Requisitos de la CCPA en torno a derechos de datos más estrictos Las preocupaciones de los consumidores mantienen ocupados a los profesionales de la privacidad. Sin embargo, muchas empresas podrían no tener tiempo para tomarse un respiro antes de la próxima ronda de leyes de privacidad de datos de California: la Ley de Derechos de Privacidad de California (CPRA, también conocida como CCPA Versión 2.0), que amplía aún más la protección de datos para los consumidores y las regulaciones para las empresas.
¿Por qué las nuevas regulaciones de privacidad de California… ya?
Algunos consideran que la CCPA no fue lo suficientemente lejos. En concreto, el grupo que... originó la CCPA — los Californianos por la Privacidad del Consumidor — parecía sufrir remordimiento del vendedor después de que se aprobó la CCPA.
“Algunas de las empresas más grandes del mundo han priorizado activa y explícitamente el debilitamiento de la CCPA”, dice Alastair Mactaggart, el jefe de los Californianos por la Privacidad del Consumidor.
Además, «las herramientas tecnológicas han evolucionado de tal manera que explotan los datos del consumidor con consecuencias potencialmente peligrosas. Creo que usar los datos del consumidor de esta manera no solo es inmoral, sino que también amenaza nuestra democracia», afirma.
Nuevas protecciones bajo la Ley de Derechos de Privacidad de California (CPRA)
Con la CCPA aparentemente debilitada, el grupo presentó la nueva iniciativa de votación de la Ley de Derechos de Privacidad de California para las elecciones de noviembre.
En La CPRA es esencialmente una enmienda a la CCPA y propone legislación que reforzará ciertas disposiciones de la ley original, además de introducir nuevas protecciones. Algunas de estas incluyen:
- establecer una autoridad reguladora de la privacidad estatal dedicada a manejar la aplicación
- Ampliar el alcance de los datos regulados
- Instituir nuevos derechos de datos de los consumidores que rigen el procesamiento y el intercambio de datos
- modificación de la responsabilidad por incumplimiento
- Creación de requisitos para la minimización de datos
En resumen, la CPRA presenta un nuevo conjunto de requisitos que obligarán a las empresas a: Conozca sus datos y aproveche la inteligencia de datos para respaldar programas de privacidad receptivos, flexibles e integrales.
Nuevas definiciones y disposiciones bajo la CPRA
Cumplimiento según la Agencia de Protección de la Privacidad de California
La CPRA establecería la Agencia de Protección de la Privacidad de California, la primera agencia en los EE. UU. con autoridad para elaborar normas dedicada exclusivamente a la privacidad.
La agencia se haría cargo de la El papel del Fiscal General de California en la aplicación de la ley, y ahora podrán perseguir a las empresas sin darles un período de 30 días para mitigar sus violaciones.
Por dónde empezar: Ser capaz de hacerlo de forma rápida y eficaz reaccionar a los requisitos reglamentarios, Cumplir con todos los requisitos del consumidor Solicitudes de datos a escala e informes sobre la actividad.
Definición de información personal sensible (IPS)
“Información personal sensible” (SPI) es un nuevo término que existiría bajo la CPRA.
Más allá de la información personal (IP)SPI incluye información como números de seguro social, números de licencia de conducir, tarjetas de identificación estatales, información de pasaporte, geolocalización precisa, credenciales de usuario, información financiera y de salud, datos de “vida sexual” u orientación sexual, datos biométricos y genéticos, origen racial o étnico, creencias religiosas o filosóficas o afiliación sindical, así como contenidos de correo postal, correo electrónico y mensajes SMS.
Por dónde empezar: Encuentre e identifique automáticamente Todo su SPI dondequiera que se encuentre (en las instalaciones, en la nube e híbrido). en todas las fuentes de datos, a escala de petabytes.
El derecho a la corrección
La primera de las nuevas disposiciones revolucionarias de la CPRA sobre los derechos del consumidor es el “derecho de corrección”, que estipula que las empresas deben ofrecer a los consumidores la posibilidad de actualizar y corregir información inexacta que una empresa pueda tener sobre ellos.
Por dónde empezar: Descubrir e inventariar todos los datos sensibles y personales pertenecientes a una identidad (directos e inferidos) para tener una visión completa de qué datos del consumidor está recopilando.
Derecho a limitar el uso y la divulgación de información personal confidencial
La segunda disposición importante relacionada con los derechos de datos ofrece a los consumidores la posibilidad de limitar el propósito de la recopilación y procesamiento de SPI únicamente a aquellos fines necesarios para proporcionar los bienes o servicios solicitados.
Por dónde empezar: Agregue contexto a sus datos con funciones avanzadas clasificación y correlación que le permite descubrir relaciones, inferir nuevos atributos y ver datos según su propósito de uso.
El derecho a saber
La CPRA ha ampliado el alcance de la Disposición sobre el “derecho a saber” de la CCPA Para incluir específicamente la información personal recopilada, vendida o compartida. Las empresas deben informar previamente qué categorías de información recopilan y comparten con un proveedor de servicios o contratista externo.
Por dónde empezar: SPI de inventario, flujos de datos de documentos y automatizar los procesos de cumplimiento del “derecho a saber” para un programa de gestión de la privacidad más fuerte.
El derecho a eliminar
La CPRA aclara el “derecho a eliminar” de la CCPA para exigir que terceros, proveedores de servicios y contratistas cumplan con una solicitud de eliminación válida.
Por dónde empezar: Determinar qué datos deben eliminarse y dónde se encuentran, y garantizar la validación de eliminación continua mediante consultas automatizadas.
No vender
El infame mandato de "no vender" información personal también es más estricto. Ahora incluye la posibilidad de optar por no compartir información —no solo venderla— con fines de publicidad comportamental.
Por dónde empezar: Realice un seguimiento y documente la gestión de preferencias, el consentimiento y todo el intercambio de datos con terceros.
Minimización y retención de datos
Además de ampliar el alcance de la información regulada, la ley propuesta incluye requisitos de minimización y retención de datos. Las empresas tendrían que revelar durante cuánto tiempo conservan los datos y garantizar que este plazo sea solo el razonablemente necesario.
Por dónde empezar: Defina y aplique reglas de retención de datos con flujos de trabajo automatizados y descubra datos duplicados, derivados y similares para lograr una gobernanza que respete la privacidad y generar informes efectivos.
Responsabilidad por violación de datos
La CPRA modifica la disposición de la CCPA sobre responsabilidad por violación de datos para incluir las violaciones que resulten en la vulneración de la dirección de correo electrónico de un consumidor en combinación con una contraseña o pregunta de seguridad. Esto está en consonancia con... número creciente de estados, como Ley SHIELD de Nueva York, que incluyen las credenciales de los usuarios como datos que merecen ser notificados de una infracción. Por dónde empezarDescubra y correlacione información personal, como una dirección de correo electrónico, con sus contraseñas para protegerla mejor de posibles filtraciones. Identifique a los usuarios potencialmente afectados por filtraciones de datos conocidas para una respuesta proactiva a incidentes.
Desafíos de cumplimiento con CPRA y cómo BigID puede ayudar
La CPRA presenta una serie de desafíos prácticos para su cumplimiento.
La primera es la necesidad de descubrimiento más profundoLos enfoques tradicionales para el descubrimiento de datos no identifican de forma consistente los datos que ahora están dentro del alcance, especialmente con la nueva definición de SPI. Los nuevos derechos de datos de la legislación propuesta crean una mayor necesidad de que las empresas comprendan la información personal en contexto para poder procesar adecuadamente la SPI, facilitar la exclusión voluntaria de la venta y el intercambio, y tener la capacidad de limitar el uso de dichos datos.
La ampliación de la responsabilidad por infracciones propuesta por la ley para incluir combinaciones de correo electrónico y contraseña También pone más datos en riesgoEsto requiere que las empresas puedan vincular y clasificar automáticamente los datos y comprender cómo se relacionan los identificadores entre sí en función de medidas como la proximidad.
Los nuevos requisitos de minimización y retención basados en un propósito revelado crean la necesidad de identificar datos duplicados y redundantes, lo que extiende en el espacio de gobernanza de datos.
Con BigID, las empresas pueden anticiparse a estos desafíos mediante:
- Conociendo sus datos: combinar la identificación de IP y la clasificación de datos sensibles
- Entender de quién son los datos: Perfiles de identidad e indexación de datos que cubren PI y SPI, incluida la geolocalización
- Minimizar datos duplicados o sensibles: Permitir la minimización de datos con identificación duplicada y aplicar reglas de retención para SPI basadas en un propósito revelado
- Gestión del riesgo de los datos: Descubrir, clasificar y mapear las credenciales de los usuarios para aplicar controles para la reducción del riesgo de infracciones
- Asegurarse de que comparten los datos correctos: Seguimiento e intercambio de informes con terceros
- Informar sobre qué datos tienen: Habilitar flujos de trabajo de corrección y validar si se está capturando la geolocalización
Aunque aún no es seguro que la CPRA se oficialice, el Secretario de Estado de California declaró recientemente que contaba con suficientes votos para ser incluida en las elecciones generales. La ley propuesta solo necesita que suficientes californianos la aprueben este próximo noviembre.
Si eso sucede, las empresas centradas en el cumplimiento de la CCPA, y aquellas que no lo han hecho, podrían tener que ponerse al día. Adelantarse a la constante La evolución del panorama del cumplimiento nunca es una mala idea.
Autor
