En Protección de la Privacidad del Consumidor de California (CCPA) entrará en vigor en cuestión de meses y, a principios de este mes, El fiscal general de California, Xavier Becerra Se emitieron directrices iniciales muy esperadas sobre cómo implementar la ley. Resultan de especial interés porque la Fiscalía General será responsable de su aplicación. Si bien el Reglamento puede haber generado cierta incertidumbre, sin duda ha aumentado la ansiedad sobre cómo prepararse mejor para la CCPA y más allá.
De lo específico a lo general
Las revisiones iniciales del Reglamento no fueron del todo positivas, pero la atención se centró rápidamente en sus repercusiones prácticas. Cabe destacar que el Reglamento se centra en el ecosistema forestal, pasando de la maleza a la profundidad.
Por ejemplo:
– el Reglamento es muy específico en cuanto a cómo las empresas cubiertas deben verificar la identidad de quienes no son titulares de cuentas para solicitudes de categorías de información personal o la información personal específica que se ha recopilado sobre ellos.
– el Reglamento proporciona detalles exhaustivos sobre dónde y cómo deben mostrarse en los sitios web corporativos los botones para facilitar las solicitudes de “Exclusión voluntaria” o “No vender”.
– Y –probablemente aún más importante– el Reglamento ahora estipula que las empresas tendrán 15 días para implementar la exclusión voluntaria de las solicitudes de venta de datos.
Mientras tanto, la oficina del Procurador General de California explicó en la Declaración de Motivos adjunta que la intención de la ley es restaurar el control del consumidor sobre sus datos y garantizar la transparencia en “cómo las empresas recopilan, usan y comparten información personal y sobre lo que las empresas deben hacer para cumplir con la CCPA”.
La transparencia, en este sentido, es más que la suma total de las partes.
El camino a la ruina está pavimentado con buenas intenciones.
Dado que el cumplimiento de la privacidad es un área emergente en EE. UU., el enfoque práctico a corto plazo probablemente se centrará en lo esencial: garantizar que se implementen los avisos, las políticas y los procesos de enrutamiento de solicitudes necesarios. Todos estos elementos son, obviamente, pasos necesarios, pero centrarse en lo esencial conlleva el riesgo de perder de vista el bosque, que es el propósito de la ley.
Incluso si las empresas pueden hacer que los detalles sean correctos, pueden caer en la trampa de hacer solo los detalles correctos, a expensas de desarrollar programas que sean repetibles, demostrables y sostenibles.
Por ejemplo, es fundamental usar un lenguaje claro y explícito en el aviso de privacidad inicial. Sin embargo, sin información basada en datos sobre cómo se utilizan estos en el contexto de un proceso empresarial (y sin la posibilidad de identificar si se utilizan para otro fin), la transparencia se limita únicamente a la política de privacidad.
Las directrices cambiantes también señalan los riesgos de un enfoque manual que se mantendrá en constante actualización y solo será repetible si las Regulaciones permanecen estáticas. Si las empresas aspiran a convertir la privacidad en un principio operativo clave y un valor corporativo, deberán evitar verse atrapadas en un ciclo de cambios costosos y disruptivos simplemente para mantenerse al día con la evolución de las Regulaciones.
Para avanzar hacia una estrategia de implementación de la privacidad sostenible, repetible y demostrable, las empresas necesitarán una base sólida, automatizada y extensible. Aquí es donde entra en juego una inteligencia de datos cohesiva y respetuosa con la privacidad.
¿Una jungla o un jardín?
La inteligencia de datos cohesiva permite a las empresas adaptarse cuando surgen nuevos requisitos para que los cambios no desequilibren masivamente el ecosistema ni socaven las estrategias de privacidad con las partes interesadas corporativas.
Veamos algunos ejemplos para ilustrar este punto.
Por ejemplo, en el caso de verificar solicitudes de acceso a datos Para quienes no tienen cuentas, las empresas deben poder tomar dos o tres puntos de datos (dependiendo de la naturaleza de la solicitud) y filtrar miles o incluso millones de individuos para centrarse en un consumidor específico y luego responder con un informe claro, completo y actual.
Asimismo, para responder a las solicitudes de exclusión o de no venta, las empresas tendrán que poder:
– verificar la identidad de la persona específica que realiza la solicitud
– determinar qué categorías de datos y atributos se recopilan en el contexto de un proceso comercial o flujo de datos específico para esas personas
– identificar con qué terceros se comparten, transfieren o venden los datos
– suspender las ventas y transferencias de datos durante un año, o hasta que el consumidor opte por volver a participar en las ventas de datos
Lo que estipula ahora el Reglamento es que todos estos pasos deben realizarse y completarse en el plazo de 15 días.
Ambos ejemplos ponen de relieve la complejidad de adoptar un enfoque manual (atravesar la jungla con un machete, por analogía), que es exactamente lo opuesto a lo repetible.
Cuando las empresas mantienen vistas actualizadas, granulares y específicas de los datos personales que recopilan y procesan, alimentadas por el descubrimiento y la clasificación automatizados, incluso con datos masivos y complejos, pueden aprovechar esta visión centrada en la identidad, basada en inteligencia de datos, para responder con precisión y rapidez. Además, los analistas pueden verificar la identidad de quienes no son titulares de cuentas con una simple consulta basada en esta visión centrada en la identidad, en lugar de atascarse durante días.
De la misma manera, cuando un consumidor realiza una solicitud de exclusión, esta vista centrada en la identidad permite a los analistas determinar exactamente qué datos, qué tipos de datos, para qué flujos de datos y las ventas de datos de terceros asociados deben suspenderse.
Además, se minimiza el esfuerzo adicional necesario para adaptarse a los nuevos requisitos, ya que se trata de cambiar la forma en que se generan los informes, no cómo se implementan las operaciones de privacidad. Además, el trabajo de inteligencia de datos realizado para la estrategia y el cumplimiento de la privacidad puede trasladarse fácilmente a áreas como el análisis de datos, la gobernanza y la seguridad, en lugar de limitarse únicamente al cumplimiento de la privacidad.
Con la cohesión entre la inteligencia de datos, la gestión de derechos de datos y los informes avanzados, las empresas pueden reducir radicalmente la complejidad de pasos separados y estancos.
Mirando hacia el horizonte
Sin duda, cumplir con la CCPA implica abordar las particularidades del Reglamento CA AG. El reto más amplio al que se enfrentan nuestros clientes es pasar de un enfoque reactivo a integrar la protección de la privacidad en sus negocios y valores corporativos.
Para afinar los detalles y asegurarse de pasar de lo básico a lo práctico, consideran que la operacionalización debe basarse directamente en inteligencia de datos que respete la privacidad. Para convertir el compromiso con la protección de la privacidad en una realidad práctica, parten de una visión centrada en la identidad de todos sus datos y luego aprovechan esta información a gran escala para gestionar, gestionar y proteger los datos personales, además de automatizar los requisitos más recientes de la CCPA.
Este es precisamente el objetivo que BigID pretendía alcanzar. Hemos ayudado a empresas que consideran el cumplimiento normativo como un paso fundamental hacia una estrategia integral de privacidad y que ven los obstáculos de un modo reactivo como un obstáculo para alcanzar ese objetivo.
Para obtener más información sobre el enfoque de BigID para automatizar el cumplimiento de la CCPA y la inteligencia de datos que respeta la privacidad, Descargue nuestro informe técnico aquí.
Autor
