Cumplimiento de CCPA: regulaciones y consideraciones comerciales
Garantice el cumplimiento de la CCPA con estos 3 factores
En 2018, California aprobó el Ab-375, también conocido como la Ley de Privacidad del Consumidor de California (CCPA). La aprobación de la CCPA se produjo inmediatamente después del histórico Reglamento General de Protección de Datos (RGPD) aprobado por la Unión Europea. Ambas leyes son leyes de protección de datos personales destinadas a ayudar a proteger la privacidad de los usuarios en línea. La CCPA entró en vigor este año, lo que significa que empresas que recopilan datos de los consumidores en California debe acatar sus reglamentos o correr el riesgo de incumplimiento, lo que puede tener diversas consecuencias.
Sin embargo, no todas las empresas deben cumplir. Tres criterios principales determinan si su negocio tendrá que cumplir con la CCPA:
- Si su ingreso anual es de al menos $ 25 millones.
- Si ha recopilado los datos personales de al menos 50000 consumidores, dispositivos u hogares en California
- O la mitad de sus ingresos proviene de la venta de los datos personales que recopila.
Si su empresa cumple con cualquiera de estos tres criterios, entonces la empresa debe cumplir con la CCPA.
Los consumidores que se vieron afectados pueden demandar a las empresas que se encuentran dentro del alcance de la CCPA que no cumplen con los requisitos legales por daños legales que oscilan entre $ 100 y $ 750 por infracción o el monto de los daños reales, según cuál fue mayor. Además, la empresa puede recibir una multa de más de $7,500 por infracción por parte del Fiscal General. Para evitar multas potencialmente elevadas, asegúrese de que su empresa tenga en cuenta tres consideraciones para seguir cumpliendo.
Lo que impulsó la redacción de AB 375
Los consumidores se han vuelto cada vez más dependientes de Internet a lo largo de los años, hasta el punto en que constantemente brindan a los sitios web su información personal sin siquiera darse cuenta. Por ejemplo, dan regularmente sus nombres, direcciones de correo electrónico y números de tarjetas de crédito (comúnmente proporcionados a los sitios de comercio electrónico). Los sitios web también recopilan otros datos que los consumidores pueden no conocer, como cualquier información que se muestre en sus canales sociales y su comportamiento en línea (qué sitios web visitan y qué acciones toman en esos sitios web).
La información personal del consumidor es valiosa para las empresas que intentan identificar quién es su público objetivo y cómo mejorar sus esfuerzos de marketing. Desafortunadamente, muchos sitios web también darán la vuelta y venderán esta información a terceros. Los sitios que no cuentan con las medidas de seguridad adecuadas son propensos a que les roben sus datos. La seguridad inadecuada puede llevar a que los datos del consumidor se utilicen para fraudes con tarjetas de crédito o robo de identidad.
En los últimos años, ha habido varios casos de robo de datos muy publicitados, como la violación de Equifax, que expuso potencialmente la información personal de millones de personas, incluidos sus números de seguro social. También ha habido una controversia en curso en torno a Facebook y sus prácticas de recopilación de datos. Los californianos se dieron cuenta de estos problemas y firmaron una petición (que recibió 629,000 firmas).
En California, los ciudadanos pueden proponer nuevas leyes para someterlas a votación en votaciones futuras. Para que se apruebe una propuesta, los ciudadanos deben preparar una petición y acumular suficientes firmas. La petición que finalmente resultó en la CCPA solicitó que el gobierno estatal redactara una ley de privacidad que brindara a los californianos más control sobre su información personal.
Reglamentos clave de la CCPA
La CCPA es integral y se considera una de las leyes de privacidad de datos más estrictas en Cumplimiento de EE. UU. Para seguir cumpliendo con la CCPA, deberá cumplir con todas sus regulaciones, lo cual será difícil si no comprende todos los componentes de la ley.
Los siguientes son los componentes críticos de la CCPA con los que todas las empresas que se encuentran bajo el alcance de la ley deben familiarizarse:
Abordar las solicitudes de los clientes
La CCPA otorga a los consumidores de California el derecho a solicitar información sobre la privacidad de sus datos de cualquier sitio web que lo recopile. En primer lugar, los consumidores tienen derecho a preguntar qué datos obtienes de ellos y si los vendes o los compartes con terceros o no. En segundo lugar, los consumidores tienen derecho a solicitar que elimine cierta información o a optar por que sus datos no se recopilen y compartan con (o se vendan) a otras partes.
Finalmente, aunque puede brindar incentivos financieros a los consumidores a cambio del permiso para recopilar información, aún debe brindar el mismo servicio y precio a los consumidores que ejercen sus derechos de privacidad. No puede castigar a los consumidores por solicitar que deje de recopilar o compartir sus datos.
Para cumplir con la CCPA, debe cumplir con las solicitudes de privacidad de datos del consumidor, lo que puede ser un verdadero desafío si no organiza correctamente los datos que está recopilando. Una organización incorrecta puede significar que está almacenando sus datos en diferentes plataformas en una variedad de nombres de archivo diferentes. La gestión de archivos entre silos es esencial para cumplir con las solicitudes de los usuarios.
También hay un límite de tiempo para cumplir con las solicitudes de datos del consumidor. La CCPA dicta que las empresas tienen 45 días para proporcionar a los consumidores un informe que cumpla con su solicitud. Este informe debe incluir la información que tiene sobre el consumidor y si está vendiendo esa información. A diferencia del RGPD, la CCPA también requiere que divulgues a qué terceros estás vendiendo sus datos. También deberá proporcionar los nombres y direcciones de esos terceros. Cualquier información que proporcione a sus usuarios debe cubrir los últimos 12 meses.
En cuanto a la recepción de solicitudes, las empresas deben proporcionar a los consumidores dos formas de enviar sus solicitudes de privacidad de datos. Una forma debe ser en forma de un número de teléfono gratuito. Si también opera un sitio web, la segunda forma debe ser a través de un formulario web interactivo al que los consumidores puedan acceder a través de su sitio web o una aplicación móvil. Proporcionar una dirección de correo electrónico de contacto en su política de privacidad no será suficiente.
Agente autorizado
No todos los consumidores entienden el proceso de realizar una solicitud de privacidad de datos. Con este entendimiento, la CCPA permite a los consumidores usar agentes autorizados para enviar una solicitud de derecho a saber o una orden de solicitud de eliminación. Los agentes autorizados son personas o entidades comerciales registradas en la Secretaría de Estado que pueden actuar en nombre del consumidor al que representan. Los agentes autorizados deben tener una autorización por escrito de los residentes de California a los que representan. El residente también puede necesitar verificar su identidad. Sin embargo, cualquier agente autorizado que tenga un poder notarial no tiene que presentar prueba de autorización.
Verificación de solicitudes
Para evitar que los ladrones soliciten datos de consumidores potencialmente confidenciales que luego puedan aprovechar para cometer fraude, deberá verificar las solicitudes de privacidad de datos. Lo último que querrá hacer es proporcionar información personal a alguien que no sea la persona a la que pertenece o su agente autorizado. La CCPA requiere que tenga métodos para verificar la identidad de la persona que realiza la solicitud. Existen muchas herramientas que brindan varias formas de autenticación de identidad, como verificación de correo electrónico, verificación basada en información personal o el uso de preguntas de opción múltiple para verificar identidades.
Provisión de Avisos
La CCPA no solo requiere que las empresas aborden las solicitudes de privacidad de datos de los residentes de California. La ley también exige que las empresas notifiquen adecuadamente que están recopilando datos de los usuarios. Más específicamente, se le pedirá que proporcione la notificación adecuada en el punto de recogida o antes. Este aviso también debe revelar las categorías de información personal que está recopilando y para qué la está utilizando (por ejemplo, si la está utilizando para mejorar su experiencia en el sitio web o para vender los datos a terceros).
Si sus prácticas de recopilación de datos cambian, debe actualizar su política de privacidad, así como cualquiera de sus avisos. Puede seguir cumpliendo proporcionando a los visitantes de su sitio web un enlace a una sección que describe su política de privacidad y que incluye la información de notificación adecuada. También es importante tener en cuenta que todos los avisos deben ser accesibles para todos los consumidores, incluidos aquellos con discapacidades. Este requisito puede significar que deberá proporcionar acceso al aviso en un formato alternativo.
Finalmente, aunque no puede castigar a los consumidores por ejercer sus derechos de privacidad de datos, las empresas pueden cobrar precios o tarifas diferentes, así como también proporcionar bienes o servicios de diferente calidad, si la diferencia está razonablemente relacionada con los datos del consumidor. El valor que proporciona a los consumidores debe estar directamente relacionado con los datos que proporcionaron. Si esta es su práctica, también debe proporcionar a todos los consumidores una notificación de incentivos financieros. También se permite ofrecer incentivos financieros a cambio del consentimiento para recopilar datos de un consumidor.
Mantenimiento de la Información de 4 Millones o Más de Consumidores
La CCPA también incluye pautas más estrictas para las empresas que mantienen datos de 4 millones o más de consumidores. Si su empresa compra, comparte, recibe o vende información que pertenece a 4 millones o más de consumidores cada año, deberá monitorear una variedad de métricas específicas. También deberá establecer y documentar la capacitación adecuada. Las métricas que utiliza deben incluir confirmaciones, cancelaciones, eliminaciones y la duración media de su tiempo de respuesta, por nombrar algunas. Además de monitorear estas métricas, también debe divulgar al público las métricas que está rastreando en su política de privacidad.
Aunque aún tendrá 45 días para responder a las solicitudes de privacidad de datos, si mantiene los datos de 4 millones o más de consumidores, deberá proporcionar una respuesta de marcador de posición a cualquier solicitud dentro de los diez días.
Para proveedores de servicios
Si su empresa se considera un "proveedor de servicios", es posible que no recopile información personal directamente de los consumidores; sin embargo, esto no significa que la CCPA no se aplique a usted. El término "consumidor" bajo la CCPA se refiere a cualquier persona física que sea residente de California. La CCPA aún se aplica si una empresa que brinda un servicio a otra empresa recopila información personal de sus contactos en esa empresa. Solo porque eres un B2B negocio no significa que no esté recopilando información personal.
Los proveedores de servicios tampoco pueden conservar, usar o divulgar la información personal que recopilan para ningún otro fin que no sea el de realizar el servicio que se especifica en su contrato comercial. Cualquier proveedor de servicios que obtenga información personal a través de un acuerdo contractual debe cumplir con la CCPA. Si usan la información de una manera que viole la ley, serán responsables de esas violaciones. Sin embargo, los proveedores de servicios no serán responsables si la empresa con la que trabajan comparte información personal con ellos en cumplimiento de las obligaciones de la CCPA. Por ejemplo, si usted es un proveedor de servicios y una empresa con la que trabaja no elimina la información personal de un consumidor que solicitó que lo hiciera, usted no será responsable de conservar esa información personal.
En cuanto a las infracciones de la CCPA de las que es responsable un proveedor de servicios, las sanciones son similares a las de cualquier otra empresa que infrinja la ley. Además de potencialmente enfrentar órdenes judiciales, un proveedor de servicios puede ser sancionado con más de $2500 por cada infracción y más de $7500 por cada infracción intencional. Si infringe la CCPA, tendrá 30 días después de haber recibido la notificación de la infracción para realizar los cambios correspondientes.
Capacitación y mantenimiento de registros
No podrá cumplir con los requisitos de la CCPA si no capacita adecuadamente a los empleados que manejan sus solicitudes de privacidad de datos del consumidor. Deberá capacitar a estos empleados para que procesen las solicitudes con prontitud, respondan adecuadamente, supervisen las solicitudes y actualicen su inventario de datos al cumplir con las solicitudes.
Además de la capacitación adicional de los empleados, también deberá mantener un inventario de datos. Utilice esta base de datos para monitorear todas sus actividades de procesamiento de datos, incluidos todos los procesos comerciales, aplicaciones, productos, dispositivos y terceros que procesan los datos personales de sus consumidores.
Consideraciones a realizar para lograr el cumplimiento
Hay mucho que considerar para lograr el cumplimiento de la CCPA. Sin embargo, si bien puede requerir un esfuerzo sostenido para mantener el cumplimiento, vale la pena hacerlo no solo como una forma de evitar posibles multas. Mantener el cumplimiento de la CCPA también ayuda a su empresa a mejorar la confianza en la marca. Un consumidor u organización, ya sea que se encuentre en California o no, confiará más en una empresa que divulgue sus hábitos de recopilación de datos y que sea transparente acerca de su política de privacidad de datos que en una empresa que no lo haga. Fomente una mayor confianza del consumidor en su empresa siguiendo estos pasos para cumplir con la CCPA:
1. Mayores divulgaciones
A diferencia del RGPD, las empresas no necesitan el consentimiento de los usuarios para recopilar información de ellos. Sin embargo, debe revelar el hecho de que lo está haciendo. El RGPD requiere que los sitios web proporcionen un aviso inmediato a los usuarios del sitio web solicitando permiso para recopilar sus datos (y el motivo para hacerlo). Si bien la CCPA no le exige que haga esto, deberá proporcionar un aviso inmediato de que está recopilando sus datos, cómo los está recopilando y con qué propósito los utilizará. A continuación, puede proporcionar un enlace a una política de privacidad, que le dará instrucciones al usuario sobre cómo darse de baja si así lo desea.
2. Actualizaciones del sitio web
Su sitio web es el método principal a través del cual recopila datos del consumidor, por lo que debe actualizar su sitio con regularidad para seguir cumpliendo con la CCPA. Afortunadamente, la CCPA describe lo que las empresas deben hacer para garantizar que su sitio web siga siendo compatible. Estos elementos deberán agregarse a su sitio web o actualizarse cuando sea necesario para lograr y mantener el cumplimiento de la CCPA:
Política de privacidad
Deberá divulgar al público todas sus actividades de recopilación e intercambio de datos. Para hacer esto correctamente, deberá crear una política de privacidad extensa que los consumidores puedan encontrar fácilmente en su sitio web. Esta política de privacidad debe incluir la siguiente información:
- Si está recopilando información del consumidor.
- Qué tipo de datos de consumidores está recopilando (por ejemplo, nombres y direcciones de correo electrónico).
- La razón por la que se recopila la información del consumidor.
- Cómo está recopilando datos del consumidor y cómo está procesando la información.
- Instrucciones claras sobre cómo las personas pueden solicitar acceso, cambiar o eliminar los datos personales que ha recopilado de ellos.
- Qué método utiliza para verificar la identidad de cualquier persona que realice una solicitud de privacidad de datos.
- Si está o no está compartiendo o vendiendo información del consumidor.
- Instrucciones sobre cómo los usuarios pueden solicitar que deje de compartir o vender sus datos personales.
Tenga en cuenta que si cambia la forma en que recopila, usa o comparte los datos del consumidor, deberá actualizar su política.
Permisos
Como se mencionó anteriormente, a diferencia del RGPD, la CCPA no requiere consentimiento, a menos que el usuario sea menor de cierta edad. Si el usuario tiene entre 13 y 16 años, deberá solicitarle permiso para recopilar y utilizar sus datos. Si el usuario es menor de 13 años, deberá solicitar el consentimiento de sus padres.
Método de verificación y exclusión voluntaria
Primero, debe poder verificar las solicitudes para acceder o eliminar datos. Si no lo hace, cualquiera puede solicitar la información personal de cualquier persona, lo que puede generar casos de fraude con tarjetas de crédito o robo de identidad por los que no desea ser responsable. Puede usar una variedad de medidas diferentes para verificar las solicitudes, como solicitar la verificación por correo electrónico o usar preguntas de opción múltiple para validar la identidad de una persona.
Luego, una vez que se verifique a un usuario, deberá proporcionarle un método para solicitar su información personal. Puede hacerlo proporcionando una dirección de correo electrónico o un formulario web que puedan completar. Muchos sitios web también agregarán un enlace de exclusión voluntaria en su página de inicio con la etiqueta "No vender mi información personal". Independientemente de cómo elija hacerlo, debe asegurarse de que los usuarios puedan encontrar fácilmente el método para darse de baja.
3. Mapas de datos
Para asegurarse de que puede cumplir con las solicitudes de acceso, cambio, eliminación o interrupción del intercambio o la venta de datos, los datos de los consumidores que recopila deben estar debidamente organizados y accesibles. De lo contrario, tendrá problemas para cumplir con las solicitudes de privacidad de datos, lo que aumenta el riesgo de incumplimiento. El mapeo de datos es el proceso de hacer coincidir los campos de datos de una base de datos con otra y ayudará a estandarizar sus datos, reducir los errores potenciales y hacer que sea mucho más fácil de entender.
La CCPA requiere que las empresas utilicen el mapeo de datos para que pueda hacer coincidir correctamente cualquier dato confidencial que tenga con la identidad del usuario con sede en California asociado con él. El mapeo de datos le permite identificar registros de sujetos de datos dentro de todas sus diferentes fuentes de datos. Puede hacer coincidir y vincular registros de consumidores entre fuentes y sistemas, lo que le brinda una mejor comprensión de los datos que tiene, cómo los usa, con quién los comparte o a quién los vende. El mapeo de datos es fundamental para proporcionar las divulgaciones de privacidad de datos adecuadas y para cumplir con las solicitudes de privacidad de datos de los usuarios.
Controle su riesgo, sea compatible
La recopilación de datos de los consumidores es una práctica muy común. Son los datos que obtiene los que le permiten identificar y analizar su público objetivo, lo que le permite mejorar sus estrategias de marketing, ventas y servicio al cliente de manera más efectiva. Sin embargo, si está recopilando datos de residentes en California, entonces tiene la responsabilidad legal no solo de mantener esos datos seguros, sino también de informar a los usuarios sobre sus prácticas de recopilación de datos. Si sigue cumpliendo con la CCPA, no solo evitará multas potencialmente elevadas como resultado de infracciones, sino que también aumentará la confianza en la marca y ayudará a limitar el riesgo de robo de datos. Solo tiene sentido implementar la capacitación, los métodos y las herramientas necesarios para garantizar el cumplimiento de la CCPA.
Si quieres conocer otros artículos parecidos a Cumplimiento de CCPA: regulaciones y consideraciones comerciales puedes visitar la categoría Seguridad.
Entradas Relacionadas 👇👇