Por Harry Maugans

En medio de todas las noticias electorales, es posible que se haya perdido un hito importante: los californianos aprobaron las regulaciones de privacidad más ambiciosas del país. La Ley de Regulación de Privacidad de California, o la CPRA, marca el comienzo de una serie de nuevas reglas que pueden aplicarse a muchas pequeñas y medianas empresas.

Incluso si su empresa no opera en California, es útil comprender estas regulaciones de privacidad. Sin una ley de privacidad nacional, la CPRA puede convertirse en el modelo para la privacidad en todo el país.

Para ponerse al día, aquí hay cuatro cosas que las empresas deben saber sobre la CPRA.

1. Nuevos derechos de los consumidores sobre el intercambio de datos y los permisos

La CPRA reemplaza la CCPA, las regulaciones de privacidad existentes de California. Amplía la protección del consumidor con una distinción clave: el intercambio de datos ahora está regulado junto con la compra y venta de datos con fines comerciales. Las empresas que comparten con frecuencia datos de clientes sin necesariamente intercambiar dinero ahora tendrán que cumplir con la CPRA y permitir que los consumidores opten por no vender ni compartir sus datos personales.

Además del derecho a limitar el uso y el intercambio de datos personales, otros derechos del consumidor consagrados en la CPRA incluyen:

  • El derecho a conocer las categorías de información personal confidencial recopilada
  • El derecho a saber por qué y con qué fines se recopilan los datos.
  • El derecho a saber si la información personal se vende o se comparte
  • El derecho a corregir la información personal inexacta
  • El derecho a saber durante cuánto tiempo planea su empresa conservar cada categoría de información personal
  • El derecho a acceder a todas las categorías de información personal recopilada por una empresa (no solo durante los 12 meses anteriores, según la ley existente)

Tenga en cuenta que esto se aplica solo a las empresas que hacen negocios en California, es decir, aquellas empresas que manejan información personal de los residentes de California. También exime cualquier dato que esté disponible públicamente, que no estaría regulado por la CPRA.

Haz esto ahora mismo: Revise todos los acuerdos de intercambio de datos con terceros. Asegúrese de que su departamento de marketing comprenda este nuevo requisito. Asignar presupuesto al cumplimiento de la privacidad.

2. Más pequeñas empresas están exentas

La CPRA eleva el umbral de cumplimiento a favor de las empresas más pequeñas. La CPRA se aplica solo a las empresas que cumplen con uno de los siguientes umbrales:

  • Más de $ 25 millones en ingresos brutos en el año calendario anterior
  • Compre, venda, comparta comercialmente la información personal de más de 100,000 hogares, consumidores o dispositivos. Eso es más de 50,000 en la ley original, que es un alivio masivo para las empresas más pequeñas que enfrentan altos costos de cumplimiento.
  • Gane el 50% o más de sus ingresos anuales por vender o compartir información personal

En general, esta es una excelente noticia para las pequeñas y medianas empresas; muchos estarán exentos. Sin embargo, es fácil sobrepasar el umbral sin darse cuenta. Por eso es fundamental realizar auditorías trimestrales del repositorio de datos de su organización para asegurarse de que aún se encuentra por debajo del umbral.

Haz esto ahora mismo: Revise su depósito de datos y el uso de información personal para ver si está regulado por la CPRA. Luego, programe una reunión en su calendario para revisar trimestralmente con su equipo.

Otros artículos de AllBusiness.com:

3. Ahora existe una definición legal de “información confidencial”

La CPRA formaliza una definición legal de “información sensible”. Cualquier dato de usuario que incluya lo siguiente se consideraría sensible y estaría cubierto por la CPRA: orientación sexual, creencias religiosas o filosóficas, afiliación sindical, información genética, datos biométricos, raza / etnia, número de seguro social, registros de salud y el contenido de los mensajes.

Según la CPRA, los consumidores pueden limitar el uso de cualquier dato por parte de un tercero según la definición de “información personal sensible”. Esta limitación tiene implicaciones específicas para la publicidad dirigida que se personaliza para el consumidor en función de información confidencial. Una vez que el consumidor se da de baja, debe dejar de personalizar la publicidad inmediatamente.

Las empresas también deben usar la información personal solo de una manera que sea “razonablemente necesaria y proporcionada para lograr los fines para los que se recopiló o procesó la información personal”. Esta obligación limita la libertad en torno al uso de datos personales y otorga más control a los consumidores.

Haz esto ahora mismo: Audite su rastro de datos y etiquete cada ubicación donde almacena información personal potencialmente sensible. Asegúrese de aislar esos datos y protegerlos con una contraseña y un firewall.

4. Multas elevadas por infracciones

Por primera vez, Estados Unidos tiene una agencia de cumplimiento de la privacidad: la CPRA crea la Agencia de Protección de la Privacidad. Esto pone la aplicación real detrás de la ley, haciendo que el cumplimiento voluntario sea una cosa del pasado.

Las infracciones ahora tienen un costo: $ 2,500 por incidente, lo que aumenta a $ 7,500 por infracciones que involucran a menores. Si filtró datos accidentalmente o compartiera / vendiera datos sin el permiso del usuario, podría acumular grandes multas. Supongamos que compartió una lista de correo electrónico de 1000 contactos con un socio y pensó que estaba bien. Bueno, si no ha obtenido el permiso de usuario, es una infracción que podría costarle $ 25,000.

También deberá tener mucho cuidado de utilizar la información personal únicamente para los fines que se divulgaron inicialmente a los clientes. Deberá informar a los clientes y obtener su consentimiento si planea usar esos datos para un propósito que sea “incompatible con los fines divulgados para los cuales se recopiló la información personal”. De lo contrario, puede ser multado por incumplimiento.

Haz esto ahora mismo: Actualice a su equipo sobre la CPRA, para que todos conozcan sus requisitos. No querrá entrar en conflicto con la CPRA, ya que es algo que podría costarle mucho dinero. ¡Alinee al equipo!

Próximos pasos para su negocio

La CPRA se convierte en ley sobre 1 de enero de 2023, y la aplicación comienza seis meses después. Pero, y es muy importante, el derecho de acceso de la CPRA se aplica a cualquier información personal recopilada en o después 1 de enero de 2022. Entonces, si bien puede parecer que tiene un poco de tiempo, ¡solo tiene un año para poner en orden sus prácticas de datos!

Como puede prever, la gestión de la privacidad es un proceso bastante manual que requiere recursos internos. Deberá asignar recursos suficientes para atender las consultas de los consumidores y proporcionar explicaciones sobre el “cómo, por qué y para qué” de sus prácticas de recopilación de datos.

Su primer paso debe ser realizar una evaluación honesta de las prácticas de recopilación de datos de su organización. ¿Está haciendo las cosas de manera transparente y rastreable, o no tiene idea de dónde, cuándo, cómo y con qué propósito su organización almacena los datos de los clientes? Tómese su tiempo para trazar el flujo de datos de los clientes en toda su organización para crear un mapa de datos detallado. Este mapa debe guiarlo a medida que comienza el camino hacia el cumplimiento de la CPRA.

Desafortunadamente, las nuevas regulaciones a menudo son más onerosas para las empresas más pequeñas con menos flujo de caja libre. Y, con controles ampliados al consumidor y posibles multas, existen costos adicionales relacionados con el cumplimiento de la CPRA. Aun así, los consumidores quieren más controles y transparencia en torno a la privacidad de los datos. Es una excelente manera de generar confianza en los consumidores y vale la pena invertir a largo plazo.

RELACIONADO: 15 errores legales importantes cometidos por empresas emergentes

Sobre el Autor

Post por: Harry Maugans

Harry Maugans es el director ejecutivo de Privacy Bee. Ha pasado la última década creando productos de inteligencia de datos centrados en la privacidad que preservan el anonimato y, al mismo tiempo, brindan información valiosa. Su visión para el futuro de la privacidad es un mundo en el que los consumidores tengan total transparencia y control sobre sus huellas de datos.

Compañía: Privacy Bee
Sitio web: www.privacybee.com
Conéctese conmigo en Facebook, Twitter y LinkedIn.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí