Mientras las empresas de todo el mundo se preparaban para cumplir con las exigencias de las nuevas leyes y normativas sobre privacidad de datos en 2020, el mundo se vio sorprendido por la llegada de la COVID-19.
En la cumbre virtual de Mitratech, El futuro del cumplimiento normativo, me reuní con Mark Delgado, director general de productos de cumplimiento normativo de Mitratech, y Michael Rasmussen, fundador de GRC 20/20, para debatir qué ha cambiado y qué se ha mantenido igual.
A continuación, se presentan cinco conclusiones sobre el efecto de la COVID-19 en la privacidad de los datos y las prácticas empresariales:
1 • A pesar de la pandemia mundial, la aplicación privada de las leyes de privacidad de datos no se ha ralentizado.
La Ley de Privacidad del Consumidor de California entró en vigor en enero de 2020. Aunque la CCPA aún se encuentra en sus inicios, se han presentado al menos 19 demandas por presuntas infracciones de la CCPA o de otras leyes de protección al consumidor y competencia desleal basadas en la CCPA.
Algunas de las demandas son acciones colectivas en las que se alega que se ha violado la información personal confidencial de los demandantes como consecuencia del incumplimiento por parte del demandado de su obligación de implementar y mantener medidas de seguridad razonables.
En esos casos, los demandantes solicitan una indemnización por daños y perjuicios de entre 100 y 750 dólares por consumidor y por incidente, lo que puede suponer una suma considerable. Otras demandas pretenden poner a prueba los límites de la CCPA y exigirán a los jueces que interpreten y apliquen la ley de forma que tenga efectos duraderos.
2 • La aplicación normativa de las leyes de privacidad de datos tampoco se ha ralentizado.
El fiscal general de California, Xavier Becerra, comenzará a aplicar la CCPA el 1 de julio de 2020. En marzo de 2020, 60 grupos comerciales y empresas solicitaron al fiscal general que pospusiera la aplicación de la CCPA hasta el 2 de enero de 2021 debido a la COVID-19 y a que aún no se habían ultimado las normas de la CCPA. El fiscal general rechazó la solicitud.
En cambio, la oficina del fiscal general ha reiterado que se compromete a hacer cumplir la CCPA a partir del 1 de julio, incluso con la nueva realidad creada por la COVID-19.
3 • El aumento de la plantilla remota hace que la seguridad de los datos sea más importante que nunca.
Como consecuencia de la COVID-19, se produjo un cambio repentino hacia el teletrabajo. Consideremos estas estadísticas:
- El 88 % de las organizaciones han animado o exigido a sus empleados que trabajen desde casa.
- El teletrabajo ha llegado para quedarse. El 75 % de las empresas planean cambiar permanentemente a más trabajo remoto después de la COVID-19.
Y con los cambios en la fuerza laboral vienen cambios en los riesgos para la seguridad de la privacidad de los datos. Las organizaciones se enfrentan a un aumento de las amenazas por correo electrónico y a brechas en la seguridad de los puntos finales. Muchos de los cortafuegos y otras medidas de seguridad que existen en el entorno corporativo no están presentes en el entorno de la oficina en casa, lo que hace que los datos sean vulnerables.
Las empresas pueden mitigar este riesgo proporcionando a los trabajadores remotos una infraestructura de seguridad, formándolos para que sepan reconocer las amenazas de seguridad y educándolos en la cultura de la protección de la privacidad y el cumplimiento normativo.
4 • Las empresas están informando de un aumento en las solicitudes de los consumidores para acceder y eliminar sus datos.
Ya sea que el aumento de las solicitudes de los consumidores se deba a que estos son cada vez más conscientes de sus derechos de privacidad en general, o a que pasan más tiempo en casa y conectados a Internet como consecuencia de la COVID-19, el resultado es el mismo: cada vez son más los consumidores que ejercen sus derechos en virtud de la CCPA y del Reglamento General de Protección de Datos de la Unión Europea.
Como resultado, las empresas deben estar preparadas para reconocer y responder a las solicitudes de los consumidores dentro de los plazos exigidos por la legislación aplicable (generalmente 45 días según la CCPA y un mes según el RGPD). Las empresas que se han centrado en optimizar y automatizar sus flujos de trabajo de recepción de consumidores, reconocimiento, recuperación de datos y mantenimiento de registros estarán mejor preparadas para responder de manera eficiente y precisa al aumento de las solicitudes de los consumidores.
5 • Los programas de reincorporación al trabajo añaden nuevos retos.
A medida que las empresas contemplan el regreso de los empleados a las oficinas, fábricas y establecimientos minoristas y de servicios, muchas están considerando cómo mantener a los trabajadores y visitantes a salvo de la exposición al COVID-19. Como parte de este proceso, muchas empresas están tomando la temperatura de los empleados, y otras están pidiendo a los empleados que proporcionen información médica en forma de historiales médicos y certificados de salud actuales.
Dependiendo de la legislación aplicable, la recopilación y conservación de esta información personal puede requerir notificarlo a los empleados. La CCPA, por ejemplo, exige que las empresas notifiquen a los trabajadores y consumidores la información personal que recopilan sobre ellos y el fin empresarial o comercial para el que se utilizará dicha información. El RGPD también exige que el responsable del tratamiento informe a las personas del fin del tratamiento de los datos, junto con la base jurídica para dicho tratamiento.
A medida que los empleadores recopilan más información personal de los empleados, será necesario actualizar los avisos y las políticas de privacidad de datos para adaptarlos a las prácticas de recopilación y garantizar el tratamiento seguro de los datos confidenciales.
Estas cinco conclusiones clave son solo los aspectos más destacados de nuestro profundo debate. Para escuchar nuestra conversación completa sobre la privacidad de los datos en este nuevo mundo, consulte nuestro debate completo aquí.
