¿Estás listo para la ley de privacidad del consumidor de california?

Algunas de las compañías de tecnología más conocidas tienen su sede en California, un estado que el 28 de junio de 2018 aprobó la Ley de Privacidad del Consumidor de California de 2018 (CCPA). El CCPA no entrará en vigencia hasta el 1 de enero de 2020, pero se espera que afecte a las empresas en todo California, Estados Unidos y, de hecho, en todo el mundo. El CCPA afectará la forma en que las empresas pueden manejar los datos de los clientes, y muchos lo consideran la ley de protección de datos más estricta en la historia de los Estados Unidos.

Si tienes una sensación de déjà vu, entonces no estás solo. En mayo, entró en vigencia el Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE). El GDPR ha sido un tema candente aquí en PCMag. Si bien la ley se hizo al otro lado del Atlántico, la verdad es que ha dejado una huella en las empresas de todo el mundo porque se aplica a todos los ciudadanos de la UE, independientemente de dónde vivan. Al igual que el GDPR, el impacto del nuevo CCPA tendrá implicaciones de gran alcance más allá del alcance de su estado de origen. Hablamos con algunos expertos para obtener más información sobre el CCPA y algunas de sus implicaciones esperadas.

El CCPA y usted: una introducción

La CCPA establece el derecho del consumidor a solicitar que las empresas revelen qué tipo de datos se recopilan sobre ellos. A menos que esté utilizando una herramienta como una red privada virtual (VPN), es casi seguro que innumerables empresas recopilan información sobre usted cada vez que está en línea. Decir que este tipo de transparencia que aportará la CCPA es un gran problema sería quedarse corto.

John Tsopanis es gerente de productos de privacidad en 1touch.io, una compañía que ayuda a las empresas a comprender los datos personales que manejan. Tsopanis ha pasado los últimos años haciendo consultoría GDPR para empresas y se está preparando para hacer lo mismo con el CCPA. Tsopanis explica el CCPA en términos básicos.

"El 1 de enero de 2020, un residente de California tendrá el derecho legal de preguntar a cualquier gran empresa en Estados Unidos: '¿Está procesando alguna de mi información?'", Dijo Tsopanis. "Dentro de 45 días, esa compañía estará obligada a responder con un informe que detalle los últimos 12 meses. Tendrá que mostrar qué categorías específicas de información personal tienen sobre esa persona, con quién la comparten y cuáles son las razones para procesarlo. Deben proporcionar esa información a los residentes de California, los 40 millones de ellos, dentro del plazo ".

Diferencias entre GDPR y CCPA

Hay algunas diferencias sustanciales entre lo que hace el GDPR y lo que cubre el CCPA. Para empezar, el CCPA usará una base de exclusión voluntaria para el consentimiento, mientras que el GDPR utiliza una base de exclusión voluntaria. Esto esencialmente significa que los usuarios tendrán que comunicarse activamente con las empresas para averiguar qué tipo de información se está utilizando. Además, el RGPD se aplica a cualquier organización que tenga datos personales de ciudadanos de la UE.

El CCPA, por otro lado, solo se aplica a las empresas con fines de lucro que procesan datos sobre los residentes de California. La organización debe hacer al menos $ 24 millones en ingresos anuales, mantener los datos de 50, 000 personas o hacer al menos la mitad de sus ingresos en la venta de datos personales. Entonces, si posee una pequeña tienda boutique y el alcance de sus operaciones en línea es una página web que enumera los horarios y la dirección de su tienda, entonces no tendrá que preocuparse demasiado por el CCPA. Pero si ejecuta un sitio web de comercio electrónico a través de un proveedor llave en mano o mantiene su propio sitio web de comercio electrónico a través de un servicio general de alojamiento web, entonces deberá prestar atención.

Courtney Bowman es asociada en el departamento de litigios de la firma internacional de abogados Proskauer Rose LLP. Bowman explica por qué ese CCPA requerirá que las compañías piensen cuidadosamente sobre su uso de datos mucho más allá de 2020 ". Ese requisito de 12 meses significa que las compañías tendrán que revisar su política de privacidad al menos una vez al año e intentar averiguar si algo ha cambiado., " ella dijo.

"Tendrán que monitorear continuamente qué datos están vendiendo o divulgando a terceros para que puedan ajustar sus políticas de privacidad en consecuencia", continuó Bowman. "La ley también otorga a los consumidores el derecho de acceder o eliminar su información personal en algunas situaciones, y las empresas deberán asegurarse de que realmente puedan ejercer ese derecho de manera expedita. Eso requerirá que las empresas participen en el mapeo de datos para averiguar dónde están sus datos está ubicado, y también para establecer contactos con sus departamentos de TI para determinar qué deben hacer para asegurarse de que puedan cumplir con sus responsabilidades en virtud de la ley ".

El amplio impacto del CCPA

En los meses previos al GDPR, un tema recurrente en nuestra cobertura fue que, en nuestro mundo globalizado, el GDPR afectaría a las empresas más allá de Europa. Después de todo, la mayoría de las grandes empresas hacen negocios en el extranjero y tendrán que cambiar sus operaciones en línea a nivel mundial para cumplir con la ley. Sin embargo, cuando hablamos con Tsopanis, dijo que las compañías estadounidenses aún deben prestar especial atención al CCPA.

"Cuando se trata de empresas estadounidenses, el GDPR se centró principalmente en las principales organizaciones que operaban a través de los canales. Con el, el criterio para las empresas que califican es mucho mayor en un orden de magnitud masivo", dijo Tsopanis. "Hay 40 millones de personas en California; 50, 000 no son ni siquiera el 0.1 por ciento de la población. Creo que la escala de exposición para las compañías estadounidenses es significativamente mayor que antes bajo el GDPR".

Tsopanis ofrece el ejemplo de la gigante de comida rápida Wendy's. "Wendy's es la 999a compañía más grande en Fortune 1000 y tiene un ingreso anual de $ 1.2 mil millones, 48 ​​veces más alto que el umbral de aplicabilidad bajo esta ley. Como mínimo, hay 1, 000 mil millones de dólares en Estados Unidos que deben cumplir esta ley, y órdenes de magnitud importantes mayores que la de la categoría de $ 25 millones ".

Es posible que no consideremos que Wendy's sea una empresa tecnológica, pero recopilan su parte justa de la información del usuario. También son un ejemplo perfecto de cómo las empresas de todo tipo se verán afectadas por el CCPA. Cuando visite su sitio web, solicite alimentos a través de sus sistemas de punto de venta (POS), o incluso simplemente use el Wi-Fi en su restaurante local de Wendy's, la compañía está recopilando su información, y en California, al menos, eso ' Todos estarán sujetos a la regulación CCPA. Si una empresa tan "pequeña" como Wendy's está recolectando tantos datos sobre los usuarios, entonces es absolutamente aterrador pensar en lo que están recolectando las grandes corporaciones. En pocas palabras, el CCPA tendrá enormes implicaciones.

Descubrimientos importantes de datos

Uno de los efectos más importantes del CCPA es que los estadounidenses finalmente podrán descubrir la gran cantidad de compra y venta de datos que las empresas han estado haciendo. "Este proyecto de ley permitirá que el pueblo estadounidense descubra finalmente la red masiva de organizaciones de compra y venta de datos que anteriormente eran completamente anónimas. Esto conducirá a un cambio cultural dramático en la forma en que se percibe la privacidad de los datos y, en última instancia, en en algún momento, conducir a una ley federal de privacidad armonizada ", dijo Tsopanis.

Cuando el Cambridge Analytica el escándalo estalló, llamó la atención de millones de personas, fueran o no tecnólogos. Hizo que la gente se preocupara mucho sobre quién recopila su información y qué se hace con ella, y el CCPA es, en parte, una respuesta a eso. Tsopanis argumenta que las revelaciones resultantes serán masivas.

"Para cada periodista en el país, esto es un regalo del cielo. California es una economía de $ 2.7 billones, la quinta más grande del mundo, y se basa en Big Data. Cada solicitud de acceso de cada compañía Fortune 1000 revelará una red completa de las empresas de compra y venta de datos que serán objeto de un intenso escrutinio ", explicó Tsopanis. "No sabemos exactamente qué encontraremos cuando la gente comience a recibir sus informes de datos, pero seguramente habrá algunas revelaciones interesantes".

Solo 18 meses para prepararse

Si aprendimos algo del GDPR, es que las empresas deben planificar lo antes posible para estar listas para la fecha límite. Con eso en mente, las compañías estadounidenses no tienen mucho tiempo en absoluto. El GDPR se adoptó en abril de 2016, y las empresas tenían poco más de dos años completos para adaptarse y cumplir con la regulación. Dado que el CCPA entra en vigencia a principios de 2020, esto significa que las compañías más grandes ahora tienen solo 18 meses para prepararse.

Es probable que ese plazo haga estresar incluso al profesional técnico más experimentado. "La cantidad de trabajo que debe realizarse en 18 meses es mayor que la necesaria para el GDPR, con menos tiempo para hacerlo y con empresas estadounidenses que vienen de un nivel de madurez de privacidad más bajo que Europa", advierte Tsopanis.

Para cumplir, el veterano de seguridad recomienda que las compañías tengan el cuidado adecuado en el desarrollo de sus procesos. "En los próximos seis meses, lo que las organizaciones deben hacer es desarrollar algún tipo de método para rastrear información personal en toda la organización", dijo Tsopanis. "Necesitan una forma de acceder fácilmente a la información personal que se envió a qué tercero y en qué momento, y luego deben poder rastrear eso durante los 12 meses hasta la implementación, y estar listos para proporcionar esa información cuando lo soliciten cuando La regulación entra en juego.

"Esencialmente, va a requerir que casi todas las compañías estadounidenses importantes realicen actividades importantes de identificación de datos y puedan automatizar y responder a las solicitudes de acceso de sujetos de datos de los residentes de California en la fecha de cumplimiento", continuó Tsopanis. "También es importante tener en cuenta que, cuando la ley se apruebe en 2020, deben poder proporcionar un informe sobre la información del usuario en los últimos 12 meses. Esto significa que las empresas deben estar rastreando esos datos el 1 de enero de 2019"."

Desde una perspectiva legal, Bowman dice que podría haber algunos cambios realizados antes de la fecha límite. "Esperamos ver algunas revisiones de la ley antes de que entre en vigencia", dijo. "Debido a que se redactó con bastante rapidez, incluso después de que entre en vigencia, puede haber algunas áreas grises que permanecen pendientes en términos de nuestra comprensión de ellas. Después de todo, el GDPR tardó años en redactarse, y todavía hay varias partes del GDPR que son ambiguos ".