California, que desde hace tiempo sienta un precedente nacional en materia de protección del consumidor en la era digital, ha aprobado la ley de protección de la privacidad de mayor alcance creada hasta el momento en Estados Unidos. Ley de Privacidad del Consumidor de California (“CCPA”) otorgará a los consumidores de California control sobre su información personal y prepara el escenario para una realineación fundamental de cómo las empresas que hacen negocios en el Estado (y, por extensión, en los EE. UU. en su conjunto) interactúan con los datos de sus clientes.
Es comprensible que el enfoque en los derechos de los datos de los consumidores haya generado comparaciones entre la CCPA y la Reglamento General de Protección de Datos de la UE (“RGPD”). Si bien existe un alto grado de superposición, e incluso en algunas áreas cruciales un lenguaje casi idéntico, la CCPA no debe entenderse tanto como el RGPD de California, sino en sus propios términos: en primer lugar, como una indicación de que privacidad En segundo lugar, las preocupaciones han cruzado el Océano Atlántico y, en tercer lugar, que los legisladores entienden que es necesario un palo para tomar en serio la protección de la privacidad, al más puro estilo estadounidense, a través de litigios y multas.
Cómo interpretar y abordar la CCPA desde ahora hasta el 1 de julio de 2020, fecha de su entrada en vigor, probablemente será una odisea tan compleja como lo fue la aprobación del RGPD para las empresas sujetas a la normativa. Este blog y el próximo informe técnico sobre cómo contextualizar la CCPA en las políticas y los procesos describen los cambios clave introducidos por la CCPA y ofrecen una serie de pasos para prepararse para el futuro.
RGPD frente a CCPA
La comparación con el RGPD es ciertamente instructiva en términos de mapear dónde los esfuerzos existentes de cumplimiento de la CCPA pueden reutilizarse para aquellos ya cubiertos por la regulación de la UE, pero también dónde se necesita trabajo adicional, o incluso principal:
Al igual que el RGPD, la CCPA establece derechos del interesado al frente y al centro, requiriendo que las empresas rindan cuentas de cómo recopilan y venden la información de los clientes.
• A diferencia del RGPD, la CCPA ofrece la opción de establecer reglas que permitan a las empresas ofrecer incentivos financieros a cambio de datos de los usuarios en determinadas situaciones.
Al igual que el RGPD, la CCPA amplía la definición de qué tipo de datos deben protegerse y contabilizarse.
• Según la Ley, la información personal incluye información que “identifica, se relaciona con, describe o puede asociarse con un consumidor o hogar en particular”.
• La CCPA incluye direcciones IP, datos de geolocalización, información biométrica e “identificadores únicos” como identificadores de dispositivos y cookies e información de actividad en Internet.
Al igual que el RGPD, la CCPA establece sanciones significativas por incumplimiento y violación de la privacidad del consumidor.
• Si bien la disposición ya ha suscitado críticas, la ley crea para los consumidores una nueva ““derecho privado de acción” y la capacidad presentar una demanda colectiva por infracciones que resulten de precauciones de seguridad inadecuadas, así como Infracciones deliberadas y deliberadas. Además, los reguladores impondrán multas de entre $750 y $7,500 por infracción, lo que incrementará aún más el coste de las infracciones.
De acuerdo con el RGPD y las leyes de notificación de infracciones existentes en California, las empresas están sujetas a un plazo para notificar a los clientes en caso de una infracción, pero serán responsables de la infracción en sí, no solo de no informar.
• La CCPA incluye una disposición para que el Fiscal General de California presente una demanda en nombre de los consumidores por hasta $7,500 por infracción.
• Al ampliar lo que se considera información personal, la CCPA extiende efectivamente el alcance de las fuentes de datos de la empresa y las categorías de datos que están sujetas a requisitos de notificación en caso de una violación.
Objetivos compartidos: conozca sus datos
La CCPA, al igual que el RGPD, otorga a los residentes de California derechos de protección de datos similares, como el derecho de acceso y eliminación de su propia información. Estos nuevos derechos exigirán a las empresas la fácil localización de datos personales en un entorno de datos moderno que abarca bases de datos, recursos compartidos de archivos, registros, big data, la nube, etc.
Para las empresas con procesos complejos de recopilación y procesamiento de datos, será importante comprender qué datos personales se recopilan y cómo se utilizan de forma verificable y basada en datos. Además, para cumplir con los derechos en materia de datos personales, será necesario identificar qué datos se consideran personales según la CCPA y a quién pertenecen, para así responder fácilmente a las solicitudes de acceso o eliminación de las personas.
Objetivos compartidos: Conozca su uso de datos
Si bien la CCPA tiene una aplicación más restringida de los requisitos de consentimiento en comparación con el RGPD, la disposición de la Ley para hacer operativas las exclusiones voluntarias para la venta de información personal aún resultará en requisitos de transparencia y rendición de cuentas del consentimiento similares.
Para demostrar el cumplimiento de la CCPA y fortalecer la confianza del consumidor en torno al intercambio no autorizado de datos, las empresas querrán considerar registros de procesamiento de datos como el RGPD para auditar más fácilmente el intercambio de datos y, al mismo tiempo, implementar un marco de gobernanza del consentimiento para registrar las preferencias de intercambio y restringir el intercambio no autorizado.
Cuenta regresiva para el cumplimiento
Al igual que el RGPD, la CCPA introduce un nuevo conjunto de derechos de protección de datos del consumidor, así como fuertes multas para las empresas que infrinjan dichos derechos y el derecho del consumidor a demandar por incumplimiento. Por lo tanto, las organizaciones sujetas a la normativa deben asegurarse de saber dónde se almacena toda la información personal dentro de su entorno informático para poder responder a las solicitudes de forma adecuada y oportuna. También deben poder identificar o inferir fácilmente qué personas residen en California, lo que requerirá un mayor nivel de herramientas de inteligencia de datos.
Si bien la legislatura continuará realizando modificaciones a la CCPA antes de la fecha de entrada en vigor del 1 de enero de 2020, las empresas cubiertas deben comenzar a prepararse ahora para lograr el cumplimiento con un examen de las herramientas para inventariar, mapear, gobernar y controlar sus datos personales.
Autor
