La Ley de Privacidad del Consumidor de California (CCPA): Lo que deben saber los gestores de riesgos y cumplimiento.
La Ley de Privacidad del Consumidor de California (CCPA) entrará en vigor el 1 de enero de 2020, y se espera que sea la ley de privacidad de datos más dura de Estados Unidos. ¿Estás preparado? La preocupación por el coste y por no estar preparado es generalizada. Siempre hay compensaciones monetarias en las iniciativas de cumplimiento. ¿Cuál es el coste inicial de realizar los cambios necesarios frente a las multas por incumplimiento? En el caso de la CCPA, no hay duda de que el coste del incumplimiento es real, con multas de hasta 7.500 $ por infracción. Tanto si tu empresa opera hoy en California como si no, merece la pena comprender el alcance de la CCPA, su impacto empresarial y el papel que desempeñas en su aplicación como gestor de riesgos y cumplimiento. Es probable que leyes similares afecten pronto a tu empresa, si no lo están haciendo ya: hay legislación similar a la CCPA pendiente de aprobación en otros ocho estados, entre ellos Illinois, Maryland, Massachusetts, Nevada y Nueva York.
¿Qué es la CCPA?
La CCPA es una nueva ley de privacidad de datos que da a los consumidores de California más control sobre sus datos personales y castiga a las empresas por exponer esos datos. La ley afecta a las empresas que tienen 25 millones de dólares o más en ventas anuales, que compran, venden o comparten información sobre 50.000 consumidores o más, o que obtienen más de la mitad de sus ingresos de la venta de información personal. La CCPA exige a estas empresas que revelen a sus clientes (a petición de éstos) los datos personales que han recopilado, por qué se recopilaron y qué terceros los han recibido. La aplicación de la CCPA comienza con sanciones civiles de hasta 7.500 $ por infracción. Las multas varían en función de si hubo intención de infringir las normas de cumplimiento, como por ejemplo declarar erróneamente a propósito a los consumidores el tiempo que tardan en atenderse las solicitudes de información. Existe un periodo de subsanación de 30 días en el que la empresa puede abordar la infracción sin sanción. Otro tipo de sanción es una multa relacionada con las infracciones. Los daños legales relacionados con las infracciones oscilan entre 100 y 750 dólares por consumidor y por incidente, o los daños reales, lo que sea mayor. Las organizaciones que no entran en el ámbito de aplicación de la CCPA pueden verse afectadas por cualquier violación que afecte a los consumidores, lo que significa que pueden verse afectadas por multas por violación, aunque no vendan información de los consumidores.
¿Cuál es la diferencia entre la CCPA y el GDPR?
La CCPA es muy similar al Reglamento General de Protección de Datos (RGPD) de Europa. La mayor diferencia radica en a quién afecta. El RGPD afecta al responsable del tratamiento, al encargado del tratamiento y a los interesados, mientras que la CCPA afecta a las empresas, los proveedores de servicios, los terceros y los consumidores. La otra distinción principal es el tipo de datos que entran en el ámbito de aplicación de cada reglamento. El RGPD abarca cualquier tipo de datos personales, mientras que la CCPA entra en acción cuando los datos se venden a cambio de una contraprestación monetaria u otra contraprestación de valor (liberación, divulgación, transferencia o incluso alquiler de los datos).
¿Qué significa la CCPA para mí como gestor de riesgos y cumplimiento?
Las organizaciones incluidas en el ámbito de aplicación de la CCPA deben disponer de procesos que respalden los requisitos de privacidad de la normativa. Estos van desde tener un banner en el sitio web que diga que procesas información para los consumidores de California y procedimientos claros para responder a las solicitudes de datos personales, portabilidad de datos, supresión de datos y exclusión voluntaria del procesamiento de datos. También exige respuestas rápidas y la capacidad de emitir adecuadamente avisos de privacidad sobre cómo se recopila y utiliza la información personal.
La tecnología es la mejor defensa de un gestor de riesgos y cumplimiento contra las infracciones involuntarias de la CCPA. La automatización hace que todo el proceso de cumplimiento sea fluido, desde la recopilación de información hasta la respuesta a las solicitudes. El uso de una plataforma integrada de gestión de riesgos apoya directamente los requisitos porque te permite:
- Realiza una evaluación de la madurez de tus procedimientos de privacidad en relación con la CCPA y otras normativas de privacidad. Identifica fácilmente tu estado actual de cumplimiento y compáralo con el punto en el que necesitas estar. Un enfoque de madurez te permite comprender mejor si estás optimizado para realizar los procedimientos necesarios para el cumplimiento a largo plazo de la CCPA.
- Crea un inventario centralizado de las actividades de tratamiento, las categorías y los sujetos en relación con la CCPA, de modo que haya una única fuente de verdad para determinar fácilmente lo que está en el ámbito de cualquier solicitud. La disposición 1798.110(a)(4) describe los datos específicos que deben inventariarse, junto con pruebas que validen los procedimientos, controles y documentación utilizados.
- Elabora cuestionarios para el Análisis del Impacto en la Privacidad de los Datos (DPIA ), de modo que puedas comprender fácilmente la importancia de determinados procesos para el cumplimiento de la CCPA. Las organizaciones necesitan comprender el impacto que tienen los distintos procesos, sistemas y otros activos en relación con el cumplimiento de la normativa CCPA. Realizar una DPIA te permite comprender este nivel de impacto y las clasificaciones de los distintos activos. Los gestores de riesgos deben planificar la evaluación del impacto de los distintos activos con una frecuencia impuesta por la organización y cuando se produzca un acontecimiento material (adquisición de una empresa, nueva oferta, cambio en el proceso).
- Utiliza flujos de trabajo automatizados para acelerar el tiempo de respuesta a las solicitudes. Una vez que llega una solicitud, ya sea para acceder a los datos, borrarlos o incluso notificar una infracción, las organizaciones sólo tienen 45 días para responder. Los flujos de trabajo automatizados son clave para una orquestación rápida y sencilla entre todas las partes implicadas, con el fin de dar respuesta a las solicitudes a tiempo.
El ya de por sí complejo panorama del riesgo se está complicando aún más a medida que las normativas se hacen más estrictas para responder a la preocupación de los consumidores por la privacidad de los datos. Aprovechar la tecnología facilita la gestión de los procesos de cumplimiento y ofrece a los gestores de riesgos y cumplimiento una forma de demostrar que todos los procedimientos se ajustan a las nuevas normas. Para saber más sobre la CCPA y lo que tienes que hacer para prepararte, únete a nuestro seminario web, CCPA 101: Qué es y cómo afectará a tu organización, el jueves 3 de octubre a las 13:00 ET.
