política de privacidad

Las empresas de cannabis necesitan políticas de privacidad

Griffen Thorne

política de privacidad

Estamos en 2023 y a muchos negocios de cannabis todavía les falta un documento operativo fundamental: una política de privacidad. Llevo años escribiendo y hablando sobre este tema. Y las cosas no mejoran. Así que vamos a hablar de ello una vez más.

Para empezar, California exige políticas de privacidad desde hace mucho tiempo (bueno, "mucho tiempo" al menos en términos de Internet). Según la legislación de California, los operadores de sitios web comerciales que recopilan "información personal identificable a través de Internet sobre consumidores individuales residentes en California que utilizan o visitan su sitio web comercial" necesitan una política de privacidad. Es mucho que digerir. En inglés, los propietarios de sitios web deben tener una política de privacidad si los consumidores de California utilizan o visitan su sitio web.

Cualquier empresa de cannabis que opere en California y tenga un sitio web está claramente sujeta a este requisito. Pero, ¿qué pasa con una empresa de cannabis con sede en Iowa? Bueno, siempre y cuando los residentes de California lo utilicen o lo visiten, se aplica el requisito. Y a menos que la empresa de cannabis pueda decir definitivamente que su sitio web no tiene usuarios/visitantes de California, la mejor práctica es simplemente obtener una política de privacidad. Si lees la ley anterior, los requisitos son relativamente manejables y no demasiado intensos. Pero ahí no acaba la historia.

En 2018, California aprobó la Ley de Privacidad del Consumidor de California (CCPA). La CCPA se inspira en el anterior Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Al igual que el GDPR, CCPA codificó una gran cantidad de derechos de los consumidores con respecto a su información personal. E impuso una serie de nuevos requisitos legales a las empresas aplicables (más sobre esto más adelante). En 2020, los votantes de California aprobaron la Proposición 24, también conocida como la Ley de Derechos de Privacidad de California (CPRA), que modificó y complementó la CCPA. Y, por supuesto, también hay normativas a las que hacer frente.

Uno de los innumerables requisitos que imponía la CCPA era disponer de una política de privacidad. Y a diferencia de la legislación anterior, el requisito de la CCPA es mucho más sólido. Véase aquí, por ejemplo. Lo mismo ocurre con el GDPR. Para cualquier empresa que esté sujeta a uno de estos nuevos regímenes de privacidad, la redacción de una política de privacidad conforme es un reto. Así que la pregunta del millón es: ¿a quién se aplican estas leyes? En el caso de la CCPA, el fiscal general de California dice:

La CCPA se aplica a las empresas con ánimo de lucro que operan en California y cumplen alguna de las siguientes condiciones:

  • Tener unos ingresos brutos anuales superiores a 25 millones de dólares;
  • Comprar, vender o compartir la información personal de 100.000 o más residentes, hogares o dispositivos de California; o
  • Obtienen el 50% o más de sus ingresos anuales de la venta de información personal de residentes en California.

La segunda pregunta del millón es qué significa hacer negocios. Por supuesto, la CCPA no lo define claramente. Pero en otra parte de la ley, la CCPA dice "A efectos de este título, la conducta comercial tiene lugar totalmente fuera de California si la empresa recopiló esa información mientras el consumidor estaba fuera de California, ninguna parte de la venta de la información personal del consumidor tuvo lugar en California, y no se vende ninguna información personal recopilada mientras el consumidor estaba en California. Este apartado no prohibirá a una empresa almacenar, incluso en un dispositivo, información personal sobre un consumidor cuando éste se encuentre en California y, a continuación, recopilar dicha información personal cuando el consumidor y la información personal almacenada se encuentren fuera de California."

Por lo tanto, las empresas pueden asumir con seguridad que incluso las relaciones tangenciales con el Estado Dorado podrían someterlas a los requisitos de la CCPA siempre que se cumpla uno de los umbrales anteriores. Y esto significa que la empresa necesita una política de privacidad sólida.

¿Qué ocurre con el GDPR? El ámbito de aplicación del RGPD es aún más amplio:

2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que se encuentren en la Unión por un responsable o un encargado del tratamiento no establecidos en la Unión, cuando las actividades de tratamiento estén relacionadas con:

(a) la oferta de bienes o servicios, con independencia de que se exija o no un pago del interesado, a dichos interesados en la Unión; o bien

(b) el control de su comportamiento en la medida en que éste tenga lugar dentro de la Unión.

Una empresa que simplemente ofrece servicios, aunque sean gratuitos, a residentes de la UE, puede acabar sujeta al GDPR. Para ser justos, este no será el caso de una empresa de cannabis común y corriente. Es más probable que afecte a las empresas de cáñamo/cannabinoides que venden en el comercio electrónico. Pero incluso las empresas de cannabis pueden entrar en el territorio del GDPR con sus esfuerzos de marketing y ventas.

Si se aplica alguna de estas leyes - o si una empresa piensa siquiera que podrían aplicarse - es necesaria una política de privacidad. Hay muchos abogados demandantes que entablarán acciones legales, en algunos casos colectivas, si una empresa no aplica una política de privacidad. Las cosas se ponen aún peor si la política de privacidad es inexacta o la empresa no la cumple.

Una política de privacidad es un documento clave (y a menudo legalmente obligatorio) para cualquier empresa de cannabis. Sin ella, no sólo es probable que se produzca una infracción legal, sino también una demanda. No tiene por qué costar un ojo de la cara y, si se hace bien, puede ahorrar mucho dinero y esfuerzo.

Antes de terminar el post, debo mencionar que una política de privacidad no es lo único de lo que deben preocuparse las empresas cannábicas en materia de protección de datos. La CCPA, el GDPR y otras leyes imponen numerosos requisitos más allá de simplemente tener una política de privacidad. Por ejemplo, consulta este post mío de hace un tiempo sobre la CCPA y las solicitudes de borrado. Estas cosas pueden llegar a ser increíblemente complicadas. Y al igual que con las políticas de privacidad, es mejor invertir en el cumplimiento de la ley de privacidad desde el principio, en lugar de recurrir a un abogado defensor más adelante.

Compartir

Griffen Thorne

Griffen es abogado en la oficina de Harris Sliwoski en Los Ángeles, donde centra su práctica en asuntos corporativos, transaccionales, de propiedad intelectual, seguridad de datos, regulatorios y litigios en una amplia variedad de industrias nacionales e internacionales.

Harris Sliwoski Abogado Leer más artículos
Seguir leyendo

Datos / Cibernética

Entradas relacionadas

prueba de thc

Por qué son importantes los resultados de los análisis de THC
reprogramar

Explicación de las noticias de ayer sobre la reprogramación de la marihuana
alquiler de cannabis comercial en washington

Acuerdos de arrendamiento comercial de cannabis en Washington
arizona cannabis

Las ventas de cannabis en Arizona superan los 1.400 millones de dólares
jesse ventura cannabis

El ex gobernador de Minnesota Jesse Ventura crea una marca de cannabis
mercado ilegal

California se rinde ante el mercado ilegal de cannabis: Más de lo mismo
Material promocional de un seminario web sobre la compra o venta de un negocio de cannabis organizado por el bufete de abogados harris sliwoski con los ponentes griffen thorne, vince sliwoski y andy shelley programado para el 17 de abril de 2024.

Webinar GRATUITO Mañana, 17 de abril: Cómo comprar o vender un negocio de cannabis
inversión en cannabis

Inversión extranjera en el cannabis estadounidense: Cinco consideraciones clave
Equidad social del cannabis de Missouri

Missouri revoca nueve licencias de equidad social
Lupa enfocando un documento titulado "contrato de cannabis" con el símbolo de una hoja de cannabis de una autoridad de fondo.

Contratos de cannabis 101: Autoridad y por qué es importante
El edificio del tribunal supremo de Florida iluminado en luz verde contra un cielo crepuscular.

El Tribunal de Florida aprueba la iniciativa sobre el cannabis
industria del cannabis

Salvar la industria del cannabis en Oregón
Washington

El cannabis es ahora un poco más verde en Washington
industria del cannabis

El enigma de la industria del cannabis en California y el camino por recorrer
requerimiento

Litigios sobre cannabis en California: Amenazas de pérdida de licencia y medidas cautelares