Lo que las empresas necesitan saber



La Ley de Privacidad del Consumidor de California está en pleno efecto, lo que lleva a las organizaciones a pensar en cómo seguirán cumpliendo.

Año nuevo, nuevas regulaciones de privacidad: la Ley de Privacidad del Consumidor de California (CCPA) entró en vigencia el 1 de enero, marcando el inicio de una ley generalizada que probablemente tendrá implicaciones más allá de los límites estatales. Para las empresas, es hora de pensar en lo que esto significa y cómo salir adelante.

CCPA, cuya versión authentic se aprobó en 2018, se introdujo para proteger los datos personales de aproximadamente 40 millones de personas que viven en California. Según la CCPA, los residentes tienen el derecho de saber qué parte de su información intentan recopilar las empresas, el derecho de decirles a las organizaciones que no compartan ni vendan sus datos, y el derecho a protegerse contra las compañías que no protegen estos datos.

Una empresa está sujeta a CCPA si genera ingresos brutos de al menos $ 25 millones compra, recibe, vende o comparte anualmente información de identificación individual (PII) de 50,000 o más residentes de California o obtiene al menos la mitad de sus ingresos anuales de la venta de datos personales de los residentes. Esto incluye organizaciones con una empresa matriz o subsidiaria que recopila datos de al menos 50,000 residentes de California.

La ley representará un desafío para las organizaciones, pero las que ya se han enfrentado al Reglamento Standard de Protección de Datos de la UE estarán más preparadas, explica Terry Ray, vicepresidente senior de Imperva. «Para esas compañías, CCPA no es realmente un gran tramo», dice. Aquellos que no tenían el mandato de cumplir con GDPR ahora tienen que tomar medidas similares, y es mucho trabajo.

«Las compañías en la mejor forma son las que tenían que cumplir con el RGPD», agrega Ray.

Las empresas que comiencen desde cero tendrán que pensar primero sobre dónde tienen los datos del consumidor, continúa. «Comienzan a verse, y resulta que los datos están en todas partes», agrega. Además, no ha habido mucho escrutinio sobre quién accede a la información, por qué acceden a ella o quién hace girar bases de datos adicionales y por qué. Los datos están en múltiples repositorios sin mucha supervisión. Después de que confirman dónde están los datos, las compañías deben asegurarse de que no se propaguen a ningún otro lado.

A partir de ahí, los requisitos de bola de nieve. «Ahora que sé dónde están los datos, ¿cómo empiezo a monitorearlos?» dice Ray del siguiente paso. La mayoría de las empresas que se preparan para la regulación de la privacidad toman este proceso paso a paso: primero ubican los datos y luego los priorizan y supervisan.

Hay quienes adoptan el enfoque de «asumir que está en todas partes y monitorear todo», lo que Ray dice que es una forma costosa y lenta de realizar un seguimiento de la información del consumidor. «Le corresponde a las empresas encontrar dónde tienen sus datos privados», explica.

Las empresas que ya han tenido que abordar el GDPR han adoptado un enfoque multifactorial. Esto incluye garantizar que alguien sea responsable de la privacidad de los datos: un oficial de privacidad de datos, por ejemplo, o un tercero encargado de asegurarse de que varios equipos estén haciendo lo que deben hacer. Además, implementaron políticas para garantizar que la seguridad sea responsable de ciertos aspectos de la respuesta a incidentes y el monitoreo de violaciones y malware. Este enfoque multifacético incluye a las personas a cargo de las políticas de privacidad no técnicas y a los encargados de asegurarse de que los datos estén debidamente protegidos.

«Aunque el CCPA será bueno para los consumidores, las compañías afectadas tendrán que hacer un esfuerzo significativo para implementar los requisitos», dice Wendy Foote, gerente senior de contratos de WhiteHat Safety. «Agregará otra variación en el mosaico de leyes divergentes de protección de datos de Estados Unidos que las compañías ya tienen dificultades para conciliar».

Como la primera ley de este tipo en los Estados Unidos, Foote continúa: CCPA podría sentar un precedente para estados fuera de California. La ley se aplica a la mayoría de las empresas que hacen negocios en California y promete tener un «gran impacto» en el panorama de la privacidad en todo el país. En lugar de limitar las protecciones de CCPA solo a los clientes de California, las principales empresas, incluidas Microsoft y Mozilla, están extendiendo el cumplimiento en todos los estados de EE. UU. La próxima versión de Firefox, por ejemplo, permitirá a los usuarios solicitar datos de telemetría de escritorio. eliminado desde el navegador

Es posible que veamos más compañías siguiendo estos pasos, señala Ray. «Las cosas más fáciles de hacer son lo que la gente ya quiere que hagas de todos modos», señala. Es poco probable que las empresas tengan repositorios separados para cada estado Como resultado, todos sus clientes están probablemente en la misma foundation de datos. Para ellos, separar a los residentes de California sería más difícil y más costoso.

Aún así, los almacenes de datos masivos probablemente presentarán un desafío de monitoreo. La tecnología y las herramientas actuales pueden no ser compatibles con todas las bases de datos grandes, señala, y es posible que no puedan monitorearlas.

«La mayoría de las empresas de hoy no monitorean mucho quién accede a sus datos», dice Ray. «Cuanto más grande es la empresa, más grande es este problema».

contenido relacionado

Kelly Sheridan es la Editora de own de Darkish Reading through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance policies & Technological know-how, donde cubrió asuntos financieros … Ver biografía completa

Más thoughts





Enlace a la noticia authentic