Entender la CPRA: Proteger la información personal sensible y mantener el cumplimiento

La CCPA/CPRA es un conjunto de normas diseñadas para dar a los residentes de California un mayor control sobre su información personal y sobre la forma en que las empresas pueden recopilarla y utilizarla. La Ley de Privacidad del Consumidor de California de 2018 estableció una orientación inicial, y la Ley de Derechos de Privacidad de California, aprobada por los votantes en 2020, modificó y amplió la CCPA. En este artículo, hablaremos de estas importantes normativas y de las responsabilidades que tienen las empresas para con los consumidores en cuanto a los derechos CCPA/CPRA y las prácticas de privacidad.

¿Qué es la Ley de Derechos de Privacidad de California (CPRA)?

Esta ley histórica comenzó con la CCPA en 2018, garantizando unos derechos de privacidad más sólidos para los consumidores de California. Los pilares básicos de la ley giran en torno al consentimiento del consumidor, e incluyen:

• El derecho a saber: Los consumidores tienen derecho a saber exactamente qué información personal recopila una empresa sobre ellos y cómo utiliza y comparte esos datos.
• Derecho de supresión: Los consumidores tienen derecho a que se elimine su información de las bases de datos de una empresa a su discreción (con algunas excepciones).
• El derecho de exclusión voluntaria: Los consumidores pueden oponerse a que la empresa venda o comparta su información personal.
• El derecho a la no discriminación: Si un consumidor ejerce cualquiera de estos derechos en virtud de la CCPA, tiene derecho a no ser discriminado por los proveedores de servicios.

En 2020, se votó la entrada en vigor de protecciones adicionales de la privacidad en virtud de la Ley de Derechos de Privacidad de California (CPRA), que modifica la CCPA. Entre ellos se incluyen:

• Derecho de rectificación: Los consumidores tienen derecho a que se corrija la información personal inexacta.
• El derecho a limitar: Los consumidores pueden limitar el uso y la divulgación de su información personal sensible.

Las organizaciones sujetas a la CCPA/CPRA deben responder a las personas que soliciten el ejercicio de estos derechos de los consumidores, incluida la entrega de avisos que expliquen sus prácticas de privacidad. La CPRA no es una ley completamente nueva, sino simplemente una enmienda a la CCPA existente, por lo que a menudo se hace referencia a ellas como una sola ley, o como CCPA/CPRA.

La CPRA también creó la Agencia de Protección de la Privacidad de California, una administración encargada de velar por el cumplimiento de la ley con potestad para aplicar y hacer cumplir la CCPA según sea necesario.

¿A quién se aplica la CPRA?

La CPRA se aplica a las empresas con ánimo de lucro y a los proveedores de servicios que desarrollan su actividad en California y cumplen al menos uno de los siguientes umbrales:

• Tener unos ingresos brutos anuales superiores a 25 millones de dólares.
• Compre, venda o comparta datos personales de 100.000 consumidores u hogares o más.
• Obtienen 50% o más de ingresos anuales de la venta o el intercambio de información personal.

Es importante destacar que la CPRA también cubre a los contratistas y proveedores de servicios que procesan datos en nombre de las empresas cubiertas, lo que convierte la gestión de proveedores y las evaluaciones de riesgos en una parte integral de los programas de cumplimiento.

¿Cuál es la diferencia entre la CCPA y la CPRA?

Mientras que la CCPA introdujo protecciones pioneras para la privacidad de los consumidores, la CPRA reforzó y amplió esos derechos. Las diferencias clave incluyen:

• Alcance de los datos personales: La CPRA añade una nueva categoría para la información personal sensible "," que otorga a los consumidores el derecho a limitar su uso.
• Una aplicación más estricta: La CPRA creó la CPPA, una agencia independiente dedicada a hacer cumplir la ley y a emitir nuevas normativas sobre privacidad.
• Normas de conservación de datos: Las empresas deben informar a los consumidores de cuánto tiempo se conservarán sus datos y aplicar políticas formales de conservación de datos.
• Ampliación de los derechos de los consumidores: Se introdujeron los derechos de corrección de datos y limitación de datos sensibles, aumentando las responsabilidades de gestión de la privacidad.
• Obligaciones contractuales: La CPRA impone requisitos más estrictos en los acuerdos con proveedores de servicios, contratistas y terceros, exigiéndoles que sigan las normas de la CPRA para el tratamiento de datos.

Nuevos requisitos del reglamento CPRA

El cumplimiento incluye ahora varias obligaciones adicionales más allá de los requisitos de la CCPA. Entre ellas se incluyen:

• Evaluaciones de riesgos: Las empresas dedicadas al tratamiento de datos de alto riesgo deben realizar y documentar evaluaciones periódicas de sus actividades de tratamiento.
• Auditorías de ciberseguridad: Algunas organizaciones deben someterse a auditorías periódicas para demostrar la eficacia de los controles de seguridad.
• Minimización de datos & Retención: Sólo se recopilará la información personal necesaria para la finalidad declarada, y los periodos de conservación de los datos deberán comunicarse claramente.
• Gobernanza de la IA: A medida que las empresas despliegan herramientas de aprendizaje automático y de IA, la CPRA prevé la necesidad de marcos de gobernanza de la IA para evitar el uso indebido de la información personal.

Marco para el cumplimiento de la CPRA

Las organizaciones pueden beneficiarse de una lista de comprobación de cumplimiento estructurada para cumplir eficazmente las obligaciones de la CPRA. Un marco sólido suele incluir:

• Inventario de datos & Mapping: Identifique todos los datos personales y sensibles, su ubicación y cómo fluyen a través de los sistemas.
• Actualización de la política de privacidad: Garantizar que los avisos de privacidad revelen el acceso a los datos, su conservación y los derechos de los consumidores en un lenguaje sencillo.
• Revisión de contratos: Actualizar los acuerdos con los proveedores de servicios para incluir los términos exigidos por la CPRA para el procesamiento de datos.
• Tecnología de gestión de la privacidad: Implantar herramientas de gestión de la privacidad para la admisión y el seguimiento de las solicitudes de los consumidores.
• Formación & Concienciación: Imparta formación a los empleados sobre las obligaciones de la ley de privacidad y la prevención de amenazas internas.
• Supervisión & Elaboración de informes: Utilice los cuadros de mando para medir el progreso del cumplimiento y prepararse para posibles auditorías de la CPPA.

¿Qué se considera "datos personales sensibles" en virtud de la CPRA?

Las siguientes categorías están calificadas como "información personal sensible" en virtud de la CPRA:

• Identificadores gubernamentales: Números de identificación emitidos por el gobierno, como los números de la seguridad social, del carné de conducir, de la tarjeta de identificación estatal o del pasaporte.
• Información de la cuenta: Credenciales de acceso a la cuenta, números de cuentas financieras, números de tarjetas de débito o crédito, códigos de seguridad, credenciales de acceso, contraseñas, etc.
• Datos de geolocalización: Información como la dirección IP, los datos de localización GPS y los datos de radiofrecuencia Datos de formato de archivo de imagen intercambiable (EXIF), que pueden producir coordenadas geográficas para determinar una ubicación física.
• Origen racial o étnico o estatus migratorio.
• Creencias filosóficas o religiosas.
• Afiliación sindical.
• Correspondencia de los consumidores: Como el correo postal, el correo electrónico y el contenido de los mensajes de texto (a menos que la empresa sea la destinataria de la comunicación).
• Información biométrica: O datos genéticos que pueden identificar de forma exclusiva a un consumidor.
• Información personal: Relativa a la salud, la orientación sexual o la vida sexual del consumidor.

La información que identifica, vincula o podría relacionarse razonablemente con el hogar, las preferencias, las características o la forma de comportarse de un consumidor pueden considerarse categorías de información personal.

La CPRA está diseñada para otorgar a los consumidores el derecho a limitar el uso y la divulgación de su información personal a lo necesario para que las empresas puedan suministrar sus bienes y servicios. Estas empresas deben proporcionar un enlace claro en las páginas de inicio de sus sitios web en el que los consumidores puedan hacer clic para "Limitar el uso de mi información personal sensible" y ejercer sus derechos en virtud de la CPRA.

¿Por qué necesitan las empresas proteger la información personal?

Hay varias razones cruciales por las que debe protegerse la información personal sensible.

1. Confianza y fidelidad de los clientes: La protección de los datos personales sensibles no sólo ayuda a generar y mantener la confianza de los clientes, sino que también salvaguarda sus datos en caso de infracción, protegiendo a los consumidores de la usurpación de identidad. Los consumidores también son más propensos a relacionarse con empresas que protegen su información, lo que fomenta las relaciones positivas.
2. Cumplimiento legal: La protección de datos es obligatoria por ley. Además de la CCPA/CPRA, otras normativas incluyen el Reglamento General de Protección de Datos (GDPR) en la Unión Europea, HIPAA, HITRUST, PCI DSS, y más. Las organizaciones pueden evitar sanciones legales por infracciones cuando operan dentro del marco regulador de las leyes de privacidad de datos.
3. Minimización de riesgos y costes: Una protección de datos eficaz minimiza el riesgo de violación de datos, que puede acarrear multas, honorarios legales y el gasto de resolver la violación. Las empresas también pueden enfrentarse a importantes pérdidas financieras derivadas de las interrupciones de la continuidad del negocio.
4. Gestión de la reputación: Cuando se producen violaciones de datos, la reputación de una organización se resiente, pierden consumidores. Unas sólidas medidas de protección de datos ayudan a prevenir las filtraciones y a minimizar la publicidad negativa que resulta de un mal manejo de los datos sensibles de los consumidores.

Si se produce una infracción, las consecuencias pueden ser graves.

• Sanciones y multas: El incumplimiento de las leyes de protección de datos puede suponer cuantiosas multas para las organizaciones responsables. Las sanciones de la CCPA/CPRA tienen un límite de 7.500 dólares por violación intencionada y de 2.500 dólares por violación no intencionada. Eso puede parecer poco, pero un solo dato del consumidor puede suponer una sola violación. En el caso de una violación de datos, en la que miles de puntos de datos se ven comprometidos, las sanciones pueden crecer rápidamente.
• Demandas judiciales: Los individuos o grupos afectados por las violaciones pueden presentar demandas contra las empresas que no protejan sus datos. Estas acciones legales pueden resultar caras y llevar mucho tiempo, además de dañar la reputación de una empresa.
• Interrupciones operativas: En algunos casos, las filtraciones de datos pueden suponer problemas de continuidad empresarial mientras se gestiona el origen de la filtración. La productividad perdida durante este tiempo también es costosa, al igual que el gasto adicional en recuperación de datos y posibles reparaciones del sistema.
• Pérdida de confianza de los consumidores: Las infracciones pueden provocar que los clientes cancelen los contratos o que los consumidores decidan comprar en otro lugar, donde sus datos puedan estar más seguros. Si una parte suficiente del negocio de una empresa se marcha a pastos más seguros, puede ser perjudicial para la empresa como negocio en marcha.

Las consecuencias y sanciones de no salvaguardar adecuadamente la información personal sensible pueden ser significativas, más allá de la simple violación de la CCPA/CPRA. Aunque estas normativas pretenden proteger la información personal de los consumidores, también son una forma de que las empresas tranquilicen a sus clientes asegurándoles que operan de forma segura y ética.

Retos de la protección de datos personales sensibles

Proteger la información personal sensible de los consumidores es una empresa compleja, especialmente en el acelerado panorama digital actual. Éstos son algunos de los retos comunes que las organizaciones pueden encontrar al emprender el cumplimiento de la normativa.

Desconocimiento de la información de identificación personal (IIP)

Muchas empresas luchan por conseguir una supervisión completa de la IIP que poseen, incluido dónde se almacena y cómo se utiliza. La falta de visibilidad puede dejar lagunas en la protección de la IIP.

Complicaciones de la migración a la nube

Las empresas pueden perder el rastro o el acceso a los datos que están migrando, lo que se traduce en:

• Transferencias de datos incompletas.
• Datos huérfanos en sistemas heredados.
• Medidas de seguridad incoherentes entre los sistemas locales y en la nube.

Grandes volúmenes de datos

La recopilación de datos puede crecer exponencialmente. Los retos que esto plantea incluyen:

• Implantar medidas de seguridad en todos los conjuntos de datos.
• Gestión y seguimiento eficaces de los datos.
• Clasificación y tratamiento adecuados de los datos.

Malas prácticas de gobernanza de datos

Con los grandes conjuntos de datos y los elevados volúmenes de almacenamiento llegan las dificultades para supervisar la gobernanza de los datos, lo que puede dar lugar a:

• Mapeo de datos incoherente entre departamentos.
• Insuficientes controles de calidad de los datos.
• Falta de funciones y responsabilidades claras en la gestión de datos.

Intercambio inseguro de datos en las plataformas de comunicación

Muchas empresas utilizan herramientas de colaboración para unificar fuerzas de trabajo diversas. Las comunicaciones en estas herramientas pueden implicar un intercambio de datos que no se adhiera a las políticas de uso aceptable para la seguridad de los datos. Esto da lugar a:

• Exposición accidental de información sensible.
• Dificultad para seguir y controlar el flujo de datos.
• Mayor riesgo de filtración de datos a través de canales no seguros.

Regulaciones en evolución

A medida que evoluciona el mundo digital, también lo hacen las normas de protección de datos que lo rigen. Mantenerse al día de los cambios normativos en muchas jurisdicciones puede ser un reto, sobre todo para las organizaciones que operan a escala mundial. La formación continua de los empleados puede ayudar a mitigar la exposición, pero es un proceso continuo.

Amenazas internas

Cada empleado y contratista con acceso a la IIP y otros datos sensibles es un punto final para una posible violación o exposición, ya sea por dolo o negligencia.

Gestión de riesgos de terceros

Mantener la seguridad de los datos cuando se contrata con proveedores y socios externos que tienen acceso a datos sensibles puede ser un reto, sobre todo cuando el acceso implica múltiples dispositivos.

Equilibrar la seguridad con la facilidad de uso

Implantar fuertes medidas de seguridad y mantener al mismo tiempo sistemas y flujos de trabajo fáciles de utilizar es un reto constante para muchas organizaciones. Los responsables de la seguridad de la información deben equilibrar sus medidas de protección de datos con la necesidad de limitar la TI en la sombra.

Abordar estos retos requiere un enfoque polifacético de la protección de datos, que incluya la formación periódica de los empleados, soluciones tecnológicas y una cultura de concienciación sobre la seguridad en el lugar de trabajo.

Impacto de la CPRA

La CPRA tiene efectos de gran alcance tanto para las empresas como para los consumidores. Para las empresas, aumenta las expectativas de gobernanza de los datos, formaliza principios similares al cumplimiento del GDPR (como la minimización de los datos) y eleva la privacidad a una cuestión de la sala de juntas. Para los consumidores, significa una mayor transparencia, un mayor control sobre los datos personales y la posibilidad de limitar la forma en que las organizaciones utilizan la información personal sensible.

En la práctica, el cumplimiento de la CPRA ayuda a reducir el riesgo de infracciones, respalda las evaluaciones de riesgos y alinea a las empresas con las normativas mundiales sobre privacidad, lo que facilita las operaciones en distintas jurisdicciones. Aunque el cumplimiento de estas obligaciones requiere tiempo e inversión, también genera confianza y mejora las relaciones con los clientes a largo plazo.

Garantizar el cumplimiento de la CPRA con Mimecast

Mimecast Aware ofrece una conformidad en tiempo real para ecosistemas de colaboración complejos que cierra las brechas que muchas plataformas heredadas dejan abiertas. Las organizaciones pueden garantizar el cumplimiento de la CCPA/CPRA con Aware a través de una sólida gobernanza de la información, la supervisión desde una plataforma centralizada y la búsqueda federada y PNL líder en el sector para respaldar las investigaciones internas.

Con las soluciones de gobernanza de datos y supervisión del cumplimiento de Mimecast, las empresas pueden mantener un cumplimiento continuo de las prácticas de intercambio de datos que:

• Intégrelo con sus herramientas de colaboración existentes sin afectar a la experiencia del usuario final.
• Ahorre tiempo y recursos con modelos propios de IA/ML que garantizan menos falsos positivos, reduciendo la fatiga por alertas.
• Permita a los equipos de TI y de seguridad personalizar las reglas y políticas para realizar un seguimiento de las infracciones.
• Aborde automáticamente las infracciones con la formación de los empleados en tiempo real.
• Conserve el contenido que rodea a la activación de una política para poder comprender todo el contexto.
• Utilice controles de acceso basados en funciones (RBAC) y registros de auditoría para evitar infracciones.
• Ayude a limitar y reducir la dependencia de las soluciones informáticas en la sombra.

Al asociarse con Mimecast, puede garantizar que la seguridad de sus datos cumple todas las normativas CCPA/CPRA y otras normativas necesarias. Solicite una demostración para empezar hoy mismo