CCPA Preparativos Cabecera de la entrada del blog
CCPA Preparativos Cabecera de la entrada del blog

¿Ha superado estos 3 retos cruciales para el cumplimiento de la CCPA?

Mitratech Staff |

Las normativas sobre privacidad de datos están surgiendo en regiones, países e incluso estados individuales de todo el mundo. ¿El siguiente reto para muchos profesionales de GRC? Lograr el cumplimiento de la CCPA.

En 2018, California promulgó su propia ley integral de privacidad, la Ley de Privacidad del Consumidor de California (CCPA), que entrará en vigor el 1 de enero de 2020. Con la quinta economía más grande del mundo, California es imposible de ignorar para muchos vendedores, por lo que el cumplimiento de la CCPA es obligatorio si quieren seguir aprovechando las riquezas del Estado Dorado.

La CCPA se redactó para proteger los derechos de los consumidores e impulsar una mayor transparencia y protección de la intimidad en lo que respecta a su información personal. A partir de ahora, los californianos tendrán derecho a saber qué datos personales se recogen, si se comparten, con quién con quién se comparten, y puede excluirse de cualquier venta de sus datos.

También tendrán derecho a acceder ellos mismos a los datos y pedir que se borren. Las empresas no podrán vender datos personales de consumidores de entre 13 y 16 años a menos que éstos den su consentimiento, y los padres o tutores tendrán que autorizar la venta de datos de menores de 13 años.

Webinar: Navegar por la privacidad de datos para operaciones legales

No es un gemelo del GDPR

Sin embargo, una diferencia clave entre el Reglamento General de Protección de Datos(RGPD) de la UE y la CCPA radica en ese ámbito del consentimiento: La ley californiana no requiere el consentimiento del usuario para recoger los datos en primer lugar, ni para procesarlos. Una empresa puede recopilar datos igual que lo hacía antes de la CCPA, pero debe dar a los consumidores la oportunidad de optar por no hacerlo.

El GDPR, por otro lado, exige consentimiento expreso de los consumidores o de dondequiera que se recojan los datos, y las empresas deben documentar minuciosamente toda la cadena de consentimiento.

Existen otras diferencias entre ambas: La CCPA se aplica a los residentes en California, mientras que el GDPR se refiere a "sujetos de datos de la UE" sin especificar residencia o ciudadanía. La CCPA también protege los datos vinculados a hogares concretos ; el GDPR solo se aplica a las personas físicas.

Además, el RGPD se aplica a cualquier empresa que recopile y procese los datos de esos "sujetos", independientemente de su ubicación. La CCPA establece que su jurisdicción solo se aplica a las empresas que "desarrollan su actividad en California", pero no ofrece más definiciones.

Y mientras que el RGPD se aplica a todas las empresas, tanto públicas como privadas, la CCPA se limita a las empresas con ánimo de lucro que facturan más de 25 millones de dólares al año, manejan datos personales de 50.000 consumidores o más y obtienen la mitad de sus ingresos de la venta de esos datos. Las particularidades de la CCPA pueden cambiar aún más cuando entre en vigor. La legislatura californiana está tramitando múltiples enmiendas que pueden afectar a diversos aspectos de la normativa final.

El cumplimiento de la CCPA puede ser una ventaja competitiva

Protección de datosTanto el GDPR como la CCPA desbloquear la visibilidad del consumidor a los datos personales que conservan las empresas que los han recopilado. Esas empresas no sólo deben facilitar ese acceso, sino detallar exactamente qué hacen con los datos.

Sin embargo, ofrecer esta transparencia como parte del cumplimiento de la CCPA puede no ser una desventaja para las empresas. De hecho, podría muy bien resultar todo lo contrario. Una investigación realizada tras la imposición del GDPR reveló que el 62% de los consumidores británicos se sentían más cómodos compartiendo su información personal después de su entrada en vigor. Al demostrar que cumplen la normativa, las empresas pueden adelantarse a lo que se ha convertido en un cambio radical en la actitud de los consumidores, donde la transparencia es lo que genera confianza.

Tres retos para cumplir la CCPA

Para los profesionales de GRC y los guardianes de la privacidad de los datos de las empresas que quieren seguir "haciendo negocios" en California, hay tres retos que deben abordar. Y con bastante rapidez, además.

Determinar su necesidad de cumplimiento

Antes que nada, una empresa debe determinar si realmente entra o no en el ámbito de aplicación del RGPD. Cuando se anunció por primera vez el RGPD, muchas empresas no pertenecientes a la UE pensaron que quedaban fuera de su ámbito de aplicación: "No tenemos nuestra sede en la UE, ni tenemos una oficina de ventas o marketing allí. Así que estamos exentos". Lo cual fue un error que, afortunadamente para ellas, no se ha reflejado en multas u otras sanciones por incumplimiento... todavía.

En el caso de la CCPA, las directrices establecidas sobre el tamaño de la empresa y la cantidad de datos que maneja facilitan que algunas empresas reconozcan si deben cumplirla o no. Sin embargo, hay puntos más sutiles de la ley que pueden afectar a una empresa que no está prestando atención a la forma en que su equipo de marketing, sus agencias y proveedores externos y las prácticas de captación de consumidores están recopilando datos.

¿Por ejemplo? En su redacción actual, la CCPA protege la información de residentes en Californiay sus normas se aplican incluso cuando se encuentran fuera del estado. Por tanto, a pesar de que usted haya geolocalizado hábilmente un sitio web para móviles de modo que sólo recopile datos de un residente en Los Ángeles cuando esté de viaje en Las Vegas o Nueva York, seguirá infringiendo la ley.

Esto significa auditar todas las campañas, sitios web, canales sociales u otras herramientas de interacción del inventario de su empresa para saber si cumplen todos los requisitos de la CCPA. También significa integrar el cumplimiento de la CCPA en sus procesos empresariales, pero hablaremos de ello en un próximo artículo.

Para empezar principios de ayer

¿Cuándo debe una empresa empezar a tomar medidas para cumplir la CCPA? La verdadera pregunta es, ¿por qué no ha empezado ya a prepararse?

Como comentó un ejecutivo a CIO sobre los preparativos de su empresa para el GDPR, "habría hecho con los datos lo que siempre he predicado con agile y DevOps. Me habría adelantado al problema porque el único día fácil fue ayer".

Las complejidades que entraña el cumplimiento de la CCPA pueden ser tan grandes, para algunas empresas, como aquellas a las que se enfrentaban antes de la llegada del GDPR. Antes, muchas no tenían un conocimiento real de las complejidades de sus propios sistemas y procesos, ni de la dificultad que entrañaba hacerlos conformes.

¿Cuál es el reto para los responsables de GRC de una empresa? Superar cualquier inercia interna que esté retrasando los esfuerzos de cumplimiento. Uno de los problemas puede ser que algunas partes interesadas que dicen que la empresa cumple los requisitos del RGPD piensen que es cuestión de pulsar figuradamente algunos interruptores para alcanzar el cumplimiento de la CCPA. Pero hay que demostrarles que no es tan sencillo. ¿El lado positivo? Las empresas pueden aplicar muchas de las lecciones aprendidas en 2017-18 para poner en marcha los procesos y políticas adecuados esta vez, de modo que estén preparadas para 2020.

¿Otra preocupación? No engreírse. Una nueva encuesta reveló que el 71% de los profesionales jurídicos y de la privacidad consideraban que estarían preparados para el RGPD en siete meses. Sin embargo, el mismo estudio reveló que seguían teniendo dificultades para cumplir las exigencias del RGPD, por las razones que veremos a continuación.

Agilidad en el cumplimiento de la protección de datos

Una empresa puede intentar cumplir la CCPA utilizando sistemas y procesos tradicionales. Es el Titanic contra el iceberg, pero podrían evitar el desastre.

El problema es que hay aún más icebergs en camino.

El GDPR fue solo el principio, y la CCPA es la secuela. Hay una pizarra de nuevas leyes estatales de privacidad de datos en el almacén, debido en gran parte a la incapacidad del gobierno federal para ofrecer un conjunto inclusivo de regulaciones. Estas leyes se han presentado en nueve estados de Estados Unidos. Seis de esas propuestas siguen el modelo de la CCPA, mientras que las demás son menos estrictas. En al menos un caso, sin embargo, WIRED señala cómo la CCPA está quedando relegada a un segundo plano:

La Ley de Privacidad de Nueva York, presentada el mes pasado por el senador estatal Kevin Thomas, daría a los residentes más control sobre sus datos que en ningún otro estado. También obligaría a las empresas a anteponer la privacidad de sus clientes a sus propios beneficios. 

Esto se suma a la ya promulgada normativa del NYSDFS, que obliga a cumplir las normas de seguridad de datos en el sector de los servicios financieros.

Para una empresa que opera en varios estados (por no hablar de otros países), la enormidad del reto es evidente: ¿cómo puede seguir cumpliendo la normativa en este panorama reglamentario desigual?

En el estudio de DataGrail mencionado anteriormente, los profesionales jurídicos y de la privacidad afirmaron que seguían gestionando la normativa caso por caso. La mitad de ellos seguían confiando en procesos manuales para gestionar las solicitudes de derechos de privacidad del GDPR, en los que participaban docenas de empleados, lo que creaba "miles de puntos de contacto con el potencial de introducir errores humanos", según el informe.

Imagínese el caos y el despilfarro que supondría intentar gestionar de esa manera otros cinco, diez o más conjuntos de normativas estatales.

La mitad de las empresas de un nuevo estudio de DataGrail seguían confiando en procesos manuales para gestionar las solicitudes de derechos de privacidad del GDPR.

Hacer frente a esto exigirá un nivel de agilidad y sofisticación cultural y tecnológica que puede ser ajeno a muchas de estas empresas. Sin embargo, tendrán que establecerse estructuras de cumplimiento altamente proactivas, flexibles y gobernadas de forma centralizada. Los procesos operativos y los conjuntos de herramientas deben construirse en torno a un ADN de legalidad, cumplimiento y gestión de políticas, que permita a una empresa salir con éxito al mercado adaptándose eficazmente a cada conjunto de normativas. Esto dista mucho de ser imposible, como cualquier persona del sector de los seguros puede decirle, y ya existen herramientas para conseguirlo. herramientas para conseguirlo.

Cumplimiento de la CCPA: Prepararse para el futuro

Para bien o para mal, las preocupaciones sobre la privacidad de los datos y las leyes para abordarlas van a estar con nosotros hasta... bueno, posiblemente para siempre. Podemos dar las gracias por ello al crecimiento de los medios digitales, el Internet de las cosas, la IA y la correspondiente necesidad de proteger la información personal en un mundo en el que esos datos corren cada vez más riesgos.

Pero los profesionales de GRC deberían animarse: Establecer hoy los sistemas y la cultura adecuados para cumplir la CCPA crea un marco eficiente, duradero y flexible. Es un marco en el que puede basarse no solo para hacer frente a la próxima ronda de normativas, sino también para enfrentarse a cualquier nuevo reto en materia de privacidad de datos que surja después.

Webinar: Navegar por la privacidad de datos para operaciones legales

Vea a dos destacados expertos mostrar cómo implantar procesos para reducir el riesgo de la privacidad de los datos en un entorno normativo desigual.

Ver ahora