a finales de junio de 2018, California aprobó AB 375, una ley de privacidad del consumidor que podría tener más repercusiones en las empresas estadounidenses que el Reglamento General de protección de datos (GDPR) de la Unión Europea que entró en vigor en mayo de 2018. La Ley de California no tiene algunos de los requisitos más onerosos del GDPR, como el estrecho período de 72 horas en el que una empresa debe reportar una violación. En otros aspectos, sin embargo, va aún más lejos.
CCPA tiene una visión más amplia que el GDPR de lo que constituye datos privados., El desafío para la seguridad, entonces, es localizar y proteger esos datos privados.
¿qué es la CCPA?
La Ley de privacidad del consumidor de California (CCPA) es una ley que permite a cualquier consumidor de California exigir ver toda la información que una empresa ha guardado en ellos, así como una lista completa de todos los terceros con los que se comparten los datos. Además, la Ley de California permite a los consumidores demandar a las compañías si se violan las pautas de privacidad, incluso si no hay incumplimiento.,
Que las empresas no la CCPA afectar?
todas las compañías que sirven a residentes de California y tienen al menos 2 25 millones en ingresos anuales deben cumplir con la ley. Además, las empresas de cualquier tamaño que tengan datos personales sobre al menos 50.000 personas o que recojan más de la mitad de sus ingresos por la venta de datos personales, también caen bajo la ley. Las empresas no tienen que estar basadas en California o tener una presencia física allí para caer bajo la ley. Ni siquiera tienen que estar basados en los Estados Unidos.,
una enmienda hecha en abril exime a las «instituciones de seguros, agentes y organizaciones de apoyo», ya que ya están sujetas a regulaciones similares bajo la Ley de protección de la privacidad y la información de seguros de California (IIPPA).
¿cuándo necesita mi empresa cumplir con la CCPA?
la ley entró en vigor el 1 de enero de 2020, pero su aplicación comenzó el 1 de julio.
¿qué sucede si mi empresa no cumple con la CCPA?
Las empresas tienen 30 días para cumplir con la ley una vez que los reguladores les notifiquen de una violación., Si el problema no se resuelve, hay una multa de hasta 7 7,500 por registro. «Si piensas en cuántos registros se ven afectados en una violación, realmente aumenta muy rápidamente», dice Debra Farber, directora sénior de estrategia de privacidad de BigID. Dado que el proyecto de ley fue elaborado y aprobado en solo una semana, probablemente verá algunas enmiendas, agrega. «Es probable que cosas como las cantidades de multa cambien.»
También hay otro riesgo financiero potencial, dice Farber. «El proyecto de ley establece el derecho de un individuo a demandar, por primera vez», dice. «Y permite demandas colectivas por daños y perjuicios.,»
de nuevo, hay una ventana de 30 días que comienza cuando los consumidores dan aviso por escrito a una empresa que creen que sus derechos de privacidad han sido violados. «Si no se cura, y el Fiscal General se niega a procesar, entonces pueden presentar una demanda colectiva», dice Farber. «Y no es solo alrededor de las brechas.»
por ejemplo, la ley especifica que las empresas deben tener un pie de página claramente visible en los sitios web que ofrecen a los consumidores la opción de optar por no compartir datos. Si falta ese pie de Página, los consumidores pueden demandar., También pueden demandar si no pueden averiguar cómo se ha recopilado su información u obtener copias de esa información. «Puede estar alrededor de cualquier cosa», dice Farber.
la ley asigna sanciones específicas en caso de que se produzca un acceso no autorizado, ya sea a través de una violación, exfiltración, robo o «divulgación como resultado de la violación del deber de la empresa de implementar y mantener procedimientos y prácticas de seguridad razonables», como está escrito actualmente, AB 375 permite sanciones de 1 100 a 7 750 por Consumidor por incidente, o daños reales, lo que sea mayor.,
«agregue todos los otros costos relacionados con la violación: respuesta de TI, análisis forense y recuperación, legal, notificación, etc., y esto podría empujar una violación al ámbito de una amenaza existencial para muchas empresas», dice Chris Prevost, jefe de arquitectura de soluciones de seguridad en tiempo de ejecución en Imperva.
en general, si una empresa tomó las medidas necesarias para cumplir con el GDPR, entonces es la mayor parte del camino para la Ley de privacidad del consumidor de California. Al menos, está más cerca que si no está listo para el GDPR, dice Eric Dieterich, líder de prácticas de privacidad de datos en Focal Point Data Risk, LLC., «Algunas multinacionales hicieron cambios para sus mercados europeos, pero tal vez no lo implementaron en las actividades con sede en Estados Unidos, por lo que podría haber un cambio de alcance», dice.
¿qué datos cubre la CCPA?
La Ley de California adopta un enfoque más amplio de lo que constituye datos confidenciales que el GDPR. Por ejemplo, se cubre la información olfativa, así como el historial de navegación y los registros de las interacciones de un visitante con un sitio web o aplicación.,información ométrica
una enmienda, AB 874, actualmente a la espera de la firma del gobernador, eximiría a la información del consumidor disponible públicamente, desidentificada y agregada de ser clasificada como IIP., La información disponible públicamente se define como los datos disponibles y mantenidos a partir de Registros gubernamentales.
la CCPA cubría originalmente tanto los datos de los empleados como los de los consumidores. Una enmienda aprobada en abril, sin embargo, exime a los datos de los empleados de la regulación. Otra enmienda, AB 25, exime parcialmente la información personal recopilada de solicitantes de empleo, propietarios, directores, funcionarios, personal médico y contratistas. Esta exención expiraría el 1 de enero de 2021. AB 25 estaba esperando la firma del gobernador en este escrito.
¿cuáles son las disposiciones clave de Privacidad en la CCPA?,
Las empresas deben permitir que los consumidores elijan no compartir sus datos con terceros. Eso significa que las empresas ahora tendrán que ser capaces de separar los datos que recopilan de acuerdo con las opciones de privacidad de los usuarios.
Además, si bien una empresa no puede rechazar a los usuarios el servicio equal, puede ofrecer incentivos a los usuarios que proporcionan información personal. «Esta disposición puede estar sujeta a cambios, pero como se ha dicho hoy, le da la posibilidad de ofrecer descuentos a las personas que están dispuestas a compartir sus datos o venderlos a terceros», dice Dieterich., «Tradicionalmente, los sistemas no están diseñados para que su estructura de precios pueda cambiar dependiendo de sus opciones de privacidad. Ese es un nuevo concepto que tiene implicaciones muy técnicas.»
otra diferencia importante con GDPR es que la Ley de California permite a los clientes un acceso mucho mayor a sus registros, dice Subra Ramesh, vicepresidente senior de productos de Dataguise. Un consumidor de California tiene el derecho de averiguar qué información recopila una compañía sobre ellos. La mayoría de las empresas van a tener problemas para reunir esa información., «En primer lugar, la cantidad de datos que recopilan ya es masiva y continúa creciendo, a menudo de cientos a miles de terabytes, y con organizaciones de nivel empresarial procesando petabytes de datos», dice.
que los datos están contenidos en múltiples plataformas de almacenamiento, en diferentes tiempos de archivo. «La mayoría de las herramientas de búsqueda de archivos carecen de la capacidad de buscar en los ecosistemas de repositorios de archivos modernos tan prevalentes hoy en día», dice Aaron Ganek, CEO de Cloudtenna. «La gestión de archivos entre Silos es un gran desafío., Es difícil entender el contexto de cada archivo si están dispersos dentro de diferentes repositorios.»Además, los problemas de cumplimiento están asociados con la recopilación de datos, dice. «Las herramientas empresariales heredadas tienen dificultades para observar los permisos dispares y los modelos de seguridad, violando las mismas leyes y regulaciones que se están utilizando para satisfacer.»
Luego está el límite de tiempo., «Después de la solicitud de acceso, una empresa tiene 45 días para proporcionarles un informe completo sobre qué tipo de Información tienen, se vendió y a quién, y si se vendió a terceros en los últimos 12 meses, debe dar los nombres y direcciones de los terceros a los que se venden los datos», dice John Tsopanis, gerente de 1touch.io. » no se puede hacer eso en Europa.»
dado que la regla cubre los 12 meses anteriores de Registros, las empresas tienen que comenzar a cumplir dentro de seis meses, dice., Luego, el 1 de enero de 2020, todas las empresas tienen que divulgar todas las demás empresas a las que venden datos. «Cambiará el panorama de la privacidad en Estados Unidos para siempre», dice Tsopanis.
¿qué significa la CCPA para la seguridad?
AB 375 es liviano en los requisitos de seguridad y respuesta a violaciones en comparación con el GDPR. Como se indicó anteriormente, la ley define sanciones para las empresas que exponen los datos de los consumidores debido a una violación o lapso de seguridad. También permite a los tribunales ofrecer » medidas cautelares o declaratorias «o» cualquier otra medida que el tribunal considere apropiada.,»
Las empresas no están obligadas a denunciar infracciones en virtud de la AB 375, y los consumidores deben presentar quejas antes de que sea posible imponer multas. El mejor curso de acción para la seguridad, entonces, es saber qué datos AB 375 define como datos privados y tomar medidas para secrure. Una vez más, cualquier organización que cumpla con el GDPR probablemente no necesite tomar medidas adicionales para cumplir con AB 375 en términos de protección de datos.,
los requisitos de AB 375 sobre el seguimiento, el acceso y el almacenamiento de datos significan que los equipos de seguridad tendrán que trabajar en estrecha colaboración con los administradores de bases de datos, dice Terry Ray, vicepresidente sénior y miembro de Imperva, un proveedor de ciberseguridad. Cualquier herramienta seleccionada para ayudar a lidiar con AB 375 no solo necesitará tener una visibilidad completa de los datos almacenados en todo el entorno corporativo heterogéneo, sino que también garantizará que el acceso a estos datos esté adecuadamente protegido., «Por último, necesitarán estas herramientas para cooperar con el nuevo portal del consumidor al compartir datos específicos del consumidor con el consumidor verificable que lo solicite», dice.
si los datos se almacenan con proveedores de nube, el problema simplemente empeora. Por ejemplo, los empleados pueden configurar una cuenta de intercambio de archivos para realizar un seguimiento de los contactos de marketing o ventas. «No es sorprendente que las grandes empresas tecnológicas como Google y Facebook se opusieran al proyecto de ley», dice Kevin Bocek, vicepresidente de estrategia de seguridad e inteligencia de amenazas de Venafi., «Controlar la privacidad y la información personal que fluye entre las máquinas es increíblemente difícil, y un gran desafío para todas las empresas.»
un trabajo en progreso
El proyecto de ley se elaboró en solo siete días porque los legisladores querían evitar una iniciativa de votación para aprobar una ley aún más estricta a la que se opusieron muchas empresas tecnológicas. «En este momento, muchas de las disposiciones y definiciones entran en conflicto entre sí», dice Andy Dale, consejero general y vicepresidente de privacidad global de SessionM.,
un área problemática es si una empresa puede cobrar a los consumidores precios diferentes basados en su configuración de privacidad. Por ejemplo, muchas empresas tienen una opción donde un consumidor puede actualizar a un nivel de pago donde no ven ningún anuncio. Aquí, la ley tal como está escrita actualmente es un poco contradictoria.
«Si el consumidor ejerce sus derechos bajo el Reglamento, las empresas no pueden proporcionar un nivel o calidad diferente de Producto, bienes o servicios al consumidor», dice Pravin Kothari, CEO de Cifrcloud., «Por otra parte, de acuerdo con el Reglamento, no se prohíbe a las empresas cobrar a un consumidor un precio o tarifa diferente, o proporcionar un nivel o calidad diferente de bienes o servicios al consumidor, si esa diferencia está razonablemente relacionada con el valor proporcionado al consumidor por los datos del consumidor.»
parece que California está tratando de definir un marco donde los consumidores puedan cobrar por compartir sus datos, dice Kothari. «En esta área la legislación es un poco visionaria», dice. «Veremos en la práctica cómo funciona esto.,»
más sobre CCPA:
- 9 preguntas de CCPA cada CISO debe estar preparado para responder
- La CCPA es una oportunidad para poner en orden su casa de seguridad de datos
- ¿Qué es «seguridad razonable»? Y cómo cumplir con el requisito
- Tomar en serio la protección de datos del consumidor
- Cómo la propiedad ciudadana de los datos afecta a las empresas en el futuro