Tras una amplia cobertura mediática del escándalo de Facebook-Cambridge Analytica, la violación de datos de Equifax y innumerables otras violaciones de datos conocidas, los consumidores se han vuelto más conscientes de cómo las empresas utilizan y abusan de sus datos personales.

En 2016, la Unión Europea aprobó el Reglamento General de Protección de Datos (GDPR) que tiene como objetivo proteger los datos y la privacidad de los consumidores. En los Estados Unidos, no existe una ley nacional de este tipo. En ausencia de una legislación integral de privacidad del consumidor a nivel federal, el miembro de la asamblea de California, Ed Chau, presentó el Proyecto de Ley 375 de la Asamblea, que más tarde se convirtió en la ley de privacidad más estricta y extensa del país: la Ley de Privacidad del Consumidor de California (CCPA). “California dio un paso histórico al promulgar una legislación para proteger a los niños y consumidores al darles control sobre sus propios datos personales. Los consumidores deberían tener derecho a elegir cómo las empresas recopilan y utilizan su información personal. Son tus datos, tu privacidad, tu elección”, dijo el miembro de la asamblea Ed Chau cuando se aprobó el proyecto de ley CCPA.

Este es un cambio bienvenido para los consumidores, pero ¿qué significa todo esto para las empresas? 

Buena pregunta. Las empresas y los grupos industriales a menudo se han quejado de que la CCPA, tal como está redactada, es vaga y en algunas áreas inconsistente con las leyes actuales. La orientación y las enmiendas recientes de octubre de 2019 han ayudado a aclarar esas ambigüedades y eliminar inconsistencias en la ley. Pero con definiciones y deberes en constante cambio, las empresas ahora están en una carrera contra el tiempo para implementar un programa de privacidad conforme antes de que la CCPA y sus enmiendas entren en vigor el 1 de enero de 2020. Al darse cuenta de que armar un programa de privacidad internamente podría dejar a las empresas en riesgo, muchas están recurriendo a consultores, proveedores de servicios y proveedores de software para garantizar el cumplimiento de la ley.

¿Qué es exactamente la CCPA y a quién se aplica?

La Ley de Privacidad del Consumidor de California (CCPA) es una ley de protección de la privacidad y del consumidor que otorga a los consumidores de California más control sobre los datos personales que las empresas recopilan, venden y comparten. Los consumidores tendrán acceso a datos relacionados con qué información personal se está recopilando y qué información se compartió o vendió, y a quién se vendió. Los individuos también tendrán la capacidad de optar por no participar en la recopilación y venta de sus datos personales y, por ley, no serán discriminados por solicitar esta información o por optar por no participar en la recopilación de datos.

La CCPA se aplica a las empresas con fines de lucro que operan en el estado de California que cumplen con uno o más de los siguientes requisitos:

• • Tener ingresos anuales brutos superiores a 25 millones de dólares
  • Comprar o recibir anualmente información personal de 50,000 o más consumidores, hogares o dispositivos
  • Derivar el 50% o más de sus ingresos anuales de la venta de datos personales de los clientes

La CCPA no se aplica a los datos de los consumidores recopilados o vendidos completamente fuera de California, ni se aplica a organizaciones sin fines de lucro.

Conozca dónde almacena su empresa los datos de los consumidores

Para cumplir con la CCPA, es necesario saber dónde almacena su empresa los datos de los consumidores. Muchas empresas logran esto completando un inventario de datos, seguido de una consulta de flujo de datos para comprender cómo se utilizan los datos dentro y fuera de la organización.

Las preguntas que las empresas deberían poder responder incluyen: dónde se obtienen y almacenan los datos de los consumidores, y si deberían estar asegurados; si los datos de los consumidores cumplen con los requisitos de la CCPA al ser recopilados; qué tipo de datos de los consumidores son y para qué fines comerciales se utilizan; qué terceros tienen acceso a los datos y cómo los categorizan; y si los datos necesitan ser encriptados, redactados, anonimizados o eliminados.

Tipos de datos de información personal protegidos bajo la CCPA:

Los datos de los consumidores que están protegidos bajo la CCPA incluyen:

• Identificadores como un nombre real, alias, dirección postal, identificador personal único, dirección de Protocolo de Internet, dirección de correo electrónico, nombre de cuenta, número de Seguro Social, número de licencia de conducir, número de pasaporte u otros identificadores similares.
• Información comercial, incluidos registros de propiedad personal, productos o servicios comprados, obtenidos o considerados, u otros historiales o tendencias de compra o consumo.
• Información biométrica, incluidas las características fisiológicas, biológicas o de comportamiento de un individuo, incluido el ADN de un individuo, imágenes del iris, retina, huella digital, rostro, mano, patrones de venas, grabaciones de voz, impresiones faciales, una plantilla de minucias, impresiones de voz, patrones o ritmos de pulsaciones de teclas, patrones o ritmos de marcha, y datos de sueño, salud o ejercicio que contengan información identificativa.
• Información de actividad en Internet u otra red electrónica, incluidos el historial de navegación, el historial de búsqueda y la información sobre la interacción de un consumidor con un sitio web, aplicación o anuncio.

• • Datos de geolocalización

• • Información de audio, electrónica, visual, térmica, olfativa o similar.
  • Información profesional o relacionada con el empleo que no está disponible públicamente.
  • Información educativa que no está disponible públicamente.
  • Inferencias extraídas para crear un perfil sobre un consumidor que refleje las preferencias, características, tendencias psicológicas, preferencias, predisposiciones, comportamiento, actitudes, inteligencia, habilidades y aptitudes del consumidor.
  • “Identificador probabilístico” significa la identificación de un consumidor o un dispositivo con un grado de certeza más probable que no basado en cualquier categoría de información personal incluida en, o similar a, las categorías enumeradas en la definición de información personal.
  • “Identificador único” o “Identificador personal único” significa un identificador persistente que puede usarse para reconocer a un consumidor, una familia o un dispositivo que está vinculado a un consumidor o familia, a lo largo del tiempo y a través de diferentes servicios, incluidos, entre otros, un identificador de dispositivo; una dirección de Protocolo de Internet; cookies, balizas, etiquetas de píxeles, identificadores de anuncios móviles o tecnología similar; número de cliente, seudónimo único o alias de usuario; números de teléfono u otras formas de identificadores persistentes o probabilísticos que pueden usarse para identificar a un consumidor o dispositivo en particular. A los efectos de esta subdivisión, “familia” significa un padre o tutor custodio y cualquier hijo menor sobre el cual el padre o tutor tiene custodia.
  • Datos históricos; los consumidores tienen derecho a acceder a datos que se remontan a los últimos 12 meses.
  • Tipos de categorías de datos recopilados sobre el consumidor y vendidos o compartidos con terceros.

Anonimice cualquier dato de consumidor que pueda

Buenas noticias: los datos desidentificados, anonimizados o agregados no están sujetos a la CCPA. Donde sea factible para su negocio, reduzca la cantidad de información personal identificable (PII) almacenada en sus sistemas.

La desidentificación de datos, o anonimización de datos, incluye eliminar identificadores personales como nombres e identificadores cuasi como fechas de nacimiento. La CCPA prohíbe que los datos desidentificados sean reidentificados y requiere controles para garantizar que los intentos de hacerlo estén prohibidos.

Encripte, enmascare, seudonimice y redacte los datos de los consumidores que deba conservar.

¿Qué es la encriptación? Además de ser su salvación con respecto a la legislación de la CCPA, la encriptación es una forma en que las empresas pueden convertir sus datos sensibles en código, haciéndolos ilegibles para cualquiera excepto aquellos que tengan las claves de desencriptación.

La CCPA exige explícitamente que las empresas encripten la información personal identificable (PII) que tienen sobre los consumidores. Esto es para prevenir su uso en caso de que los datos sean hackeados, filtrados, robados o divulgados ilegalmente. Para cumplir con estos requisitos, el software de encriptación utiliza criptografía para enmascarar archivos, texto y datos, protegiendo la información de partes no deseadas. Los datos encriptados se transcriben en texto cifrado donde se vuelven inutilizables para aquellos que no tienen una clave de encriptación para desencriptar la información. Las empresas utilizan estas herramientas para garantizar que sus datos sensibles estén asegurados incluso en caso de una violación.

El enmascaramiento de datos, o la ofuscación de datos, es una estrategia para prevenir el uso indebido de datos por parte de empleados o amenazas internas. Los datos de los consumidores conservan sus características identificativas como el rango de edad y el código postal, por ejemplo, pero eliminan información identificativa como nombres, direcciones, números de teléfono y otros datos sensibles. Esto permite a la empresa utilizar datos realistas para pruebas y desarrollo, sin exponer información personal identificable a los usuarios cotidianos. El software de enmascaramiento de datos protege los datos importantes de una organización disfrazándolos con caracteres aleatorios u otros datos para que sigan siendo utilizables por la organización pero no por fuerzas externas.

La redacción de datos es un método donde la información se retiene, pero solo es visible para los usuarios con los permisos adecuados. Por ejemplo, en lugar de mostrar a un usuario no privilegiado el número de Seguro Social de un consumidor, el usuario no privilegiado vería xxx-xx-xxxx.

Software de cumplimiento de la CCPA 

¿Qué tipo de software están utilizando las empresas para cumplir con la CCPA? Respuesta corta, toda una serie de software y servicios de protección de datos, que incluyen:

Entonces, ¿es la CCPA una ley de ciberseguridad? 

En resumen, sí. La CCPA es tanto una ley de privacidad del consumidor como una ley de ciberseguridad, ya que es prescriptiva sobre cómo las empresas deben asegurar la información personal identificable (PII) de los consumidores y los datos relacionados en caso de una violación de datos. Específicamente, la CCPA destaca la necesidad de encriptar y anonimizar los datos identificables de los consumidores para evitar multas.

Violaciones de datos y recursos legales de los consumidores

¿No se molestó en encriptar sus datos sensibles de los consumidores? Prepárese para desembolsar algo de dinero. Los consumidores tienen recursos legales si descubren que los datos de los consumidores en texto plano, no encriptados o no redactados fueron hackeados, robados o divulgados de otra manera debido a la incapacidad de la empresa para mantener protocolos de seguridad razonables. Los consumidores deben notificar a la empresa sobre la divulgación de sus datos personales y las empresas tienen 30 días para remediar el problema. Si el problema no se remedia satisfactoriamente en ese momento, los consumidores pueden notificar al Fiscal General (AG) y el AG determinará si procesará a la empresa. Si el AG encuentra que la empresa violó intencionalmente las disposiciones de la CCPA, la empresa puede ser responsable de sanciones civiles de hasta $7,500 por cada violación. Si el AG no procesa dentro de los 6 meses, los consumidores pueden emprender acciones civiles para recuperar daños en la cantidad de no menos de $100 y no más de $750 por incidente, pueden solicitar a los tribunales un alivio por mandato judicial o declaratorio, o cualquier otro alivio que los tribunales consideren adecuado.

Enmiendas a la CCPA

Las empresas han argumentado durante mucho tiempo que la CCPA tiene una orientación de cumplimiento vaga, que los plazos son inalcanzables y que contiene obligaciones conflictivas para los consumidores basadas en leyes existentes. El 11 de octubre de 2019, se aprobaron varias enmiendas a la CPPA para proporcionar aclaraciones, abordar incongruencias y proporcionar extensiones de plazos de cumplimiento a ciertos grupos.

Una mirada al futuro de las regulaciones de privacidad

La CCPA es solo el comienzo. Mirando hacia adelante, las empresas deben esperar un mosaico de regulaciones de privacidad en los próximos años. Más de la mitad de los estados de EE. UU. presentaron algún tipo de legislación de privacidad del consumidor en 2019, pero muchos de esos proyectos de ley no se aprobaron para convertirse en ley (todavía). Estados como Connecticut, Luisiana y Texas aprobaron legislación para establecer grupos de trabajo de privacidad del consumidor para estudiar el tema.

Un mosaico de regulación de privacidad basada en estados hará que lograr el cumplimiento sea aún más difícil. Se ha discutido la legislación de privacidad a nivel federal en EE. UU. para reemplazar la legislación de los estados, pero los proyectos de ley se han estancado en el Congreso. Independientemente, las empresas pueden esperar más regulaciones de privacidad de datos en un futuro cercano. Comience a preparar sus estrategias comerciales para adaptarse a un panorama legal cambiante.

*Descargo de responsabilidad: No soy abogado y no estoy ofreciendo asesoramiento legal. Si tiene preguntas legales, consulte a un abogado con licencia.*