Seguridad de datos según la CCPA: Lo que necesitas saber

Aug 29, 2023
Share

La Ley de Privacidad del Consumidor de California de 2018 (CCPALa ley de privacidad otorga a los consumidores y empleados de California derechos legales sobre cómo se recopilan, almacenan, venden y comparten sus datos. A menos que bloquee activamente el acceso de los residentes de California a su sitio web o que realicen negocios con usted, debe respetar estos derechos para cumplir con la ley.

La CCPA entró en vigor el 1 de enero de 2020 y, posteriormente, fue modificada por la Ley de Derechos de Privacidad de California (CPRA). La enmienda a la CPRA, promulgada en enero de 2023, añadió nuevas disposiciones, un organismo de control específico y una nueva categoría de datos denominada "información personal sensible".

Cualquier organización con fines de lucro en los EE. UU. o a nivel mundial puede estar sujeta (obligada a cumplir) con la CCPA si:

  • Tener trabajadores ubicados en California
  • Proporcionar bienes o servicios a personas ubicadas en California o residentes en California.
  • Interactuar con terceros que proporcionan datos sobre residentes de California.

La CCPA no es solo para empresas de California. Cumplir con la CCPA es un desafío global. Si realiza negocios con residentes de California (de los cuales hay al menos 39 millones), debe cumplir con la CCPA, independientemente de dónde se encuentren sus operaciones.

Para estar cubierta por la CCPA, una empresa deberá:

(a) Haber obtenido más de 25 millones de dólares en ingresos brutos en el último año calendario o

(b) Obtener el 50% o más de los ingresos anuales de la venta de información personal de los consumidores o

(c) Compartir, vender o comprar la información personal de 100.000 hogares, consumidores o dispositivos con fines comerciales.

Al igual que con el Reglamento General de Protección de Datos europeo (RGPDIncumplir la CCPA expone a su empresa a sanciones económicas. Según la CPRA, la Agencia de Protección de la Privacidad de California (anteriormente la Fiscalía General de California, según la CCPA) puede multar a cualquier empresa que la infrinja con 2500 dólares por cada incidente, es decir, por cada dato personal afectado. Esta multa asciende a 7500 dólares por cada incidente de seguridad de datos que involucre datos de menores o infracciones intencionadas.

El incumplimiento de la CCPA también crea riesgos legales. Según la CCPA, los consumidores tienen derecho a interponer una demanda privada cuando se produce una divulgación o robo de información personal no cifrada o no editada. Aunque relativamente limitado, esto significa que las personas pueden demandar a una empresa que permite que sus datos se expongan durante un violación de datos.

Qué deben hacer las empresas para cumplir con la CCPA

Estar cubierto por la CCPA significa que, para cumplir con la normativa, las empresas deben ser capaces de:

Cumplir con las solicitudes de datos de los consumidores.

La CCPA otorga a los consumidores y empleados el derecho a controlar qué sucede con sus datos y a esperar que estos estén protegidos.

Los consumidores tienen derecho a:

  • Sepa cuándo se recopila su información personal (IP) y por qué.
  • Eliminar su información personal después de realizar una solicitud
  • Corregir información personal inexacta
  • Optar por no permitir que sus datos sean vendidos o compartidos.
  • Limitar lo que le sucede a su investigador principal
  • Recibirá una copia de toda la información personal recopilada sobre ellos en un formato que se puede enviar a otro lugar.
  • En concreto, limitar el uso de información personal sensible (IPS).
  • Evite recopilar datos a menos que sea para un propósito específico, es decir, datos que no sean "razonablemente necesarios y proporcionados".

Proteger datos

Las empresas también deben implementar medidas de seguridad para proteger los datos y evitar filtraciones. La CCPA define esta obligación como la implementación de "procedimientos y prácticas de seguridad razonables, adecuados a la naturaleza de la información personal, para protegerla del acceso, la destrucción, el uso, la modificación o la divulgación no autorizados o ilegales".

Para las empresas que no están seguras de por dónde empezar, la Centro para la Seguridad en Internet (CIS)El documento, que enumera 18 controles de seguridad importantes para una mejor postura en ciberseguridad, puede ofrecer algunas pautas. El CIS describe la “protección de datos” como “procesos y controles técnicos para identificar, clasificar, manejar de forma segura, conservar y eliminar datos”.

Realizar evaluaciones periódicas de riesgos de privacidad.

Las empresas deben revisar periódicamente si el tratamiento de los datos de sus clientes pone en riesgo su privacidad y presentar los resultados al organismo regulador. Se deberán identificar todas las actividades de tratamiento de datos que impliquen riesgos. Este concepto es similar al proceso de Evaluación de Impacto en la Protección de Datos (EIPD) del RGPD.

Definiciones de datos de la CCPA que debes conocer

Para cumplir con la CCPA, necesita saber qué datos están cubiertos. La CCPA contiene más de 30 definiciones; puede leerlas Lista completa aquíAlgunas definiciones de datos básicos que los responsables de la seguridad de datos deben conocer incluyen las siguientes:

  • Información personal (IP). La CCPA define esto como una amplia gama de datos, que incluyen el nombre completo y la dirección de una persona, el historial de compras, el historial de navegación, los historiales educativos y laborales, los registros de voz o visuales, las direcciones de correo electrónico y otra información de contacto, el número de la Seguridad Social, el número de licencia de conducir, los datos biométricos, el historial de navegación por Internet, los datos de geolocalización y más.
  • Información personal sensible (IPS). Los datos personales sensibles, una categoría particular de información personal creada por la CPRA, se refieren al número de Seguro Social, la licencia de conducir, el número de identificación estatal o el pasaporte de una persona, así como a los datos que exponen las credenciales de la cuenta de una persona, como los nombres de usuario, los detalles de la cuenta financiera y los números de tarjetas de débito o crédito junto con sus códigos de seguridad o acceso asociados y la geolocalización exacta.
  • Información agregada del consumidor. Información relativa a un grupo o categoría de consumidores que no puede rastrearse fácilmente hasta un individuo.
  • Información anonimizada. Datos que no pueden vincularse fácilmente ni utilizarse para obtener información sobre un consumidor específico. Para que los datos se consideren anonimizados, una empresa debe tomar medidas, entre ellas, obligar contractualmente a cualquier persona o entidad con la que se compartan los datos a garantizar que estos no puedan vincularse a ningún individuo o hogar.
  • Tratamiento. Esto se refiere a cualquier acción, como el uso de datos para la segmentación de anuncios o una serie de acciones realizadas sobre información personal. El procesamiento puede ser automatizado o totalmente manual.
  • Tercero. Cualquier empresa o persona distinta de la empresa con la que el consumidor haya elegido interactuar. Esto no incluye a los contratistas afiliados a la empresa original.
  • Identificador único o Identificador Personal Único. Cualquier etiqueta o marcador que permita reconocer a una persona, a su familia o a un dispositivo a lo largo del tiempo en diferentes servicios. Puede incluir cookies, direcciones IP, números de teléfono o números de cliente. En resumen, es una forma de identificar a una persona o a su dispositivo de manera consistente.

Datos no cubiertos por la CCPA

Aunque la CCPA se aplica a muchos tipos diferentes de información personal, no cubre la información personal de salud (FI) recopilados o procesados ​​por cualquier empresa ya cubierta por la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)HIPAALos datos de los ensayos clínicos tampoco están incluidos.

La CCPA no cubre la información disponible públicamente, es decir, los datos que se pueden encontrar en los registros de los gobiernos federal, estatal o local. Tampoco incluye la información del consumidor anonimizada o agregada.

Cómo Cyera ayuda a las empresas a cumplir con la CCPA

Si su empresa está cubierta por la CCPA, los consumidores tienen derecho a esperar que usted:

  1. Saber dónde están sus datos.
  2. Lo estamos tratando de forma segura en función de lo que es.
  3. No vamos a permitir que acabe a la venta en la web oscura a través de una filtración de datos.

Cyera te permite responder a estas preguntas para todos tus datos de forma automática y a gran escala. Cyera ayuda a las empresas a cumplir con los requisitos de la CCPA. por:

  • Inventariar toda su información personal de acuerdo con las definiciones de la CCPA.
  • Descubrimiento y clasificación eficiente de información personal sensible.
  • Identificación y solución inmediata de posibles riesgos de incumplimiento de la CCPA.
  • Realizar evaluaciones periódicas de los riesgos relacionados con la privacidad de los datos.

Vea cómo Cyera puede ayudar a abordar el cumplimiento de la CCPA mediante Programar una demostración hoy.

Share