Promulgada originalmente en junio de 2018 y en vigor desde enero de 2020, la Ley de Privacidad del Consumidor de California (CCPA) regula la recopilación y venta de datos de consumidores por parte de las empresas, con el objetivo de proteger la información personal sensible de los residentes de California y proporcionar a los consumidores control sobre cómo se utiliza dicha información.
La CCPA se amplió en 2023 con la Ley de Derechos de Privacidad de California (CPRA), que añadió nuevas obligaciones de cumplimiento que exigen acuerdos estrictos con terceros para garantizar la recopilación, el uso y la eliminación seguros de la información de los consumidores. Aunque es en gran medida idéntica a la CCPA, la CPRA:
- Añade contenido para alinearlo más estrechamente con el Reglamento General de Protección de Datos (RGPD) de la UE.
- Aumenta las sanciones por infracciones.
- Autoriza la creación de la Agencia de Protección de la Privacidad de California.
Esta publicación examina los requisitos clave de la CCPA, a quiénes se aplica y cómo las organizaciones pueden garantizar que sus terceros protejan los datos de sus clientes. Para simplificar, esta publicación se refiere a ambas regulaciones, la CCPA y la CPRA, como la CCPA.
¿Cómo define la CCPA la información personal?
Comencemos por definir qué se entiende por «información personal». La CCPA define la información personal sensible como «información que identifica, se relaciona con, describe, puede asociarse razonablemente con, o podría vincularse razonablemente, directa o indirectamente, con un consumidor o hogar en particular».
¿Qué exige la CCPA a las empresas (y a sus terceros)?
La CCPA exige a las empresas que informen a los residentes de California sobre los datos que se recopilan antes de recopilarlos. Permite a los consumidores acceder a todos los datos personales que posee una empresa y recibir información sobre las personas u organizaciones con las que se han compartido dichos datos. También permite a los consumidores optar por no participar y evitar que sus datos personales se vendan o se compartan con terceros.
¿A quién se aplica la CCPA?
Aunque la CCPA es técnicamente una ley del estado de California, su alcance se extiende mucho más allá de las fronteras del Estado Dorado. La supervisión de la CCPA no se limita a las empresas con sede en California, ni siquiera a las empresas que operan físicamente en California: la CCPA se aplica a los datos de los consumidores recopilados de cualquier residente de California.
Teniendo en cuenta que California tiene una población de aproximadamente 40 millones de habitantes y que sería la quinta economía más grande del mundo si fuera un país independiente, es muy probable que, si su empresa recopila datos de consumidores, haya recopilado datos de residentes de California. De hecho, muchas empresas optan por tratar a todos los consumidores como si fueran residentes de California y, por lo tanto, se preparan para cumplir con la CCPA en todas sus actividades comerciales.
¿Cuáles son las sanciones por incumplimiento de la CCPA?
Si se determina que una empresa es responsable de una sanción civil en virtud de la CCPA, la sanción puede alcanzar los 7500 dólares por cada infracción intencionada y los 2500 dólares por cada infracción no intencionada. El tribunal también puede ordenar el pago de una indemnización por daños y perjuicios a los consumidores.
Lista de verificación: cuatro requisitos clave de cumplimiento de la CCPA para terceros
[Sección 1798.100 de la CCPA](https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CIV§ionNum=1798.100.) establece que una empresa que recopila información personal de los consumidores y la vende o comparte con terceros debe celebrar un acuerdo con dichos terceros que «oblige al tercero, proveedor de servicios o contratista a cumplir» con las normas de privacidad de la CCPA. Por lo tanto, las organizaciones deben asegurarse de que sus socios y proveedores de servicios externos estén bien preparados para proteger la información de los consumidores. El primer paso de cualquier programa de seguridad es identificar y priorizar los riesgos existentes mediante una evaluación de seguridad exhaustiva. La sección 1798.185 (15) de la CCPA establece que «las empresas cuyo tratamiento de la información personal de los consumidores suponga un riesgo significativo para la privacidad o la seguridad de estos» deben realizar auditorías anuales de ciberseguridad y presentar una evaluación de riesgos a la Agencia de Protección de la Privacidad de California. Las disposiciones específicas de la CCPA que las organizaciones deben examinar incluyen:
| 1798.81.5 (b), implementar y mantener procedimientos y prácticas de seguridad razonables. | Para cualquier norma reguladora, las organizaciones deben asegurarse de que miden los riesgos correctos y aplican los controles adecuados. En el caso de la CCPA, eso podría significar aprovechar los controles de seguridad críticos del Centro para la Seguridad en Internet (CIS) como marco de referencia.
Busque una solución que evalúe no solo los controles de privacidad de terceros, sino también los riesgos más amplios de terceros utilizando una gran biblioteca de evaluaciones aprobadas por auditores. |
| 1798.100 (d), celebrar un acuerdo que obligue al tercero a cumplir con las obligaciones aplicables. | Prevalent centraliza la distribución, el debate, la retención y la revisión de contratos con proveedores, incluyendo capacidades de flujo de trabajo para automatizar el ciclo de vida del contrato, desde la incorporación hasta la salida.
Con Prevalent, los equipos jurídicos y de compras disponen de una solución única para hacer cumplir las disposiciones de los contratos con los proveedores y los KPI, y simplificar la gestión y la revisión. |
| 1798.140 (c), revisiones manuales continuas y escaneos automatizados y evaluaciones periódicas, auditorías. | Para evitar riesgos operativos y de reputación, así como interrupciones en el negocio, las organizaciones deben asegurarse de que sus socios y terceros cumplan con medidas de seguridad razonables. Sin embargo, intentar realizar evaluaciones de terceros utilizando cuestionarios manuales y hojas de cálculo es inconsistente y poco escalable.
Busque plataformas de gestión de riesgos de terceros que automaticen las evaluaciones periódicas con supervisión continua para obtener una visión completa del riesgo de un proveedor. |
| 1798.185 (a) realizar una auditoría de ciberseguridad con periodicidad anual; y (b) presentar una evaluación de riesgos periódica a la CCPA. | La mayoría de las encuestas de evaluación de riesgos se centran en controles y políticas generales. El cumplimiento de la CCPA requiere un conocimiento técnico del procesamiento de datos, concretamente de los controles de seguridad críticos del CIS, que se sugieren como marco para garantizar la seguridad adecuada de los datos.
Busque soluciones que relacionen las respuestas de evaluaciones de terceros con los controles de seguridad críticos del CIS para garantizar una cobertura completa de la CCPA y ayudar a distinguir los sistemas diseñados adecuadamente de las funciones de seguridad y privacidad «añadidas» para garantizar el cumplimiento total. Busque informes eficaces que satisfagan los requisitos de auditoría y cumplimiento de la CCPA, así como para presentar los resultados al consejo de administración y a la alta dirección. |
Solo una vez que su empresa haya identificado a los terceros a los que vende datos de consumidores, podrá comenzar a tomar medidas para garantizar el cumplimiento de la CCPA, como actualizar sus acuerdos legales con los terceros o abrir canales de comunicación en caso de incumplimiento. A continuación, como parte de ese proceso, amplíe su descubrimiento acuartos y enésimos terceros. Identificar las relaciones entre su organización y los terceros , así como entre estos y sus terceros , le permitirá descubrir dependencias y visualizar las rutas de información, lo que simplificará enormemente el proceso de presentación de informes.
Cómo puede ayudar Prevalent
Prevalent ofrece a las empresas una solución integral para gestionar sus relaciones con terceros y cumplir con la CCPA. Nuestra plataforma de gestión de riesgos de terceros facilita:
- Descubra y mapee datos entre relaciones de terceros,cuartos
y enésimos. - Realizar autoevaluaciones para comprender la madurez de los procesos internos, así como de los propietarios de los datos.
- Evaluar a terceros en materia de controles de privacidad de datos.
- Automatizar la respuesta ante riesgos cuando las respuestas de terceros no se ajustan a las expectativas.
- Informe sobre el cumplimiento de la CCPA con informes integrados
- Reciba notificaciones automáticas sobre violaciones de datos para comprender los posibles riesgos para los datos de sus clientes.
- Centralizar la distribución, discusión, retención y revisión de los contratos con los proveedores.
Para obtener más información sobre cómo Prevalent puede ayudar a las organizaciones a evaluar sus controles de seguridad de datos de terceros para cumplir con los requisitos de la CCPA, lea el informe técnico «Lista de verificación de cumplimiento de terceros de la CCPA» o solicite una demostración hoy mismo. Para saber cómo se aplica la gestión de riesgos de terceros a otras normativas de privacidad, descargue el «Manual de cumplimiento de terceros: normativas de privacidad de datos».
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
