Lista de verificación de cumplimiento de CCPA: una hoja de ruta que puede seguir

La Ley de privacidad del consumidor de California (CCPA) se aprobó en 2018 luego de una petición de los residentes de California que solicitaban medidas legales para proteger su privacidad en línea. La CCPA entró en vigencia en 2020 y es una de las leyes de privacidad de datos más extensas del país.

La ley requiere una mayor transparencia por parte de las empresas que recopilan información personal de los residentes de California. Bajo la CCPA, las empresas deben informar a los consumidores ya sea que estén recopilando, usando, compartiendo o vendiendo datos personales.

También deben cumplir con las solicitudes de los consumidores para acceder a sus datos, dejar de compartir o vender sus datos, dejar de recopilar sus datos o eliminar todos sus datos.

Las empresas que no cumplan con la CCPA están sujetas a acciones legales por parte de los consumidores, así como a multas severas según la gravedad de la infracción (las infracciones que se determine que son intencionales conllevan sanciones mucho más severas).

Con esto en mente, debe hacer todo lo posible para lograr y mantener la CCPA. cumplimiento. Afortunadamente, si usa nuestra lista de verificación, el proceso de determinar si se encuentra dentro del alcance de la CCPA y cumplir no debería ser tan complicado.

¿Se aplica la CCPA a usted?

Lo primero que debe entender es que la CCPA es una ley estatal, no federal. Muchos estados han promulgado diferentes leyes de privacidad de datos. La CCPA solo se refiere a los datos que recopila de los residentes del estado de California.

Si su empresa no recopila datos de los residentes de California, la CCPA no se aplica a su negocio. Sin embargo, si está recopilando datos de los residentes de California, estará obligado legalmente a cumplir con las regulaciones de la CCPA, ya sea que su empresa esté ubicada en California o no.

Hay algunas excepciones a la ley, lo que significa que no todas las empresas están obligadas a cumplir. Si su empresa no cumple con los criterios de un negocio que cae bajo el alcance de la CCPA, entonces no está legalmente obligado a lograr el cumplimiento.

Determine si su negocio está cubierto

Tres criterios principales determinan si una empresa debe lograr el cumplimiento de la CCPA. Si su negocio cumple con alguno de los siguientes criterios, estará legalmente obligado a lograr y mantener el cumplimiento.

¿Su ingreso bruto anual asciende a $ 25 millones?

Cualquier empresa que gane $25 millones o más en ingresos anuales debe lograr el cumplimiento de la CCPA. Si está a punto de alcanzar un ingreso de $ 25 millones pero actualmente está por debajo de esa marca, es posible que desee considerar lograr el cumplimiento lo antes posible, ya que es probable que esté legalmente obligado a hacerlo en un futuro cercano de todos modos.

¿Recibe o comparte información personal de 50 000 o más consumidores, hogares o dispositivos?

Incluso si su empresa aún no está cerca de alcanzar el sello de ingresos brutos anuales de $ 25 millones, aún deberá lograr el cumplimiento de CCPA si está recopilando los datos personales de 50,000 o más consumidores, hogares o dispositivos. Este criterio se aplica incluso si no comparte ni vende los datos que recopila.

¿La mitad de sus ingresos anuales provienen de la venta de datos de consumidores?

Las empresas que obtienen el 50 por ciento o más de sus ingresos anuales de la venta de datos de usuarios también deben lograr el cumplimiento de la CCPA. Si este es el caso, debe cumplir incluso si no cumple con los otros dos criterios.

Negocios que están exentos

Además de las empresas que no cumplen con ninguno de los tres criterios establecidos por las pautas de la CCPA, existen algunas otras exenciones en las que no necesitará cumplir con las regulaciones de la CCPA. Estas exenciones incluyen lo siguiente:

• Datos recopilados fuera de California – Si el usuario se encontraba fuera de California en el momento en que se recogieron los datos, las reglamentaciones de la CCPA no protegen a ese usuario.

• Necesidades de datos transaccionales – Si la información personal que tiene una empresa es necesaria para realizar un contrato, promover una relación comercial existente o completar una transacción, entonces esa empresa no está obligada a eliminar esos datos a pedido. Por ejemplo, si un cliente de California compra un producto junto con una garantía de cinco años, no puede solicitar que elimine sus datos hasta que haya vencido la garantía de cinco años. Sin embargo, no puede aplicar esta exención a todas las transacciones. Si un consumidor realiza una compra única y la transacción ha finalizado, tiene derecho a solicitar la eliminación de sus datos.

• Información del empleado – Los empleados o contratistas que trabajan para su empresa no pueden solicitar la eliminación de la información personal que haya recopilado de ellos. Sin embargo, tienen derecho a averiguar qué datos ha obtenido de ellos.

• Investigación en nombre del interés público – Si una empresa está recopilando información personal para investigaciones científicas, estadísticas o históricas públicas o revisadas por pares, es posible que no tengan que eliminar esa información incluso si se solicita. El cumplimiento aquí dependerá de si la investigación es de interés público y si la eliminación de los datos personales dificultará el estudio o hará que sea imposible completarlo.

• Los usos internos previstos – Es posible que no sea necesario eliminar los datos a pedido si está utilizando esos datos personales únicamente para fines internos. Sin embargo, debe alinear razonablemente esos propósitos con el mantenimiento de las expectativas del consumidor en función de su relación con su negocio.

• Cómplice legal – Si el gobierno solicita información personal que una empresa ha recopilado en virtud de la Ley de privacidad de las comunicaciones electrónicas de California (CalECPA), no es necesario que elimine esa información personal, incluso si recibe una solicitud verificada para hacerlo. Existen otras situaciones en las que las obligaciones legales pueden prevalecer sobre el cumplimiento de la CCPA. Por ejemplo, si el gobierno requiere datos personales como parte de una investigación regulatoria o como parte del descubrimiento en juicios civiles.

• Usos de seguridad – Ciertos datos personales pueden estar exentos de eliminación si los está utilizando para mantener registros del servidor o para detectar y prevenir incidentes de seguridad (tanto en lo que respecta a la ciberseguridad como a la seguridad en el sitio).

¿Cumple su negocio?

Una vez que haya determinado si su empresa cumple con uno de los tres criterios descritos por la CCPA, identifique si su empresa cumple actualmente.

Hay tres componentes esenciales para el cumplimiento.

1. Debe ser transparente acerca de sus actividades de recopilación de datos.
2. Debe proporcionar a los consumidores una forma de enviar una solicitud para acceder a sus datos, eliminar sus datos u optar por no compartir o vender sus datos.
3. Debe asegurarse de que puede cumplir con las solicitudes de privacidad de datos del consumidor. Para hacer esto, sus datos deben estar organizados y accesibles, y debe capacitar a sus empleados para ejecutar correctamente las solicitudes de privacidad de datos del consumidor.

Estos pasos deberían ayudarlo a determinar si actualmente cumple con la CCPA y qué debe hacer para lograr el cumplimiento si no lo hace.

Haga un balance de sus datos

Muchas empresas recopilan datos personales de los consumidores de una variedad de fuentes de datos diferentes; desafortunadamente, muchas empresas no organizan sus datos de manera efectiva.

Una organización deficiente puede dificultar el seguimiento de todos los datos que ha recopilado sobre un consumidor, y es posible que le resulte difícil cumplir con una solicitud de privacidad de datos.

El mapeo de datos le permite hacer un inventario adecuado de sus datos y hace que sea mucho más fácil rastrear los datos personales de los consumidores y cumplir con las solicitudes de eliminación.

¿Tiene sus datos de consumidores de California mapeados o inventariados?

Actualice sus políticas y avisos

Aunque la CCPA no requiere que pidas consentimiento para recopilar datos (a menos que el usuario tenga 16 años o menos), debes ser transparente sobre si estás recopilando información personal y qué estás haciendo con ella. Para ser transparente (y compatible), deberá actualizar lo siguiente políticas del sitio web y avisos:

Políticas de privacidad

Su política de privacidad debe detallar qué tipo de información está recopilando y por qué razón (o razones) está recopilando esa información, como usarla para mejorar su experiencia en el sitio web o compartir esa información con terceros.

Si alguna vez cambia el tipo de datos que recopila o cómo los usa, debe actualizar su política para reflejar esos cambios. Su política de privacidad también debe ser fácil de encontrar.

Una forma de garantizar que los visitantes de su sitio tengan acceso a su política de privacidad es proporcionar un aviso con un enlace a la política de privacidad en el momento en que llegan a su sitio web.

¿Ha actualizado la política de privacidad y los avisos de su empresa y los ha incorporado en todos sus procedimientos?

Políticas de seguridad

Asegúreles a los usuarios que los datos que recopila de ellos están seguros y que mantendrá su confidencialidad. Si no puede hacer esto, no hay motivo para que los usuarios no le soliciten que elimine su información.

Tranquilice a sus usuarios publicando una política de seguridad detallada en su sitio web que sea fácil de leer y comprender para los usuarios.

¿Puede asegurar a sus consumidores la confidencialidad e integridad?

Acuerdos de terceros

Si está vendiendo o compartiendo información personal con terceros, asegúrese de que sus acuerdos con terceros estén estandarizados y a prueba de infracciones.

Tus acuerdos deben indicar explícitamente qué tipo de información estás vendiendo (como las categorías de información personal) y para qué la están usando (un tercero no puede dar la vuelta y revender los datos que les vendiste).

¿Sus acuerdos con entidades de terceros están estandarizados y son a prueba de incumplimientos?

Establecer procedimientos de accesibilidad en su lugar

No solo debe cumplir con las solicitudes de privacidad de datos de los consumidores, sino que también debe brindarles una manera fácil de realizar esas solicitudes.

Puede hacer esto proporcionando a los usuarios un formulario web que pueden completar y un número de teléfono al que pueden llamar. Además de asegurarse de que ha mapeado toda la información personal que ha recopilado, también deberá capacitar a los empleados para que manejen las solicitudes de manera adecuada. Solo tiene 45 días para cumplir con una solicitud una vez que la recibe.

Antes de cumplir con una solicitud de privacidad de datos, deberá verificar que la información personal pertenezca al usuario que envió la solicitud. Finalmente, asegúrese de que si la solicitud es para la eliminación de datos, los datos en cuestión no estén exentos de la CCPA.

¿Puede ejecutar solicitudes de acceso o eliminación con precisión y sin problemas?

¿Puede responder a los consumidores de manera oportuna?

¿Puede determinar correctamente la elegibilidad del consumidor solicitante?

¿Puede evaluar qué excepciones están disponibles para su empresa en todos y cada uno de los casos?

Habilitar un proceso de verificación

No desea facilitar que alguien solicite acceso a información personal que no es suya. Estos casos pueden dar lugar a fraudes con tarjetas de crédito o robo de identidad. Para evitar problemas como estos, deberá implementar un proceso de verificación que autentique las solicitudes de privacidad de datos.

Existen muchas herramientas de verificación que puede usar que permiten una variedad de soluciones de verificación, como verificación por correo electrónico, preguntas de opción múltiple o verificación basada en información personal, por nombrar algunos ejemplos.

¿Pueden los consumidores verificar sus identidades?

Crear un botón o enlace de exclusión voluntaria

Si está vendiendo o compartiendo información del consumidor, cree un botón o enlace de exclusión voluntaria. Esto facilita que los consumidores soliciten fácilmente que deje de vender o compartir sus datos personales.

¿Su sitio ofrece a los consumidores la opción de no compartir su información a través de un botón o enlace?

Obtenga el consentimiento de los menores

Como se mencionó anteriormente, no necesita el consentimiento para recopilar datos de los usuarios si tienen más de 16 años. Sin embargo, si el usuario tiene entre 13 y 16 años, debe solicitar permiso para recopilar su información. Para usuarios menores de 13 años, debe solicitar el permiso de sus padres.

¿Cuenta con un método establecido para obtener el consentimiento de los padres de niños de 13 años o menos?

¿Tiene un método establecido para obtener el consentimiento de menores de 13 a 16 años?

Planifique sistemáticamente su conformidad

La CCPA es extensa en su regulación de la transparencia y el uso de datos. Aunque pueda parecer un gran desafío lograr el cumplimiento, no debería ser difícil si aborda el proceso a través de una planificación e implementación sistemáticas.

Comprender lo que implica CCPA es el primer paso. Usar nuestra lista de verificación de cumplimiento es el segundo paso.

Mediante el uso de nuestra lista de verificación, no debería tener problemas para alcanzar el cumplimiento de la CCPA paso a paso, y para mantener su cumplimiento una vez que lo haya logrado.