En el paisaje en rápida evolución de la privacidad y protección de datos, dos de las leyes más influyentes son el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y la Ley de Privacidad del Consumidor de California (CCPA). Ambas regulaciones están diseñadas para proteger la privacidad de las personas y proporcionarles control sobre sus datos personales; sin embargo, difieren significativamente en su alcance, aplicabilidad y ejecución. Este artículo busca proporcionar una comparación completa de la GDPR y la CCPA, enfocándose en los requisitos y obligaciones que las instituciones financieras operadoras en ambas jurisdicciones deben cumplir.
Requisitos o Conceptos Clave
Alcance
GDPR: El GDPR se aplica a organizaciones que operan dentro de la UE o fuera de ella cuando procesan datos personales de individuos dentro de la UE. El Artículo 3(1) del GDPR establece que "Esta Regulación se aplica al tratamiento de datos personales en el contexto de las actividades de una sede de un controlador o procesador en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no." Esto significa que cualquier organización con clientes o empleados en la UE está sujeta al GDPR, independientemente de dónde se base la empresa.
CCPA: La CCPA se aplica a negocios con fines de lucro que realicen negocios en California y cumplan ciertos umbrales de ingresos: tener ingresos brutos anuales superiores a $25 millones, comprar, recibir, vender o compartir la información personal de 50,000 o más consumidores de California, dispositivos o hogares, o obtener el 50% o más de sus ingresos anuales vendiendo la información personal de los consumidores de California. Este alcance es más limitado en comparación con el GDPR y se enfoca específicamente en el estado de California.
Derechos de las Personas
GDPR: Bajo el Artículo 15 del GDPR, las personas tienen derecho a acceder a sus datos personales, rectificar datos inexactos, borrar sus datos (el derecho al olvido), restringir el tratamiento, a la portabilidad de datos y a objetar al tratamiento. Estos derechos buscan poner a las personas a cargo de sus datos personales y garantizar la transparencia por parte de los controladores de datos.
CCPA: La CCPA otorga a los consumidores el derecho de saber qué información personal se recaba, el derecho a borrar la información personal que poseen los negocios y el derecho a optar por no vender la información personal. Los derechos de la CCPA son algo más limitados en comparación con el GDPR, ya que no incluyen el derecho a la portabilidad de datos o a restringir el tratamiento.
Requisitos de Consentimiento
GDPR: El consentimiento es una de las seis bases legales para el tratamiento de datos personales, como se describe en el Artículo 6(1). Para que el consentimiento sea válido según el GDPR, debe ser dado libremente, específico, informado y claro, como se establece en el Artículo 4(11). Esto significa que el consentimiento debe obtenerse por separado de otros términos y condiciones y la persona debe estar completamente informada sobre cómo se utilizarán sus datos.
CCPA: La CCPA no menciona específicamente el consentimiento, pero requiere que los negocios den aviso y obtengan el consentimiento de opt-in para la venta de información personal de menores de 16 años. Para adultos, los negocios deben informar a los consumidores de su derecho a optar por no vender su información personal.
Sanciones
GDPR: La falta de cumplimiento con el GDPR puede resultar en sanciones financieras significativas. El Artículo 83(4) y (5) establecen que las infracciones pueden resultar en multas de hasta 20 millones de euros o el 4% del volumen de negocios total anual a nivel mundial del ejercicio financiero anterior, lo que sea mayor.
CCPA: La CCPA permite sanciones de hasta $7,500 por cada infracción, con una multa total limitada a $2,500 por cada infracción si el negocio corrige la infracción dentro de los 30 días de ser notificado de ella.