocio compartió la información personal del consumidor;
la información personal específica que el negocio recopiló sobre ese consumidor;
si el negocio divulga información personal con fines comerciales, las categorías de información que el negocio recopiló con un fin comercial y las categorías de terceros con quienes la información se divulgó con un fin comercial;
si el negocio “vende” la información personal, las categorías de información personal “vendida” y las categorías de terceros a quienes la información “se vendió”.
La eliminación de la información personal del consumidor recopilada por el vendedor
Si el negocio “vende” la información personal del consumidor, elegir que su información personal no se venda a terceros.
Como propietario del negocio, tú determinas los fines y los medios de procesamiento de la información personal de los clientes. Tú eres el “negocio” para los fines de la ley CCPA si cumples con los criterios para la aplicabilidad de la ley CCPA, por ejemplo, “hacer negocios” en California y cumplir con un umbral de ingresos en particular (encontrarás más información al respecto en nuestras Preguntas frecuentes sobre la ley CCPA).
La información personal conforme a la ley CCPA es cualquier información que identifique, se relacione, describa o sea razonablemente capaz de asociarse o de vincularse de manera directa o indirecta con un residente o un hogar de California en particular. Esta definición es muy amplia. Puede incluir el nombre, el número de teléfono, la dirección de correo electrónico o el domicilio postal de un residente de California. También puede incluir registros de productos o servicios adquiridos, historiales o tendencias de compra o de consumo o información que un negocio obtiene sobre la actividad en línea de un individuo (p. ej., la dirección IP, el historial de navegación, etc.).
Debes familiarizarte con la información personal que es posible que tengas sobre tus clientes que sean residentes de California.
Pasos para considerar si recibes solicitudes de datos de tus clientes
Determina tus obligaciones conforme a la ley CCPA si aún no lo hiciste
No todos los vendedores de Square están sujetos a las obligaciones de la ley CCPA. Es posible que desees comunicarte con la oficina del Fiscal General de California para obtener más información respecto de si tu negocio está sujeto a las obligaciones de la ley CCPA.
Si has determinado que estás obligado a cumplir con la ley CCPA:
Verifica tu identidad
Un primer paso importante es confirmar la identidad de la persona que realiza la solicitud. Puedes solicitar una prueba de identidad para asegurarte de que estás tratando con la persona correcta, que es quien tiene derecho a recibir la información solicitada. No puedes solicitar a los clientes que creen una cuenta para realizar una solicitud conforme a la ley CCPA.
Cumple con la solicitud
Después de recibir una solicitud de datos, puedes informarle a tu cliente que estás gestionando su solicitud mientras te ocupas de reunir toda la información pertinente y finalizar la solicitud dentro de los plazos requeridos excepto que haya una excepción aplicable estipulada en la ley CCPA.
Para solicitudes de acceso, normalmente debes responder por completo en el transcurso de 45 días, si bien es posible que puedas obtener una extensión en circunstancias limitadas. Un cliente puede realizar hasta dos solicitudes de acceso en un período de 12 meses.
Para solicitudes de eliminación, la ley CCPA no estipula un plazo requerido para la eliminación de la información personal de un cliente. Sin embargo, excepto que se aplique una excepción, debes eliminar la información del consumidor de inmediato.
Para las exclusión voluntaria de la venta, la ley CCPA exige que los negocios garanticen que, en lo sucesivo, no “venderán” la información personal relevante del consumidor a terceros. Debes ofrecer esta opción y cumplir la solicitud de exclusión si has “vendido” información personal de los clientes según el significado especificado en la ley CCPA (encontrarás más información al respecto en nuestras Preguntas frecuentes sobre la ley CCPA).
Si no estás seguro de qué solicitud se realiza, puedes ponerte en contacto con tu cliente para mayor claridad al responder la solicitud.
¿Cómo puedo cumplir?
Cuando un cliente realiza una solicitud, debes proporcionar información específica al responder:
las categorías de información personal que recopilaste sobre ese consumidor;
la información personal específica que recopilaste sobre ese consumidor;
las categorías de los orígenes desde los cuales recopilaste la información personal;
los objetivos comerciales o de negocios para recopilar o vender la información;
las categorías de terceros con quienes compartiste la información personal del consumidor;
si divulgas la información personal con fines comerciales, las categorías de información que recopilaste con un fin comercial y las categorías de terceros con quienes la divulgaste; y
si “vendes” información personal, las categorías de información personal “vendida” y las categorías de terceros a quienes la información “se vendió”.
Tu respuesta a una solicitud de acceso debe abarcar lo que has hecho con la información del consumidor en los 12 meses anteriores. Asimismo, la información que proporciones en respuesta a una solicitud de acceso conforme a la ley CCPA debe realizarse en un “formato listo para usar” que permita al consumidor transmitir esta información a otra entidad “sin obstáculos”.
Cuando un cliente realiza una solicitud de eliminación, asumiendo que no se aplica ninguna excepción, debes eliminar la información personal del cliente y dirigirla a cualquiera de tus proveedores de servicios que también conservan información para que la eliminen de sus registros.
Cuando un cliente elige excluirse de la “venta” de su información personal, debes garantizar que, en lo sucesivo, no “venderás” la información relevante del consumidor a terceros. Como se indicó anteriormente, debes ofrecer esta opción y cumplir la solicitud de exclusión si has “vendido” información personal de los clientes según el significado especificado en la ley CCPA.
Herramientas y sugerencias
Proporcionaremos algunas consejos a nuestros vendedores para ayudarlos a responder las solicitudes que reciben de sus clientes respecto de la información personal procesada por Square. De manera independiente, si tu cliente ha utilizado las Funciones del comprador, puede ejercer sus derechos para estas funciones aquí. Además de cumplir cualquier solicitud tú mismo, asegúrate de considerar también las integraciones con aplicaciones que hayas autorizado o hayas desarrollado con tu cuenta de Square. Por ejemplo, ¿has autorizado que aplicaciones de terceros, a través del mercado de aplicaciones de Square, accedan a datos de clientes dentro de tu cuenta de Square? Si es así, asegúrate de tomar en cuenta estas integraciones al responder la solicitud de datos de tu cliente.
Transfiere la información al solicitante de manera segura
Si el cliente tiene una cuenta contigo, la ley CCPA exige que tu respuesta a la solicitud de acceso del cliente se entregue mediante la cuenta del cliente. De lo contrario, debes proporcionar tu respuesta a la solicitud de acceso conforme a la ley CCPA por correo o de manera electrónica, según la preferencia de tu cliente. Debes enviar la información solicitada de manera segura, por ejemplo, mediante un servicio de uso compartido de archivos que envíe los archivos con transmisión cifrada.
Sin cargo
No puedes cobrar a tus clientes por la gestión de solicitudes de información personal conforme a la ley CCPA, excepto que dichas solicitudes sean notoriamente infundadas o excesivas, en particular, por su carácter repetitivo.
Registra tu cumplimiento
Es una buena idea registrar cuándo llegan esas solicitudes, de modo que puedas responderlas dentro de los plazos requeridos. También es buena idea mantener un registro de la solicitud y las búsquedas realizadas, de modo que, si se te cuestiona la solicitud en el futuro, estarás mejor preparado para demostrar el cumplimiento de tu negocio.
Puedes cumplir con las solicitudes de la ley CCPA de tus clientes (en relación con los datos procesados por Square) desde la pestaña CCPA en la sección Cuenta y ajustes de tu , desde donde puedes procesar las solicitudes de tus clientes y mantener un registro de tu gestión de las solicitudes de los clientes para referencia futura.
Otras sugerencias
Como negocio, debes mantenerte informado sobre sus responsabilidades conforme a la ley CCPA e informar a tus empleados y proveedores del mismo modo. Además de ser una práctica comercial recomendada, esto te ayudará a evitar infringir la ley CCPA.
Si la ley CCPA se aplica a tu negocio, las multas máximas por no cumplir con la ley son de $2,500 por infracción de la ley CCPA (o hasta $7,500 por cada infracción intencional). Si el Fiscal General tiene motivos para creer que un negocio ha infringido la ley CCPA, dicho negocio tiene 30 días para subsanar la infracción después de recibir una notificación de su posible incumplimiento.
Además, la ley CCPA proporciona el derecho privado para actuar ante determinadas infracciones de datos, lo que significa que los clientes pueden tener la posibilidad de demandar en caso de una infracción que afecte su información personal no cifrada ni editada.
Para obtener más información, lee Preguntas frecuentes sobre la ley CCPA.
El Fiscal General de California es el responsable de exigir el cumplimiento de los negocios de la ley CCPA. Puedes visitar el Sitio web del fiscal general para obtener más información sobre tus obligaciones comerciales conforme a la ley CCPA, cómo administrar los datos personales que almacena y cómo gestionar las solicitudes de datos.
Este artículo tiene como fin ofrecer orientación útil y no debe interpretarse como asesoramiento legal. Debes asesorarte con un experto legal para conocer tus obligaciones estipuladas en la ley CCPA y recibir la orientación personalizada según tus necesidades específicas.