Seguridad de datos según la CCPA: lo que necesitas saber

La Ley de Privacidad del Consumidor de California de 2018 (CCPA) es una ley de privacidad que otorga a los consumidores y empleados radicados en California derechos legales sobre cómo se recopilan, almacenan, venden y comparten sus datos. A menos que bloquees activamente a los residentes de California para que no visiten tu sitio web o hagan negocios contigo, debes poder respetar estos derechos para mantener el cumplimiento.

La CCPA entró en vigor el 1 de enero de 2020 y desde entonces ha sido enmendada por la California Privacy Rights Act (CPRA). La enmienda de la CPRA, promulgada en enero de 2023, añadió nuevas disposiciones, una agencia de aplicación dedicada y una nueva categoría de datos de "información personal sensible".

Cualquier organización con fines de lucro en los Estados Unidos o a nivel mundial puede estar sujeta (obligada a cumplir) a la CCPA si:

• Tener trabajadores ubicados en California
• Proporcionar bienes o servicios a personas ubicadas en California o a residentes de California
• Interactuar con terceros que proporcionan datos sobre residentes de California
  

La CCPA no es solo para empresas de California. Cumplir con la CCPA es un desafío global. Si haces negocios con residentes de California (de los cuales hay al menos 39 millones), debes cumplir con la CCPA, sin importar dónde se ubiquen tus operaciones. 

Para estar sujeto a la CCPA, una empresa necesitará cumplir con al menos una de las siguientes condiciones:

(a) Hayan obtenido más de $25 millones en ingresos brutos en el último año calendario o

(b) Obtener el 50% o más de los ingresos anuales de la venta de la información personal de los consumidores o

(c) Compartir, vender o comprar la información personal de 100,000 hogares, consumidores o dispositivos con fines comerciales.

Al igual que con el Reglamento General de Protección de Datos europeo (GDPR), infringir la CCPA expone a tu empresa a sanciones económicas. Bajo la CPRA, la Agencia de Protección de la Privacidad de California (anteriormente, el fiscal general de California bajo la CCPA) puede multar con $2,500 por cada incidente a cualquier empresa que infrinja la CCPA, es decir, por cada persona cuyos datos se vean afectados. Esto aumenta a $7,500 por cada incidente de seguridad de datos que involucre información perteneciente a menores o por infracciones intencionales.

El incumplimiento de la CCPA también genera riesgos legales. Según la CCPA, los consumidores tienen un derecho de acción privado cuando hay divulgación o robo de información personal no cifrada o no redactada. Aunque es relativamente limitado, esto aún significa que las personas pueden demandar a una empresa que permite que sus datos se expongan durante una violación de datos.

Lo que las empresas deben hacer para cumplir con la CCPA

Estar sujeto a la CCPA significa que, para mantener el cumplimiento, las empresas deben poder:

Cumple con las solicitudes de datos de los consumidores

La CCPA otorga a los consumidores y empleados el derecho a controlar qué sucede con sus datos y a esperar que estén protegidos.

Las personas consumidoras tienen derecho a:

• Saber cuándo se recopila su información personal (IP) y por qué
• Eliminar su IP después de hacer una solicitud
• Corregir PI inexacta
• Optar por no permitir que sus datos se vendan o compartan 
• Limitar lo que sucede con su IP
• Recibir una copia de toda la IP recopilada sobre ellos en un formato que se pueda enviar a otro lugar
• Específicamente, limita el uso de información personal sensible (SPI)
• Evita la recopilación de datos a menos que sea para un propósito específico; es decir, datos que no sean "razonablemente necesarios y proporcionales".

Proteger datos

Las empresas también deben implementar medidas de protección para asegurar los datos y protegerlos de filtraciones. La CCPA define esta obligación como la implementación de "procedimientos y prácticas de seguridad razonables y adecuados a la naturaleza de la información personal para proteger la información personal contra el acceso, la destrucción, el uso, la modificación o la divulgación no autorizados o ilegales."

Para las empresas que no están seguras de por dónde empezar, el Center for Internet Security (CIS), que enumera 18 controles de seguridad importantes para mejorar la postura de ciberseguridad, puede ofrecer algo de orientación. El CIS describe la “protección de datos” como "procesos y controles técnicos para identificar, clasificar, manejar de forma segura, retener y desechar datos.”

Realiza evaluaciones periódicas de riesgos de privacidad

Las empresas deben revisar periódicamente si la manera en que procesan los datos de los clientes pone en riesgo la privacidad de estos y enviar los resultados al regulador. Cualquier actividad de procesamiento de datos que sea riesgosa deberá destacarse. Este concepto es similar al proceso de Evaluación de Impacto en la Protección de Datos (DPIA) del RGPD.

Definiciones de datos de la CCPA que debes conocer

Para cumplir con la CCPA, necesitas saber qué datos están cubiertos. La CCPA contiene más de 30 definiciones; puedes leer la lista completa aquí. Algunas definiciones clave de datos cubiertos que los líderes de seguridad de la información deben conocer incluyen las siguientes: 

• Información personal (PI). La CCPA la define como una amplia gama de datos, incluidos el nombre completo y domicilio de una persona, historial de compras, historial de navegación, historiales educativo y laboral, registros de voz o imagen, direcciones de correo electrónico y otros datos de contacto, número de Seguro Social, número de licencia de conducir, datos biométricos, historial de navegación en internet, datos de geolocalización y más.
• Información personal sensible (SPI). Una categoría particular de información personal creada por la CPRA, los datos personales sensibles se refieren al número de Seguro Social de una persona, número de licencia de conducir, identificación estatal o pasaporte, así como datos que exponen las credenciales de una cuenta, como inicios de sesión, detalles de cuentas financieras y números de tarjetas de débito o crédito junto con sus códigos de seguridad o de acceso asociados, y la geolocalización exacta.
• Información agregada de consumidores. Información relacionada con un grupo o categoría de consumidores que no puede rastrearse fácilmente hasta un individuo.
• Información desidentificada. Datos que no pueden vincularse fácilmente ni utilizarse para recopilar información sobre un consumidor específico. Para calificar los datos como desidentificados, una empresa debe tomar medidas, incluido obligar contractualmente a cualquier persona con la que se compartan los datos a garantizar que los datos no puedan conectarse con ningún individuo u hogar.
• Tratamiento. Se refiere a cualquier acción, como usar datos para orientar publicidad, o a una serie de acciones realizadas sobre información personal. El tratamiento puede ser automatizado o totalmente manual. 
• Tercero. Cualquier negocio o persona distinto del negocio con el que el consumidor ha decidido interactuar. Esto no incluye a los contratistas que están afiliados con el negocio original.
• Identificador único o Identificador personal único. Cualquier etiqueta o marcador que pueda usarse para reconocer a una persona, su familia o un dispositivo a lo largo del tiempo en diferentes servicios. Puede incluir cookies, direcciones IP, números de teléfono o números de cliente. En términos simples, es una manera de identificar de forma constante a alguien o a su dispositivo. 

Datos no cubiertos por la CCPA

Aunque la CCPA aplica a muchos tipos diferentes de información personal, no cubre la información de salud personal (PHI) recopilada o procesada por cualquier empresa ya cubierta por la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA). Los datos de ensayos clínicos tampoco están cubiertos.  

La CCPA no abarca la información de acceso público, es decir, los datos que pueden encontrarse en registros gubernamentales federales, estatales o locales. Tampoco incluye la información de consumidores desidentificada o agregada.

Cómo ayuda Cyera a las empresas a cumplir con la CCPA

Si eres una empresa sujeta a la CCPA, los consumidores tienen derecho a esperar que tú:

1. Sepa dónde está su información.
2. ¿Lo están tratando de forma segura según lo que es?
3. No van a permitir que termine a la venta en la dark web por medio de una filtración de datos.

Cyera te permite responder estas preguntas para todos tus datos de forma automática y a escala. Cyera ayuda a las empresas a cumplir con los requisitos de la CCPA mediante:

• Inventariar toda su información personal conforme a las definiciones de la CCPA.
• Descubrimiento y clasificación eficiente de información personal sensible.
• Detectar y abordar de inmediato posibles riesgos de cumplimiento con la CCPA.
• Realizar evaluaciones periódicas de riesgos de privacidad de datos.

Descubre cómo Cyera puede ayudar a abordar el cumplimiento de la CCPA programando una demostración hoy.