Como líder empresarial, su enfoque principal debe ser satisfacer las necesidades de los consumidores excepcionalmente bien para que sigan regresando. Tradicionalmente, esto implicaba ofrecer productos impecables y al precio justo.
Sin embargo, es necesario ofrecer mucho más para ganar a los consumidores de hoy en día. Por ejemplo, su marca necesita tener valores accesibles, y el recorrido del consumidor debe ser uniforme y atractivo. Además, debido a los recientes problemas de ciberseguridad y fugas de datos, los consumidores necesitan saber que pueden confiarle sus datos.
Según el informe de PEW Research, la preocupación por el uso de datos de las empresas está muy extendida entre los estadounidenses, ya que el 79% expresa ansiedad por el tema. En consecuencia, la mayoría de los consumidores están dispuestos a compartir sus datos solo con marcas.
Para ayudar a proteger a sus residentes, California ha adoptado un enfoque progresivo y severo de la regulación de la privacidad de datos. A la vanguardia de tales esfuerzos se encuentra la Ley de Privacidad del Consumidor de California (CCPA), aprobada en 2018 y vigente desde enero de 2020.
Pero en el futuro, las empresas que quieran captar clientes residentes en California también tendrán que cumplir con regulaciones más estrictas. Esto será bajo la Ley de Derechos de Privacidad de California de 2020, una extensión de la CCPA.
Teniendo en cuenta el impacto y las posibles ramificaciones, es importante entender lo que implica la CPRA y prepararse para ello. En este artículo, aprenderá todo lo que hay que saber sobre la CPRA.
Antes de entrar en lo que la CPRA implicará para su empresa, es vital observar la naturaleza actual de las regulaciones de privacidad de California. Dado que la CPRA está basada en la CCPA, es importante entender primero a esta última.
Para empezar, la CCPA se creó en respuesta a la indignación civil que surgió tras fugas de datos a gran escala. Esta ley le da a los residentes californianos más control sobre su información personal al:
La ley se aplica a cualquier compañía con fines de lucro que haga negocios en California, independientemente de si tiene presencia física allí o no. Y si una empresa no cumple, podría recibir una multa de hasta 7500 dólares por infracción.
La CPRA es una extensión de la CCPA aprobada por los votantes californianos en 2020. La ley entrará en vigor en enero de 2023 y dará a los residentes californianos un mayor control sobre sus datos.
La CPRA está basada en la normativa ya existente establecida por la CCPA. Pero también incluye nuevas disposiciones diseñadas para proteger aún más la privacidad del consumidor. Por ejemplo, la CPRA:
Además, la CPRA también ampliará la definición de información personal para incluir cosas como direcciones IP, datos biométricos y datos de geolocalización.
No, la CPRA no sustituye a la CCPA. Más bien, toma como referencia las normas existentes para crear un marco aún más estricto que protege la privacidad del consumidor. Las empresas que cumplan con la CCPA también deberán cumplir con la CPRA cuando esta entre en vigor en 2023.
Ahora que conoce los fundamentos de la CPRA, eche un vistazo más detallado a lo que implica la ley.
Como se mencionó, la CPRA está basada en la normatividad existente que establece la CCPA. Pero también incluye nuevas disposiciones diseñadas para mejorar la protección de la privacidad del consumidor.
La CPRA se aplica a cualquier compañía con fines de lucro que haga negocios en California y recopile información personal de residentes californianos, independientemente de que tengan presencia física allí.
Además, en virtud de la CPRA, menos empresas tendrán el deber de cumplir. Sin embargo, aquellas que sí deban hacerlo tendrán muchos más requisitos para lograr el cumplimiento.
Una vez que entre en vigor:
Otro cambio clave que trae la CPRA es la ampliación de la definición de información personal confidencial. En virtud de la CPRA, la información personal confidencial incluirá lo siguiente:
Se trata de una expansión significativa de CCPA, que solo incluía números de la seguridad social y licencias de conducir.
La definición ampliada de "información personal confidencial" significa que las empresas deben tener especial cuidado para proteger este tipo de datos. También necesitarán el consentimiento explícito del consumidor antes de recopilarlos, usarlos o compartirlos.
Junto con una definición más amplia de información confidencial, la CPRA también amplía los derechos del consumidor. La CPRA dará a los residentes californianos el derecho a:
Estos son similares a los derechos que estableció la CCPA. Sin embargo, la CPRA va un paso más allá al dar a los consumidores el derecho de dictar cómo las empresas usan sus datos.
Por ejemplo, en virtud de la CPRA, si un consumidor opta por no vender sus datos, tendrá que dejar de venderlos. Por lo tanto, a diferencia de la CCPA, no se trata de notificar a los clientes sobre cómo está usando sus datos, sino de obtener primero su aprobación.
Con las leyes de privacidad vigentes en California, las empresas deben incluir el vínculo "No vender mi información personal" en la página de inicio. Debe conducir a una página dedicada donde los consumidores puedan ejercer sus derechos de exclusión voluntaria.
Con la CPRA, también tendrá que agregar un segundo vínculo denominado "Limitar el uso de mi información personal confidencial". Debe vincularse a una página dedicada donde puedan dictar cómo puede usar su información personal. Además, siempre y cuando la intención del cliente sea clara, podría dejar que la expresen de otras maneras.
La CPRA creará una nueva agencia estatal: la Agencia de Protección de la Privacidad de California (CPPA, California Privacy Protection Agency), para hacer cumplir estas normas. La CPPA tendrá la facultad de imponer multas de hasta 7500 dólares por cada infracción. Y también puede interponer demandas civiles contra las empresas que infrinjan la ley.
Este es un gran paso considerando que la CCPA cedió la aplicación a la Fiscalía General del Estado. La CPPA tendrá más recursos y estará mejor equipada para manejar la aplicación que la Fiscalía General del Estado.
La CCPA permite a los consumidores optar por no vender sus datos. La CPRA lo lleva un paso más allá al otorgar a las personas el derecho de optar por no participar en ninguna divulgación o intercambio de su información con terceros, independientemente de que implique o no el pago.
En la era del big data, la elaboración de perfiles de datos es un activo invaluable para las empresas. Les ayuda a segmentar anuncios, personalizar el contenido y mejorar la experiencia del cliente.
No obstante, la CPRA pondrá algunas restricciones a la toma de decisiones automatizada. Las empresas seguirán siendo capaces de hacerlo, pero primero deberán obtener el consentimiento explícito del consumidor. Y tendrán que explicar cómo funciona el proceso de una manera que sea fácil de entender para los consumidores.
La CPRA también dará a los consumidores el derecho de corregir cualquier dato inexacto o incompleto que las empresas tengan sobre ellos. Esto contrasta con la CCPA, que solo permitía a los consumidores solicitar la eliminación de sus datos.
Ahora, si un consumidor piensa que parte de su información sobre él es incorrecta, puede contactarse con la empresa y solicitar que la corrija. Si la empresa no cumple con su solicitud, se puede presentar una denuncia ante la CPPA.
Según lo dictado por la CCPA, las empresas deben proporcionar explicaciones detalladas de los datos que recopilan, cómo se utilizan y si se comparten con otras partes. Pero eso no es todo. Para cada categoría de datos, se deberá informar al interesado cuánto tiempo conservará los datos o explicar los métodos para determinar cuánto tiempo.
Además, la CPRA pondrá algunas restricciones sobre cuánto tiempo las empresas pueden conservar los datos de los consumidores. Las empresas solo podrán conservar los datos durante el tiempo que sea necesario para lograr la finalidad para la que fueron recabados.
Este es uno de los principales cambios con respecto a la CCPA, que permitió a las empresas conservar datos hasta por siete años. La CPRA obligará a las empresas a reevaluar sus prácticas de retención de datos y asegurará que no almacenen los datos por más tiempo del necesario.
Además de las características clave de la regulación, la CPRA también realizará algunos otros cambios notables, entre ellos:
La CPRA ha sido descrita como el "RGPD de California". Y si bien hay algunas similitudes entre ambos reglamentos, también hay algunas diferencias clave.
Primero, la CPRA tiene menos alcance que el RGPD. Solo se aplica a las empresas que hacen negocios en California o procesan datos de residentes de California. El RGPD, por otra parte, se aplica a cualquier empresa que procese datos de ciudadanos de la UE, independientemente de dónde se encuentren.
En segundo lugar, la CPRA otorga a los consumidores más derechos que el RGPD. Por ejemplo, la CPRA otorga a los consumidores el derecho de optar por no divulgar o compartir su información con terceros, independientemente de que implique o no el pago. El RGPD solo permite a las personas optar por no utilizar los datos personales con fines de marketing.
Por último, la CPRA es mucho más tolerante a la hora de ejercer el cumplimiento. La multa máxima por una infracción de la CPRA es de 7500 dólares, mientras que la máxima para una infracción del RGPD es de 20 millones de euros (unos 24 millones de dólares).
La CPRA es la ley de privacidad más completa en los Estados Unidos. Y otros estados probablemente seguirán el ejemplo de California y aprobarán leyes similares propias. Esto significa que el cumplimiento de la CPRA no es solo una buena idea; es esencial para las empresas que desean mantenerse a la vanguardia.
Si su empresa recopila información personal de residentes californianos, debe comenzar a prepararse para la CPRA ahora mismo. De esa manera, cuando la ley entre en vigor en 2023, podrá cumplirla fácilmente.
Si su empresa está sujeta a la CCPA, ya está cumpliendo con la mayor parte de los requisitos de la CPRA. Pero todavía hay algunas medidas que debe tomar.
Antes de que pueda lograr el cumplimiento de la CPRA, debe determinar sus falencias. Realice una evaluación de brechas para identificar áreas donde sus prácticas de privacidad no cumplan con los estándares de la CPRA.
Una vez que sepa lo que hay que cambiar, puede actualizar su política de privacidad. Asegúrese de que su política sea clara y concisa, y cubra todas las bases. Incluya información sobre qué datos personales recopila, por qué los recopila, cómo los usa y durante cuánto tiempo los conserva.
Una vez que haya actualizado su política de privacidad, es el momento de implementar cambios en sus prácticas de manejo de datos. Si la CPRA requiere que cambie la forma en que recopila o procesa los datos, asegúrese de que estos cambios se reflejen en sus sistemas y procesos.
Sus empleados son la clave para el cumplimiento de la CPRA. Deben estar actualizados sobre la ley y las prácticas de privacidad de su empresa. Asegúrese de que sepan lo que pueden y no pueden hacer con los datos personales y comprender las disposiciones de exclusión voluntaria de CPRA.
La CPRA define la información personal confidencial de manera más amplia que la CCPA. La información personal ahora incluirá datos de raza, etnia, orientación sexual y salud. Es necesario identificar todas las formas en que recopila y utiliza este tipo de información. Esto le permite determinar si estos usos cumplen con la CPRA o no.
Un mapa de datos le ayudará a realizar un seguimiento de todos los datos personales que recopile, además de su origen y su destino. Esta es una herramienta valiosa para el cumplimiento de la CPRA, porque le permite comprobar rápidamente si está cumpliendo o no con los requisitos de la CPRA.
En virtud de la CPRA, las empresas deben proporcionar a los clientes ciertos datos antes de que se recopilen los datos personales. Estos incluyen la información de contacto de su compañía y una descripción de los derechos del cliente en virtud de la CPRA.
También debe obtener el consentimiento explícito de los clientes antes de recopilar información personal confidencial. Por lo tanto, incluya los vínculos obligatorios de exclusión voluntaria y uso de la información personal.
Si comparte datos personales con terceros, debe tener contratos que aseguren el cumplimiento de la CPRA. Dichos contratos deberán estipular que el tercero solo utilizará los datos para la finalidad especificada en el contrato y que protegerá los datos de acuerdo con los requisitos de la CPRA.
Tomando en cuenta las consecuencias del incumplimiento, es esencial hacer análisis de riesgos de privacidad regularmente. Y la mejor manera de hacerlo es con un software de administración de etiquetas. Este software le ayudará a identificar y evaluar riesgos, de modo que pueda tomar medidas para mitigarlos.
Además, el software de administración de etiquetas le ayudará a gestionar los consentimientos, realizar un seguimiento de las desvinculaciones y generar informes. Estas funciones serán invaluables a medida que trabaje para lograr el cumplimiento de la CPRA.
Hay varios escollos potenciales cuando se trata de la aplicación y litigio de la CPRA. Para evitarlos, debe estar familiarizado con la ley, así como con sus derechos y obligaciones.
Algunas de las cosas que debe saber son:
La minimalización de datos es la práctica de recopilar y retener únicamente los datos que necesita para un propósito específico. Esta es una buena estrategia de cumplimiento de la CPRA porque reduce el riesgo de fugas de datos y de usos no autorizados de datos personales.
La seguridad debe ser una prioridad para cualquier empresa, pero es especialmente importante cuando se trata de datos personales. La CPRA requiere que las empresas tomen medidas de seguridad razonables para proteger los datos personales del acceso, la destrucción o el uso no autorizados.
Algunas de las cosas que puede hacer para mejorar su seguridad incluyen:
El cumplimiento de la CPRA puede parecer mucho trabajo, pero merece la pena. Hay muchos beneficios del cumplimiento de la CPRA para las empresas, que incluyen:
A poco tiempo de la entrada en vigencia de la CPRA, es vital que mejore el cumplimiento de sus datos, así como las políticas y los procedimientos de control. Al hacerlo, tenga en cuenta que otras regulaciones de privacidad de datos pueden surgir con el tiempo. Entonces, no se trata solo de cumplir con la CPRA, sino de garantizar que adopte prácticas ideales de manejo de datos.
Teniendo en cuenta esto, es importante contar con capacidades de archivado de datos para ayudar a retener y acelerar la recuperación de información relevante. Aquí es donde resulta útil una solución como la Cartera de cumplimiento digital de Veritas.
El archivado de datos le ayuda a indexar, buscar y auditar datos al tiempo que garantiza la seguridad y privacidad de la información.
La cartera también incluye Data Insight, que utiliza el aprendizaje automático para identificar datos confidenciales en toda la red de una organización. Esta solución le brinda visibilidad sobre cómo se utilizan, comparten y consultan los datos. Así, puede tomar medidas para mitigar los riesgos y mejorar el cumplimiento.
La CPRA es una ley compleja que tiene muchos requisitos. Otros estados probablemente seguirán el ejemplo de California y aprobarán leyes similares propias. Esto significa que el cumplimiento de la CPRA no es solo una buena idea; es esencial para las empresas que desean mantenerse a la vanguardia.
Si su empresa recopila información personal de residentes californianos, debe comenzar a prepararse para la CPRA ahora mismo. De esa manera, cuando la ley entre en vigor en 2023, podrá cumplirla fácilmente.
Realice una evaluación de brechas para identificar áreas donde sus prácticas de privacidad no cumplan con los estándares de la CPRA y actualice su política de privacidad para reflejar la nueva ley. El cumplimiento de la CPRA puede parecer mucho trabajo, pero merece la pena.
Contacte con nosotros hoy para obtener más información sobre cómo podemos ayudar a mantener su organización en cumplimiento.
Los clientes de Veritas incluyen el 95 % de la lista Fortune 100, y NetBackup™ es la opción número uno para las empresas que buscan proteger grandes cantidades de datos.
Descubra cómo Veritas mantiene sus datos completamente protegidos a través de cargas de trabajo virtuales, físicas, en la nube y heredadas con los servicios de protección de datos para grandes empresas.