El nuevo año ya está aquí, y con él llega la ley de privacidad de datos más estricta que ha entrado en vigor en EE.UU. hasta la fecha: la Ley de Privacidad del Consumidor de California (CCPA). Todas las organizaciones deben prestar atención, aunque no operen actualmente en California. Hay leyes similares sobre privacidad de datos pendientes de aprobación en otros ocho estados, como Illinois, Maryland, Massachusetts, Nevada y Nueva York. Esto es lo que necesitas saber para prepararte para la CCPA y minimizar los riesgos y el impacto empresarial del incumplimiento.

¿Qué es la CCPA y me afectará?

El objetivo de la CCPA es dar a los residentes de California más control sobre sus datos personales y penalizar a las empresas por exponer dicha información. La ley afecta a las empresas con ánimo de lucro con ingresos brutos anuales superiores a 25 millones de dólares que vendan o compartan información sobre 50.000 consumidores o más, o que obtengan más de la mitad de sus ingresos de la venta de datos personales. La CCPA define los datos personales como cualquier cosa que identifique, se refiera, describa o pueda razonablemente asociarse con un consumidor. La nueva ley otorga a los consumidores de California el derecho a:

  1. Conoce qué información personal se recoge.
  2. Saber si sus datos personales se venden o divulgan, y a quién.
  3. Di no a la venta de información personal y solicita su eliminación.
  4. Acceder a su información personal.
  5. Igualdad de servicio y precio, aunque ejerzan su derecho a la intimidad.

El impacto financiero del incumplimiento se acumula rápidamente. Las multas comienzan con sanciones civiles de hasta 7.500 $ por infracción, sin límite en el número de infracciones. Los daños legales relacionados con las infracciones oscilan entre 100 y 750 dólares por consumidor y por incidente o daños reales, lo que sea mayor. Afortunadamente, hay un periodo de gracia. La aplicación de la CCPA no comienza hasta el 1 de julio de 2020.

Tres pasos que debes dar ahora para cumplir la CCPA:

1. Crea un inventario central de todos los datos que entran en el ámbito de la CCPA.
Lo primero es lo primero: empieza por crear un inventario de toda la información que posee la organización y que podría entrar en el ámbito de la CCPA. Anota por qué se recopila y los perfiles de consumidores, vendedores, terceros y proveedores de servicios implicados. Y no esperes al último momento. Estos datos suelen estar descentralizados en varios discos duros, archivos y hojas de cálculo. Aprovechar la tecnología puede aliviar la carga y facilitar el proceso de clasificación de los datos.

2. Integra la CCPA en tu programa existente de riesgo y cumplimiento.
Éste es un paso muy importante: un enfoque independiente del cumplimiento puede hacer que las iniciativas despeguen, pero el valor a largo plazo es limitado, y no tendrás una visión clara del panorama completo de riesgo y cumplimiento. Para integrar la CCPA en tu programa más amplio de riesgo y cumplimiento, primero asegúrate de que tienes una sólida estructura de gobierno y gestión. A continuación, crea un marco para comprender las repercusiones ascendentes y descendentes de los requisitos y responsabilidades de cumplimiento específicos, y valida los requisitos de la CCPA con respecto a este marco.

3. Aprovecha la tecnología para agilizar el cumplimiento.
La tecnología adecuada es la mejor defensa contra las infracciones involuntarias de la CCPA: facilita todo el proceso, incluida la recopilación y el control de grandes volúmenes de información, la medición del cumplimiento a través de indicadores clave de rendimiento y la respuesta a las solicitudes. La tecnología puede realizar una evaluación de la madurez de los procedimientos de privacidad de tu organización en relación con la CCPA. La tecnología también puede ayudar a elaborar cuestionarios para el Análisis del Impacto en la Privacidad de los Datos (DPIA), de modo que puedas comprender mejor la importancia de determinados procesos para el cumplimiento.

La tecnología hace que sea mucho más fácil impulsar y hacer cumplir las estructuras adecuadas de gestión y gobernanza en todos los ámbitos. Puedes ver qué requisitos de la CCPA se solapan con los de la HIPPA, el GDPR y otros, para gestionar simultáneamente todas las obligaciones de cumplimiento.

Es probable que la CCPA sea sólo el principio de un largo y constante aumento de la legislación sobre privacidad de datos. Con las herramientas, la mentalidad, las mejores prácticas y los procesos adecuados, los responsables de riesgos y cumplimiento pueden prepararse para la CCPA y construir una base sólida para prepararse para esta nueva oleada normativa.