5 ideas sobre la protección de datos en tiempos de COVID-19
Mientras las empresas de todo el mundo se preparaban para cumplir las exigencias de las nuevas leyes y reglamentos sobre privacidad de datos en 2020, el mundo recibió una sorpresa en forma de COVID-19.
En la cumbre virtual de Mitratech, El Futuro del Cumplimientome senté con el Director General de Mitratech de productos de cumplimiento, Mark Delgado, y el fundador de GRC 20/20, Michael Rasmussen, para discutir lo que ha cambiado y lo que no.
A continuación se exponen cinco conclusiones sobre el efecto de COVID-19 en la privacidad de los datos y las prácticas empresariales:
1 - A pesar de la pandemia mundial, la aplicación privada de la legislación sobre privacidad de datos no se ha ralentizado
La Ley de Privacidad del Consumidor de California entró en vigor en enero de 2020. Aunque la CCPA aún está en pañales, se han presentado al menos 19 demandas alegando violaciones de la CCPA o alegando violaciones de otras leyes de protección del consumidor y competencia desleal basadas en la CCPA.
Algunas de las demandas son demandas colectivas en las que se alega que la información personal sensible de los demandantes ha sido vulnerada como consecuencia de que el demandado no aplicó ni mantuvo medidas de seguridad razonables.
En estos casos, los demandantes solicitan una indemnización por daños y perjuicios de entre 100 y 750 dólares por consumidor y por incidente, lo que puede acumularse rápidamente. Otras demandas pretenden poner a prueba los límites de la CCPA y obligarán a los jueces a interpretar y aplicar la ley de formas que tendrán efectos duraderos.
2 - La aplicación reglamentaria de las leyes de privacidad de datos tampoco se ha ralentizado
El fiscal general de California, Xavier Becerra, empezará a aplicar la CCPA el 1 de julio de 2020. En marzo de 2020, 60 grupos comerciales y empresas pidieron al fiscal general que pospusiera la aplicación de la CCPA hasta el 2 de enero de 2021 debido a COVID-19 y a que la normativa de la CCPA aún no se había finalizado. El fiscal general se negó.
En cambio, la oficina del fiscal general ha reiterado que se compromete a hacer cumplir la CCPA a partir del 1 de julio, incluso con la nueva realidad creada por COVID-19.
3 - El aumento de la mano de obra a distancia hace más importante la seguridad de los datos
Como resultado de COVID-19, se produjo un cambio nocturno para trabajar desde casa. Considere estas estadísticas:
- El 88% de las organizaciones han animado o exigido a sus empleados que trabajen desde casa.
- El trabajo a distancia ha llegado para quedarse. El 75% de las empresas tiene previsto cambiar permanentemente a un trabajo más remoto después de COVID-19.
Y con los cambios en la mano de obra, cambian también los riesgos para la seguridad de la privacidad de los datos. Las organizaciones se enfrentan a un aumento de las amenazas basadas en el correo electrónico y a lagunas en la seguridad de los terminales. Muchos de los cortafuegos y otras medidas de seguridad que existen en el entorno corporativo están ausentes en el entorno de la oficina en casa, lo que hace que los datos sean vulnerables.
Las empresas pueden mitigar este riesgo apoyando a los trabajadores remotos con infraestructura de seguridad, formando a los trabajadores sobre cómo reconocer las amenazas a la seguridad y educando a los trabajadores en la cultura de la protección de la privacidad y el cumplimiento de la normativa.
4 - Las empresas informan de un aumento de las solicitudes de acceso y supresión de datos por parte de los consumidores.
Tanto si el aumento de las solicitudes de los consumidores se debe a que éstos son cada vez más conscientes de los derechos de privacidad en general, como si se debe a que pasan más tiempo en casa y en línea como consecuencia de la COVID-19, el resultado es el mismo: cada vez más consumidores ejercen sus derechos en virtud de la CCPA y del Reglamento General de Protección de Datos de la Unión Europea.
En consecuencia, las empresas deben estar preparadas para acusar recibo y responder a las solicitudes de los consumidores en los plazos exigidos por la legislación aplicable (en general, 45 días con arreglo a la LPC y un mes con arreglo al RGPD). Las empresas que se han centrado en la racionalización y automatización de sus flujos de trabajo de recepción, acuse de recibo, recuperación de datos y mantenimiento de registros estarán mejor equipadas para responder de manera eficiente y precisa al aumento de las solicitudes de los consumidores.
5 - Los programas de reinserción laboral plantean nuevos retos
A medida que las empresas contemplan el regreso de los empleados a las oficinas, fábricas y locales de venta al por menor y de servicios, muchas están considerando cómo mantener a los trabajadores y visitantes a salvo de la exposición al COVID-19. Como parte de este proceso, muchas empresas están tomando la temperatura a sus empleados, y otras están pidiendo a los empleados que proporcionen información médica en forma de historiales médicos y certificados de salud actuales.
Dependiendo de la legislación aplicable, la recogida y conservación de esta información personal puede requerir la notificación a los trabajadores. La CCPA, por ejemplo, exige que las empresas notifiquen a los trabajadores y consumidores la información personal que la empresa recopila sobre ellos y la finalidad empresarial o comercial para la que se utilizará la información. Asimismo, el RGPD exige que el responsable del tratamiento informe a las personas de la finalidad del tratamiento de los datos, junto con la base jurídica para el tratamiento de los mismos.
A medida que las empresas recopilen más información personal de los empleados, será necesario actualizar los avisos y las políticas de protección de datos para seguir el ritmo de las prácticas de recopilación y garantizar un tratamiento seguro de los datos sensibles.
Estos cinco puntos clave son sólo los aspectos más destacados de nuestro debate en profundidad. Para escuchar toda nuestra conversación sobre la privacidad de los datos en este nuevo mundo, consulte nuestra mesa redonda completa aquí.
[bctt tweet="Las empresas pueden mitigar los riesgos del trabajo desde casa apoyando a los trabajadores remotos con infraestructura de seguridad, formándoles sobre cómo reconocer las amenazas a la seguridad y educándoles en la cultura de la protección de la privacidad y el cumplimiento de la normativa." via="yes"].