Lo que toda pequeña empresa debe saber sobre la ley de privacidad de California

d

seguridad

De Harry Maugans

En todas las noticias electorales, es posible que se haya perdido un hito importante: los californianos aprobaron la política de privacidad más ambiciosa del país. La Ley de Regulación de Privacidad de California (CPRA) anuncia una serie de nuevas reglas que pueden aplicarse a muchas pequeñas y medianas empresas.

Incluso si su empresa no opera en California, es útil comprender esta declaración de privacidad. Sin una ley nacional de protección de datos, la CPRA puede convertirse en un modelo para la protección de datos en todo el país.

Para mantenerlo actualizado, aquí hay cuatro cosas que las empresas deben saber sobre CPRA.

1. Nuevos derechos de los consumidores en relación con el intercambio de datos y las autorizaciones

La CPRA reemplaza la CCPA, la política de privacidad existente de California. Agrega una diferencia importante a la protección del consumidor: el intercambio de datos ahora está regulado junto con la compra y venta de datos con fines comerciales. Las empresas que intercambian información de clientes con frecuencia sin necesariamente intercambiar dinero ahora deben cumplir con la CPRA y permitir que los consumidores opten por no vender y compartir su información personal.

Además del derecho a restringir el uso y la divulgación de datos personales, otros derechos del consumidor consagrados en la CPRA incluyen:

  • El derecho a conocer las categorías de información personal confidencial recopilada
  • El derecho a saber por qué y con qué fines se recopilan los datos.
  • El derecho a saber si se vende o regala información personal
  • El derecho a corregir la información personal inexacta
  • El derecho a saber durante cuánto tiempo planea su empresa conservar cada categoría de información personal
  • El derecho a acceder a todas las categorías de datos personales recopilados por una empresa (no solo en los últimos 12 meses según la ley aplicable)

Tenga en cuenta que esto solo se aplica a las empresas que hacen negocios en California, es decir, las empresas que procesan la información personal de los residentes de California. También excluye los datos disponibles públicamente que no estarían cubiertos por la CPRA.

Hacerlo ahora: Consulta todos los acuerdos sobre intercambio de datos con terceros. Asegúrese de que su departamento de marketing comprenda este nuevo requisito. Asigne un presupuesto para el cumplimiento del cumplimiento de la privacidad.

2. Más pequeñas empresas están exentas

La CPRA aumenta el umbral de cumplimiento a favor de las empresas más pequeñas. La CPRA solo se aplica a las empresas que cumplen con uno de los siguientes umbrales:

  • Ventas brutas de más de $ 25 millones en el año calendario anterior
  • Compre, venda, comparta la información personal de más de 100,000 hogares, consumidores o dispositivos comercialmente. Eso es más de 50,000 en la ley original, lo que es un gran alivio para las empresas más pequeñas que enfrentan altos costos de cumplimiento.
  • Gane el 50% o más de sus ingresos anuales vendiendo o compartiendo información personal

En general, esta es una gran noticia para las pequeñas y medianas empresas. muchos estarán exentos. Sin embargo, es fácil sobrepasar el umbral sin darse cuenta. Debido a esto, es importante realizar auditorías trimestrales del repositorio de datos de su empresa para asegurarse de que aún se encuentra por debajo del umbral.

Hacerlo ahora: Revise su depósito de datos y el uso de información personal para determinar si está cubierto por la CPRA. Luego, programe una reunión en su calendario que desee revisar con su equipo trimestralmente.

Otros artículos de AllBusiness.com:

3. Actualmente existe una definición legal de «información sensible».

La CPRA formaliza una definición legal de “información sensible”. Todos los datos del usuario que contienen lo siguiente se consideran sensibles y están cubiertos por la CPRA: orientación sexual, creencias religiosas o filosóficas, afiliación sindical, información genética, datos biométricos, raza / etnia, número de seguro social, registros de salud y avisos de contenido personal.

Según la CPRA, los consumidores pueden restringir el uso de datos por parte de terceros de acuerdo con la definición de «datos personales sensibles». Esta restricción tiene implicaciones específicas para la publicidad dirigida que se adapta al consumidor en función de información confidencial. Una vez que el consumidor se da de baja, debe dejar de personalizar la publicidad inmediatamente.

Las empresas solo pueden utilizar los datos personales de una manera que sea «razonablemente necesaria y proporcionada para lograr los fines para los que se recopilaron o procesaron los datos personales». Esta obligación limita el alcance del uso de datos personales y otorga a los consumidores un mayor control.

Hacerlo ahora: Revise su ruta de datos y marque cada lugar donde almacena información personal potencialmente sensible. Asegúrese de aislar estos datos y protegerlos con una contraseña y un firewall.

4. Fuertes multas por infracciones

Por primera vez, Estados Unidos tiene una autoridad de protección de datos: la CPRA crea la autoridad de protección de datos. Esto significa que la aplicación real está detrás de la ley y el cumplimiento voluntario es cosa del pasado.

Las infracciones ahora cuestan: $ 2,500 por incidente, hasta $ 7,500 por infracciones menores. Si pierde datos accidentalmente o comparte / vende datos sin el permiso del usuario, podría enfrentarse a fuertes multas. Por ejemplo, digamos que compartió una lista de correo electrónico de 1,000 contactos con un socio y pensó que estaba bien. Si no le han dado permiso para usarlo, ¡esta es una violación que podría costarle $ 25,000!

También debe tener mucho cuidado al utilizar la información personal solo para los fines que se les dieron originalmente a los clientes. Debe informar a los clientes y obtener su consentimiento si desea utilizar esta información para un propósito que sea «inconsistente con los fines declarados para los cuales se recopiló la información personal». De lo contrario, puede ser multado por incumplimiento.

Hacerlo ahora: Actualice a su equipo a través de la CPRA para que todos conozcan los requisitos. No conviene ir en contra de la CPRA, ya que podría costar mucho dinero. ¡Alinee el equipo!

Próximos pasos para su empresa

La CPRA se convierte en ley 1 de enero de 2023, La ejecución comienza seis meses después. Pero, y es un gran problema, el derecho de acceso de CPRA se aplica a cualquier información personal recopilada durante o después del acceso. 1 de enero de 2022. Si bien parece que tiene un poco de tiempo, ¡solo tiene un año para poner en orden sus prácticas de datos!

Como puede predecir, la gestión de la protección de datos es un proceso bastante manual que requiere recursos internos. Debe asignar recursos suficientes para responder a las consultas de los clientes en el sitio y proporcionar explicaciones del «cómo, por qué y para qué» de sus prácticas de recopilación de datos.

Su primer paso debe ser realizar una evaluación honesta de las prácticas de recopilación de datos de su empresa. ¿Hace las cosas de manera transparente y rastreable o no tiene idea de dónde, cuándo, cómo y con qué propósito su organización almacena los datos de los clientes? Tómese un tiempo para graficar el flujo de datos de los clientes en su empresa y cree un mapa de datos detallado. Esta tarjeta debe guiarlo en el camino hacia el cumplimiento de la CPRA.

Desafortunadamente, las nuevas regulaciones suelen ser las más onerosas para las empresas más pequeñas con menos flujo de caja libre. Con controles mejorados para el consumidor y posibles multas, existen costos adicionales asociados con el cumplimiento de la CPRA. Aun así, los consumidores quieren más control y transparencia sobre la protección de datos. Esta es una excelente manera de generar confianza en el consumidor, y vale la pena invertir a largo plazo.

CONECTADO: 15 importantes errores legales cometidos por empresas emergentes

Sobre el Autor

Contribución de: Harry Maugans

Harry Maugans es el director ejecutivo de Privacy Bee. Durante los últimos diez años, ha desarrollado productos de inteligencia de datos orientados a la protección de datos que mantienen el anonimato y aún brindan información valiosa. Su visión para el futuro de la protección de datos es un mundo en el que los consumidores tengan total visibilidad y control sobre sus impresiones de datos.

Compañía: Privacy Bee
Sitio web: www.privacybee.com
Conectas conmigo en facebook Gorjeoy LinkedIn.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Deja un comentario