Originalmente aprobada como ley en junio de 2018 y en vigor desde enero de 2020, la Ley de Privacidad del Consumidor de California (CCPA) regula la recopilación y venta de datos de los consumidores por parte de las empresas, con el objetivo de proteger la información personal sensible de los residentes de California y proporcionar a los consumidores el control sobre cómo se utiliza esa información.
La CCPA se amplió en 2023 con la Ley de Derechos de Privacidad de California (CPRA), añadiendo nuevas obligaciones de cumplimiento que exigen estrictos acuerdos con terceros para garantizar la recopilación, el uso y la eliminación seguros de la información de los consumidores. Aunque en gran medida idéntica a la CCPA, la CPRA:
- Añade contenido para ajustarlo mejor al Reglamento General de Protección de Datos (RGPD ) de la UE.
- Aumento de las sanciones por infracción
- Autoriza la creación de la Agencia de Protección de la Privacidad de California
Este artículo examina los requisitos clave de la CCPA, a quién se aplica y cómo las organizaciones pueden asegurarse de que sus terceros protegen los datos de sus clientes. Para simplificar, este artículo se refiere a ambas normativas (CCPA y CPRA) como CCPA.
¿Cómo define la CCPA la información personal?
Empecemos por la definición de "información personal". La CCPA define la información personal sensible como "información que identifica, se refiere, describe, es razonablemente susceptible de ser asociada, o podría razonablemente estar vinculada, directa o indirectamente, con un consumidor u hogar en particular".
¿Qué exige la CCPA a las empresas (y a sus terceros)?
La CCPA obliga a las empresas a informar a los residentes en California sobre los datos que se recogen antes de hacerlo. Permite a los consumidores acceder a todos los datos personales en poder de una empresa y recibir información sobre las personas u organizaciones con las que se han compartido esos datos. También permite a los consumidores optar por no participar e impedir que sus datos personales se vendan o compartan con terceros.
¿A quién se aplica la CCPA?
Aunque técnicamente la CCPA es una ley estatal de California, su alcance se deja sentir mucho más allá de las fronteras del Estado Dorado. La supervisión de la CCPA no se limita a las empresas con sede en California, ni siquiera a las empresas que operan físicamente en California: la CCPA se aplica a los datos de los consumidores recogidos de cualquier residente de California.
Dado que en California viven unos 40 millones de personas y que sería la quinta economía del mundo si fuera su propio país, es muy probable que si su empresa recopila datos de consumidores, haya recopilado los datos de un residente en California. De hecho, muchas empresas optan por tratar a todos los consumidores como si fueran residentes en California y, por lo tanto, se preparan para el cumplimiento de la CCPA en todas sus empresas.
¿Cuáles son las sanciones por incumplimiento de la CCPA?
Si una empresa es declarada responsable de una sanción civil en virtud de la CCPA, la sanción puede alcanzar los 7.500 dólares por infracción intencionada y los 2.500 dólares por infracción no intencionada. El tribunal también puede ordenar una indemnización por daños y perjuicios para los consumidores.
Lista de control: Cuatro requisitos clave de cumplimiento de la CCPA para terceros
[El artículo 1798.100 de la CCPA](https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CIV§ionNum=1798.100.) establece que una empresa que recopile información personal de un consumidor y la venda o comparta con un tercero debe firmar un acuerdo con ese tercero que "obligue al tercero, proveedor de servicios o contratista a cumplir" la normativa de privacidad de la CCPA. Por lo tanto, las organizaciones deben asegurarse de que sus socios terceros y proveedores de servicios estén bien preparados para proteger la información de los consumidores. El primer paso en cualquier programa de seguridad es identificar y priorizar los riesgos existentes mediante una evaluación de seguridad exhaustiva. La sección 1798.185 (15) de la CCPA habla de "exigir a las empresas cuyo tratamiento de la información personal de los consumidores presente un riesgo significativo para la privacidad o la seguridad de los consumidores" que realicen auditorías anuales de ciberseguridad y presenten a la Agencia de Protección de la Privacidad de California una evaluación de riesgos. Entre las disposiciones específicas de la CCPA que las organizaciones deben examinar se incluyen:
| 1798.81.5 (b), aplicar y mantener procedimientos y prácticas de seguridad razonables | Para cualquier norma reguladora, las organizaciones deben asegurarse de que miden los riesgos correctos y aplican los controles adecuados. En el caso de la CCPA, eso podría significar aprovechar los Controles Críticos de Seguridad del Centro para la Seguridad en Internet (CIS) como marco.
Busque una solución que evalúe no sólo los controles de privacidad de terceros, sino también los riesgos más amplios de terceros utilizando una amplia biblioteca de evaluaciones aprobadas por auditores. |
| 1798.100 (d), celebrar un acuerdo que obligue al tercero a cumplir las obligaciones aplicables | Prevalent centraliza la distribución, discusión, retención y revisión de contratos con proveedoresEl sistema de gestión de contratos, que incluye funciones de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde el inicio hasta la finalización.
Con Prevalent, los equipos jurídicos y de compras disponen de una única solución para hacer cumplir las disposiciones contractuales y los KPI de los proveedores, y simplificar la gestión y la revisión. |
| 1798.140 (c), revisiones manuales continuas y exploraciones automatizadas y evaluaciones periódicas, auditorías | Para evitar riesgos operativos y de reputación, así como interrupciones de la actividad empresarial, las organizaciones deben asegurarse de que sus socios y terceros se adhieren a medidas de seguridad razonables. Sin embargo, intentar realizar evaluaciones de terceros mediante cuestionarios y hojas de cálculo manuales es incoherente y poco escalable.
Busque plataformas de gestión de riesgos de terceros que automaticen las evaluaciones periódicas con una supervisión continua para obtener una visión completa del riesgo de un proveedor. |
| 1798.185 (a) realizar anualmente una auditoría de ciberseguridad; y (b) presentar periódicamente una evaluación de riesgos a la CCPA | La mayoría de los estudios de evaluación de riesgos se centran en controles y políticas generales. Cumplir con la CCPA requiere una comprensión técnica del procesamiento de datos - específicamente con los Controles Críticos de Seguridad CIS, que se sugieren como un marco para garantizar la seguridad adecuada sobre los datos.
Busque soluciones que relacionen las respuestas de la evaluación de terceros con los controles de seguridad críticos de la CIS para garantizar una cobertura completa de la CCPA y ayudar a distinguir los sistemas diseñados correctamente de las funciones de seguridad y privacidad "añadidas" para garantizar el pleno cumplimiento. Busque informes eficaces para satisfacer los requisitos de auditoría y cumplimiento de la CCPA, así como para presentar los resultados al consejo de administración y a la alta dirección. |
Sólo una vez que su empresa haya identificado a los terceros a los que vende datos de consumidores podrá empezar a tomar medidas para garantizar el cumplimiento de la CCPA, como actualizar sus acuerdos legales con los terceros o abrir canales de comunicación en caso de infracción. A continuación, como parte de ese proceso, amplíe su descubrimiento ala cuarta y la enésima partes. La identificación de relaciones entre su organización y terceros y sus terceros descubrirá dependencias y visualizará rutas de información, lo que simplificará enormemente el proceso de elaboración de informes.
Cómo puede ayudar Prevalent
Prevalent proporciona a las empresas una solución integral para gestionar sus relaciones con terceros para el cumplimiento de la CCPA. Nuestra plataforma de gestión de riesgos de terceros facilita:
- Descubrir y mapear datos entre terceras,cuartas
y enésima parte - Realizar autoevaluaciones para comprender la madurez de los procesos internos, así como de los propietarios de los datos.
- Evaluar los controles de privacidad de datos de terceros
- Automatice la respuesta a los riesgos cuando las respuestas de terceros no se ajusten a las expectativas
- Informe sobre el cumplimiento de la CCPA con informes integrados
- Reciba notificaciones automatizadas de violaciones de datos para conocer los posibles riesgos para los datos de sus clientes.
- Centralizar la distribución, discusión, retención y revisión de los contratos de proveedores.
Para obtener más detalles sobre cómo Prevalent puede ayudar a las organizaciones a evaluar sus controles de seguridad de datos de terceros para cumplir los requisitos de la CCPA, lea el libro blanco The CCPA Third-Party Compliance Checklist o solicite una demostración hoy mismo. Para saber cómo se aplica la gestión de riesgos de terceros a otras normativas sobre privacidad, descargue el manual The Third-Party Compliance Handbook: Normativa sobre privacidad de datos.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
