A partir de julio, la Ley de Protección de Datos de los Consumidores de California entrará en vigor. ¿Le seguirá rápidamente un aluvión de litigios? ¿Y cómo pueden evitar las empresas verse envueltas en ellos?
La CCPA ha sufrido más de una modificación y enmienda a lo largo del tiempo. Una cosa que se ha mantenido firme como una roca es el hecho de que la oficina del fiscal general de California no va a ceder en la aplicación, incluso con los trastornos impuestos por COVID-19:
"En este momento, nos comprometemos a hacer cumplir la ley una vez finalizadas las normas o el 1 de julio, lo que ocurra primero. Todos somos conscientes de la nueva realidad creada por la COVID-19 y del mayor valor que conlleva la protección de la privacidad de los consumidores en línea."
Los cambios que se han producido en la CCPA y las demás normativas surgidas o propuestas en diversas regiones, naciones y estados no hacen sino subrayar la naturaleza cambiante del panorama de la privacidad de los datos. Esfuerzos como los emprendidos por la Comisión de Derecho Uniforme tienen por objeto unificar de forma coherente las leyes de protección de datos de Estados Unidos, pero nadie sabe cuándo ocurrirá.
Cinco datos clave sobre la nueva realidad de la protección de datos
¿Y mientras tanto? La llegada de la aplicación de la CCPA hace que el cumplimiento de la protección de datos sea una realidad urgente para cientos de miles de empresas que comercian con los californianos.
Como se señala a menudo, "la regulación engendra litigios", especialmente cuando una nueva ley otorga a los demandantes el derecho a reclamar daños y perjuicios contra las empresas que la han infringido. La CCPA no será diferente, ya que puede haber una auténtica nueva fiebre del oro californiana a medida que los litigantes agresivos lancen demandas. Algunos no se han molestado en esperar a que comience la aplicación de la ley.
Hay cinco hechos clave que los departamentos jurídicos de las empresas y los equipos de riesgo y cumplimiento están ahora obligados a aceptar sobre esta situación, y a utilizar para guiar sus acciones a medida que nos adentramos en este nuevo territorio inexplorado:
Prepárese para los cambios que se avecinan
La imposición de la aplicación de la CCPA es una certeza, pero la futura llegada de otras normativas sobre privacidad de datos en otros lugares y sectores es igual de segura. ¿Incluso allí donde ya se han establecido normas estrictas? Existe la posibilidad de nuevas restricciones.
Por ejemplo, los partidarios de la CCPA proponen ahora una Ley de Derechos de Privacidad de California (CPRA) que reforzaría los derechos de los consumidores y aumentaría aún más el riesgo empresarial . Por tanto, es esencial conocer las obligaciones que impone la legislación actual y anticiparse a posibles modificaciones o nuevas leyes.
Para hacer frente a cualquier otro cambio que se avecine, las empresas deben admitir primero que ésta es la nueva realidad de los negocios. Luego tienen que estar dispuestas a adoptar los marcos y herramientas de gobierno de datos que les den la flexibilidad y agilidad que necesitan para mantener el cumplimiento. Sólo entonces podrán hacer frente no sólo a una mayor regulación en más mercados, sino al hecho de que esta normativa es fluida y está sujeta a revisiones y modificaciones constantes.
La pandemia ha intensificado el escrutinio de la privacidad de los datos
Como hemos mencionado anteriormente, los reguladores en general no están dispuestos a levantar el pie del acelerador en lo que respecta a la aplicación de la privacidad de los datos sólo por una crisis de salud pública de proporciones sin precedentes. Por el contrario, casi a diario se piden nuevas normas sobre privacidad de datos que han surgido a raíz de la pandemia.
Hace unos meses, ¿cuántos estadounidenses utilizaban Zoom? Pero ahora se están multiplicando las demandas y otras amenazas legales derivadas de la supuesta falta de preparación de la plataforma para convertirse en la columna vertebral del teletrabajo. Incluida, por supuesto, la exigencia de nuevas regulaciones para servicios como Zoom.
El uso de tecnologías como la IA para contener el virus ha suscitado preocupación por la privacidad de los datos, así como por su tratamiento en otros ámbitos de la atención sanitaria. Ya se han presentado proyectos de ley federales para limitar la divulgación de datos al gobierno, entre otras protecciones propuestas.
Los procesos operativos generan riesgos
¿Los procesos empresariales que son fundamentales para muchas organizaciones? Por varias razones, ahora son una fuente de riesgo para esas empresas. Un riesgo que los reguladores y los litigantes privados estarán encantados de atacar.
En primer lugar, está el simple hecho de que estas procesos pueden no tener se ha renovado cumplir con la CCPA u otras normativas sobre privacidad de datos. Por qué ¿es posible que una empresa no lo haga? Es posible que no conozcan bien la normativa o sus implicaciones para la empresa, o que simplemente no hayan dedicado los recursos necesarios para cumplirla, ya sea porque no vieron la necesidad de hacerlo, porque carecían de medios o porque pensaron que sus sistemas y procesos actuales eran "lo bastante buenos" para pasar desapercibidos.
Pero las complejidades del cumplimiento de la privacidad de los datos pueden ser un escollo muy profundo y muy peligroso para los que no están preparados. Sobre todo porque leyes como la CCPA hacen a una empresa responsable también de los errores en el tratamiento de datos de sus socios y terceros. La supervisión deficiente, los procesos manuales y centrados en el papel y las prácticas anticuadas de almacenamiento de datos son una receta para una bofetada normativa.
En una situación como la pandemia de COVID-19, los peligros de unos procesos de privacidad de datos deficientes no hacen sino aumentar a medida que los empleados trabajan a distancia. En el desempeño de su trabajo, ¿a qué IIP están accediendo sobre clientes y clientes potenciales? ¿Con quién la comparten? ¿Con qué dispositivos?
Para que estos procesos sean conformes, basta con comprometerse a implantar las herramientas adecuadas. Especialmente la automatización del flujo de trabajo para sustituir procesos anticuados y no conformes por versiones automatizadas en las que el cumplimiento de la CCPA esté integrado desde el principio, incluso para los empleados remotos.
Una preparación temprana mitiga esos riesgos
Adoptar un enfoque proactivo para el cumplimiento de la CCPA u otras normas de privacidad de datos puede evitar dolores de cabeza operativos, daños a la reputación y perjuicios económicos derivados de sanciones y pérdidas por litigios posteriores.
¿Algunas de las medidas a tomar? Implantar un marco de gobernanza de datos es un primer paso vital, y determinar cuáles son sus objetivos para el uso de los datos es una consideración clave. Establecer este tipo de marco implica el compromiso y el trabajo duro de un amplio abanico de partes interesadas en cualquier organización, pero es obligatorio, y los resultados a largo plazo merecen la pena.
A continuación, hay que identificar qué prácticas y procesos pueden ser problemáticos en lo que respecta al riesgo para la privacidad de los datos. A partir de ahí, es cuestión de explorar y evaluar las soluciones disponibles para renovar esos procesos y dotarse de la agilidad, capacidad de respuesta, transparencia y supervisión necesarias para un cumplimiento eficaz.
Los demandantes y litigantes se ciernen
Para mirar fuera de la privacidad de los datos por un momento, examinemos un área algo más establecida en litigios relacionados con lo digital. El número de demandas presentadas en virtud del Título III de la Ley de Estadounidenses con Discapacidades (ADA) siguió aumentando en 2019, batiendo el récord del año anterior al superar los 3.000 nuevos casos de accesibilidad de sitios web. Esta es una lección que no deberían perder las empresas que se enfrentan a la CCPA: Una vez más, casi cualquier nueva regulación proporciona una nueva vía para los demandantes que buscan dar con una veta madre.
De hecho, ya se han presentado demandas contra empresas como Salesforce, Ring y Clearview AI por supuestas violaciones de la CCPA. Y como hemos mencionado anteriormente, Zoom ha visto cómo se presentaban tres demandas colectivas contra ella en virtud de la CCPA desde el 30 de marzo.
En el expediente de Clearview AI, se alega que la empresa también está violando la Ley de Privacidad de la Información Biométrica (BIPA) de Illinois, que ha sido una "fuente constante de litigios desde que" entró en vigor en 2008, generando cientos de casos. Esto podría ser un presagio de un futuro bajo la CCPA en el que los casos proliferan frenéticamente. También hay que tener en cuenta que la BIPA aborda un espectro más estrecho de la privacidad de los datos que la ley de California.
Nuevas complicaciones derivadas del trabajo a distancia
¿Otra arruga? El repentino paso a fuerzas de trabajo remotas ha dado lugar a nuevos riesgos. Cuando los empleados están cada vez más dispersos pero pueden seguir accediendo a los datos personales de los clientes, aumenta el peligro de que esta información se maneje de forma incorrecta. Y como hemos visto, los reguladores y los litigantes no están dispuestos a dar a una empresa un pase libre, COVID-19 o no.
Algunas empresas ya han tomado medidas para integrar el cumplimiento de la CCPA, el GDPR y otras normativas sobre privacidad de datos en sus operaciones. Lo han hecho renovando los procesos básicos con nuevas soluciones como la automatización del flujo de trabajo o herramientas para descubrir y almacenar los datos reales que poseen sus empresas.
Por tanto, a cualquier empresa afectada por la CCPA le corresponde informarse sobre las diversas soluciones disponibles para superar los riesgos que plantea la CCPA. riesgos que plantea la CCPA. Ese es un primer paso clave para salvaguardarse de convertirse en víctima de esta moderna "fiebre del oro".
Para obtener más información sobre cómo navegar por las complejidades legales y de cumplimiento de un entorno de trabajo desde casa, por favor este seminario web.
