La CCPA un año después: la aplicación presenta nuevas consideraciones de privacidad
Read
A raíz de los cambios recientes a la CCPA, es posible que su empresa no esté cumpliendo con las normativas como usted cree
Ha pasado solo un año desde que se aprobó la Ley de Privacidad del Consumidor de California (CCPA). Y ha seguido evolucionando con la promulgación de la Ley de Derechos de Privacidad de California (CPRA) en noviembre de 2020 y las nuevas regulaciones anunciadas en marzo que prohíben los «patrones oscuros«.
Con todos los cambios recientes, vale la pena volver a analizar si su empresa entra dentro del alcance de la CCPA y sus requisitos, si usted cumple correctamente con todas las normativas y si ha realizado una evaluación integral de la privacidad de los datos para identificar cualquier problema posible.
Qué hace la CCPA
Es posible que usted tenga que cumplir con la CCPA, además de otras leyes que rigen la privacidad y protección de datos, si su empresa hace negocios en California y cumple al menos uno de los siguientes criterios:
- registra ingresos anuales de al menos $25 millones (independientemente de si provienen de California o cualquier otra parte del mundo);
- administra la información personal de al menos 50,000 consumidores, hogares o dispositivos de California; o
- adquiere más de la mitad de sus ingresos de la venta de datos personales de residentes de California.
La CCPA se centra en regular la recopilación, protección y divulgación de una amplia variedad de información personal, que en términos generales se define como cualquier dato que esté relacionado con, que describa, que podría vincularse razonablemente con o que podría asociarse con una persona o un hogar. También es importante recordar que la CPRA incorpora una nueva categoría de «Información personal sensible» que incluye los números de identificación y la geolocalización del consumidor, entre otros identificadores.
Si su empresa entra dentro del alcance de la CCPA, usted no solo es responsable de la recopilación y seguridad de sus propios datos, sino también de confirmar que los proveedores independientes que administran esa información por usted también colaboren con lo que usted hace para cumplir con la CCPA. Si esto suena muy general, es porque lo es.
Es posible que su empresa no cumpla plenamente con la CCPA como usted cree. Esto tiene dos motivos importantes: 1) la amplia definición de información personal que da la ley y 2) el requisito de que proveedores independientes con los que usted comparte información sean capaces de apoyarlo a usted en el cumplimiento de la CCPA. Sin mencionar que la CPRA amplía la obligación de cumplir con todo lo establecido por la CCPA para incluir a terceros, proveedores de servicios y contratistas.
Además, no asuma que por cumplir con la Regulación de Protección de Datos (GDPR) de la Unión Europea, cumple automáticamente con la CCPA. Si bien los dos conjuntos de regulaciones se superponen en algunos aspectos, cumplir con uno no necesariamente significa que cumple con el otro.
La CCPA incorporó nuevos derechos del consumidor
La CCPA, según fue enmendada por la CPRA, aplica a cualquier organización que recopila cualquier tipo de datos de los consumidores, y les asigna a los consumidores con vínculos en California nuevos derechos de privacidad, como estos:
- El derecho de ser notificados, antes o al momento de la recopilación, acerca del tipo de información que se recopilará sobre ellos, cómo se almacena y qué se hará con ella. Esto aplica a entornos tanto en línea como fuera de línea.
- El derecho de ser notificados directamente, y de otorgar o mantener el consentimiento, si una empresa quiere usar la información recopilada anteriormente para un fin «materialmente diferente» del que se divulgó con anterioridad.
- El derecho de elegir fácilmente si la información personal puede venderse a terceros, incluidos los botones «no vender mi información» en cada uno de sus sitios web.
- El derecho de ver los datos protegidos por la CCPA de los últimos 12 meses que su empresa guarda sobre ellos, como también lo que usted ha hecho con la información.
- El derecho de poder eliminar estos datos, dentro de plazos específicos.
- La capacidad de demandar por daños monetarios y estatutarios si una persona roba o accede a cierta información personal sensible; esta persona tendría que demostrar que su empresa falló al tomar medidas de seguridad razonables. Esta causa de acción privada incluye la posibilidad de demandas colectivas.
- La capacidad de ejercer estos derechos sin ser discriminados.
Además, si su empresa está protegida por la CCPA, usted debe contar con una política de privacidad por escrito que explique en términos generales cómo usted recopila, usa, comparte y aplica prácticas de venta de datos en línea y fuera de línea. Asimismo, usted debe tener contratos por escrito con sus proveedores de servicio que restrinjan su capacidad de acceder, procesar o almacenar información personal, en línea con los requisitos de la CCPA.
Multas por no cumplir con la CCPA
El costo del incumplimiento puede ser considerable.
La CCPA aplica multas civiles de hasta $2,500 por cada violación y hasta $7,500 «por cada violación intencional». Por ejemplo, si 1,000 consumidores se vieron involucrados en una violación, usted podría enfrentar una multa por cada uno de los 1,000 incidentes si no puede subsanar la violación en un plazo de 30 días después de ser notificado del supuesto incumplimiento. La CPRA también crea una nueva agencia, la CalPPA, que será responsable de hacer cumplir la CCPA. En este momento, la autoridad de cumplimiento recae en la Oficina del Fiscal General de California.
Además, los consumidores individuales de California tienen un derecho de acción privado ante filtraciones de seguridad que conducen a violaciones graves de la privacidad si la empresa no tomó las medidas de seguridad adecuadas. Ya se han iniciado varias demandas de este tipo, incluso demandas colectivas. La CPRA también amplía el derecho privado a iniciar una demanda por filtraciones de datos que comprometen la dirección de correo electrónico de un consumidor junto con una contraseña o pregunta y respuesta de seguridad que otorgaría acceso a la cuenta del consumidor.
Información protegida por la CCPA
Una de las barreras más importantes en relación al cumplimiento de la CCPA es la amplia variedad de información que cubre. Todos los datos individuales que usted recopile sobre los residentes de California pueden estar sujetos a multas conforme a la CCPA y al derecho privado de acción en el caso de una filtración de datos.
Esto aplica a datos recopilados a través de medios activos (por ej., una persona ingresa su información en un sitio web, un cuestionario escrito o un formulario de suscripción a un seminario por Internet) y medios pasivos (por ej., cookies de sitios web). Esto aplica si la persona es uno de sus clientes o un visitante de su sitio web. E incluye «inferencias extraídas» de la información del cliente que le permite a usted categorizar las preferencias, actitudes, tendencias psicológicas, etc. de esa persona.
El recorrido para cumplir con la CCPA
Considere los tres pasos de abajo al evaluar y abordar sus obligaciones de cumplimiento de la CCPA. Un asesor en privacidad de datos calificado puede realizar una evaluación de riesgos de la privacidad de datos para ayudarle a identificar y mitigar cualquier brecha posible.
- Elabore una política de privacidad clara y aplicable que sea relevante y específica para su organización, y haga que esté fácilmente disponible. Su empresa debe contar con una política de privacidad escrita y personalizada en función de sus prácticas de recopilación y almacenamiento de datos. Esta política debería describir los derechos de los consumidores de California y debe estar fácilmente disponible. Los sitios web, las fuentes de los seminarios web, los formularios impresos y cualquier otra cosa que usted use para recopilar información también deberían tener enlaces visibles a su política de privacidad, como también una manera para que los consumidores puedan optar fácilmente por prohibir que su información se comparta con terceros.
- Cumpla sus propias políticas y solicitudes de cancelación de los consumidores Para la mayoría de las empresas, esta es la parte más desafiante de cumplir con la CCPA; es un problema de seguridad y administración de la base de datos, y también un inconveniente operativo. Además de proteger los datos del acceso inadecuado, usted deberá separar los datos que recopila con base en si las opciones de privacidad de cada persona le permiten a usted compartirlos con terceros. Esto también se aplica a la información que se comparte con socios y contratistas.
- Disponga de un medio para que los consumidores soliciten sus datos, un método para verificar la identidad del solicitante y una forma de entregar los datos que solicitan. Cualquier consumidor de California puede solicitar ver su información protegida por la CCPA de los últimos 12 meses. El «derecho a saber» de la CCPA requiere que las empresas creen un número de teléfono para llamadas sin cargo que los consumidores puedan usar para solicitar sus datos, como también otro método más, que puede basarse en la web si usted tiene un sitio web. El proceso de solicitar los datos no puede ser difícil. Además, como las solicitudes de «derecho a saber» de los consumidores pueden ser vulnerables a posibles robos de identidad o fraude, usted necesita disponer de una manera de verificar la identidad del solicitante y proporcionar esta información de manera segura a la persona correcta. (Los consumidores ya han recibido la información de otras personas por error).
Otras implicaciones de privacidad del trabajo remoto
Si bien usted con suerte ha estado preparándose para la CCPA y ya está encaminado para cumplir con todo lo que establece, los efectos colaterales de la pandemia de COVID-19 pueden haberlo tomado por sorpresa. Es posible que también haya incorporado nuevas tecnologías y proveedores de servicio al flujo de trabajo de su institución para poner en práctica soluciones de trabajo desde casa.
Es posible que su política y procedimientos de privacidad no aborden correctamente la protección y el almacenamiento de la información a la que acceden, usan o comunican sus empleados que se encuentran fuera de las instalaciones físicas de la empresa o que quizás no estén actualizados con la tecnología que están usando los empleados en la actualidad.
Además, puede que no todos los proveedores hayan sido aprobados totalmente en relación a sus prácticas de privacidad y seguridad, y tal vez usted ni siquiera haya pensado en las disposiciones del contrato relacionadas con la privacidad que la CCPA puede exigirles. Repase las prácticas y políticas de sus proveedores y asegúrese de revisar los acuerdos con sus proveedores.
La CPRA puede ampliar los requisitos de cumplimiento
Con la promulgación de la CPRA, es posible que usted tenga que estar al tanto de estos requisitos futuros y lo que pueden significar para su organización.
Gran parte de las disposiciones de la CPRA entrarán en vigencia el 1 de enero de 2023. La CPRA incorporó dos derechos más para los consumidores de California: el «Derecho a limitar el uso de información sensible» y el «Derecho a corregir la información». La CPRA también impone requisitos contractuales más amplios para las empresas que venden, comparten o divulgan información personal a «proveedores de servicios», «contratistas» y «terceros».
Estas son algunas de las muchas maneras en que la CPRA enmienda la CCPA. Es importante que usted tenga presente la CPRA cuando trabaje para cumplir con la CCPA.
La privacidad de los datos cada vez es más compleja y afecta las áreas de cumplimiento, TI, seguridad, marketing y otras áreas operativas. Póngase en contacto conmigo o con cualquier otro miembro del equipo de servicios de asesoría de riesgos de Kaufman Rossin para recibir ayuda con problemas relacionados con la CCPA y la privacidad de los datos.