La Ley de Privacidad del Consumidor de California (CCPA)

La Ley de Privacidad del Consumidor de California (CCPA): Lo que los gestores de riesgos y de cumplimiento deben saber.

La Ley de Privacidad del Consumidor de California (CCPA) entrará en vigor el 1 de enero de 2020, y se espera que sea la ley de privacidad de datos más estricta de Estados Unidos. ¿Está usted preparado?

La preocupación por el coste y por no estar preparado es generalizada. Las iniciativas de cumplimiento de la normativa siempre tienen compensaciones monetarias. ¿Cuál es el coste inicial de realizar los cambios necesarios frente a las multas por incumplimiento? En el caso de la CCPA, no hay duda de que el coste de la falta de cumplimiento es real, con multas de hasta $7.500 por infracción.

Tanto si su empresa hace negocios en California como si no, merece la pena comprender el alcance de la CCPA, su impacto empresarial y el papel que usted desempeña en su aplicación como gestor de riesgos y cumplimiento. Es probable que leyes similares afecten pronto a su empresa, si es que no lo están haciendo ya: una legislación parecida a la CCPA es pendiente en otros ocho estadosEntre ellos, Illinois, Maryland, Massachusetts, Nevada y Nueva York.

¿Qué es la CCPA?

La CCPA es una nueva ley de privacidad de datos que da a los consumidores de California más control sobre sus datos personales y castiga a las empresas por exponer esos datos. La ley abarca a las empresas que tienen $25M o más en ventas anuales, que compran, venden o comparten información sobre 50.000 o más consumidores, o que obtienen más de la mitad de sus ingresos de la venta de información personal. La CCPA exige a estas empresas que revelen a sus clientes (a petición de éstos) los datos personales que han recogidoPor qué se ha recogido y qué terceros la han recibido.

La aplicación de la CCPA comienza con sanciones civiles de hasta $7.500 por infracción. Las multas varían en función de si ha habido intención de infringir las normas de cumplimiento, como por ejemplo, si se ha falseado intencionadamente a los consumidores el tiempo que tardan en atenderse las solicitudes de información. Existe un periodo de subsanación de 30 días en el que la empresa puede subsanar la infracción sin que se le imponga una sanción.

Otro tipo de sanción es una multa relacionada con las infracciones. Los daños legales relacionados con las infracciones oscilan entre $100 y $750 por consumidor y por incidente, o los daños reales, lo que sea mayor. Las organizaciones que no entran en el ámbito de aplicación de la CCPA pueden verse afectadas por cualquier infracción que afecte a los consumidores, lo que significa que pueden recibir multas por infracción, incluso si no venden información de los consumidores.

¿Cuál es la diferencia entre la CCPA y el GDPR?

La CCPA es muy similar al Reglamento General de Protección de Datos (RGPD) de Europa. La mayor diferencia radica en quién está afectado. El RGPD afecta al responsable del tratamiento, al encargado del mismo y a los interesados, mientras que la LCPC afecta a las empresas, los proveedores de servicios, los terceros y los consumidores. La otra distinción principal es el tipo de datos que entra en el ámbito de aplicación de cada reglamento. El RGPD cubre cualquier tipo de datos personales, mientras que la CCPA entra en juego cuando los datos se venden a cambio de una contraprestación monetaria o de otro tipo de valor (liberación, divulgación, transferencia o incluso alquiler de los datos).

¿Qué significa la CCPA para mí como gestor de riesgos y cumplimiento?

Las organizaciones que entran en el ámbito de aplicación de la CCPA deben contar con procesos que respalden los requisitos de privacidad de la normativa. Estos van desde tener un banner en la web que diga que procesa información para los consumidores de California y procedimientos claros para responder a las solicitudes de datos personales, portabilidad de datos, eliminación de datos y exclusión voluntaria del procesamiento de datos. También requiere respuestas rápidas y la capacidad de emitir adecuadamente avisos de privacidad sobre cómo se recoge y utiliza la información personal.

La tecnología es la mejor defensa de un gestor de riesgos y cumplimiento normativo contra las violaciones involuntarias de la CCPA. La automatización hace que todo el proceso de cumplimiento sea fluido, desde la recopilación de información hasta la respuesta a las solicitudes. El uso de una plataforma integrada de gestión de riesgos apoya directamente los requisitos porque le permite:

1. Realice una evaluación de la madurez de sus procedimientos de privacidad en relación con la CCPA y otras normas de privacidad. Identifique fácilmente su estado actual de cumplimiento y compárelo con el que necesita. Un enfoque de madurez le permite comprender mejor si está optimizado para realizar los procedimientos necesarios para el cumplimiento de la CCPA a largo plazo.
2. Crear un inventario centralizado de actividades de tratamiento, categorías y temas en lo que se refiere a la CCPA, de modo que haya una única fuente de verdad para determinar fácilmente lo que está en el ámbito de cualquier solicitud. La disposición 1798.110(a)(4) describe los datos específicos que deben inventariarse junto con las pruebas que validan los procedimientos, controles y documentación utilizados.
3. Elaborar cuestionarios para el análisis del impacto sobre la privacidad de los datos (DPIA) para que pueda comprender fácilmente la importancia de ciertos procesos para el cumplimiento de la CCPA. Las organizaciones necesitan comprender el impacto que tienen los diferentes procesos, sistemas y otros activos en relación con el cumplimiento de la normativa de la CCPA. La realización de una DPIA permite comprender este nivel de impacto y las clasificaciones de los diferentes activos. Los gestores de riesgos deben planificar la evaluación del impacto de los diferentes activos con la frecuencia impuesta por la organización y cuando se produzca un acontecimiento importante (adquisición de una empresa, nueva oferta, cambio de proceso).
4. Utilice flujos de trabajo automatizados para acelerar el tiempo de respuesta de las solicitudes. Una vez que llega una solicitud, ya sea para acceder a los datos, borrarlos o incluso notificar una infracción, las organizaciones tienen sólo 45 días para responder. Los flujos de trabajo automatizados son la clave para una orquestación rápida y sencilla entre todas las partes implicadas para dar respuesta a las solicitudes en el momento oportuno.

El ya de por sí complejo panorama de riesgos se está complicando aún más a medida que la normativa se hace más estricta para responder a las preocupaciones de los consumidores sobre la privacidad de los datos. Aprovechar la tecnología facilita la gestión de los procesos de cumplimiento y ofrece a los gestores de riesgos y de cumplimiento una forma de demostrar que todos los procedimientos se ajustan a las nuevas normas.

Para saber más sobre la CCPA y lo que debe hacer para prepararse, participe en nuestro seminario web, CCPA 101: Qué es y cómo afectará a su organizaciónEl jueves 3 de octubre a la 1:00 pm ET.
Regístrese aquí