La aplicación de la CCPA comienza el 2 de julio...

¿Cumple usted las normas de protección de datos más estrictas de Estados Unidos?

¿Qué es la CCPA? ¿Cómo puede afectar a su empresa?

La Ley de Privacidad del Consumidor de California de 2018 (CCPA) entra en vigor como ley el 1 de enero de 2020, otorgando a los residentes de California nuevos derechos con respecto a la recopilación y uso de su información personal. También plantea a los profesionales jurídicos y de cumplimiento normativo de las empresas complejos retos de cumplimiento de la CCPA.

¿Por qué es importante la CCPA? California es la quinta economía más grande del mundo, y cualquier empresa que espere hacer negocios en el Estado Dorado a través de canales digitales tiene que cumplir la nueva ley para poder seguir operando allí. Además, hay más de una docena de otros estados de EE.UU. que han promulgado o están considerando promulgar leyes de privacidad de datos. Así que instalar procesos y herramientas para el cumplimiento de la CCPA puede prepararle para enfrentarse a otras normativas.

¿A quién se aplica? La CCPA se aplica a las empresas con ánimo de lucro que cumplan al menos uno de los siguientes criterios:

  • Tiene unos ingresos brutos anuales de 25 millones de dólares o más
  • Compra, utiliza, vende o comparte la información personal de al menos 50.000 consumidores, hogares o dispositivos dentro de California
  • Obtiene al menos la mitad de sus ingresos anuales vendiendo información personal de los consumidores.

¿Hay algo más? Por supuesto. He aquí algunos casos en los que aún debe estar preparado para demostrar el cumplimiento de la CCPA:

  • Si suministra bienes o servicios a una empresa que está obligada a cumplir la CCPA, o tiene un contrato con una de ellas, o hace negocios con una de ellas de cualquier otro modo. ¿Incluso si sólo suministra bolsas de mano a una empresa sujeta a la CCPA? También está obligado a demostrar el cumplimiento.
  • Si cumple alguna de las normas anteriores y no tiene su sede en California ni una ubicación física en California.
  • Si usted entra en una de esas normas y es una empresa que "desidentifica" datos recogidos sobre individuos, despojándolos de elementos que puedan utilizarse para identificar a una persona con el fin de utilizar los datos desidentificados para fines como el análisis estadístico.

¿Incluye la CCPA un "derecho al olvido"? Sí, como el RGPD, pero la interpretación de la CCPA de este derecho crea trabajo adicional para los gestores de datos y de cumplimiento:

  • Si un consumidor le pide que elimine sus datos, puede haber excepciones, como los datos que necesita para completar su negocio con esa persona.
  • Si necesitas enviarles por correo un producto por el que han pagado, o hacer un seguimiento de su historial de compras con fines de asistencia técnica, no tienes por qué acceder a la solicitud.
  • Si tienes la obligación legal de conservar sus datos, no tienes por qué acceder a su petición.

¿Alguna otra arruga? Uno es que un consumidor puede permitirte conservar sus datos, pero no compartirlos ni venderlos. Así que tendrás que gestionar sus datos en función de cada solicitud individual.

Si no cumplo, ¿me saldrá caro? California sí que es cara: si no suprimes un registro de datos personales cuando te lo piden, o se vende sin permiso de la persona, o se filtra, la multa mínima es de 2.500 dólares por registro. La multa aumenta cuanto más se tarde en solucionar el problema. Si se determina que una violación se debió a un problema conocido que usted ignoró, la multa puede dispararse automáticamente hasta su tope de 7.500 dólares por registro. Multiplique esta cifra por el número de registros afectados y verá cómo el incumplimiento puede resultar ruinosamente costoso.

¿Cómo puede la tecnología facilitar el cumplimiento de la CCPA?

La complejidad de lidiar con cada vez más normativas nuevas como el GDPR y la CCPA ha dejado obsoletos los procesos y herramientas tradicionales. Para mitigar de forma rentable el riesgo y la exposición potenciales, las empresas están recurriendo a soluciones de software jurídico y de GRC de última generación.

Gestión jurídica empresarial

Con una plataforma ELM de primer nivel, un departamento jurídico corporativo puede realizar un seguimiento y gestionar los numerosos asuntos relacionados con el cumplimiento de la normativa sobre privacidad de datos, y reducir el gasto jurídico externo que conlleva su gestión.

Automatización del flujo de trabajo

La automatización de los procesos relacionados con el cumplimiento, como las solicitudes de eliminación de datos, puede garantizar que se ejecuten con precisión y sin errores en una fracción del tiempo que se tardaría con flujos de trabajo prácticos propensos a errores. Además, las mejores prácticas de cumplimiento pueden integrarse en los flujos de trabajo operativos de toda la organización.

Gestión de políticas

Una solución de gestión de políticas puede ahorrar tiempo y mejorar la eficacia en la creación, aprobación y comunicación de políticas, la distribución inteligente, las evaluaciones de conocimientos y la elaboración de informes, al tiempo que proporciona a una organización un programa de cumplimiento defendible.

Gestión de contenidos empresariales

Una solución ECM proporciona un control completo sobre la captura, indexación, archivo, recuperación, accesibilidad, entrega y retención de cada elemento de información crítica para el negocio en una organización, a través de un repositorio central seguro.

Entradas del blog sobre privacidad de datos
Lea cómo la CCPA, el GDPR y otras exigencias normativas pueden afectar a sus operaciones jurídicas y de GRC.

Ver más entradas del blog sobre privacidad de datos

Libros electrónicos, libros blancos y mucho más
Recursos de expertos para crear una cultura de cumplimiento y afrontar los retos del cumplimiento.

Ver más recursos sobre cumplimiento

¿Necesita herramientas para cumplir la CCPA?

Un experto de Mitratech puede ayudarle a encontrar los productos adecuados para abordar la CCPA y otros retos de cumplimiento nuevos, existentes o futuros.