La Ley de Privacidad del Consumidor de California de 2018 (CCPA) es la primera ley estadounidense de su tipo que otorga mayores derechos de privacidad a los consumidores que residen en el estado (Detalles de Lista de verificación de cumplimiento de la CCPA aquí). Tomando prestados muchos de los principios básicos del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, la Ley consagra derechos significativos para los consumidores al otorgarles un control sin precedentes sobre sus datos. información personal.
La Ley, cuya entrada en vigor está prevista para el 1 de enero de 2020, obliga a las empresas a comprender cómo afectará la forma en que recopilan y procesan la información personal de los consumidores. Debido al amplio alcance de sus disposiciones, existe confusión sobre muchos detalles, gran parte de los cuales se basan en una disposición fundamental: qué constituye información personal (IP) y en qué se diferencia de... información personal identificable (IPI).
Comprender la diferencia entre ambos es fundamental para prepararse para cumplir con los requisitos de la CCPA, además de las regulaciones estatales y federales propuestas que probablemente adoptarán una perspectiva similar sobre la información personal. Las empresas que no comprendan esta distinción correrán un riesgo significativamente mayor de recibir multas y posibles demandas civiles colectivas.
¿Qué es información personal versus información de identificación personal?
El punto de partida para comprender la diferencia entre PI y PII se encuentra en la definición de Información Personal según la CCPA:
“Información personal” Según se define en la sección 1798.140 de la CCPA
(o) (1) “Información personal” significa información que identifica, se relaciona con, describe, puede asociarse con, o podría razonablemente vincularse, directa o indirectamente, con un consumidor o hogar en particular.
Las conclusiones clave aquí son: “que pueda asociarse con, o pueda vincularse razonablemente, directa o indirectamente, con un consumidor o un hogar”. Esta definición genera la posibilidad de una interpretación jurídica extremadamente amplia sobre lo que constituye información personal, al considerar que la información personal es cualquier dato que pueda vincularse con una persona o un hogar en California. Esto va mucho más allá de los datos obviamente asociados con una identidad, como el nombre, la fecha de nacimiento o el número de la Seguridad Social, que tradicionalmente se consideran información de identificación personal (PII). En última instancia, es esta información "indirecta", como las preferencias de productos o los datos de geolocalización, la que resulta relevante, ya que es mucho más difícil identificarla y vincularla con una persona que la información de identificación personal bien estructurada.
A medida que las empresas aumentan los puntos de contacto con sus clientes a través de más canales, recopilan petabytes de datos sobre individuos a un ritmo vertiginoso. Datos personales de todo tipo, desde los altamente identificables hasta los indirectos, se recopilan en una variedad de aplicaciones y almacenes de datos, lo que genera una proliferación de datos personales. Dado que este volumen masivo de datos reside en una combinación de almacenes de datos estructurados y no estructurados en el centro de datos y la nube, es difícil para las organizaciones tener una idea precisa de a quién pertenecen realmente los datos, dónde se encuentran y cómo se utilizan. La amplia definición de la CCPA de lo que constituye información personal que pertenece a un titular de datos crea quizás el mayor desafío para las organizaciones a la hora de cumplir desde el primer día y de seguir cumpliendo a medida que el volumen y la complejidad de los datos aumentan con el tiempo. La necesidad de proteger los derechos de los titulares de datos a gran escala requiere un enfoque diferente para descubrir y correlacionar datos que el que las empresas han utilizado tradicionalmente.
Descubrimiento de datos de PI diseñado específicamente para la CCPA
Proteger los derechos sobre datos personales bajo la CCPA implica tener que rendir cuentas de los datos de cada individuo, incluyendo la información personal (PI) y la información de identificación personal (PII). Pero, tradicionalmente, basado en la clasificación Las herramientas de descubrimiento de datos no pueden correlacionar ni asociar datos con un individuo. Pueden indicar el tipo de datos que posee, pero no de quién son. Las herramientas tradicionales de descubrimiento de datos se basan en clasificadores basados en expresiones regulares para encontrar tipos de datos bien estructurados, como la información de tarjetas de pago de dieciséis dígitos. No fueron diseñadas para identificar datos personales basándose en su conexión con una identidad. Por lo tanto, estas herramientas carecen de la capacidad de analizar más allá de los tipos bien formados de información de identificación personal (PII) clásica, lo que las hace inadecuadas y obsoletas para el descubrimiento y la clasificación. PI bajo la CCPA.
La plataforma de privacidad de datos de BigID está diseñada específicamente para el descubrimiento avanzado de información personal (PI) e información de identificación personal (PII) en datos estructurados, no estructurados, Big Data y en la nube, tanto en el centro de datos como en la nube. BigID adopta un enfoque moderno para el descubrimiento de datos, aprovechando el potencial del aprendizaje automático para encontrar información personal difícil de encontrar. Este enfoque ofrece a las empresas una ventaja para afrontar el reto específico de descubrir y correlacionar toda la información personal, según lo define la CCPA.
• Descubrir PI y PII utilizando "inteligencia de identidad" basada en ML para medir la identificabilidad de los datos y conectar cómo cada atributo de PI está conectado a otros datos relacionados con la misma identidad en toda la empresa
• Correlacionar la información personal con un individuo mediante la indexación de datos por persona para preservar y proteger los derechos del sujeto de los datos
• Búsqueda de información personal en todas las fuentes de datos de la empresa
• Identificación de PI a escala de petabytes
Estar listo
Si algo aprendimos del RGPD es que las empresas deben prepararse lo antes posible para cumplir con la fecha límite. Con esto en mente, aquí están las consideraciones más importantes que deben priorizarse:
1. Asegúrese de que su equipo tenga un entendimiento compartido de la definición de información personal según la CCPA.
2. Ampliar la gobernanza de datos para incluir la información personal (PI), no solo la información personal identificable (PII). Las organizaciones deben mapear sus patrimonios de datos, identificar toda la información personal en comparación con el estándar actual de atributos identificables directa o indirectamente, e inventariar los datos por persona y estado de residencia.
3. Gestionar eficazmente el consentimiento y supervisar el procesamiento. Para demostrar el cumplimiento y generar confianza con los consumidores, las empresas deben examinar los controles para gestionar los usos posteriores de la información personal (PI) con la capacidad de supervisar y garantizar que el consentimiento y los usos de la PI sean adecuados.
Para obtener más información sobre cómo BigID puede ayudarlo a prepararse para la CCPA, visite BigID.com/demo
Autor
