PiiBlur

La Ley de Privacidad del Consumidor de California se aplica a fotografías y videos del mismo modo que se aplica a bases de datos y hojas de cálculo. Si su empresa recopila imágenes que contienen información identificable sobre residentes de California, la CCPA crea obligaciones específicas en torno a los derechos de divulgación, acceso, eliminación y exclusión voluntaria.

Muchas empresas entienden la CCPA para datos estructurados (nombres, correos electrónicos, historial de compras), pero pasan por alto el contenido visual por completo. Esta guía cubre cómo se aplica la CCPA a fotografías y videos, en qué se diferencia de RGPD y qué pasos seguir. Esta es una guía operativa, no un asesoramiento legal.

Cómo define la CCPA la información personal en las fotografías

La CCPA define la información personal de manera amplia: "información que identifica, se relaciona, describe, es razonablemente capaz de asociarse o podría razonablemente vincularse, directa o indirectamente, con un consumidor u hogar en particular".

Según esta definición, una imagen que contenga una cara, una placa, una placa de identificación o cualquier otro elemento visual identificable califica como información personal. La CCPA también enumera los datos biométricos, incluidas las "imágenes del rostro" utilizadas para la identificación, como una categoría de información personal.

Cuándo se aplica la CCPA a tus imágenes

La CCPA se aplica a empresas con fines de lucro que cumplen cualquiera de estos umbrales:

Ingresos brutos anuales superiores a 25 millones de dólares
Comprar, vender o compartir información personal de 100.000 o más consumidores, hogares o dispositivos de California por año.
Obtener el 50 % o más de los ingresos anuales de la venta o el intercambio de información personal

Si su empresa cumple alguno de estos criterios y procesa imágenes que contienen información identificable sobre residentes de California, la CCPA se aplica a esas imágenes.

La CCPA cubre a los residentes de California independientemente de dónde se realice el procesamiento. Una empresa con sede en Nueva York que procesa imágenes de cámaras de tablero que capturan matrículas de California todavía tiene obligaciones según la CCPA.

CCPA vs. GDPR para imágenes: diferencias clave

Si ya maneja Cumplimiento de imágenes del RGPD, comprender dónde diverge la CCPA le ayudará a evitar lagunas.

Alcance. El RGPD se aplica a cualquier organización que procese datos de residentes de la UE, independientemente del tamaño de la empresa. La CCPA se aplica solo a empresas que cumplen con los umbrales de ingresos o volumen de datos anteriores.

Base legal. El RGPD requiere una base legal (consentimiento, interés legítimo, etc.) antes del procesamiento. La CCPA no exige ninguno; en cambio, otorga a los consumidores el derecho de conocer, eliminar y cancelar su suscripción después de la recopilación.

Modelo de consentimiento. El RGPD generalmente requiere consentimiento para muchas actividades de procesamiento. La CCPA utiliza un modelo de exclusión voluntaria: usted puede recopilar y procesar información personal de forma predeterminada, pero los consumidores pueden optar por no venderla o compartirla.

Derecho a eliminar. Ambas regulaciones incluyen derechos de eliminación, pero las exenciones de la CCPA son más amplias. Las empresas pueden rechazar solicitudes de eliminación cuando los datos sean necesarios para completar una transacción, detectar incidentes de seguridad, cumplir con obligaciones legales o para determinados usos internos.

Aplicación. Las autoridades de protección de datos de todos los estados miembros de la UE hacen cumplir el RGPD. La CCPA la hace cumplir el Fiscal General de California y, según las enmiendas de la CPRA, la Agencia de Protección de la Privacidad de California (CPPA). Existe un derecho de acción privado solo para violaciones de datos que involucran información personal no cifrada o no redactada.

Sanciones. Las multas del RGPD alcanzan el 4% de la facturación global. Las sanciones de la CCPA son de $2500 por infracción no intencional y de $7500 por infracción intencional. Las demandas por violación de datos bajo el derecho de acción privado pueden generar daños legales de $100 a $750 por consumidor por incidente.

Pasos prácticos para el cumplimiento de las fotografías CCPA

1. Haga un inventario de su recopilación de datos visuales

Identifique cada fuente de imágenes y videos en sus operaciones: cámaras de seguridad, cámaras de vehículos, drones, cargas de usuarios, fotografías de empleados y fotografía inmobiliaria. Documente qué información identificable captura cada fuente.

2. Actualiza tu aviso de privacidad

La CCPA requiere que usted revele las categorías de información personal que recopila en el punto de recopilación o antes. Si recopila imágenes que contienen caras, placas u otros datos identificables, su aviso de privacidad debe indicarlo. Incluir:

Las categorías de información personal recopilada (por ejemplo, datos biométricos, geolocalización mediante señales de tráfico, identificadores mediante matrículas)
Los fines de la recogida.
Si la información se vende o se comparte.

3. Construir flujos de trabajo sobre derechos del consumidor

Los consumidores de California tienen derecho a:

Sepa qué información personal ha recopilado, incluidas imágenes
Eliminar su información personal, con ciertas excepciones
Optar por no participar de la venta o intercambio de su información personal
No discriminación para el ejercicio de sus derechos

Necesita un proceso para manejar estas solicitudes dentro de los 45 días. En el caso de las imágenes, esto significa localizar, recuperar y eliminar datos visuales específicos vinculados a un consumidor.

4. Redactar antes de compartir o publicar

La forma más eficaz de reducir la exposición a la CCPA es redactar información identificable de las imágenes antes de que salgan de su control. Una vez que comparte o publica una imagen sin editar, ha distribuido información personal, lo que crea obligaciones de divulgación y complicaciones de exclusión voluntaria.

PiiBlur detecta 13 categorías de PII en imágenes y videos, incluidos rostros, matrículas, tarjetas de identificación y credenciales. La redacción en la fuente elimina el seguimiento y la gestión posteriores de esa información personal.

5. Abordar el riesgo de violación de datos

El derecho de acción privada de la CCPA se aplica específicamente a infracciones que involucran "información personal no cifrada y no redactada". Si las imágenes de sus sistemas son vulneradas y contienen caras, placas u otros identificadores sin editar, usted enfrenta daños legales de $100 a $750 por consumidor por incidente.

Redactar imágenes antes de almacenarlas reduce directamente esta exposición. Un conjunto de datos violado de imágenes censuradas no contiene información personal identificable.

6. Implementar medidas de seguridad razonables

La CCPA espera que las empresas mantengan "procedimientos y prácticas de seguridad razonables". Para los datos de imágenes, esto incluye controles de acceso a las imágenes almacenadas, cifrado en tránsito y en reposo, y pistas de auditoría sobre quién accede a los datos visuales.

Trate las imágenes como datos personales desde el primer día

La CCPA no exime a las fotografías y vídeos. Si sus imágenes contienen información identificable sobre residentes de California, son información personal según la ley, sujeta a los mismos requisitos de divulgación, acceso, eliminación y exclusión voluntaria que cualquier otra categoría de datos.

La redacción automatizada es la forma más directa de minimizar su superficie de cumplimiento. Eliminar elementos identificables antes de almacenar, compartir o publicar las imágenes reduce el volumen de información personal que gestiona y limita la responsabilidad por incumplimiento.

PiiBlur procesa imágenes y videos a través de su API o panel, detectando y redactando las 13 categorías de PII automáticamente. El nivel gratuito cubre 100 imágenes y 5 minutos de vídeo por mes, suficiente para validar el enfoque con su contenido real.