La CCPA ya está aquí: ¿cumple la normativa?

December 04, 2024 | 9 minutes read
La CCPA ya está aquí: ¿cumple la normativa?

El cumplimiento es ahora

La Ley de Privacidad de los Consumidores de California entra en vigor con una fecha de entrada en vigor de las sanciones el 1 de julio de 2020. Muchas empresas, incluida una coalición de más de 60 grupos empresariales y comerciales, pidieron un aplazamiento debido a la situación actual que atraviesa el país con la pandemia del coronavirus. Sin embargo, el Fiscal General de California, Xavier Becerra, dijo que no. De hecho, la oficina de Becerra emitió esta declaración con respecto a su decisión. “CCPA ha estado en vigor desde el 1 de enero de 2020. Nos comprometemos a hacer cumplir la ley a partir del 1 de julio. Animamos a las empresas a prestar especial atención a la seguridad de los datos en estos tiempos de emergencia”.

Existe cierta confusión debido a algunos cambios y decisiones de última hora en relación con la ley, ya que la oficina del AG no presentó su paquete final de reglamentación de la CCPA hasta el 1 de junio. La Oficina de Derecho Administrativo de California recibió una prórroga de 90 días para aprobar los cambios, que normalmente se hacen en 30 días, debido a la pandemia. El gobernador Gavin Newsom solicitó esta prórroga, pero el fiscal general Becerra pidió una revisión acelerada.

Estos cambios dejan a muchas empresas corriendo para poner sus datos en línea para cumplir con las directrices, ya que la fecha efectiva del 1 de julio, para inminentes sanciones fuertes, seguirá en pie. Hay disposiciones en esta nueva ley que introducen cambios en la forma en que las empresas manejan los datos personales de los californianos que se remontan al 1 de enero de 2019.

Es probable que muchas grandes empresas se vean atascadas con sanciones en los próximos meses mientras ajustan sus sistemas de datos para cumplir con las obligaciones de la nueva ley. Algunas de estas empresas son Facebook, Amazon, Google y Walmart.

Muchas empresas, entre ellas varias de las más importantes, se habían puesto en contacto con la oficina del Fiscal General Becerra para preguntarle si les proporcionaría algún tipo de “sello de calidad” que demostrara que cumplen la CCPA. Este sello de aprobación del gobierno avalaría el sistema de gestión de datos de la empresa y certificaría que cumple todos los requisitos de la ley estatal. La respuesta de Becerra fue un no rotundo.

Becerra dijo lo siguiente sobre las peticiones del sello. “En un campo tan cambiante, ¿cómo asegurarse de que todo el mundo se ajusta a lo que representa el sello?”. Becerra sí confirmó que su oficina intentaría trabajar con empresas que puedan demostrar que han hecho un esfuerzo de buena fe para cumplir todos los requisitos legislativos de la ley.

¿Está preparado? Se acabó el tiempo.

El período de gracia de seis meses ha terminado. Desde el punto de vista de la oficina del fiscal general y de los residentes de California, las empresas han tenido tiempo de sobra para prepararse y advertir de las consecuencias. El retraso no es una opción.

La CCPA se aprobó inicialmente en 2018, dando a las empresas un plazo de dos años para prepararse para su entrada en vigor. Incluso con eso, la ley incluía un plazo intermedio de seis meses para que todo el mundo resolviera cualquier contratiempo en sus sistemas de datos antes del momento en que empezaría a aplicarse. Si no está preparado ahora, debe revisar la estructura de su empresa y ver qué ha fallado. Las sanciones por incumplimiento pueden ser graves.

A diferencia del Reglamento General de Protección de Datos de la UE, la CCPA prevé sanciones que permiten al consumidor interponer una demanda por mal uso de su información. Si una gran empresa sufriera una violación de datos importante, no sólo podría ser multada por el Estado por su negligencia, sino que también tendría que pagar 2.500 dólares a cada consumidor. Una filtración importante podría dejar a algunas empresas fuera de servicio.

Medidas de preparación y mantenimiento

Hay muchas cosas que una empresa puede hacer para garantizar el cumplimiento de esta nueva legislación. Una de ellas es comprender y desarrollar un seguimiento de los datos de los consumidores que manejan. Saber cómo se introducen, distribuyen y destruyen los datos hasta el final de su ciclo de vida es un camino crucial para comprender sus riesgos.

Averigüe dónde y quién dentro de su empresa maneja cualquier información de identificación personal o IIP. En el diagrama de flujo que describe el ciclo de vida de los datos, coloque puntos finales de descubrimiento en cada variación. Si hay un departamento que se encarga de introducir la información, señálelo en el diagrama. Otro punto sería saber quién maneja o utiliza los datos dentro de la empresa; se pueden descubrir varios puntos finales en función de cómo se utilicen los datos. A continuación, averigüe quién o qué departamento se encarga de la destrucción de los datos. De cabo a rabo, necesita saber cómo pasa por sus manos.

Planifique una evaluación. Un ejemplo sería el departamento que recoge toda la IIP de los consumidores. ¿Confía los datos a estos empleados? Puede haber malos actores en cualquier grupo, pero ¿ha realizado las comprobaciones de antecedentes necesarias? ¿Ha tomado medidas adicionales para garantizar su fiabilidad? ¿Los trata bien y valen lo que valen en su empresa? Los empleados descontentos también pueden causar estragos en el modelo de negocio. Trátelos como le gustaría que le trataran a usted, con respeto, y págueles lo que valen. Un trabajador que está contento en su trabajo se esforzará mucho más por protegerlo y proteger a la empresa en la que trabaja.

Planifique un barrido de seguridad del departamento. ¿Dónde se encuentran los datos? ¿Se introducen directamente en el sistema de datos? ¿Hay expedientes individuales repartidos por el departamento o en las mesas de los empleados? ¿Los empleados anotan la información? Hay que revisar cada oficina, cada escritorio, y sólo hace falta un error para caer. Una brecha considerable puede disolver algunos modelos de negocio, y usted no quiere correr ese riesgo. No se trata de lo que piensen sus empleados; es un simulacro de seguridad. Asegúrese de que lo entienden como tal, y hágales saber que habrá simulacros de seguridad sin previo aviso en su futuro. Hágalo parte del plan.

Incluso los empleados que casualmente toman algunas notas para ayudarles a pasar el día, necesitan que se tome nota, y luego se les explique cómo destruir esta información al final del día cuidadosamente. Un acto inofensivo puede poner en peligro a su empresa. Tirar a la papelera un trozo de papel con información detallada garabateada puede acabar en las manos equivocadas. La parte responsable será su empresa.

Si sabe dónde reside la IIP dentro de su empresa, podrá hacerse cargo de los puntos finales no seguros y mitigar cualquier fallo o infracción futuros. También es ideal, si es posible, que las empresas limiten quién tiene acceso a qué formas de datos se guardan sobre cada consumidor. Una vez introducidos los datos en el sistema, ¿necesita todo el mundo acceder a la información de pago del consumidor? Incluso aquellos que pueden ocuparse de las solicitudes básicas de servicio al cliente pueden verificar las cuentas sin manejar la información de pago: limite quién puede ver qué. Una forma de hacerlo es utilizar un software de redacción de datos de calidad, como el que ofrece CaseGuard.

¿Quién es el responsable?

Una vez explicada la nueva legislación y establecidos y autorizados los puntos de control de datos, ¿quién es el responsable de la IIP? El cumplimiento de la legislación es responsabilidad de todos. Cada miembro de su equipo debe tener esto en mente. Tener un responsable de cumplimiento puede ayudar a delegar tareas, pero sigue siendo responsabilidad de todos los miembros de la empresa seguir los procedimientos para proteger los datos. Si su plan se queda corto, o un empleado no lo entiende o no recibe la formación adecuada, en última instancia, la responsabilidad recae sobre la empresa en forma de demandas, sanciones estatales y multas individuales a los consumidores.

Dé el control a los consumidores

Para cumplir la nueva legislación, sus consumidores deben conocer y comprender sus derechos en relación con los datos personales que utiliza o almacena su empresa. Una forma de ayudar a que esto se entienda es educar a su base de consumidores. Dígaselo. Proporcióneles las opciones que exige la nueva legislación y facilíteles el acceso a ellas. Algunos de los nuevos requisitos de la CCPA en materia de derechos de los consumidores son:

  1. El derecho a saber. Explique a sus consumidores por adelantado qué información personal se recopila, utiliza, comparte o vende. Además, asegúrese de que entienden qué tipos de IIP ha recopilado la empresa sobre los consumidores en los 12 meses anteriores.
  2. El derecho a solicitar la eliminación de la IIP.
  3. Derecho a excluirse de la venta de IIP.
  4. No discrimine a ningún consumidor por ejercer cualquiera de sus derechos. Si no desean que almacene sus datos, simplemente no lo haga y siga adelante. En última instancia, les pertenecen.

Si no cumple

Lo mejor para su empresa es que se ponga manos a la obra. El 1 de julio de 2020, el fiscal general de California y todos los residentes de California tendrán la oportunidad de pedir cuentas a su empresa. A partir de ahora, el incumplimiento de las normas dará lugar a graves sanciones económicas. Puede haber demandas judiciales y multas estatales y a los consumidores. Para una empresa que maneje grandes cantidades de datos de consumidores, una sola violación puede costarle 2.500 dólares por consumidor.

La oficina del fiscal general no escucha quejas sobre cambios o problemas de última hora debidos a acontecimientos externos como el Coronavirus. AG Becerra cree que los californianos necesitan ser protegidos a la luz de los acontecimientos actuales más ahora que nunca. Su oficina ha emitido un comunicado en el que deja clara su conclusión. Van a procesar. “En la medida en que la normativa exija un cumplimiento gradual, la OAG podrá ejercer la discrecionalidad procesal si está justificado, en función de los hechos particulares. La discreción procesal permite a la OAG elegir a qué entidades procesar, si procesar y cuándo procesar”.

Será su decisión y la de los consumidores que se sientan vulnerados por cualquier incumplimiento. Pónganse las pilas; empieza el 1 de julio.

Related Reads

what-is-the-colorado-privacy-act
December 04, 2024 | 7 minutes read
La Ley de Privacidad de Colorado y sus nuevos requisitos

La Ley de Privacidad de Colorado protege la privacidad y los datos personales de los residentes del estado al regular su uso en Internet.

Conozca Más »
hb-3746-an-update-to-data-breach-notifications-in-the-state-of-texas
December 04, 2024 | 5 minutes read
Uuna actualización de la ley de violación de datos en Texas

El proyecto de ley HB 3746 modifica y actualiza las leyes de notificación de violación de datos en el estado para mejorar la transparencia y la protección.

Conozca Más »
what-is-the-childrens-internet-protection-act
December 04, 2024 | 4 minutes read
La Ley de Protección de la Infancia en Internet

La Ley de Protección de Menores en Internet (CIPA), aprobada en 2000, regula el acceso de menores a contenidos nocivos u ofensivos en Internet.

Conozca Más »
traditional-video-editing-software-vs-machine-learning-software
December 04, 2024 | 8 minutes read
Evoluciones en software de edición y soluciones geniales

La edición de vídeo es el proceso de manipular secuencias grabadas para crear contenido coherente, generalmente para su difusión al público a través de medios.

Conozca Más »
female-real-estate-agent-and-a-senior-couple-discu-NUECSFV
December 04, 2024 | 8 minutes read
Lo que el OCR puede hacer por su empresa

Las empresas de todo el mundo buscan mejores formas de automatizar o acelerar el procesamiento de documentos, y la tecnología OCR ofrece una solución.

Conozca Más »
Doctor checking medical records
December 04, 2024 | 9 minutes read
Intervención y redacción de los centros de crisis

El Departamento Federal de Salud y Servicios Humanos (HHS) aprobó la normativa HIPAA en 1996 para proteger la información médica privada de los pacientes.

Conozca Más »