En la última década, las ciberamenazas han sido posiblemente la mayor preocupación de empresas y consumidores. Por eso, la privacidad en Internet es una de las principales preocupaciones del 92% de los estadounidenses. Como respuesta, California aprobó la Ley de Privacidad del Consumidor de California (CCPA) el 28 de junio de 2018, para dar a los consumidores más control sobre sus datos.
La ley entró en vigor el 1 de enero de 2020 y su aplicación está a cargo de la Fiscalía General de California. Y las empresas que recojan datos personales de residentes en California deben cumplirla.
En este artículo, aprenderá todo lo que necesita saber sobre la CCPA y su impacto en su empresa.
La Ley de Privacidad del Consumidor de California (CCPA) es una ley que otorga a los residentes de California el derecho a saber qué información personal se está recopilando sobre ellos, el derecho a eliminar dicha información y el derecho a rechazar su venta.
La ley se aplica a cualquier empresa con ánimo de lucro que desarrolle su actividad en California y cumpla uno o varios de los siguientes criterios:
Las empresas deben cumplir cuatro requisitos principales:
Además, las empresas deben proporcionar un vínculo claro y visible en su página de inicio titulado "No vender mis datos personales" que lleve a los consumidores a una página de exclusión voluntaria.
En comparación con el RGPD, la CCPA tiene una definición más amplia de datos confidenciales. El RGPD se centra en proteger datos específicos, mientras que la Ley de Protección de Datos de California está más preocupada por lo que constituye información confidencial.
Por ejemplo, se incluyen datos olfativos, el historial de navegación de sitios web y los registros de actividad del usuario. Según la ley AB 375, "información personal" se refiere a:
La oficina del Fiscal General de California hace cumplir cualquier infracción de la CCPA y puede dar lugar a sanciones civiles de hasta 2500 dólares por infracción o 7500 dólares por infracción intencionada.
La CCPA también da a los consumidores el derecho a presentar un derecho de acción privado si se infringe su información personal debido al incumplimiento de las medidas de seguridad razonables de un negocio. En tales casos, los consumidores pueden recuperar daños de hasta 750 dólares por consumidor por incidente o daños reales, lo que sea mayor.
Un "tercero" se define como una persona o entidad no sujeta a la CCPA. Esto incluye empresas exentas y cualquier proveedor de servicios que procese información personal en nombre de una empresa.
Los terceros también pueden incluir intermediarios de datos, que son empresas que compran y venden información personal. Los vendedores de datos no están sujetos actualmente a la CCPA, pero lo estarán en 2023.
La excepción más notable es la de las empresas regidas por otras leyes de privacidad, como la Gramm-Leach-Bliley Act (GLBA) o la Health Insurance Portability and Accountability Act (HIPAA).
Otras exenciones de la CCPA son:
La CCPA también exime a las empresas con menos de 25 millones de dólares de ingresos anuales, a las empresas que no venden información personal y a las empresas que recopilan solo una cantidad limitada de información personal.
La CCPA proporciona cierto margen para que las empresas cumplan con la ley. Sin embargo, es importante tener en cuenta que la ley se aplica a todas las empresas que recopilan información personal de residentes en California.
No es raro que las personas se refieran a la CCPA como el RGPD de California. Sin embargo, eso no es apropiado. Además de proteger los derechos a la privacidad de los datos de los ciudadanos de la UE, el Reglamento General de Protección de Datos presenta varias diferencias con respecto a la CCPA.
En primer lugar, la CCPA solo se aplica a la información personal, mientras que el RGPD se aplica a cualquier dato. Esto incluye datos personales y no personales.
En segundo lugar, da a los consumidores el derecho a saber qué información personal se está recopilando sobre ellos, el derecho a eliminar su información personal y el derecho a dejar de recibir su información personal. El RGPD otorga a los consumidores todos estos derechos, además del derecho a acceder a sus datos personales, el derecho a cambiar de opinión (opcional) y el derecho a recibir una copia de sus datos en un formato portátil.
Tercero, la CCPA se aplica solo a las empresas que recopilan o venden la información personal de los residentes de California. El RGPD se aplica a cualquier negocio que procese o tenga intención de procesar los datos de los ciudadanos de la UE, independientemente de dónde se encuentre la empresa.
Cuarto, se aplica a las empresas con ingresos anuales de más de 25 millones de dólares. El RGPD se aplica a cualquier negocio que procese o tenga intención de procesar los datos de los ciudadanos de la UE, independientemente del tamaño de la empresa.
Los reguladores notificarán a las empresas que infringen la ley y tendrán 30 días para solucionar el problema. Si no se resuelve dentro de ese plazo, la empresa deberá abonar una multa de 7500 dólares por cada registro.
Aunque 7500 dólares puede parecer una tarifa asequible para las grandes empresas, no es necesariamente así. Esta cifra puede aumentar exponencialmente si se tiene en cuenta el número de registros afectados por cada infracción.
Además, la CCPA permite a los consumidores presentar una demanda privada si su información personal no cifrada o no suprimida es objeto de acceso no autorizado y exfiltración, robo o divulgación debido a la violación de la CCPA por parte de la empresa.
Esto significa que los consumidores individuales podrían demandar a las empresas por daños, lo que puede ser costoso. Además, el fiscal general tiene derecho a interponer una demanda civil contra las empresas por infringir la ley.
Así pues, no solo existen sanciones económicas para las empresas que infringen la CCPA, sino también riesgos para su reputación. Los consumidores son cada vez más conscientes de sus derechos de privacidad de datos y es más probable que tomen medidas contra las empresas que los infringen.
Además, la ley de privacidad de California establece que las empresas deben dar a los consumidores la opción de no compartir sus datos mediante un pie de página claramente visible en los sitios web. No hacerlo puede resultar en sanciones de entre 100 y 750 dólares por infracción. Además, abre otra vía para que los consumidores presenten demandas.
Más allá de las sanciones y las demandas, se enfrentará a otros costos relacionados con la infracción. Estos pueden incluir notificar a los consumidores sobre dicha infracción, proporcionarles servicios de supervisión crediticia y lidiar con la caída desde el punto de vista de las relaciones públicas.
Sumados, todos estos costos pueden ser importantes, y subrayan la importancia del cumplimiento de la CCPA. Entender la ley y tomar medidas para cumplirla puede ayudar a proteger a su empresa de costosas sanciones y daños a su reputación.
Con tanto en juego, las empresas deben comprender la CCPA y tomar las medidas necesarias para garantizar el cumplimiento.
El cumplimiento de la CCPA no es tarea fácil, pero las empresas pueden tomar algunas medidas para asegurarse de que cumplen la ley.
El primer paso es determinar si la CCPA se aplica a su negocio. Se aplica a cualquier empresa con ánimo de lucro que desarrolle su actividad en California y cumpla uno o varios de los siguientes criterios:
Si la CCPA se aplica a su empresa, debe tomar medidas para garantizar su cumplimiento.
El siguiente paso es identificar la información personal que recopila y almacena. La CCPA define la información personal como "información que identifica, se refiere, describe, puede asociarse o podría vincularse razonablemente, de forma directa o indirecta, con un consumidor o un hogar en particular".
Entre ellos se incluyen nombres, direcciones, direcciones de correo electrónico, números de teléfono, números de la seguridad social, números del carné de conducir, etc. Una vez identificada la información personal que recopila y almacena, debe tomar medidas para protegerla.
La CCPA exige a las empresas que adopten medidas de seguridad razonables para proteger la información personal de los consumidores contra el acceso, la destrucción, el uso, la modificación o la divulgación no autorizados. Esto incluye cifrar la información personal y garantizar que solo los empleados autorizados tengan acceso a esta información.
También debe auditar su marco de privacidad y seguridad de la información para garantizar el cumplimiento de la CCPA. Esto incluye asegurarse de tener una política de retención de datos, comprender cómo se recopila y utiliza la información personal y garantizar que los consumidores puedan ejercer sus derechos según la ley.
La CCPA otorga a los consumidores el derecho a saber qué información personal se recopila sobre ellos, el derecho a saber cómo se utiliza esta información, el derecho a que se elimine esta información y el derecho a optar por no compartir los datos.
Debe asegurarse de que dispone de políticas y procedimientos para abordar estos derechos.
El cumplimiento de la CCPA es un esfuerzo de equipo. Es importante involucrar a todos los equipos y departamentos en el proceso de cumplimiento de la CCPA, desde el departamento de TI hasta el departamento de marketing.
Cada equipo tendrá distintas responsabilidades relacionadas con la CCPA. Por ejemplo, el equipo de marketing tendrá que asegurarse de que no está recopilando o utilizando información personal de una forma prohibida por la CCPA. El equipo de TI deberá asegurarse de que la información personal esté debidamente protegida.
Una vez que haya implicado a todos los equipos y departamentos, debe desarrollar un plan de cumplimiento de la CCPA. Este plan debe incluir los pasos que está dando para cumplir con la CCPA, quién es responsable del cumplimiento de la CCPA y cómo supervisará el cumplimiento.
Es importante tener en cuenta que la CCPA es una ley fluida. Está en constante evolución, y en cualquier momento pueden añadirse nuevas normas. Por lo tanto, es importante revisar regularmente su plan de cumplimiento de la CCPA y asegurarse de que esté actualizado.
A la hora de prepararse para cumplir con la CCPA, cabe esperar trastornos en todos los niveles de la organización. Para garantizar una distribución exitosa de la CCPA, es importante establecer un grupo de trabajo designado.
Este grupo de trabajo de la CCPA debe ser responsable de desarrollar e implementar el plan de cumplimiento de la CCPA. El grupo de trabajo también debe ser responsable de educar a los empleados sobre la CCPA y de garantizar que todos los empleados conozcan sus obligaciones en virtud de la ley.
Una vez que haya desarrollado un plan de cumplimiento de la CCPA, debe implantar políticas y procedimientos de cumplimiento de dicha ley. Estas políticas y procedimientos deben diseñarse para ayudar a su empresa a cumplir con la ley.
Algunos aspectos que puede incluir en sus políticas y procedimientos de cumplimiento de la CCPA son las políticas de conservación de datos, los procesos de exclusión voluntaria y los programas de formación.
La normativa CCPA se aplica a los residentes de California. Sin embargo, no tiene sentido tener marcos de seguridad separados si también atiende a clientes de fuera del estado o planea hacerlo. Por lo tanto, debe tratar a cada cliente como si fuera residente en California para garantizar el cumplimiento de la CCPA.
Esto implica garantizar que toda la información personal está debidamente protegida y que solo los empleados autorizados pueden acceder a ella. También incluye garantizar que los consumidores puedan ejercer sus derechos en virtud de la CCPA, independientemente de su residencia.
Al hacerlo, aislará a la empresa de la molestia de adaptarse a los marcos de seguridad de otros estados a medida que se implementen.
El cumplimiento de la CCPA no debe considerarse como evento único. En cambio, debe integrarse en la cultura de su empresa. El cumplimiento de la CCPA debe ser un proceso continuo que se revise y actualice periódicamente según sea necesario.
Una forma de hacerlo es incluir el cumplimiento de la CCPA en el proceso de incorporación de los empleados. Hacerlo ayudará a garantizar que todos los nuevos empleados conozcan y entiendan sus obligaciones en virtud de la ley.
Al integrar el cumplimiento de la CCPA en la cultura de su empresa, puede ayudar a garantizar que el cumplimiento de la CCPA se trate como una prioridad y que los empleados siempre conozcan sus obligaciones en virtud de la ley.
Al igual que en otras actividades, los empleados desempeñarán un papel fundamental en la capacidad de su empresa para lograr y mantener el cumplimiento de la CCPA. Exige a las empresas que tomen medidas razonables para garantizar que los empleados entiendan la CCPA y cómo se aplica a sus funciones laborales.
Una forma de hacerlo es dando capacitaciones sobre la CCPA regularmente para todos los empleados. Esta capacitación debe diseñarse para ayudar a los empleados a comprender la CCPA y qué impacto tiene en su trabajo diario.
Mediante la capacitación periódica del personal, puede ayudar a garantizar que los empleados estén siempre al día sobre la CCPA y que comprendan sus obligaciones en virtud de la ley.
Por último, debe supervisar el cumplimiento de la CCPA. Esto incluye auditar regularmente su marco de privacidad y seguridad de la información, asegurándose de que los consumidores puedan ejercer sus derechos en virtud de la CCPA y supervisando los cambios.
Al supervisar el cumplimiento de la CCPA, puede ayudar a garantizar que su empresa siga cumpliendo con la normativa.
En noviembre de 2020, los californianos votaron para aprobar la Proposición 24, también conocida como la Ley de derechos de privacidad de California (CPRA). La CPRA modifica la CCPA de varias maneras clave y entrará en vigor el 2023 de enero.
Uno de los cambios más significativos es la creación de una nueva agencia de aplicación, la Agencia de Protección de la Privacidad de California (CPPA). La CPPA tendrá la autoridad para investigar quejas, emitir multas y crear regulaciones.
Otro cambio clave es la expansión del derecho de acción privado de CCPA. En virtud de la CCPA, solo los consumidores cuya información personal no cifrada o no censurada esté sujeta a acceso no autorizado, y exfiltración, robo o divulgación como resultado de la infracción de una empresa podrían presentar un derecho de acción privado.
La CPRA amplía este derecho privado de acción para incluir cualquier infracción de la CCPA, independientemente de si existe riesgo de daño. Dicho movimiento significa que más consumidores podrán demandar a las empresas por infracciones de la CCPA, y los posibles daños serán mayores.
Por último, la CPRA refuerza los requisitos de exclusión voluntaria de la CCPA. En virtud de la CCPA, las empresas están obligadas a ofrecer un enlace "Do Not Sell My Personal Information" (No vender mis datos personales) en su página de inicio.
CPRA va un paso más allá pidiendo a las empresas que indiquen explícitamente sus políticas de privacidad si venden la información personal de los consumidores y qué tipo de información personal venden. Si una empresa vende información personal, también debe proporcionar un botón de exclusión en cada página en la que se recoja información personal.
La CPRA también otorga a los consumidores el derecho de renunciar a la venta de su información personal confidencial, como raza, etnia, religión y orientación sexual.
Con el aumento de la preocupación por la privacidad de los datos, es de esperar que surjan más normativas y se actualicen las existentes. Por ello, hay que ser más cauteloso y deliberado con el tratamiento de los datos de los consumidores.
De manera comprensible, el cumplimiento y la gobernanza de los datos pueden ser intimidantes, especialmente con las regulaciones emergentes y en evolución. Para empezar, necesitará una capacidad de archivado que le permita encontrar rápidamente la información relevante. En este sentido, Veritas puede ayudarle.
Al aprovechar la cartera de cumplimiento digital de Veritas, obtendrá una mayor visibilidad y control de los datos y las normativas. Esto le permite capturar, archivar y encontrar datos relevantes de más de 120 fuentes de contenido. De este modo, optimizará la conformidad de los datos y resolverá cualquier laguna en la gobernanza de sus datos.
La Ley de Privacidad del Consumidor de California es una ley revolucionaria que brinda a los consumidores más control sobre su información personal. La CCPA exige a las empresas que tomen medidas para proteger la información personal y permite a los consumidores ejercer varios derechos, entre ellos el de optar por no vender sus datos personales.
Pero ahora, con la CPRA en el horizonte, también hay que empezar a prepararse para la nueva. La CPRA modifica la CCPA de varias maneras clave y entrará en vigor el 2023 de enero.
Contacte con nosotros hoy para obtener más información sobre cómo podemos ayudar a mantener su organización en cumplimiento.
Los clientes de Veritas incluyen el 95 % de la lista Fortune 100, y NetBackup™ es la opción número uno para las empresas que buscan proteger grandes cantidades de datos.
Descubra cómo Veritas mantiene sus datos completamente protegidos a través de cargas de trabajo virtuales, físicas, en la nube y heredadas con los servicios de protección de datos para grandes empresas.