Ya está aquí un nuevo conjunto de regulaciones modificadas para la Ley de Privacidad del Consumidor de California (CCPA): si bien la oficina del Fiscal General no podrá hacer cumplir la primera ley de privacidad de los EE. UU. hasta el 1 de julio de 2020, estas regulaciones complementarias a la ley son una guía fundamental para las empresas sobre el cumplimiento y los procedimientos para que los consumidores ejerzan sus nuevos derechos.
Al igual que con el primer conjunto de propuestas de regulación, publicadas en octubre del año pasado, las nuevas regulaciones introducen, en primer lugar, impactos operativos específicos. De manera más amplia, estas actualizaciones obligan a las empresas sujetas a formular una estrategia de cumplimiento de la privacidad sostenible, repetible y demostrable.
Hemos visto a muchas empresas optar por un enfoque "CCPA light" basado en la estrategia de no tener que lidiar con un gran volumen de DSAR. Sin embargo, estas últimas actualizaciones indican la necesidad de ambos. conocimiento profundo de los datos empresariales y la capacidad de vincular automáticamente el conocimiento de los datos con los requisitos de informes y categorización para reducir la sobrecarga manual y gestionar el riesgo de incumplimiento.
En BigID, hemos identificado cinco elementos impactantes de las regulaciones que ponen en tela de juicio la estrategia detrás del enfoque de cumplimiento “light” de la CCPA y señalan los beneficios a largo plazo del enfoque basado en datos que se puede integrar fácilmente con la gestión del flujo de trabajo:
1. Aclaración sobre la definición de Información Personal (IP)
Qué significaLos datos se consideran información personal (PI) según si la empresa mantiene la información de una manera que “identifique, se relacione con, describa, sea razonablemente capaz de asociarse con, o pueda vincularse razonablemente, directa o indirectamente, con un consumidor o hogar en particular… Por ejemplo, si una empresa recopila las direcciones IP de los visitantes de su sitio web, pero no vincula la dirección IP con ningún consumidor o hogar en particular, y no pudiera vincular razonablemente la dirección IP con un consumidor o hogar en particular, entonces la dirección IP no sería 'información personal'”.
Impacto: Determinar qué tipos de datos y atributos están cubiertos por la ley es una piedra angular de los programas de cumplimiento.El ejemplo del lenguaje y la dirección IP parece indicar que si un atributo de datos no está directamente asociado a un consumidor y no existe un método razonable para asociarlo, no constituiría IP. Si bien el lenguaje es ambiguo, las empresas aún deben determinar con certeza si un atributo de datos es vinculable para constituir IP. La única manera de realizar esta evaluación es mediante Mapeo de datos, clasificación y aplicación del aprendizaje automático para comprender el contexto del procesamiento de datos.
2. Obligaciones de conservación de registros (general)
Qué significaLas empresas deben mantener un registro de las solicitudes de DSAR durante un mínimo de 24 meses. Estos registros pueden conservarse en formato de ticket o registro, siempre que incluyan la fecha de la solicitud, su naturaleza, la forma en que se realizó, la fecha de la respuesta de la empresa, la naturaleza de la respuesta y, en caso de rechazo, el fundamento de la solicitud. Esta información solo se puede utilizar para cumplir con el proceso de cumplimiento de la CCPA. La empresa debe mantener las medidas de seguridad técnicas y administrativas adecuadas para el mantenimiento de estos registros.
ImpactoEl reglamento de la Fiscalía General establece requisitos de documentación que no existían en la versión original de la ley. Ahora, las empresas deben poder mantener registros de las solicitudes individuales de DSAR, no solo responderlas. Para las organizaciones que gestionan manualmente las DSAR, este reglamento introduce una carga adicional de documentación. La creación y el mantenimiento de esta documentación añaden otro coste directo a los programas de privacidad, especialmente si Recopilación de datos y recepción de DSAR Los procesos son elementos dispares con procesos inconsistentes.
3. Obligaciones de conservación de registros (específicas para grandes empresas)
Qué significa:Una empresa que anualmente compra, recibe, vende o comparte (con fines comerciales) la información personal de 4 millones o más consumidores en un año calendario debe proporcionar las siguientes métricas en su Política de privacidad: (1) número de solicitudes recibidas/cumplidas/rechazadas, (2) número de solicitudes de eliminación que la empresa recibió/cumplió/rechazó, (3) número de solicitudes de exclusión recibidas/cumplidas y denegadas, y (4) promedio o mediana del número de días que le tomó a la empresa responder sustancialmente a estas solicitudes.
ImpactoLas empresas que procesan datos de más de cuatro millones de consumidores deberán tener en cuenta no solo los datos incluidos en cada DSAR, sino también cómo gestionan los derechos de datos en general. La recopilación de estas métricas resultará no solo en gastos adicionales, sino también en una mayor complejidad en ausencia de un programa de privacidad bien estructurado que integre los flujos de trabajo y inventario de datos.
4. Prohibiciones de la “Solicitud de información” de la DSAR
Qué significa:En respuesta a una solicitud DSAR de un consumidor para conocer información, la respuesta de la empresa no puede revelar el número de Seguro Social, el número de licencia de conducir u otro número de identificación emitido por el gobierno, el número de cuenta financiera, ningún número de seguro de salud o identificación médica, una contraseña de cuenta, o preguntas y respuestas de seguridad, o datos biométricos únicos generados a partir de mediciones o análisis técnicos de características humanas.
ImpactoSi bien las empresas deben notificar a sus consumidores que disponen de esta información, no pueden revelar el atributo de datos real en texto plano. En su lugar, deben considerar métodos alternativos, como enmascarar campos y atributos de datos específicos. Cualquier herramienta de informes eficaz debe permitir a los clientes configurar el enmascaramiento para cada etapa del ciclo de vida de la solicitud.
5. Aclaración de la definición de “hogar”:
Qué significa:Se aclara la definición de hogar para significar una persona o grupo de personas que: (1) residen en la misma dirección, (2) comparten un dispositivo común o el mismo servicio proporcionado por una empresa, y (3) son identificados por la empresa como personas que comparten la misma cuenta grupal o identificador único.
ImpactoLos dispositivos domésticos conectados al IoT, como Alexa, Ring, Roomba, televisores inteligentes y coches conectados, generan enormes cantidades de datos. Estos datos del IoT suelen transportarse dentro de las empresas mediante tecnologías de transmisión de datos. Las empresas deben ser capaces de descubrir y clasificar datos en movimiento, y luego correlacionarlos con el hogar original. Además, deben poder identificar qué personas residen en el mismo hogar.
La dirección que está tomando la Fiscalía General es clara: mayor responsabilidad en el procesamiento y la recopilación de datos, y requisitos más estrictos para demostrar que las empresas sujetas se toman en serio estos requisitos. Estas actualizaciones no solo aportan mayor claridad, sino que también apuntan a una mayor complejidad en la implementación de la primera ley integral de privacidad en EE. UU., y hay más en el horizonte.
Muchos de nuestros clientes han invertido en la automatización del descubrimiento de datos y el cumplimiento de la privacidad para fortalecer y proteger la confianza en la marca. La integración del descubrimiento y la clasificación de datos de información personal con la gestión avanzada de derechos de datos ofrece la ventaja adicional de garantizar la eficiencia, la automatización y la precisión ante las cambiantes exigencias regulatorias de privacidad. Conocer sus datos facilita una respuesta ágil a los cambiantes requisitos de informes: Vea cómo BigID le ayuda con una demostración personalizada 1:1.
Autor
