La Ley de Privacidad del Consumidor de California (CCPA) es una ley del estado de California promulgada en 2020 que protege y hace cumplir los derechos de los californianos en relación con la privacidad de la información personal (IP) de los consumidores.
Dentro del mundo digital, se entiende que los datos del consumidor son el nuevo oro, una sustancia de valor potencial inmenso para los profesionales de marketing. Sin embargo, a pesar de los deseos de los intereses corporativos de explotar estos datos, un movimiento creciente insiste en que los consumidores estudiados por estos datos deben tener voz y voto sobre cómo se utiliza o no la información que han generado.
En California, los objetivos de ese movimiento se han transformado en ley, a través del paso de la CCPA. Se esfuerza por los derechos de los consumidores y la ciberseguridad al dar al estado de California un marco capaz para aplicar las leyes y regulaciones de privacidad de datos y proporcionar a los residentes de California un camino hacia el derecho de acción privado, a fin de buscar recuperación legal de los datos.
Suscríbase al boletín de IBM
Las pautas de la CCPA se diseñaron para ofrecer a los consumidores de California un conjunto de derechos que tratan expresamente con la privacidad de los datos personales y les brinda medidas de seguridad razonables. Estos derechos incluyen la capacidad de los californianos de hacer solicitudes de los consumidores sobre los datos de sus clientes. Estas solicitudes pueden incluir cómo:
Evitar la venta de su información personal a empresas externas (es decir, el derecho a prevenir la reventa) emitiendo la llamada "No vender mi información personal" directiva
Pedir datos sobre cualquier información personal que se haya recopilado (Derecho de acceso)
Solicitar que se eliminen todos los datos recopilados sobre ese consumidor (el derecho a ser olvidado)
Gracias a la Agencia de Protección de la Privacidad de California, los residentes de California también tienen protecciones destinadas a garantizar que se les notifique adecuadamente sobre los cambios de datos que les afectan, así como reglas antidiscriminatorias que exigen que las personas no puedan ser subyugadas ni penalizadas de otro modo porque decidan ejercer estos derechos. .
Aunque la mayoría de los consumidores poseen una idea general de lo que se entiende por "datos personales", la frase puede significar cosas distintas para personas distintas, y bastantes más cosas de las que se imaginan al principio.
Dentro del contexto de la CCPA, los datos personales se definen como "información que identifica, relaciona, describe, es razonablemente capaz de asociarse con, o podría vincularse razonablemente, directa o indirectamente, con un consumidor o hogar en particular".1
Las pautas de la CCPA cubren los siguientes ejemplos específicos de datos personales:
Nombre
Dirección
Número de teléfono
Dirección de correo electrónico
Dirección IP
Fecha de nacimiento
Número de Seguro Social
Número de licencia de conducir
Número de pasaporte
Información de la cuenta bancaria
Números de tarjeta de crédito/débito
Datos y credenciales de educación
Los datos personales adquieren aún más valor para los profesionales del marketing cuando cada tipo de información puede combinarse mediante el análisis de datos y utilizarse para crear visiones compuestas de consumidores o grupos de consumidores concretos y realizar inferencias más amplias sobre las tendencias de marketing de consumo, por ejemplo. Algunas de las otras formas de IP recopiladas de forma rutinaria pueden ser igualmente reveladoras, entre ellas:
Preferencias de compra de los consumidores
Historial de navegación personal
Actitudes personales articuladas
Comportamientos personales especificados
Otra área de preocupación implica las cookies y cómo las utilizan los sitios web como identificadores únicos. Esto incluye cookies propias (que están diseñadas para eliminarse una vez concluido su propósito comercial), así como cookies de terceros (que no se autoeliminan automáticamente y tienen la funcionalidad de recopilar varios tipos de datos personales, incluida la información personal confidencial).
Debido al potencial de uso indebido de cookies de terceros por sitios web, la CCPA considera que los datos recopilados a través de un sitio web a través del uso de cookies son PI y, por lo tanto, merecen protección.
La mayoría de las organizaciones afectadas abordan el cumplimiento de la CCPA no como un solo paso, sino como un proceso. La primera parte de ese proceso a menudo implica un cambio de mentalidad hacia el consumidor y darse cuenta de que sus necesidades de privacidad son importantes y conllevan derechos exigibles.
Mantener el cumplimiento de la CCPA implica defender a los distintos consumidores de California brindándoles opciones sobre cómo se administra su inventario de datos personales (incluidas las opciones de participación voluntaria). También significa mantenerse al día con cualquier cambio evolutivo en la CCPA para seguir el ritmo de las nuevas tecnologías (como la biometría) y las revisiones de las políticas de la CCPA.
Cumplir los requisitos de la CCPA implica una serie de pasos que pueden requerir seis meses o incluso un año. Sin embargo, cada uno desempeña un papel fundamental en el establecimiento del cumplimiento de la CCPA. (Dado que ciertos requisitos de cumplimiento pueden realizarse simultáneamente, los pasos se indican con viñetas y no números).
El primer paso es hacerse una idea precisa de los datos de consumo que se han recopilado, así como catalogar sus distintas ubicaciones. Esto se relacionaría con los datos de consumidores "exteriores" recopilados de consumidores fuera de la empresa y datos de consumidores recopilados "internamente" de empleados de la empresa y solicitantes de empleo.
Es esencial mantener un alojamiento seguro para todos los datos personales recopilados, ya provengan de consumidores o solicitantes de empleo. También existen disposiciones adicionales relacionadas con la protección de la información recopilada de menores.
Se debe emitir un "aviso en la declaración de cobro" a todos los consumidores (o incluso a los trabajadores de la empresa y a las personas que buscan empleo). Es importante destacar que este aviso de privacidad debe comunicarse antes o en el momento en que comienzan las actividades de recopilación de datos, y no después de que ya hayan comenzado.
La mayoría de las organizaciones ahora mantienen una política de privacidad de datos detallada para su empresa y la publican en su sitio web.
También es importante configurar un medio eficaz y oportuno para manejar cualquier solicitud relacionada con la información del consumidor.
Las reglas de minimización de datos deben desarrollarse e implementarse para garantizar que la organización recopile solo la cantidad mínima de IP necesaria para lograr un propósito determinado. Las organizaciones también deben considerar los posibles peligros para los consumidores si se violan los datos recopilados e implementar medidas preventivas adecuadas (por ejemplo, eliminación automática de los datos recopilados después de su uso).
Un aspecto clave para lograr el cumplimiento es asegurarse de que los gerentes de la empresa y todos los empleados conozcan los requisitos de la CCPA, especialmente los requisitos que afectan directamente su alcance de trabajo. Las actualizaciones pueden realizarse mediante sesiones de capacitación y seminarios web.
Las leyes y regulaciones a menudo están sujetas a cambios y enmiendas. (La propia CCPA se sometió a dichas revisiones antes de su relanzamiento en 2023). Por lo tanto, es una buena idea mantenerse al día con los desarrollos de la CCPA.
El corretaje de datos, la compra y venta de PI, es un negocio en auge, que los expertos valoraron en 240,000 millones de dólares a nivel mundial en 2021. Se espera que esa cantidad casi se duplique y se elaboque a más de 450 mil millones de dólares anuales al final de la década.2
Cualquier cosa tan valiosa como los datos debe protegerse vigorosamente. En consecuencia, la Agencia de Protección de la Privacidad de California (CPPA) está facultada para golpear en la línea de fondo a las empresas que violen a los inquilinos de la CCPA. Y aunque las sanciones de la CCPA tienen un límite relativamente bajo (USD 2,500 por un contacto infractor que se demuestre que no ha sido intencionado o USD 7,500 por una infracción intencionada), cabe señalar que esas sanciones de la CCPA se aplican a una sola infracción, como una violación de datos que afecte a una sola persona.
Pero la realidad es que las brechas de datos rara vez involucran a una sola parte afectada. En cambio, son más típicamente eventos masivos que involucran a miles o incluso cientos de miles de consumidores. Entonces, si multiplicas las posibles multas de la CCPA por un gran número de residentes de California, pronto podrías estar calculando penalizaciones gigantescas.
La CCPA ofrece a las empresas infractoras una forma de evitar el pago de estas cuantiosas multas, concediéndoles un periodo de gracia de 30 días para subsanar el error cometido. Si un infractor puede mejorar sus medidas de seguridad y "arreglar" el problema dentro de un mes, se puede eximir el cargo de penalización. Obviamente, las empresas están obligadas financieramente a remediar tales delitos, pero eso puede resultar difícil o incluso imposible en algunas situaciones, teniendo en cuenta que delitos como las violaciones de datos a menudo implican divulgaciones de datos que no pueden revertirse.
El alcance de la CCPA continúa expandiéndose y evolucionando para seguir el ritmo del crecimiento explosivo de la tecnología, como el Internet de las cosas (IoT).
Por ejemplo, la CPPA ha anunciado recientemente un nuevo enfoque de vehículos conectados a la atención (CVs) que están equipados con mecanismos de recopilación de datos. Los vehículos modernos tienen los medios para recopilar una cantidad completa de información sobre los conductores, así como datos de geolocalización, y transmitir esos datos. Teniendo en cuenta que hay más de 35 millones de vehículos registrados en California, esto representa un gran emprendimiento. Pero según el Director Ejecutivo de la CPPA, es una necesidad que requiere atención.
"Los vehículos modernos son computadoras conectadas eficazmente en las ruedas", declaró Ashkan Soltani en julio de 2023. "Pueden recopilar una gran cantidad de información a través de aplicaciones, sensores y cámaras integrados, que pueden monitorear a las personas tanto dentro como cerca del vehículo".3
La frase "cerca del vehículo" es digna de mención porque implica que no solo se protegen los datos de los conductores, sino también de cualquier persona que pueda ir en ese coche e incluso de individuos que simplemente caminen cerca del vehículo y cuyas imágenes momentáneas sean captadas por las cámaras de a bordo.
Este anuncio también parece significativo porque, en él, la autoridad de la CCPA se utiliza para proteger los datos personales generados a través del IoT, en este caso, de los vehículos conectados. El anuncio puede ser aún más significativo si indica la intención de una agencia de controlar un número cada vez mayor de casos relacionados con el IoT en los próximos años.
Cuando la Unión Europea (UE) promulgó el Reglamento General de Protección de Datos (GDPR) en mayo de 2018, lanzó el marco más proactivo posible para proteger la información personal y/o del consumidor. La CCPA se ha conocido como la política de privacidad de datos más estricta vigente dentro de los Estados Unidos. En consecuencia, algunos observadores quieren saber cómo se comparan los dos estándares.
En la mayoría de los casos, los dos estándares están cortados del mismo patrón. El RGPD y la CCPA:
Son guiados por un instinto para proteger y empoderar al ciudadano individual
Dar al consumidor el derecho a oponerse a los datos recopilados y corregirlo, si los datos recopilados son erróneo
Dar al consumidor derecho a acceder a sus datos personales, trasladarlos o (si así lo decide) borrarlos definitivamente.
Exigir que se notifique personalmente a los consumidores si se viola la seguridad de sus datos recopilados.
También hay diferencias. El RGPD tiene requisitos de transferencia transfronteriza que no son necesarios en California de un solo estado. Asimismo, la CCPA aplica restricciones a la venta de IP, cosa que no hace el GDPR.
Aun así, hay más similitudes que diferencias entre el GDPR y la CCPA. Ambas normas tienen que lidiar con la espinosa cuestión de los riesgos de terceros, en los que una empresa subcontrata esencialmente su gestión de datos personales a una empresa externa. Cuando esto ocurra, esa tercera empresa debe estar preparada y legalmente capacitada para asumir las mismas responsabilidades basadas en la CCPA respecto a la IP en las que incurrió la empresa original tras recopilar o comprar originalmente los datos en cuestión. Tanto la CCPA como el GDPR requieren que las empresas compartan las categorías de terceros con los que comparten información, qué información comparten con cada uno y por qué.
El RGPD y la CCPA también comparten otro rasgo importante: la capacidad de penalizar económicamente a los proveedores de servicios y otras empresas que cometen infracciones de incumplimiento. Esto se demostró recientemente de manera dramática con la multa de penalización de privacidad de datos más grande registrada hasta la fecha.
En mayo de 2023, la Comisión de Protección de Datos (CPD) irlandesa impuso una multa récord de 1,200 millones de euros (aproximadamente 1,300 millones de dólares) a Meta (la empresa antes conocida como Facebook) por utilizar ilegalmente datos europeos en sus negocios estadounidenses, entre los que se incluye Instagram.
Automatice la auditoría y la elaboración de informes de cumplimiento normativo, descubra y clasifique datos y fuentes de datos, monitoree la actividad de los usuarios y responda a las amenazas casi en tiempo real Guardium® Insights admite un enfoque moderno y de confianza cero para la seguridad de los datos, ayudando a descubrir actividades inusuales en torno a los datos confidenciales y reduciendo el riesgo de exportación.
Obtenga una visibilidad más nítida y conocimientos detallados que le ayudarán a investigar y remediar las ciberamenazas. Aplique políticas de seguridad y controles de acceso casi en tiempo real para abordar rápidamente las necesidades de cumplimiento normativo.
Ofrezca experiencias del cliente confiables y haga crecer su negocio con un enfoque integral y adaptable a la privacidad de datos, basado en principios de confianza cero y de protección probada de la privacidad de datos. Con las soluciones de privacidad de datos de IBM, puede fortalecer la protección de la privacidad de datos, generar confianza en los clientes y también hacer crecer su negocio.
Al comprender las causas y los factores que aumentan o reducen los costos de las filtraciones, usted estará mejor preparado para enfrentarlas. Aprenda de las experiencias de más de 550 organizaciones que se vieron afectadas por una filtración de datos.
La PII son datos personales que se pueden utilizar para descubrir la identidad de una persona específica, como números de Seguro Social, nombres completos y números de teléfono.
La seguridad de la información protege los archivos digitales y los datos importantes de una organización, los documentos en papel, los medios físicos y más contra el acceso, la divulgación, el uso o la alteración no autorizados.
Notas de pie de página
1 "4 tipos de datos personales conforme a la Ley de Privacidad del Consumidor de California (CCPA)", Eric Andrews, sitio web securiti (enlace externo a ibm.com)
2 "Data Brokers Market Outlook 2031", Data Brokers Market, sitio web Transparency Market Research (enlace externo a ibm.com)
3 "CPPA para revisar las prácticas de privacidad de los vehículos conectados y tecnologías relacionadas", informó el 23 de julio de 2023 en el sitio web de la Agencia de Protección de la Privacidad de California (enlace externo a ibm.com)