El cumplimiento de la CCPA comienza con la evaluación del inventario de datos

En esta sesión de preguntas y respuestas de Search CIO, varios expertos abordan abiertamente las dudas más importantes que tienen las empresas sobre la adhesión normativa para el cumplimiento de la CCPA antes de su fecha de puesta en vigor en enero de 2020.

Impulsados por el reclamo global de mayor privacidad de los datos del consumidor, la Ley de Privacidad del Consumidor de California refuerza los derechos de los consumidores al restringir la recopilación y venta de sus datos personales. La ley impactará en los procesos y las prácticas comerciales de muchas compañías que operan en California… y ya está provocando ansiedad con respecto al cumplimiento de la CCPA en estas organizaciones.

Al avecinarse las fechas límite de implementación de la CCPA, las corporaciones están comenzando a evaluar los posibles efectos de su cumplimiento y cuál es la mejor manera de comenzar. Les pedimos a un grupo de expertos en leyes y analistas sus perspectivas detalladas acerca del futuro de la CCPA en 2019 y en adelante.

¿Las compañías ya deberían estar evaluando su cumplimiento con la CCPA?

Arshad Noor, CTO, empresa de protección de datos StrongKey: si [las empresas] ya se han preparado para Reglamento General de Protección de Datos (RGPD), tienen la base —y quizás más— para hacerle frente a la CCPA. Solo deberán hacer lo que es específico para la CCPA y que no esté contemplado en el RGPD. Quienes no están alcanzados por la normativa del RGPD, pero sí reúnen los requisitos para cumplir con la CCPA, deben comenzar con el proceso de cumplimiento con la CCPA. Si una empresa todavía no ha designado a un encargado, el primer paso es identificar a una persona dentro de la compañía que se haga cargo de la implementación para el cumplimiento.

Daniel Messeloff, socio, Tucker Ellis LLP: las empresas deben comenzar ahora a evaluar sus propias prácticas de privacidad a fin de cumplir con lo que resulte ser el producto final de la CCPA. La ley se va a promulgar de alguna forma, más allá de la forma final que tome, y existen algunas medidas generales que las empresas pueden investigar e implementar ahora.

Dan Essig, analista, Gartner: muchos equipos jurídicos y de privacidad con los que trabajamos están usando esto como una oportunidad para involucrar a las empresas en las conversaciones acerca de la minimización de datos. Las leyes como la CCPA les exigen a las compañías que piensen con mayor intensidad acerca del equilibrio entre la conveniencia para la empresa de recopilar y usar datos personales y los riesgos (muy reales) del uso inadecuado o el mal manejo de esos datos una vez que se recopilan.

Erin Illman, socio, Bradley Arant Boult Cummings LLP: las compañías deben comenzar por determinar qué datos personales se obtienen de los residentes de California, establecer el objetivo de dicha obtención de datos e identificar qué datos se divulgan a terceros y el objetivo de la divulgación. Lo primero que debe hacer una empresa es entender qué datos obtiene, usa, almacena y comparte con terceros para comenzar a desarrollar un programa de cumplimiento.

Por ejemplo, la CCPA exige divulgaciones específicas, incluidas categorías de información personal obtenida y cómo se usa dicha información. Si no conoce y entiende en su totalidad todas las vías a través de las que obtiene información, además de los fines correspondientes a esa obtención, una compañía no puede empezar a implementar esas divulgaciones. Al iniciar ahora un ejercicio de categorización y mapeo de datos y al determinar si es necesario obtener información personal o si se está obteniendo con un fin legítimo, una compañía puede agilizar sus prácticas comerciales para simplificar el cumplimiento y reducir la responsabilidad antes de tener que poner en marcha las medidas de cumplimiento de las exigencias de la CCPA.

Messeloff: las dos mejores maneras en que las compañías pueden comenzar a evaluar su cumplimiento con la ley es, primero, determinar si la ley realmente es pertinente en su caso y, segundo, determinar qué datos obtienen y utilizan. En el caso de la CCPA, las compañías deben verificar si quedan sujetas a dicha ley. Si lo están, entonces deben reunirse con su personal de operaciones, de marketing y jefes de otros departamentos y averiguar qué información están almacenando. Una vez hecho ese «mapeo de datos», pueden descubrir qué hacer con los diferentes tipos de información.

Shaun Jamison, vicedecano docente, Concord Law School: pueden crear solicitudes simuladas de los entes reguladores o consumidores para ver si están cumpliendo y si pueden cumplir con exigencias específicas. Quizá les resulte conveniente contratar a un proveedor externo para auditar su cumplimiento, así como también para realizar las revisiones internas.

¿Cuál es el mayor desafío al que se enfrenta la compañía de camino al cumplimiento con la CCPA?

Illman: Existen ambigüedades en la versión actual de la ley, ambigüedades que van a exigir interpretación y asesoramiento. El cumplimiento de la CCPA representa un cambio sustancial en la manera en que la mayoría de las empresas opera y maneja los datos. Las compañías deberán centrarse en evaluar todas sus prácticas de obtención, uso y almacenamiento de datos y en analizar a conciencia esas prácticas en relación con las exigencias de la CCPA.

Messeloff: en este caso, el mayor desafío para el cumplimiento de la CCPA para las compañías es la incertidumbre de cuáles serán las exigencias finales. La ley se modificará, desarrollará y finalizará en el curso de 2019, así que será prácticamente imposible para cualquiera decir en febrero o marzo que cumple con la ley, porque nadie sabrá con precisión lo que la ley exige o prohíbe.

¿Veremos una evolución de la CCPA en 2019?

Illman: seguramente habrá más revisiones técnicas a la CCPA, lo que puede aportar claridad en cuanto al alcance, las definiciones y obligaciones. Sin embargo, probablemente no haya «atenuaciones» importantes sobre el alcance de la ley. Debido a la cantidad de trabajo que muchas compañías deberán realizar para cumplir con la CCPA (además de los resultados de la reciente encuesta que indican que alrededor del 50 % de las compañías no estaban convencidas de que sus organizaciones cumplirían con la fecha límite de 2020), es probable que la fecha de cumplimiento se extienda o que se permita un período de gracia.

Jennifer Newton, directora de cumplimiento del programa de Servicios Financieros del Consumidor, Kaufman Rossin: en 2019 deberemos estar atentos a cómo reproducen la CCPA otros estados. Por lo general, California es pionero en nuevas tendencias: los estados recurren a California para ver qué propuestas podrían ser útiles en otros estados. En cuanto a la CCPA, es probable que veamos algún intento de que se modifique la ley o se enmienden ciertas cuestiones. No tendremos que preocuparnos por el cumplimiento porque no entra en vigencia hasta 2020 y, además, el procurador general todavía tiene que establecer las reglas que aclaran algunas definiciones de la ley.

Essig: en 2019 y a partir de entonces, creo que es razonable esperar actualizaciones a la legislación, más legislaciones de otros estados o, incluso, legislación federal. El RGPD representó la primera de muchas nuevas leyes globales que mejoran las responsabilidades de protección de datos de las compañías. Las leyes propuestas o promulgadas a partir de allí, como la Ley de Protección de Datos de Brasil, muestran que este nivel de protección más alto es el que ahora se debe considerar la norma. Aunque las exigencias específicas en cada jurisdicción podrían diferir, ahora es obligatorio crear y mantener un programa de privacidad de datos sólido en cualquier compañía que opere a nivel global o aspire a hacerlo.