CCPA: cómo prepararse para la nueva ley de privacidad de California antes de que la aplicación comience el 1 de julio


Los expertos dicen que las empresas deben buscar información de identificación personalized en todos los silos de datos corporativos y considerar construir un sistema automatizado para responder a las solicitudes de los consumidores.

«data-credit =» Imagen: Cristian Storto Fotografia Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>Concepto de CCPA: una palabra clave de computadora negra con un candado, una forma de California y el texto Ley de privacidad del consumidor de California

Imagen: Cristian Storto Fotografia Getty Pictures / iStockphoto

Para las empresas que se preparan para cumplir con la nueva ley de privacidad de datos de California, el primer desafío es determinar cuántos datos cubre la ley. El siguiente es recopilar toda esa información en un solo lugar.

El fiscal standard de California, Xavier Becerra, comenzará a hacer cumplir la ley de la Ley de Protección al Consumidor de California el 1 de julio. Las empresas deben proporcionar a los residentes del estado una copia de los datos personales que tengan y demostrar que están tomando medidas de seguridad razonables para proteger esos datos. .

Christine Lyon, socia de Morrison & Foerster y miembro del grupo international de privacidad y seguridad de datos de la firma, dijo que la CCPA establece un nuevo derecho que los consumidores estadounidenses nunca han tenido.

También dijo que los datos protegidos por la CCPA incluyen mucho más que solo la dirección de correo electrónico y el nombre.

«Eso hace que sea un desafío para las empresas porque tienen una foundation de datos CRM con PII, pero pueden tener otros conjuntos de datos sobre preferencias o historial de compras y tienen que obtener toda la información relevante», dijo. «A menudo se encuentra en diferentes bases de datos y nadie anticipó tener que extraer una copia cuando se construyeron estos sistemas».

VER: Ciberseguridad: pongámonos tácticos (PDF gratis)

Jon Mendoza, el CTO de campo de Technologent, utilizó el ejemplo de Rolodex electronic de un vendedor como datos que podrían regirse por el CCPA.

«Se podría pensar que la información que las personas usan para construir relaciones (fechas de nacimiento o el nombre de un cónyuge) sería inocuo, pero si no se asegura y la cuenta se ve comprometida, el empleador podría ser responsable de la violación», dijo.

La CCPA exige que las empresas acusen recibo de las solicitudes de los consumidores y estén listas para cumplir con las solicitudes de no compartir datos e incluso eliminarlos. El CCPA se aplica a compañías con ingresos anuales de $ 25 millones y corporaciones que ganan dinero comprando o vendiendo información individual.

La ley crea dos sanciones por la mala gestión de los datos del consumidor. Las personas pueden presentar una demanda colectiva o el fiscal typical del estado puede entablar una acción contra una empresa con multas que van desde $ 2,500 a $ 7,500 por violación. Los consumidores no necesitan mostrar daños reales para recibir una compensación que oscila entre $ 100 y $ 750 por violación.

Para cumplir con la ley, Mendoza dijo que las compañías deberían identificar qué datos son sensibles y luego localizarlos.

«No puedes asegurar algo si no sabes dónde está», dijo.

Lyon dijo que las compañías también tienen que descubrir cómo verificar la identidad de la persona que hace la solicitud de los datos.

«Las empresas podrían estar pensando en algo que solo esta persona sabrá, la fecha de su última transacción u otra información que otra persona no pueda adivinar fácilmente», dijo.

Lyon dijo que algunas compañías más grandes han estado construyendo portales y otros sistemas automatizados para automatizar las solicitudes de datos personales de los consumidores.

«Las compañías que anticipan recibir grandes volúmenes de solicitudes saben que el proceso debería ser de autoservicio», dijo.

Los residentes de California tienen derecho a una copia impresa o electrónica del informe de datos y la copia electrónica debe ser portátil y legible por máquina.

Lyon también dijo que existe cierta ambigüedad sobre la definición exacta de «hacer negocios en California», que determina si una empresa está sujeta a la ley.

«Solo vender productos podría no ser suficiente para calificar, podría tratarse más de tener presencia allí o apuntar a clientes en California», dijo.

VER:
Seguridad de confianza cero: una hoja de trucos

(PDF free of charge)

Lyon dijo que cumplir con la CCPA será el mayor desafío para las compañías en industrias no reguladas que nunca han tenido que considerar la seguridad y el acceso a los datos del consumidor.

«Cuantos más datos tenga, más difícil será cumplir, por lo que habrá muchos cambios operativos para las empresas que nunca han tenido que lidiar con esto», dijo.

Cómo prepararse para el CCPA

La ley no especifica qué tipo de medidas de seguridad deberían tomar las empresas para proteger los datos, por lo que Mendoza recomienda que los clientes sigan los 20 principales controles de seguridad de CIS. Technologent es un revendedor de valor agregado y proveedor de soluciones, especializado en infraestructura, centro de datos, trabajo en la nube y seguridad cibernética.

«Seguir los 20 controles principales suena basic, pero hay que hacer inversiones y priorizar», dijo.

Mientras trabajaba con compañías que se preparaban para cumplir con el CCPA, Mendoza dijo que identificó tres enfoques para los nuevos requisitos. Algunas compañías ya están a la vanguardia debido al impacto financiero de una demanda colectiva.

«Además, si realiza transacciones comerciales en línea, debe mantener la confianza con sus clientes y la óptica juega un papel importante en eso», dijo.

Otro grupo de empresas está haciendo lo que pueden sin gastar demasiado dinero.

«Estas compañías tienen los fundamentos básicos de seguridad y están racionalizando sus datos confidenciales», dijo.

El último grupo de organizaciones espera y ve acercarse y espera que la ley no se aplique a sus negocios.

Mendoza recomienda que las compañías tomen estos tres pasos para prepararse para las solicitudes de datos de los consumidores:

  • Racionalizar los datos de la empresa.
  • Mejore la seguridad y las herramientas de gestión de datos.
  • Educar a los usuarios sobre los nuevos requisitos.

«La seguridad no está necesariamente centrada en las herramientas, las herramientas son tan buenas como las personas que las usan», dijo.

VER: Conciencia de seguridad y política de capacitación (TechRepublic High quality)

Mendoza dijo que las empresas también deben incluir todos los elementos de la cadena de suministro en esta revisión de datos.

«Si tiene información de la compañía que atraviesa a través de socios, podría ser sensible, por lo que
toda la cadena de suministro que debe tenerse en cuenta «, dijo.

Lyon espera que la ley de privacidad y los nuevos derechos que establece se expandan en los próximos años.
«Esto debería alentar a las empresas a ser aún más reflexivas sobre la recopilación de datos y considerar cuánto tiempo los conservan», dijo.

Los derechos de privacidad de datos están limitados en los EE. UU.

Solo tres estados tienen leyes que protegen los datos del consumidor.: California, Nevada y Maine. Quince estados tienen legislación pendiente.

Security.org tiene un informe sobre los derechos de privacidad por estado y enumera estos 15 principios como las disposiciones de privacidad digital más comunes:

  1. Derecho de acceso e información: los consumidores deben ser informados de la información que las empresas o recolectores de datos están reuniendo sobre ellos, y deben poder acceder a la información o categorías de información, así como a los nombres o categorías de terceros que recibieron la información compartida .

  2. Derecho de rectificación: los consumidores deben poder solicitar correcciones a la información personal desactualizada o incorrecta.

  3. Derecho de eliminación: los consumidores deben poder solicitar que se elimine la información individual en determinadas condiciones.

  4. Derecho a la restricción del procesamiento: los consumidores deben poder restringir la capacidad de una empresa para acceder a su información personal.

  5. Derecho a la portabilidad de los datos: los consumidores deben poder solicitar que su información se divulgue en un formato de archivo común.

  6. Derecho a optar por la exclusión de la venta de datos personales: los consumidores deben poder elegir que el recopilador no venda su información own a un tercero.

  7. Derecho contra la toma de decisiones automatizada: las empresas no deben tomar decisiones sobre los consumidores basándose en un proceso completamente automatizado que no tiene aportes humanos.

  8. Derecho de acción: los consumidores deben poder buscar daños civiles de una empresa que viole los estatutos de privacidad.

  9. Opción de suscripción basada en la edad: las empresas deben establecer de forma predeterminada una opción de suscripción estricta para la venta de información personalized para consumidores menores de cierta edad.

  10. Requisitos de transparencia: las empresas deben notificar a los consumidores sobre sus prácticas de datos y programas de privacidad.

  11. Notificación de violación de datos: las empresas deben notificar a los consumidores o las autoridades de cumplimiento en caso de violación de la privacidad o la seguridad.

  12. Evaluación de riesgos: las empresas deben realizar evaluaciones formales de riesgos de sus prácticas de seguridad y privacidad establecidas.

  13. No discriminación: las empresas tienen prohibido tratar a un consumidor de manera diferente si ejercen los derechos de privacidad de datos.

  14. Propósito y limitación de procesamiento: las empresas deben recopilar y procesar los datos del consumidor solo para un propósito específico.

  15. Deber fiduciario: las empresas deben actuar en el mejor interés del consumidor.

El informe de Security.org encontró que a partir de abril de 2020 ningún estado tiene una ley en los libros que cubra las 15 áreas. Un proyecto de ley pendiente en la legislatura de Nueva York cubre 12 de las 15 áreas.

CCPA cubre solo ocho de los 15 y no aborda el derecho de rectificación, una restricción de procesamiento, una prohibición de la toma de decisiones automatizada, notificación de violación de datos, evaluación de riesgos, limitaciones de propósito y procesamiento, y deber fiduciario.

Lyon dijo que los defensores de la privacidad de datos en California ya han decidido que el CCPA no es suficiente y están recolectando firmas en una nueva iniciativa de votación para fortalecer los derechos de privacidad de datos.

Ver también



Enlace a la noticia unique