Muchas organizaciones están trabajando duro para comprender la Ley de Privacidad del Consumidor de California de 2018, aprobada por la legislatura de California en junio de 2018. Entrará en vigor el 1 de enero de 2020. El fiscal general de California es responsable de hacer cumplir la ley.
La Ley de Privacidad del Consumidor de California (CCPA) otorga a los residentes de California muchos derechos nuevos con respecto a cómo se recopila y utiliza su información personal.
Las consecuencias por el incumplimiento de los requisitos de la CCPA podrían ser graves. Se puede imponer una sanción civil de hasta $7,500 por cada infracción, y los residentes de California pueden obtener hasta $750 por incidente o una indemnización por daños y perjuicios, lo que sea mayor.
Las organizaciones necesitan comprender esta ley de privacidad de California y las formas prácticas de cumplirla.
Es importante tener en cuenta que la ley podría cambiar en 2019. La ley se aprobó rápidamente en 2018, con solo una semana de debate legislativo; durante el próximo año, se espera que la legislatura de California reciba importantes solicitudes de cabildeo y enmiendas de diversas organizaciones que recopilan y utilizan la información personal de los residentes de California. Además, la ley exige que el fiscal general de California desarrolle directrices específicas sobre cómo las organizaciones... debe cumplir con la CCPA.
Comprenda cómo se aplica la CCPA a su organización
El primer paso es identificar si la Ley de Privacidad de California (CCPA) se aplica a su organización y cómo lo hace. La CCPA se aplica a todas las organizaciones que recopilan información personal de residentes de California y que cumplen al menos uno de los siguientes requisitos:
- tiene unos ingresos brutos anuales superiores a $25 millones;
- compra, recibe, vende o comparte anualmente la información personal de 50,000 o más residentes, hogares o dispositivos de California; y
- obtiene 50% o más de sus ingresos anuales de la venta de información personal de residentes de California.
La ley otorga a los residentes de California los siguientes derechos básicos con las organizaciones que están sujetas a la CCPA, en adelante denominadas organizaciones cubiertas:
- el derecho a solicitar que una organización cubierta divulgue las categorías y los tipos específicos de información personal que recopila sobre los residentes de California, los tipos de fuentes de las cuales se recopila esa información, los propósitos comerciales para recopilar o vender la información y las categorías de terceros con los que se comparte la información;
- el derecho a solicitar la eliminación de la información personal recopilada;
- el derecho a optar por no participar en la venta de información personal recopilada; y
- el derecho a igualdad de servicio y precio si se ejercen los derechos de la CCPA.
La ley también prohíbe a las organizaciones cubiertas vender la información personal de residentes de California menores de 16 años, a menos que dichos residentes autoricen explícitamente la venta.
Si bien la Ley de Privacidad de California se aplica únicamente a la información personal de los residentes de California, muchas organizaciones cubiertas recopilan información personal de residentes de varios estados. Dichas organizaciones deberán decidir si gestionan toda la información personal según los requisitos de la CCPA o si crean procesos separados para gestionar únicamente la información personal de los residentes de California.
Porque otros estados a menudo emulan Leyes de privacidad de datos de California —como con los informes de violaciones de seguridad de datos, por ejemplo— y a los clientes que no son de California puede no gustarles tener menos protecciones para su información personal, es probable que muchas organizaciones cubiertas determinen que es mejor tener un enfoque común para manejar la información personal de sus clientes.
Crear un inventario de información personal
CCPA define ampliamente Información personal como información que «identifica, se relaciona con, describe, puede asociarse con, o podría razonablemente vincularse, directa o indirectamente, con un consumidor o hogar en particular [residente de California]». Algunos ejemplos de información personal incluyen:
- identificadores personales, incluido su nombre real, dirección postal, dirección de correo electrónico, número de Seguro Social, número de licencia de conducir o número de pasaporte;
- información biométrica;
- datos de geolocalización;
- historial de navegación de Internet;
- información profesional o relacionada con el empleo; y
- inferencias extraídas de información personal para crear un perfil sobre un residente de California.
Para implementar los controles y procesos adecuados para proteger la información personal, las organizaciones sujetas a la ley deben crear un inventario que identifique y mapee cómo y cuándo se recopila, utiliza, almacena y destruye dicha información, así como cómo fluye dentro y fuera de la organización. Será difícil para una organización sujeta a la ley cumplir con la Ley de Privacidad de California si no comprende la información personal que posee y los procesos de manejo de datos relacionados que debe proteger.
Un inventario de información personal también puede ayudar a identificar oportunidades para seudonimizar o desidentificar la información personal recopilada.
Las organizaciones cubiertas más pequeñas pueden ser capaces de inventariar manualmente la información personal recopilada, pero las organizaciones cubiertas más grandes probablemente necesitarán utilizar una herramienta de mapeo de datos como OneTrust o BigID.
Implementar las mejores prácticas de ciberseguridad
El cumplimiento de la CCPA exige que las organizaciones reguladas implementen los controles y procesos de seguridad adecuados para proteger la información personal. La ley permite a los residentes de California recibir una compensación si su información personal es objeto de acceso no autorizado, exfiltración, robo o divulgación como resultado del incumplimiento por parte de la empresa de su obligación de implementar y mantener procedimientos y prácticas de seguridad razonables.
Los controles variarán entre las organizaciones cubiertas, dependiendo del tipo y la cantidad de información personal que recopilen y de los procesos utilizados para interactuar con los datos. Las organizaciones cubiertas deben utilizar un sistema basado en riesgos enfoque que protege adecuadamente la información personal y al mismo tiempo permite el procesamiento y almacenamiento comercial necesarios.
No es necesario reinventar la rueda; base su programa de ciberseguridad en un conjunto de mejores prácticas de ciberseguridad ampliamente utilizadas y aceptadas, como las del NIST. Marco de ciberseguridad o los Controles Críticos de Seguridad del Centro para la Seguridad de Internet. Las empresas también pueden seguir un estándar de ciberseguridad del sector, como PCI DSS. Esto permitirá a su organización demostrar que ha implementado controles adecuados y razonables para proteger la información personal y que sigue las mejores prácticas de seguridad.
Desarrollar un proceso de respuesta y notificación ante violaciones de información personal
Para cumplir con la Ley de Privacidad de California, las organizaciones sujetas a la ley deben estar preparadas ante una filtración de información personal. Contar con procedimientos bien definidos y documentados, adecuados y realistas para su organización, facilitará enormemente la implementación de una respuesta rápida y coordinada.
A un alto nivel, su proceso en caso de violación de información personal debe incluir:
- un procedimiento detallado sobre cómo notificará al fiscal general de California y a los socios comerciales correspondientes, el tipo de información que proporcionará la notificación y quién en su organización realizará la notificación si ocurre una violación de información personal; y
- un procedimiento detallado sobre cómo se notificará a los residentes de California afectados por una violación de información personal y con qué rapidez se realizará la notificación.
Las organizaciones cubiertas deben definir cuidadosamente y con antelación los procesos de comunicación y contención; puede ser estresante y consumir mucho tiempo determinar esto en medio de una violación.
Asegúrese de probar cuidadosamente los procesos de su organización contra filtraciones de información personal al menos una vez al año. No querrá probarlos por primera vez durante una filtración real.
La privacidad de los datos se ha vuelto muy importante. El RGPD entró en vigor en mayo de 2018 y ahora La CCPA se avecinaLas organizaciones que recopilan o procesan información personal deben estar preparadas para un mayor escrutinio y regulación de sus prácticas de manejo y protección de datos personales. Con un análisis, una planificación y un diseño minuciosos, las organizaciones sujetas a la CCPA pueden cumplir satisfactoriamente con ella.