¿Está preparada su agencia para la CCPA?

La protección de los consumidores, la privacidad de los datos y las nuevas y ampliadas protecciones en torno a cómo se utilizan o venden los datos se han convertido en una cuestión fundamental para muchas empresas. Hay muchas cuestiones legales que protegen los datos recopilados sobre los clientes de abusos, fraudes o usos indebidos, pero no existe necesariamente una empresa sin datos. Internet ha crecido tan deprisa que la normativa no ha seguido el ritmo de las formas disponibles de hacer un mal uso de la información personal identificable de alguien.

Europa fue la primera zona del mundo que intentó abordar la cuestión de que los ciudadanos tienen cierto derecho a la privacidad en línea y a sus datos. El Reglamento General de Protección de Datos (RGPD) se aprobó para cubrir la UE en abril de 2016. Las empresas dispusieron de cierto tiempo para adaptarse a las nuevas leyes y aprender a redactar y proteger los datos de clientes, empleados y pacientes.

La nueva normativa contempla que cualquier tipo de información de identificación personal que se recopile debe contar con el consentimiento y conocimiento del individuo, éste debe saber para qué se va a utilizar, que la información se mantendrá en privado y sólo para ese uso, y que no se venderá. Los derechos básicos de las personas a acceder a la información recopilada y a lo que se ha hecho con ella.

Con la entrada en vigor del GDPR y su plena aplicación en mayo de 2018, ha crecido la idea de la libertad personal y el anonimato. El Congreso no ha actuado para proteger la privacidad de los ciudadanos de manera efectiva, por lo que muchos estados del país están empezando a aprobar sus propias leyes. California fue el primero, que siguió el ejemplo establecido por el GDPR y puso la suya en vigor en enero de 2020.

La Ley de Privacidad del Consumidor de California, que ahora entra en vigor, afectará a mucho más que a los consumidores de California. Establece un ejemplo a seguir por todos los demás estados para sus propias leyes de protección. Además, cualquier empresa que recopile información sobre consumidores dentro del estado de California, incluso si su empresa no está ubicada en el estado, debe cumplir la ley. Cumplir con la ley ahora sería inteligente, ya que la aplicación legal comienza el 1 de julio de 2020.

La CCPA ya está en vigor

La Ley de Privacidad del Consumidor de California o CCPA ya está en vigor. A medida que California se convierte en el primer estado en promulgar sus propias leyes de privacidad, otros estados siguen su ejemplo. De hecho, en varios casos, las leyes de privacidad se han convertido en un asunto de aplicación mundial. A medida que avance la nueva legislación, es posible que se llegue a disponer de una norma unificada que pueda aplicarse a escala mundial.

¿A quién afecta la CCPA?

La forma en que California redactó su legislación sobre privacidad puede afectar a la mayoría de los estadounidenses, ya que otros estados se verán obligados a cumplirla de una forma u otra. La CCPA afecta a las empresas que recopilan o venden información de residentes en California. Cualquier compañía o empresa que tenga unos ingresos brutos anuales de más de 25 millones de dólares, independientemente de su ubicación.

Esta ley también se aplica a cualquier empresa que compre, comercie o se beneficie de la información personal de más de 50.000 residentes de California. Esto significaría cualquier empresa que compre una lista de correo de más de 50.000 residentes de California por cualquier motivo. La ley también se extiende a cualquier empresa que obtenga más del 50% de sus beneficios del comercio de información.

¿Afecta la CCPA sólo a California?

No. Estas normas se aplican a cualquier empresa o entidad con ánimo de lucro que cumpla los requisitos anteriores y esté recopilando información sobre residentes de California, independientemente de dónde esté ubicada físicamente la empresa. Entender cómo proteger estos datos, cumplir con las nuevas leyes de privacidad y demostrar la documentación de las medidas adoptadas para proporcionar protecciones precisas y seguras a los ciudadanos y consumidores particulares permitirá a su empresa seguir siendo una entidad viable en el mercado de consumo de California.

Cómo cumplir la CCPA

Su empresa debe estar preparada para cumplir ahora. California da de plazo a las empresas hasta el 1 de julio de 2020 para conocer las mejores estrategias y conseguir que sus datos cumplan la normativa. Conocer a fondo los principales detalles de la ley para saber cómo encaja con la arquitectura de datos de su empresa le ayudará a desarrollar estrategias sólidas de cumplimiento de la privacidad.

Muchas empresas desarrollan mercados de clientes en todo el mundo. Debido a las similitudes entre el GDPR y la CCPA, puede ser una buena práctica familiarizarse con una política general que guiará a su empresa a través del cumplimiento de ambas políticas regulatorias.

Las políticas básicas del GDPR incluyen:

• El derecho de los ciudadanos y consumidores a acceder al perfil de datos personales en la base de datos de una empresa.
• Las empresas están obligadas a obtener el consentimiento antes de recopilar cualquier dato sobre un consumidor o ciudadano potencial o actual.
• Comprender y disponer de una política de seguridad de los datos. Las empresas serán responsables de la seguridad de los datos que recojan o almacenen.
• La transparencia forma parte de los requisitos. En caso de violación de datos, hay un plazo definido en el que debe notificarse. En el caso del GDPR, una empresa dispone de 72 horas desde el momento en que se descubre la violación, y puede ser considerada responsable por negligencia.

Las políticas de la Ley de Privacidad del Consumidor de California incluyen:

• Los residentes en California tienen derecho a acceder a su información, y también a optar por suprimir o excluir la venta de su información personal.
• Tienen derecho a conocer las diferentes categorías de información que se recopilarán.
• Los ciudadanos de California también tienen derecho a saber qué fuentes externas se utilizan para recopilar o cotejar la información personal adicional utilizada o almacenada.
• Derecho a saber a qué categorías de empresas se venden o comercializan sus datos personales.
• Los ciudadanos de California tienen derecho a la transparencia y a entender por qué se recogen los datos y cómo se van a utilizar.
• El derecho al olvido, o a la eliminación permanente de los datos personales de una empresa.
• Los residentes en California tendrán la posibilidad de excluirse de toda recopilación de datos por parte de las empresas sin penalización alguna.
• Se requieren permisos especiales o acuerdos de inclusión voluntaria para todos los residentes de California menores de 16 años.

Aplicación de la CCPA

La aplicación del GDPR ya está en vigor y la de la CCPA comenzará en julio de 2020. Las sanciones pueden ser graves para las empresas que infrinjan las nuevas leyes de privacidad. Con la nueva ley de California, aquellos que no estén preparados para cumplirla y se encuentren infringiendo la ley, se exponen a sanciones reales. Las sanciones económicas pueden perjudicar los resultados de cualquier empresa que tenga clientes en California. La nueva ley será aplicada por la oficina del Fiscal General de California.

Por cada denuncia individual, de un consumidor o de un ciudadano particular en la que se declare culpable a una empresa de violación de su intimidad o de vulneración de la seguridad de los datos, la multa puede oscilar entre 100 y 750 dólares por suceso. Si se descubre que una empresa viola intencionadamente la CCPA, la multa máxima puede alcanzar los 7500 dólares. Las infracciones accidentales pueden tener una multa máxima de hasta 2.500 dólares por infracción.

Aunque el coste monetario de las multas puede ser bastante elevado, el coste en las relaciones con los consumidores puede ser más destructivo. La transparencia es un requisito, y con una violación de la seguridad de los datos vendrá un anuncio público para que los consumidores sepan que su información podría estar en peligro. La pérdida de confianza del consumidor hacia la empresa puede ser más perjudicial para la reputación de la empresa que el simple coste monetario de una multa. El coste es grande en cualquier circunstancia.

Dos pasos por delante de la CCPA

La forma de abordar la cuestión de la privacidad y cumplir las nuevas y futuras normativas es ir dos pasos por delante. Sea consciente del valor que estas leyes de privacidad pueden tener para sus relaciones con los consumidores y extienda el conocimiento, la confianza y la transparencia a su base de clientes. Hable de la responsabilidad y transparencia de su empresa, y responda a las preguntas de los consumidores con rapidez. Proporcione detalles sobre cómo se almacenará y utilizará su información. Sea franco al explicar por qué necesita la información que solicita. Tu abuela siempre te decía que “la honestidad es la mejor política”. En este caso, honestidad y transparencia van de la mano.

Aborde el problema “internamente” realizando una auditoría de datos. Sea capaz de definir fácilmente en sus propias bases de datos qué detalles de la información de los clientes se consideran información de identificación personal o IIP. Tenga cuidado en cómo se vincula la información con otros datos, ya que a medida que la inteligencia artificial (IA) mejore, será capaz de vincular los diferentes tipos de datos entre sí. Dado que cada empresa tiene necesidades distintas, los tipos de información o datos que deberán tenerse en cuenta para la redacción serán diferentes.

Dirija la atención de su empresa hacia un sistema de redacción orientado a soluciones. CaseGuard ofrece una solución de redacción de datos segura y personalizable que puede adaptarse a las necesidades de su empresa. Tener un sistema interno permite que no sólo el departamento de TI maneje la redacción de datos. Dependiendo de la estructura de la empresa, la administración y cualquier otro personal o departamento específico pueden recibir formación completa sobre el uso del sistema de redacción. El sistema de redacción provisto por CaseGuard es utilizado por las fuerzas de seguridad, agencias gubernamentales, hospitales, escuelas, bancos y muchos otros negocios definidos por datos que necesitan seguir estrictas regulaciones de privacidad.

Existe un tremendo ahorro de costos para una compañía al ser capaz de manejar todos sus propios servicios de redacción. CaseGuard permite a las empresas manejar todas las formas de PII o datos de identificación personal. Puede ser utilizado por las escuelas para proteger la privacidad de los estudiantes para cumplir con FERPA, o los hospitales para proteger a los pacientes y seguir las directrices de HIPAA. Funciona con sistemas de vigilancia, policiales y de seguridad. Permite un sistema de redacción rápido y fácil de aprender para documentos, pdf, bases de datos, vídeo y archivos de audio. Todos los datos pueden tratarse internamente de forma segura sin riesgos adicionales.

Dado que las nuevas leyes sobre privacidad son cada vez más frecuentes, las empresas deben empezar a prepararse para lo que con el tiempo serán las normas mundiales del sector en materia de privacidad de los datos de los consumidores y estar preparadas para cumplirlas. Si una empresa no es capaz de gestionar sus datos, dejará de existir, no en el mercado actual impulsado por la información. La única manera de seguir teniendo futuro en el mercado es proteger los datos y ser proactivos en la comprensión de la legislación sobre privacidad y adquirir una sólida comprensión de las opciones disponibles para los sistemas de redacción de datos.