Ameesh Divatia es cofundador & CEO de Baffle, Inc, con un historial probado de convertir ideas innovadoras en negocios exitosos.
La aprobación de la Ley de Derechos de Privacidad de California (CPRA) el 3 de noviembre se basa en la Ley de Privacidad del Consumidor de California (CCPA). El reglamento de privacidad de la UE, GDPR, es el estándar de oro en términos de leyes de privacidad de datos, y la CPRA se acerca a ese estándar al reflejar el creciente deseo de la sociedad por la privacidad de los datos. Además, la CPRA ofrece a los consumidores un mayor control y acceso a los datos personales recogidos por las empresas que el que ofrecía la CCPA.
Para las entidades cubiertas, esto puede parecer un «golpe» normativo, ya que la CCPA se acaba de promulgar en enero y su aplicación comienza en julio. La buena noticia para las empresas es que la CPRA no entrará en vigor hasta 2023, lo que da a las empresas tiempo para establecer la infraestructura necesaria para cumplirla. Aunque la CPRA tiene muchas facetas que deben ser examinadas, como explicó la IAPP en mayo, creo que hay tres áreas de la nueva ley que suponen retos importantes en lo que respecta a la protección de datos:
– Creación de la Agencia de Protección de la Privacidad de California (CalPPA).
– Creación de la categoría de información personal sensible.
– Ampliación de los derechos de los consumidores y del cumplimiento de los controladores de datos.
Creación de la CalPPA
En virtud de la CPRA, la responsabilidad de hacer cumplir la ley pasa del fiscal general a la recién creada CalPPA. La agencia estará formada por una junta de cinco miembros que protegerá los derechos de privacidad de las personas, promoverá la concienciación pública y proporcionará orientación a los consumidores y las empresas en virtud de la ley. También estará facultada para aplicar y hacer cumplir la ley e imponer multas en caso de infracción.
Con este cambio de responsabilidad a una agencia dedicada exclusivamente a la CPRA, creo que el proceso de aplicación será probablemente mucho más estricto y bien definido. Como resultado, las organizaciones tendrán que dedicarse aún más a garantizar que implementan la infraestructura adecuada para cumplir con la ley desde el primer día.
Información personal sensible
La CPRA ha ampliado los formatos de datos protegidos para incluir una nueva clasificación: información personal sensible. Según la IAPP, esta información incluye detalles como la geolocalización precisa de un consumidor, su raza, etnia, religión, orientación sexual, pertenencia a un sindicato, comunicaciones personales, datos genéticos e información biométrica o sanitaria.
Proteger la información personal sensible puede suponer un reto en dos frentes. En primer lugar, aumenta exponencialmente la cantidad de datos que deben protegerse, lo que exigirá una mayor vigilancia en el ámbito de la identificación de datos. El segundo reto es más matizado, ya que la información personal sensible no sigue los formatos de identificación tradicionales, como los números de la Seguridad Social, los números de las tarjetas de crédito y débito y las direcciones. Esto significa que las entidades cubiertas pueden tener que emplear técnicas avanzadas de identificación y protección de datos con las que muchas organizaciones no están familiarizadas en la actualidad.
Ampliación de los derechos de los consumidores y del cumplimiento de la recopilación de datos
La CPRA exige ahora que las entidades cubiertas comuniquen a los consumidores el tiempo que tienen previsto conservar los datos de los consumidores. Además, la ley limita oficialmente el tiempo que las empresas pueden conservar los datos. La adhesión a esta faceta de la CPRA requerirá que las empresas mejoren aún más los protocolos de control y actualización de los registros de retención para garantizar que están comunicando esta información a los consumidores de una manera conforme.
La CPRA también requerirá que los proveedores de servicios, contratistas y terceros que trabajan con las empresas cubiertas se adhieran a la nueva legislación, haciéndoles cumplir los requisitos de la CPRA independientemente de si ellos mismos están sujetos a ella directamente. Estas organizaciones no pueden utilizar los datos que reciben para ningún otro fin que el acordado originalmente. No pueden vender esa información, y es probable que tengan que aplicar prácticas de privacidad más rígidas y exhaustivas de las que podrían emplear en otras circunstancias.
Cómo deben prepararse las organizaciones para la CPRA
Aunque cumplir con la CPRA requerirá un gran esfuerzo para la mayoría de las entidades cubiertas, tendrán dos años para prepararse, lo que debería darles tiempo para poner sus cosas en orden. Considere las siguientes sugerencias para asegurar la preparación para la CPRA en 2023:
– Audite las políticas de identificación, protección y retención de datos ahora. Tome nota de cualquier incoherencia que tengan las políticas actuales frente al telón de fondo de la CPRA y empiece a hacer los ajustes oportunos. Con toda probabilidad, las organizaciones habrán dado este paso recientemente para el cumplimiento de la CCPA, por lo que dar el salto al cumplimiento de la CPRA debería ser más fácil esta vez. Cualquier organización que haya perseguido el cumplimiento del GDPR ya tendrá una ventaja para el cumplimiento de la CPRA.
– Comenzar las discusiones con los proveedores de servicios, contratistas y terceros. Ahora que los socios serán responsables de los datos que las entidades cubiertas comparten con ellos, deben comprender mejor los pasos para protegerlos. Y la investigación de los posibles socios requerirá que usted investigue cómo planean cumplir los requisitos de la CPRA. Cree cuestionarios de cumplimiento para estas entidades para facilitar la gestión del proceso.
– Solicite soluciones preparadas para la CPRA. Es probable que haya muchas soluciones que utilizan las organizaciones que tendrán que ser revisadas para adherirse más fácilmente a la CPRA – por ejemplo, la seguridad en la nube, la gestión de datos, la privacidad de los datos y las herramientas de intercambio de datos. Sea proactivo a la hora de compartir sus preocupaciones con los proveedores si lo que ofrecen no le ayuda a mantener de forma efectiva el cumplimiento de la CPRA.
La legislación sobre la privacidad de los datos de los consumidores está ganando impulso en todas las geografías e industrias, y la CPRA es el último ejemplo. Al aumentar las inversiones en los aspectos difíciles ahora, las entidades cubiertas pueden estar preparadas para mantener el cumplimiento cuando la ley entre en vigor y ser más ágiles cuando deban abordar futuras leyes de privacidad.
El Consejo de Tecnología de Forbes es una comunidad sólo por invitación para CIOs, CTOs y ejecutivos de tecnología de clase mundial. ¿Califico?
Sígueme en Twitter o LinkedIn. Echa un vistazo a mi sitio web.