La CCPA, Ley de Privacidad del Consumidor de California, es legalmente exigible desde el 1 de julio del año pasado. Es la primera ley significativa de privacidad en los EE. UU. relacionada con el control de los consumidores sobre sus datos personales. Y, aunque no ha pasado ni un año desde que comenzó la aplicación legal oficial de la CCPA, los californianos ya han votado por una ley complementaria llamada Ley de Derechos de Privacidad de California (CPRA).
Entonces, ¿por qué son significativas estas modificaciones de la CCPA, y en qué se diferencia la CPRA de la CCPA? Más importante aún, ¿cómo afectarán los cambios a la CCPA en la aplicación de la privacidad de datos? En esta página, discutiremos todas las nuevas enmiendas para determinar cómo cambiará la CPRA a la CCPA.
¿Qué es la nueva Ley de Privacidad de California (CPRA)?
En noviembre de 2020, la nueva Ley de Derechos de Privacidad de California fue aprobada por los votantes con un 56% a favor frente a un 44%. Aunque la legislación existente de la CCPA debía ayudar al estado a aprobar una ley de privacidad más estricta, la nueva ley introduce regulaciones más rigurosas, acercándose más al GDPR que a la CCPA existente.
El objetivo principal de las nuevas regulaciones bajo la CPRA es endurecer los requisitos de privacidad y reducir el riesgo general en otros puntos establecidos por la ley anterior. La nueva legislación entrará en vigor el 1 de enero de 2023, y su aplicación legal comenzará seis meses después. Esto significa que, desde este punto, las empresas tienen dos años para prepararse para esta nueva legislación.
CPRA vs. CCPA: ¿Cuál es la diferencia?
Existe una idea errónea común en el público de que la CPRA es una ley completamente diferente, lo cual no es el caso. La principal diferencia entre la versión anterior y la nueva es una mayor protección al consumidor y preguntas de cumplimiento más precisas para las empresas. Con esto en mente, esta nueva legislación es una ampliación de la ley existente. Para cumplir con la CPRA, las empresas tendrán más responsabilidades que las que tenían bajo la CCPA.
La CPRA a menudo se considera como la versión 2.0 de la CCPA. Sin embargo, si has tenido la oportunidad de leer las reglas y directrices, también notarás que esta legislación guarda similitudes con el Reglamento General de Protección de Datos (GDPR). Incluye elementos similares que puedes encontrar en las directrices de cumplimiento del GDPR, aunque los requisitos y definiciones de la CPRA son un poco más amplios.
Más allá de las diferencias, la similitud crucial entre ambas que todos deben tener en cuenta es que el cumplimiento no está limitado solo al estado de California. Se extiende a nivel mundial y cubre a todos los residentes de California, independientemente de su ubicación exacta en ese momento. Si tu sitio web no bloquea el acceso de residentes de California, se requiere cumplimiento para el mismo.
Aplicación y sanciones de la CPRA
Un cambio significativo nuevo es la introducción de la Agencia de Protección de la Privacidad de California, una organización independiente creada por la CPRA. La misión principal de la CalPPA es garantizar que las empresas y los consumidores estén bien informados sobre sus derechos y obligaciones establecidos bajo las disposiciones de la CPRA.
La CalPPA reemplazará a la oficina del fiscal general como el principal organismo regulador que controla la implementación de las reglas de la CPRA. En cuanto a las sanciones, se triplicarán para las violaciones relacionadas con menores de 16 años (la multa aumentará a $7,500). Además, el derecho privado de acción de los consumidores se ampliará para cubrir las brechas de direcciones de correo electrónico que ocurran en combinación con una contraseña y preguntas de seguridad que permitan el acceso a la cuenta.
Aunque todo esto puede parecer abrumador para el propietario promedio de un negocio, las empresas que ya se han preparado para la ley anterior sentirán un impacto mínimo de las nuevas reglas y directrices de privacidad de la CPRA.
Las empresas que ya cumplen con los requisitos anteriores, especialmente con el GDPR, no tendrán que realizar cambios significativos. Por otro lado, las empresas que aún no han implementado ningún cambio tendrán un camino difícil por delante.
La alteración más significativa que tendrán que hacer las empresas gira en torno a la minimización de la información personal. Bajo la CPRA, las empresas también tendrán que cumplir con requisitos más estrictos de intercambio de datos. Deberán ofrecer a sus clientes de California la oportunidad de optar por no permitir que su información personal sea vendida a terceros. Por supuesto, esta estricta política de datos también resultará en costos adicionales de recolección de datos para las empresas.
Consejos para cumplir con la CPRA
Cuando surgieron las noticias sobre las modificaciones de la CCPA, muchas empresas se sintieron preocupadas por los aparentes cambios significativos en los requisitos de cumplimiento original de la CCPA. Y, aunque la nueva legislación trae cambios grandes y significativos, estos cambios no son necesariamente negativos.
Las empresas que previamente tomaron las medidas necesarias para cumplir con la CCPA están en una excelente posición para cumplir con los requisitos de la CPRA. Aquí tienes algunos consejos que te ayudarán a garantizar el cumplimiento de la CPRA:
- Identifica todos los datos personales sensibles - Las nuevas reglas de la CPRA introducen un nuevo término, "información personal sensible". Este es un término muy amplio que abarca casi todos tus datos personales identificables, incluidos los datos genéticos y biométricos.
- Aplica una política de eliminación más estricta - La enmienda requiere que todas las empresas eliminen la información personal de sus usuarios una vez que haya cumplido su propósito. Además de garantizar el cumplimiento de la CPRA al eliminar regularmente los datos, también protegerás tu negocio, ya que cuanto menos datos tengas, menos podrás perder si ocurre una brecha de seguridad.
- Revisa los acuerdos con terceros - La nueva legislación también pone un fuerte énfasis en las obligaciones de privacidad de datos hacia contratistas, proveedores de servicios y otras terceras partes. Lo más significativo es que todas las ventas, intercambios y divulgaciones de información personal se realicen según un contrato.
- Identifica si hay nuevas excepciones - Además de los consejos de cumplimiento de la CPRA mencionados, hay algo más que debes tener en cuenta. La nueva ley añade excepciones parciales que no estaban incluidas en la anterior. Estas incluyen ciertas exenciones para datos del hogar, registros educativos y de pruebas, y otros datos personales específicos.
- Implementa MFA para inicios de sesión - Las reglas de la CPRA destacan particularmente las credenciales de inicio de sesión. Para cumplir con este nuevo cambio, la mejor forma sería implementar autenticación multifactor para garantizar que las credenciales de inicio de sesión no proporcionen acceso automático a la cuenta y los datos personales del usuario.
Prepárate para la CPRA con Hideez
A pesar de las preocupaciones de que la CPRA pueda ser demasiado robusta y complicada para cumplir, proporciona un mecanismo confiable que puede mantener a las empresas bajo control y proteger la información sensible de los usuarios. Es una regulación bienvenida que sin duda ayudará a mejorar la resiliencia cibernética global en el futuro, y Hideez puede ayudarte con el cumplimiento de la CPRA.
Nuestros expertos en ciberseguridad han desarrollado una solución de autenticación integral para empresas que puede garantizar una seguridad de la información mucho más sólida, además del cumplimiento interno y externo de las políticas para negocios en todas las industrias.
Los tokens de seguridad Hideez Key 3 y Hideez Key 4 pueden optimizar el proceso de MFA y proporcionar una experiencia de inicio de sesión sin contraseñas para los empleados. Con solo presionar un botón, pueden ingresar contraseñas de un solo uso automáticamente sin la necesidad de sacar sus teléfonos, ejecutar aplicaciones, buscar sus cuentas e introducir contraseñas repetitivamente. Además, una Hideez Key puede almacenar hasta 1,000 contraseñas, bloquear/desbloquear computadoras mediante un sensor de proximidad y abrir puertas de oficinas u otros espacios habilitados con RFID, yendo más allá de la posesión de un segundo factor, proporcionando una llave digital todo en uno para empleados.
Para obtener más información sobre nuestras soluciones empresariales, por favor contáctanos o programa una demo gratuita.
