emailr_
Todos los artículos
explainer·8 min

Guía de cumplimiento de CCPA para correo electrónico

complianceccpalegal

Resumen

CCPA otorga a los residentes de California derechos sobre sus datos personales, incluidas las direcciones de email. Debes revelar qué datos recopilas, permitir el opt-out de la venta de datos y eliminar los datos cuando te lo soliciten. El incumplimiento puede resultar en multas significativas.

Cuando CCPA entró en vigor en 2020, una empresa de comercio electrónico mediana descubrió que no tenía idea de dónde vivían todas las direcciones de email de sus clientes. Marketing tenía una lista. Ventas tenía otra lista. Atención al cliente tenía otra. El data warehouse tenía copias de todo. Responder a una sola solicitud de eliminación significaba coordinar entre siete sistemas diferentes.

El cumplimiento de CCPA no se trata solo de añadir un enlace de política de privacidad. Requiere comprender dónde viven los datos personales en tu organización y construir procesos para respetar los derechos del consumidor. Para los especialistas en email marketing, esto implica replantear cómo recopilas, almacenas y usas las direcciones de email.

Lo que exige CCPA

La California Consumer Privacy Act otorga a los residentes de California derechos específicos respecto a sus datos personales.

El derecho a saber significa que los consumidores pueden solicitar qué información personal has recopilado sobre ellos, de dónde proviene, para qué la usas y con quién la has compartido. Para email, esto incluye su dirección de email, historial de interacción y cualquier dato derivado de su actividad de email.

El derecho a eliminar significa que los consumidores pueden solicitar que elimines su información personal. Con algunas excepciones, debes cumplir. Esto va más allá de darse de baja: significa eliminar sus datos de tus sistemas por completo.

El derecho a optar por no vender su información significa que los consumidores pueden indicarte que no vendas su información personal. Si compartes listas de emails con socios o vendes datos a terceros, los consumidores pueden detener esto.

El derecho a la no discriminación significa que no puedes penalizar a los consumidores por ejercer sus derechos. No puedes cobrar más ni brindar un peor servicio porque alguien optó por no vender sus datos.

Estos derechos se aplican a los residentes de California sin importar dónde esté ubicada tu empresa. Si tienes clientes en California, CCPA probablemente se te aplica.

A quién se aplica CCPA

CCPA se aplica a empresas con fines de lucro que recopilan información personal de residentes de California Y cumplen cualquiera de estos umbrales:

Ingresos brutos anuales superiores a 25 millones de dólares. La mayoría de empresas medianas y grandes califican.

Comprar, vender o compartir información personal de 100,000 o más residentes, hogares o dispositivos de California al año. Muchas listas de emails superan este umbral.

Obtener el 50% o más de los ingresos anuales por vender información personal de residentes de California. Aquí caen los corredores de datos y algunas empresas de marketing.

Si no cumples estos umbrales, CCPA no se te aplica, pero otras leyes de privacidad podrían hacerlo, y seguir los principios de CCPA es buena práctica en cualquier caso.

Requisitos de cumplimiento específicos para email

Para el email marketing, el cumplimiento de CCPA implica varias consideraciones específicas.

Divulgación en el momento de la recopilación: Cuando recopiles direcciones de email, debes informar a los consumidores qué categorías de información personal estás recopilando y cómo la usarás. Tus formularios de registro necesitan divulgaciones de privacidad claras.

Requisitos de la política de privacidad: Tu política de privacidad debe describir las categorías de información personal recopilada, los fines de la recopilación, los derechos del consumidor bajo CCPA y cómo enviar solicitudes. Debe actualizarse al menos una vez al año.

Inventario de datos: Debes saber dónde se almacenan las direcciones de email y los datos relacionados en toda tu organización. CRM, plataforma de email, herramientas de analytics, data warehouse, copias de seguridad—todo. No puedes atender solicitudes de eliminación si no sabes dónde residen los datos.

Gestión de solicitudes: Debes proporcionar al menos dos métodos para que los consumidores presenten solicitudes (típicamente formulario web y número gratuito). Debes verificar la identidad del solicitante. Debes responder en un plazo de 45 días (prorrogable a 90 en algunos casos).

Acuerdos con proveedores de servicios: Si usas proveedores de servicios de email, necesitas contratos que especifiquen que actúan como proveedores de servicios conforme a CCPA y que restrinjan cómo pueden usar los datos.

Gestión de solicitudes de eliminación

Las solicitudes de eliminación requieren un manejo cuidadoso para garantizar el cumplimiento.

Verifica la identidad antes de eliminar. Necesitas una verificación razonable de que quien solicita es quien dice ser. Para solicitudes relacionadas con email, esto puede implicar enviar una confirmación a la dirección de email en cuestión.

Elimina de todos los sistemas. Darse de baja no es suficiente. Debes eliminar la dirección de email y los datos asociados de tu plataforma de email, CRM, herramientas de analytics, data warehouse y de cualquier otro lugar donde existan. Documenta lo que eliminaste.

Existen excepciones. Puedes conservar datos necesarios para completar transacciones, detectar incidentes de seguridad, cumplir obligaciones legales o para ciertos usos internos. Pero estas excepciones son limitadas—en caso de duda, elimina.

Notifica a los proveedores de servicios. Si has compartido los datos con proveedores de servicios, debes instruirles para que también los eliminen. Tus contratos deben exigirles que cumplan.

Responde por escrito. Confirma al consumidor qué acciones tomaste. Conserva registros de las solicitudes y respuestas como documentación de cumplimiento.

Requisitos de opt-out de la venta

Si “vendes” información personal, se aplican requisitos adicionales.

La “venta” se define de forma amplia bajo CCPA. Incluye compartir datos a cambio de compensación monetaria, pero también compartirlos por otras contraprestaciones de valor. Si compartes listas de emails con socios que proporcionan algo a cambio (incluso no monetario), eso podría ser una venta.

Enlace Do Not Sell: Si vendes información personal, tu sitio web debe tener un enlace claro “Do Not Sell My Personal Information”. Debe ser fácil de encontrar y usar.

Respetar los opt-outs: Cuando alguien hace opt-out, debes dejar de vender su información. Esto puede significar eliminarlo de listas compartidas, detener feeds de datos a socios o excluirlo de programas de monetización de datos.

Muchos especialistas en email marketing no venden datos en el sentido de CCPA. Si solo usas direcciones de email para tu propio marketing y las compartes únicamente con proveedores de servicios que actúan en tu nombre, probablemente no estás vendiendo. Pero revisa cuidadosamente tus flujos de datos.

Pasos prácticos de implementación

Incorporar el cumplimiento de CCPA a tu programa de email requiere un esfuerzo sistemático.

Audita tus flujos de datos. Mapea de dónde provienen las direcciones de email, dónde se almacenan, quién tiene acceso y a dónde van. Este inventario es esencial para responder solicitudes e identificar ventas.

Actualiza los puntos de recopilación. Asegúrate de que los formularios de registro, los flujos de checkout y otros puntos de recopilación incluyan las divulgaciones requeridas. Enlaza a tu política de privacidad. Sé claro sobre cómo usarás los datos.

Actualiza tu política de privacidad. Incluye todas las divulgaciones exigidas por CCPA. Describe los derechos del consumidor y cómo ejercerlos. Revísala y actualízala anualmente.

Crea procesos para gestionar las solicitudes. Crea mecanismos de recepción (formulario web, número telefónico). Establece procedimientos de verificación. Define flujos de trabajo para cumplir solicitudes en todos los sistemas. Capacita al personal que gestiona las solicitudes.

Revisa los contratos con proveedores. Asegúrate de que los proveedores de servicios de email y otros proveedores tengan disposiciones apropiadas de CCPA. Deben clasificarse como proveedores de servicios con restricciones sobre el uso de datos.

Documenta todo. Conserva registros de tus esfuerzos de cumplimiento, las solicitudes recibidas y las acciones tomadas. Esta documentación es tu defensa si surgen preguntas.

Sanciones y aplicación

Las infracciones de CCPA pueden ser costosas.

El Fiscal General de California puede imponer multas de hasta $2,500 por infracción no intencional y $7,500 por infracción intencional. Con miles de consumidores afectados, las multas se acumulan rápidamente.

Existe un derecho de acción privada en caso de brechas de datos. Si una brecha expone información personal por no implementar medidas de seguridad razonables, los consumidores afectados pueden demandar por $100-$750 por incidente o por los daños reales, lo que sea mayor.

La aplicación ha sido activa. El Fiscal General ha emprendido casos contra empresas por políticas de privacidad inadecuadas, no respetar solicitudes de opt-out y otras violaciones. Este no es un riesgo teórico.

Las enmiendas de CPRA (en vigor desde 2023) crearon una agencia dedicada de aplicación y ampliaron los requisitos. El cumplimiento es cada vez más importante, no menos.

CCPA vs GDPR

Si ya cumples con GDPR, llevas ventaja con CCPA, pero no son idénticas.

GDPR requiere consentimiento para la mayoría del procesamiento de datos. CCPA permite el procesamiento pero exige divulgación y derechos de opt-out. Los modelos de consentimiento difieren significativamente.

GDPR se aplica a todos los titulares de datos en la UE. CCPA se aplica solo a los residentes de California. El alcance geográfico difiere.

GDPR otorga derechos individuales más amplios. Los derechos de CCPA son más limitados pero aun así sustanciales.

Muchas organizaciones construyen programas de privacidad unificados que satisfacen ambos, inclinándose hacia el requisito más estricto en cada área. Esto suele ser más práctico que mantener programas de cumplimiento separados.

Frequently asked questions

¿Aplica CCPA si no tengo sede en California?

Sí, si haces negocios en California y cumples los umbrales. CCPA aplica según dónde están tus clientes, no dónde estás ubicado.

¿Darse de baja es lo mismo que una solicitud de eliminación?

No. Darse de baja detiene emails futuros pero no elimina los datos existentes. Una solicitud de eliminación bajo CCPA requiere eliminar los datos del consumidor de tus sistemas, no solo detener la comunicación.

¿Necesito eliminar las copias de seguridad?

En general, sí, aunque hay cierta flexibilidad para sistemas archivados o de copias de seguridad si la eliminación es técnicamente difícil. Debes eliminar en los sistemas activos y tener un proceso para la eliminación o caducidad de las copias de seguridad.

¿Qué pasa si no puedo verificar la identidad del solicitante?

Puedes denegar las solicitudes que no puedas verificar. Pero tu proceso de verificación debe ser razonable—no puedes hacerlo tan difícil que solicitudes legítimas queden efectivamente bloqueadas.

e_

Escrito por el equipo de emailr

Construyendo infraestructura de email para desarrolladores

Continuar leyendo

explainer

¿Qué hace que los emails vayan a spam?

10 minexplainer

¿Qué es SPF? Guía completa para desarrolladores

8 minexplainer

Qué es el email spoofing y cómo prevenirlo

8 min

¿Listo para empezar a enviar?

Obtén tu clave API y envía tu primer email en menos de 5 minutos. No se requiere tarjeta de crédito.

Comenzar gratisHablar con ventas