Lo que su empresa necesita saber sobre CPRA


Después de lograr un mandato más estrecho de lo esperado del 56% el 3 de noviembre, el Ley de derechos de privacidad de California (CPRA) ahora ha pasado. Este nuevo acto revisa el preexistente Ley de privacidad del consumidor de California (CCPA) y es un momento histórico para la privacidad del consumidor.

En esencia, la CPRA cierra algunas posibles lagunas en la CCPA, pero los cambios no son uniformemente más estrictos para las empresas (como mostraré en un momento). También acerca las leyes de protección de datos de California al estándar GDPR de la UE. Cuando la CPRA se vuelva legalmente aplicable en 2023, los residentes de California tendrán derecho a saber dónde, cuándo y por qué las empresas utilizan sus datos de identificación personal. Con muchas de las principales empresas tecnológicas del mundo con sede en California, esta ley tendrá repercusiones nacionales y potencialmente mundiales.

El aumento de la privacidad es sin duda una buena noticia para los consumidores. Pero es probable que la aprobación de la ley genere preocupación entre las empresas que dependen de los datos de los clientes. Con una aplicación más estricta, sanciones más severas y obligaciones más onerosas, es probable que muchas empresas se pregunten si esta nueva ley dificultará las operaciones.

Si bien es probable que muchos de los detalles más finos de la CPRA cambien antes de que se pueda hacer cumplir, esto es lo que su empresa necesita saber ahora mismo.

¿Estará sujeto a la CPRA?

La ley CCPA preexistente se aplicaba solo a las empresas que:

1) tuvo más de $ 25 millones en ingresos brutos

2) obtuvo el 50% o más de sus ingresos anuales de la venta de información personal de los consumidores, o

3) compró, vendió o compartió con fines comerciales la información personal de 50.000 o más consumidores, hogares o dispositivos.

La CPRA mantiene la mayoría de estos requisitos intactos, pero realiza algunos cambios. Primero, el requisito de ingresos (punto 1 anterior) ahora es más claro: una empresa debe haber obtenido $ 25 millones en ingresos brutos en el año calendario anterior estar sujeto a la ley.

En segundo lugar, cuando se trata de información personal (punto 2), compartir ahora se considera lo mismo que vender. Si bien la CCPA se aplicaba a las empresas que obtenían más de la mitad de sus ingresos por la venta de datos, la CPRA ahora también se aplica a las empresas que obtienen la mitad de sus ingresos compartiendo información personal con terceros.

Finalmente, el punto 3 es ahora más indulgente, con el umbral para las empresas basadas en información personal aumentado de 50.000 consumidores, hogares o dispositivos a 100.000.

Para las empresas que se preguntan si pueden evitar las regulaciones para las empresas hermanas bajo la misma marca, la CPRA ha aclarado qué significa el término “marca común”. La CPRA ahora define “un nombre compartido, marca de servicio o marca comercial, de manera que el consumidor promedio entendería que dos o más entidades son de propiedad común”.

También especifica que una empresa hermana se incluirá en la CPRA si tiene “información personal compartida con ella por la empresa sujeta a la CPRA”. En términos prácticos, esto significa que dos negocios relacionados (uno de los cuales está sujeto a la CPRA) que pueden compartir una marca comercial pero tener identidades legales diferentes, estarán sujetos a la CPRA solo si comparten datos. La misma responsabilidad conjunta por la información al consumidor también se aplica a las asociaciones donde existe un interés compartido de más del 40%, independientemente de la marca.

Por lo tanto, con la CPRA, ahora es más probable que algunas empresas estén sujetas a la legislación de protección de datos, mientras que otras ya no están incluidas en la legislación de California.

Para las organizaciones que operan con múltiples entidades legales, sigue siendo ideal tener un enfoque único para la privacidad de los datos del consumidor. Al permitir a las empresas no sujetas a autocertificar que cumplen con las normas, la CPRA también les brinda a las empresas la oportunidad de ser transparentes con sus clientes sobre el uso de datos, incluso si no es necesario que lo sean.

Los consumidores tienen derecho a saber por qué está recopilando su ‘información personal confidencial’

La CPRA otorgará a los consumidores derechos adicionales para determinar cómo las empresas utilizan sus datos. Además de recibir el derecho a corregir su información personal y saber durante cuánto tiempo una empresa podría almacenarla, según la CPRA, los consumidores podrán optar por no recibir anuncios basados ​​en geolocalización y permitir que se utilice su información personal confidencial.

El concepto de “información personal sensible” es en sí mismo una nueva definición legal creada por la CPRA. El origen racial / étnico, la información de salud, las creencias religiosas, la orientación sexual, el número de seguro social, la información biométrica / genética y el contenido de los mensajes personales se incluyen en esta definición.

Las empresas también deben tener cuidado al tratar con los datos que ya han recopilado. Supongamos que una empresa planea reutilizar los datos de un cliente para un propósito que es “incompatible con los fines divulgados para los cuales se recopiló la información personal”. En ese caso, el cliente debe estar informado de este cambio.

De manera similar a la CCPA, los datos de los empleados ahora se incluyen en la CPRA. Si bien esto no será legalmente aplicable hasta 2023, una estipulación de la CPRA es que las empresas deberán transparente con su personal con respecto a la recopilación de datos.

Las empresas pronto deberán brindar a los consumidores capacidades de exclusión voluntaria más completas cada vez que interactúen con ellos, pero aún puede pasar un tiempo antes de que los estándares unificados en torno a estos procedimientos se conviertan en algo común. Sin duda, habrá más de una forma de comunicar los requisitos de los consumidores dentro del marco de la CPRA. Además de los formularios de exclusión voluntaria, las empresas pueden aumentar el uso de Control de privacidad global estándar, un complemento del navegador que simplifica los procesos de exclusión voluntaria. Sin embargo, a medida que la focalización geolocalizada se vuelve más problemática legalmente, es posible que las empresas deban reconsiderar la dependencia de algunas formas de publicidad dirigida.

Habrá multas por violaciones de datos

La CPRA estipula que “las empresas también deben ser directamente responsables ante los consumidores por las violaciones de seguridad de los datos”. Además de exigir a las empresas que “notifiquen a los consumidores cuando su información confidencial se ha visto comprometida”, la CPRA establece sanciones económicas. Las empresas que permitan la filtración de datos de clientes se enfrentarán a multas de hasta $ 2,500 o $ 7,500 (para datos pertenecientes a menores) por violación. La Agencia de Protección de la Privacidad de California recién formada estará autorizada para hacer cumplir estas multas.

Si bien a corto plazo, es probable que un presupuesto relativamente limitado signifique que la agencia emprenderá solo unas pocas acciones legales a gran escala, todas las empresas enfrentarán un mayor riesgo financiero relacionado con las violaciones de datos. A medida que la CPRA aumenta las apuestas para las empresas con respecto a la protección de datos, es probable que los actores de amenazas se animen aún más. En la UE, el GDPR ha sido vinculado al aumento de las incidencias de ransomware, ya que los piratas informáticos utilizan la amenaza de multas como palanca para extraer mayores rescates de sus víctimas.

En este sentido, el cumplimiento significará adoptar posturas de seguridad organizacional más sólidas a través de un mayor uso de autenticación de múltiples factores y protocolos de confianza cero. Es probable que también aumente los costos del seguro comercial de ciberseguridad.

Tienes hasta 2023, pero no debes demorarte

Si bien la CPRA no se convertirá en ley hasta el 1 de enero de 2023, sus regulaciones se aplicarán a toda la información recopilada a partir del 1 de enero de 2022 en adelante. Entonces, a partir de ahora, tiene más de dos años para prepararse. Sin embargo, como se ve en encuestas de principios de este año, la gran mayoría de las empresas aún tienen que cumplir con la legislación CCPA que se puede hacer cumplir actualmente.

El cronograma para el cumplimiento de la CPRA es relativamente generoso. Dado que tanto los reguladores como las empresas se apresuran a ponerse al día con sus nuevas obligaciones, es poco probable que las empresas se enfrenten a un torrente de acciones legales a corto plazo.

Sin embargo, a largo plazo, es probable que la CPRA impulse más legislación en los EE. UU. Esta ley puede ser el comienzo de un impulso hacia las regulaciones de protección de datos a nivel federal, que tendrán reglas, requisitos y sanciones similares para las empresas, independientemente de dónde se encuentren sus clientes. Las empresas deben comenzar a prepararse para un futuro en el que los datos de los clientes estén protegidos legalmente ahora.

Rob Shavell es cofundador y director ejecutivo de la empresa de privacidad onine Abine / Borrame y ha sido un defensor vocal de la reforma de la legislación de privacidad, incluso como defensor público de la Ley de Derechos de Privacidad de California (CPRA).


Cómo las startups están escalando la comunicación:

La pandemia está haciendo que las nuevas empresas analicen de cerca el aumento de sus soluciones de comunicación. Aprender cómo


Latest articles

Alemania considera las restricciones para los no vacunados a medida que aumentan los casos

El aumento de casos de Covid-19 debido a la propagación de la variante Delta más contagiosa ha provocado un debate en Alemania sobre...

"¡Lo superó!" La presentadora Nicole Byer cree que es extraño hacer sándwiches

La comediante Nicole Byer presenta el programa de competencia de cocina ¡Lo superó! en Netflix. Es familiar, pero eso no le impide...

¡Issa Rae y Louis Diame ata el nudo!

Felicitaciones a Issa Rae y Louis Diame, que se casaron en Francia durante el fin de semana. Issa anunció la noticia...
49.6k Followers
Follow

Related articles

Leave a reply

Please enter your comment!
Please enter your name here

Translate »