Por qué su empresa debe prestar atención al cumplimiento de la CCPA

Por qué las empresas deben prestar atención a la Ley de Privacidad del Consumidor de California - CCPA

La famosa cultura surfera relajada y soleada de California desmiente su papel en cambiar las conversaciones nacionales sobre temas candentes a través de la aprobación de leyes legislativas históricas. El primero en aprobar todo, desde la contaminación del aire hasta la marihuana medicinal y la legislación de divorcio sin culpa, California está liderando la lucha por leyes de privacidad de datos amigables para el consumidor.

La Ley de privacidad del consumidor de California (CCPA) es la ley de privacidad de datos más completa y aplicable de los Estados Unidos. Es difícil exagerar su impacto en las prácticas de privacidad.

Lo que necesita saber sobre la CCPA

Las normas de privacidad son complejas, es cierto. Pero son manejables para todos y cada uno de los negocios con el enfoque correcto. Si está al comienzo de su viaje de cumplimiento de la privacidad (música inspiradora), esto es lo que necesita saber sobre CCPA y su negocio. 

La pregunta de los $25 millones: ¿Se me aplica la CCPA?

La pregunta número uno que recibimos de los clientes es: Entonces, ¿debo preocuparme por la CCPA o no?

La CCPA se aplica a las empresas con fines de lucro que operan en California, recopilan y controlan la información personal de los residentes de California y cumplen con uno de los siguientes requisitos:

  • Ingresos brutos anuales superiores a $ 25 millones
  • Recopila información personal de más de 50,000 XNUMX residentes, hogares o dispositivos de California cada año *
  • Recibe el 50% o más de los ingresos anuales de la venta de información personal de los residentes de California

*El umbral de información personal recopilada se elevará a 100,000 2023 en XNUMX cuando la Ley de derechos de privacidad de California entre en vigor.

Esto puede parecer que es solo para grandes corporaciones. No es. Los investigadores estiman hasta 75% de las empresas de California que ganan menos de $25 millones en ingresos anuales será afectado por la ley.

Se trata del individuo (derechos)

El derecho individual de un consumidor a controlar cómo se utiliza su información personal es el núcleo de la CCPA. Los derechos codificados por la CCPA incluyen el derecho a:

  • Sepa qué información está recopilando sobre ellos y por qué.
  • Solicitarle que elimine su información de sus bases de datos.
  • Sepa con qué empresas de terceros está compartiendo sus datos o comprando sus datos
  • Solicite una respuesta de aceptación antes de vender datos para cualquier persona menor de 16 años
  • Opt-out de la venta de información personal

El último, el derecho a rechazar la venta de información personal, es el más importante. Con una definición amplia de lo que constituye la "venta" de datos (venta, alquiler, liberación, divulgación, difusión, puesta a disposición o transferencia... la información personal de un consumidor a cambio de dinero) or algo más valioso), este requisito puede ser el más resbaladizo para las empresas.

Gestión de solicitudes de derechos individuales

Si permite que terceros utilicen los datos que recopila para sus propios fines y deben cumplir con la CCPA, usted tienen tener procesos de mapeo de datos seguros y eficientes que le permitan identificar, modificar y eliminar información personal de los consumidores dentro de los plazos de la CCPA.

Eso significa que necesitas:

  • Tener procesos para enviar solicitudes de derechos individuales para conocer/eliminar. Esto debe incluir al menos dos formas de enviar solicitudes.  
    • Se requiere un número de teléfono gratuito, a excepción de las empresas que solo operan en línea; una dirección de correo electrónico puede ocupar el lugar del número gratuito.  
    • En general, todas las empresas pueden proporcionar un formulario web o una dirección de correo electrónico para enviar solicitudes.
    • Antes de finalizar sus procesos, consulte con un profesional de privacidad para asegurarse de que está tomando las decisiones correctas.
  • Sepa que puede cumplir con la estricta confirmación de solicitud de 10 días y el plazo de finalización de 45 días
  • Sepa que su equipo puede identificar y verificar correctamente los registros de información del consumidor 

Transparencia con los dientes

Contamos con requisitos estrictos por notificar a los clientes sobre las prácticas de recopilación de datos, puede agradecer a CCPA por todos esos Actualización de nuestra política de privacidad correos electrónicos que ha estado recibiendo de todas las empresas a las que alguna vez le ha dado su dirección de correo electrónico. 

Los avisos de privacidad que cumplen con la CCPA deben ser accesibles e indicar específicamente qué tipo de información recopila, qué hace con ella y con quién la comparte. También debe detallar claramente los derechos que tienen sus consumidores. (Véase más arriba). 

Es más, tiene que decirles a los consumidores todo eso en el momento de la recolección o antes y proporcionarles una (obvia) No venda mis datos personales botón en su página de inicio.

Barra lateral: si su política de privacidad tiene cuatro páginas de jerga legal densa, reescríbala en un estilo fácil de usar. Si lo hace, ayudará a sus clientes a comprenderlo y a mejorar su experiencia en su sitio. 

Mantenlo en secreto, mantenlo seguro

CCPA requiere que usted mantenga procedimientos de seguridad razonables para proteger la información sensible del consumidor. La legislación no establece qué es un "procedimiento de seguridad razonable", pero lo primero que debe hacer es asegurarse de comprender el ciclo de vida completo de un registro de datos. Esto significa que necesita saber qué información recopila, por qué la recopila, cuándo la recopila, dónde la almacena, cuánto tiempo la conserva y con quién la comparte. 

Otras cosas que definitivamente deberían estar en su lista de tareas pendientes incluyen:

  • Restricción y actualización de sus estructuras de permisos de acceso (le sorprendería saber cuántas empresas se olvidan de eliminar a los ex empleados de sus sistemas)
  • Fortalecimiento de los procesos de actualización y aplicación de parches de software/hardware de su empresa para que sus sistemas no sean vulnerables a los ataques
  • Crear políticas de la empresa para contraseñas seguras, uso de VPN (¡sin Wi-Fi público!) y la separación de dispositivos personales y de trabajo
  • Cifrar datos en reposo y cuando se transfieren a otras empresas.

Después de abordar esos pasos, considere una evaluación de privacidad y seguridad para su sistema y para cada uno de sus proveedores de servicios.

Por qué CCPA Realmente, realmente Cuestiones

CCPA es solo el comienzo. Es la primera ley amplia de privacidad de datos de Estados Unidos, pero ni siquiera se acerca a la última. Cumplir con la CCPA permitirá que su negocio se adapte rápidamente a los cambios que ya son visibles en el horizonte. 

Más regulaciones de privacidad están en camino

El sucesor de CCPA, el Ley de registros de privacidad de California (CPRA), ya ha sido aprobada por los votantes de California. CPRA aclara secciones vagas de CCPA, agrega protecciones adicionales para el consumidor y agrega exposición de responsabilidad civil para su empresa si una violación de datos expone la información personal confidencial de sus clientes. 

Excluyendo el derecho de acceso, la CPRA, tal como está escrita ahora, se aplicará a la información personal que recopile de sus clientes a partir del 1 de enero de 2022. Esto significa que, aunque la CPRA no entrará en vigencia hasta enero de 2023, usted deben poder rastrear de manera efectiva los registros de datos individuales para fines de 2021. 

Cumplir con la CCPA lo logrará de manera efectiva y hará que su viaje hacia el cumplimiento de la CPRA sea mucho más fácil.

La CPRA también aumentó drásticamente la probabilidad de que veamos una acción de cumplimiento sólida al crear y financiar la Agencia de Protección de la Privacidad de California, que contará con una cantidad significativa de fondos y personal para manejar las quejas de privacidad. Con la aplicación de la CCPA administrada por la oficina del Fiscal General de California, las empresas han podido eludir el escrutinio o evitar que se les entreguen violaciones de privacidad. Esto será considerablemente menos probable con el mayor nivel de escrutinio de la CPRA.

Regulaciones de privacidad en otros estados

Nevada, Maine, Massachusetts, Nueva York, Vermont e Illinois también tienen leyes de protección de datos en los libros, aunque difieren en muchos aspectos de la CCPA y no se consideran una ley de privacidad integral. Otros estados tienen proyectos de ley activos pendientes. Incluso si ninguna de estas leyes pendientes coincide con los estándares de California, las probabilidades de que haya una regulación en su estado en los próximos cinco años son muy altas. Si puede hacer que su empresa cumpla con la CCPA ahora, cumplir con los requisitos futuros será más rápido, más eficiente y menos costoso.

Multas, tarifas, mandatos judiciales, ¡Dios mío!

Nada es peor para el comercio electrónico que una violación de datos. Los hacks a menudo dan como resultado una publicidad vergonzosamente mala, pero también dan un golpe a su reputación con los consumidores que se traduce en pérdidas de ventas y disminución de ingresos.

Sin embargo, no se trata solo de la confianza del consumidor. El incumplimiento también presenta un riesgo financiero real que podría agotar sus reservas mientras sus ventas están bajas.

Según la CCPA, la falta de resolución de problemas de incumplimiento dentro de los 30 días posteriores a la notificación puede resultar en una orden judicial que podría cerrar su negocio. Podría estar sujeto a una multa de $ 2,500-7,000 por registro del estado de California. El umbral de la CCPA para la recopilación de datos es de 50,000 registros al año. Recibir un cargo de $ 2,500 o $ 7,500 por incluso una fracción de esa cantidad de registros es mucho dinero.

Además, los clientes individuales pueden demandarlo directamente si hay una violación de datos no redactados o no cifrados por una suma de $ 100-750 por registro. 

Entrenamiento, Entrenamiento, Entrenamiento

La investigación estima que 30% de todos los hacks puede atribuirse a un error humano interno y casi 95% de las infracciones basadas en la nube son causados ​​inadvertidamente por errores de los empleados.

Incluso los grandes programas de privacidad de datos fallarán si sus empleados y proveedores no los entienden. Comience a capacitar a sus empleados sobre el cumplimiento de la CCPA y las mejores prácticas de privacidad de datos ahora. Si sus proveedores no pueden o no quieren cumplir con sus expectativas, busque otros nuevos. 

Antes de pensar que la privacidad pertenece únicamente al mundo de los trabajadores de TI, recuerde en qué mundo interconectado, con hipervínculos e intercambio de información vivimos. Departamento de Marketing a su equipo de ventas a sus representantes de servicio al cliente, el cumplimiento de la privacidad y la capacitación deben abordarse en todos los niveles de su negocio. 

Se necesita tiempo para desarrollar una sólida cultura de conciencia de la privacidad, así que no desperdicies más.

ser el chico bueno

Los datos del consumidor no son solo una herramienta, son la moneda más valiosa del mundo. Debe protegerlo tan cuidadosamente como lo hace con sus patentes, derechos de autor y fórmulas de productos. Incluso si CCPA técnicamente no se aplica a usted, los consumidores tienen poca tolerancia con las empresas que juegan rápido y suelto con su información personal.

En lugar de ver los requisitos de privacidad como un centro de costos, piense en ellos como un valor agregado central que genera confianza con sus clientes e individualiza su experiencia.

Construyendo su futuro digital

La confianza digital, o cuánta confianza tienen los usuarios en que una empresa se está comportando éticamente en línea, será un tema clave para los consumidores durante la próxima década. Cumplir con la CCPA ahora creará la base sólida que necesita para adaptarse a la infraestructura de privacidad de datos que se está construyendo a su alrededor en tiempo real. En lugar de quedarse encerrado, construya el andamiaje de práctica de privacidad que le ahorrará tiempo y dinero a largo plazo.

¿Qué piensas?

Este sitio usa Akismet para reducir el correo no deseado. Descubra cómo se procesan los datos de sus comentarios.