Protección de datos: el fiscal general de California propone modificaciones de la CCPA
El 7 de febrero de 2020, la Fiscalía General de California publicó una propuesta de normativa revisada para la aplicación de la Ley de Privacidad del Consumidor de California (CCPA). Cuáles son las implicaciones para las empresas que intentan cumplir esta normativa histórica sobre privacidad de datos?
Dado que la Ley de Privacidad del Consumidor de California de 2018 se propuso y firmó en un tiempo sorprendentemente corto, no es de extrañar que esta ley "integral" de privacidad del consumidor sufra de algunas redundancias y definiciones confusas.
Los expertos de Keesal, Young & Logan han profundizado en los detalles del anuncio de la A.G.. Así que sólo nos centraremos en algunos que pueden afectar directamente a cómo una empresa puede implementar soluciones tecnológicas como la automatización del flujo de trabajo para redactar y publicar procesos que les ayuden a cumplir puntualmente con la ley.
Orientación sobre lo que es (y no es) "información personal".
Es bueno tener claro qué constituye exactamente información personal, y la normativa revisada la considerará IP si la empresa mantiene esos datos de forma que identifiquen, se refieran, describan o puedan razonablemente relacionarse con un consumidor u hogar concreto.
Para un sitio web, por ejemplo, la mera recopilación de las direcciones IP de los visitantes del sitio no convierte esas IP en "información personal". No hasta que se vinculen explícitamente a un residente u hogar concreto de California.
Se trata de un parámetro vital para los departamentos jurídicos y de cumplimiento de la normativa que deseen crear procesos destinados a captar el consentimiento de los visitantes, o procesos de descubrimiento para depurar los datos existentes, o satisfacer las peticiones de los consumidores con arreglo a la nueva legislación.
Normas de accesibilidad
En lugar de limitarse a ofrecer una declaración general de que los avisos y la política de privacidad exigidos por la CCPA en el sitio web de una empresa deben ser accesibles para las personas con discapacidad? La normativa de la CCPA incorpora ahora las directrices y normas específicas de las Pautas de Accesibilidad al Contenido en la Web (WCAG) 2.1.
Especificar el botón Opt-Out
La CCPA exige ahora que los sitios web incorporen un botón uniforme de "exclusión voluntaria" para utilizarlo como enlace "No venda mis datos personales". Este gráfico consistirá en un botón rojo o un interruptor de palanca que quizá no gane ningún premio de diseño, pero que transmite el mensaje.
Confirmación de recepción y respuestas a las solicitudes de información y supresión
Las empresas deben confirmar la recepción de una solicitud para conocer o eliminar la información personal de un consumidor en un plazo de 10 días laborables. Por eso, una solución automatizada, en la que el cumplimiento está más garantizado y el error humano se reduce enormemente, supone una mejora a años luz de los procesos manuales, en los que abundan las oportunidades de riesgo.
La confirmación puede darse de la misma manera en que se hizo la solicitud; por ejemplo, una solicitud presentada por teléfono puede confirmarse por teléfono. Las respuestas efectivas "de fondo" a las solicitudes de conocimiento y supresión de datos personales deben darse en un plazo de 45 días naturales.
Confirmación de recepción y respuestas a las solicitudes de información y supresión
Esto liberará a muchas empresas de lo que parecía un obstáculo de cumplimiento empinado bajo el lenguaje anterior CCPA: Al responder a una solicitud de información, las empresas no están las empresas no están obligadas a buscar información personal si cumplen todas estas condiciones: A ) la empresa no conserva la información personal en un formato en el que se puedan realizar búsquedas o que sea razonablemente accesible; B) la empresa conserva la información personal únicamente con fines legales o de cumplimiento; C) no vende la información personal ni la utiliza con fines comerciales; D) la empresa describe al consumidor las categorías de registros que pueden contener información personal que no ha buscado porque cumple las condiciones que se acaban de dar.
[bctt tweet="La nueva propuesta de directrices sobre la #CCPA aporta una claridad muy necesaria a una normativa sobre #dataprivacidad que se convirtió en ley de forma precipitada y en un plazo sorprendentemente corto." via="yes"]
