El 1 de enero de 2020, California entrará en el escenario mundial de la privacidad cuando la Ley de Privacidad del Consumidor de California (CCPA) entre en vigencia. Sigue el Reglamento Standard de Protección de Datos (GDPR) de la Unión Europea y otros controles legislativos regionales que están diseñados para proteger los datos personales de los consumidores.
La legislación CCPA puede aplicarse a su negocio si es una entidad con fines de lucro y recopila o procesa la información personalized de los residentes de California. Y una de las siguientes necesidades debe aplicarse: el negocio tiene un ingreso bruto anual superior a $ 25 millones la empresa comercializa anualmente la información private de 50,000 o más consumidores, hogares o dispositivos o el negocio obtiene el 50% o más de sus ingresos de la venta de información personalized de los consumidores.
Puede haber requisitos para actualizar las políticas de privacidad, los contratos de terceros y proveedores de servicios y cualquier otro término que cubra la recopilación, retención y protección de datos personales en poder de la empresa. Es importante que todas las empresas revisen su estado y establezcan si necesitan cumplir con la legislación.
Al igual que con otras leyes de privacidad, las multas por incumplimiento podrían ser significativas. Bajo GDPR, recientemente hemos sido testigos de la multa de British Airways de $ 230 millones y de Marriott Hotel Team de $ 123 millones por violaciones de datos. La legislación CCPA permite multas por parte del fiscal common de hasta $ 7,500 por incidente y otorga a los consumidores individuales el derecho de presentar una demanda por hasta $ 700 cada uno. Espero que una vez que la legislación entre en vigencia, veremos algunas acciones legales considerables con demandas colectivas presentadas contra compañías que sufren violaciones de datos
Cumplir con la legislación requiere que las empresas adopten políticas para la recopilación y retención de los datos. También requiere que las compañías brinden «seguridad razonable» para proteger los datos personales. La palabra «razonable» puede interpretarse de muchas maneras diferentes y el alcance de lo que se considera razonable no será claro hasta que veamos los casos legales que se presentan una vez que la legislación entre en vigencia.
Para ayudar a las empresas a tomar medidas proactivas para abordar el requisito de seguridad razonable, las empresas podrían aprovechar los requisitos de otra legislación como el RGPD. Los siguientes son puntos de partida para las empresas que deben cumplir Tenga en cuenta, sin embargo, que estos son solo puntos de partida, y recomiendo buscar asesoramiento profesional y legal para garantizar el cumplimiento.
Conceptos básicos de privacidad: punto único de responsabilidad
Nombrar un oficial de protección de datos (DPO). Este es un requisito bajo GDPR y es una posición esencial para cualquier empresa que tenga datos personales. Las tareas principales de un DPO deben incluir comprender dónde están los datos, el propósito comercial de por qué se recopilaron y se retienen, controlar el acceso a los datos y eliminar datos que ya no son necesarios. Los consumidores pueden solicitar una copia de sus datos o solicitar que se eliminen, y un DPO dedicado facilita un único punto de contacto para atender dichas solicitudes.
Tener este único punto de responsabilidad es esencial para que las empresas puedan operar en un entorno profesional y conforme. El DPO puede organizar evaluaciones periódicas de riesgos, pruebas de penetración y políticas de seguridad. Si bien estos no brindan una garantía del 100% de que no ocurrirá una violación, son pasos que proporcionan evidencia de que los problemas se han tomado en serio en la organización, proporcionando una defensa defendible en caso de que sea necesario.
Limitar el acceso a los datos reducirá el riesgo de una violación involuntaria y reducirá el número de empleados que necesitarán capacitación especializada en el manejo y manejo de datos personales. Sin embargo, no lessen la necesidad de que todos los empleados estén sujetos a capacitación en concientización sobre seguridad cibernética.
Los datos deben considerarse las joyas de la corona de la organización. Sin datos de clientes, o con una reputación perdida debido a una violación de datos, es possible que la empresa sufra financieramente. Tratar los datos personales de los consumidores como las joyas de la corona y colocarlos en su propio segmento protegido de la purple creará barreras y capas que pueden frustrar los intentos de los ciberdelincuentes de obtener acceso. Nos ocupamos de las capas en la vida cotidiana: las posesiones importantes que poseemos personalmente pueden estar en una caja fuerte o caja fuerte del hogar. Luego aseguramos nuestros hogares con alarmas y varias cerraduras en las puertas. Con cada capa, agregamos más complejidad para el ladrón.
La seguridad de la información private debe incluir, como mínimo, cifrado y autenticación multifactor. Cuando se le preguntó: «¿Qué debo cifrar?» La respuesta es todo. El cifrado ya no es la sobrecarga de recursos que una vez fue y al tener el cifrado de todo el dispositivo en los dispositivos, se minimize el riesgo de violación de datos debido a un dispositivo robado o perdido. El cifrado de los datos personales retenidos, incluido el cifrado de las contraseñas de los clientes, también demostrará que se han tomado medidas importantes para proteger los datos.
Parecería poco profesional no incluir las siguientes recomendaciones:
- Asegúrese de que todos los dispositivos conectados hayan sido parcheados y actualizados.
- Todos los dispositivos deben estar protegidos con un producto antimalware de punto closing actualizado.
- Todos los dispositivos y datos deben tener una política de respaldo y recuperación que se pruebe periódicamente.
La necesidad de tener una legislación de privacidad es solo un paso más en la evolución de la revolución electronic y conectada que está transformando a la humanidad. Como consumidores, debemos involucrarnos en comprender el valor de nuestros datos, a quién permitimos recopilarlos y qué les permitimos hacer con ellos. Sin este compromiso o legislación para protegernos, permitimos que las compañías que desean monetizar utilizando nuestra información private tengan rienda suelta.
Contenido relacionado:
Tony Anscombe es el evangelista de seguridad world wide de ESET. Con más de 20 años de experiencia en la industria de la seguridad, Anscombe es un autor, blogger y orador establecido en el panorama true de amenazas, tecnologías y productos de seguridad, protección de datos, privacidad y confianza, y … Ver biografía completa
Más strategies
