CPRA: es hora de cortar lazos con datos antiguos

  • Security and Risk Management

seguridad, privacidad

A principios de noviembre, los votantes de California aprobaron una iniciativa de votación conocida como Proposición 24, que promulgó la Ley de Derechos de Privacidad de California (CPRA). En un intento por aumentar aún más la protección de los datos del consumidor, California ha ido más allá de cualquier otro estado para crear una regulación de privacidad general.

La CPRA recientemente aprobada enmienda la Ley de Privacidad del Consumidor de California (CCPA) de 2018 ya en vigor. Para las empresas que acaban de implementar programas de cumplimiento de CCPA este año, incluidas las modificaciones recientes a las regulaciones de CCPA, la perspectiva de tener que abordar los requisitos de CPRA parece abrumadora tarea. Afortunadamente, no tienen que preocuparse por cumplir con los requisitos de inmediato; la mayoría de las enmiendas entrarán en vigencia el 1 de enero de 2023. Sin embargo, hay requisitos que las empresas deberían comenzar a considerar más temprano que tarde.

La CPRA: hacer un esfuerzo adicional

La CPRA amplía la CCPA al otorgar a los consumidores nuevos derechos que no existen según la ley actual. Los consumidores tendrán derecho a limitar el uso y divulgación de información personal confidencial (como raza, etnia, religión, ubicación geográfica, salud y datos biométricos) y el derecho a exigir a las empresas que corrijan la información personal inexacta.

Además, la CPRA establece una nueva agencia de cumplimiento de la privacidad llamada Agencia de Protección de la Privacidad de California. Esta agencia, la primera de su tipo en los EE.UU., será responsable de la elaboración y el cumplimiento de las reglas, y se espera que las actividades de elaboración de reglas comiencen en 2021.

La CPRA también modifica los derechos existentes de la CCPA, como actualizar los requisitos de no vender de la CCPA para incluir "No vender ni compartir mi información personal" y ampliar las divulgaciones que las empresas deben hacer en sus avisos de privacidad.

Fuera con lo viejo, con vistas

En la lista de requisitos nuevos y ampliados se incluye uno que los especialistas en marketing y los profesionales de la experiencia del cliente (CX) pueden pasar por alto: el requisito de minimizar la recopilación y retención de datos. Es probable que esta ley despierte el interés de los reguladores de privacidad de datos de la UE y por una buena razón. La CPRA ha incorporado obligaciones de transparencia y retención de datos al estilo de GDPR.

Las empresas deberán informar a los consumidores, en el punto de recopilación o antes, sobre el "período de tiempo que la empresa pretende retener cada categoría de información personal, incluida la información personal sensible, o si eso no es posible, los criterios utilizado para determinar dicho período".

La CPRA ahora requiere que las empresas "no retengan la información personal del consumidor o la información personal confidencial" durante más tiempo del "razonablemente necesario para ese propósito divulgado".

La recopilación indiscriminada y la retención indefinida siempre fueron prácticas cuestionables cuando se trataba de proteger los derechos de privacidad de los consumidores, y la CPRA efectivamente hará que tales prácticas sean ilegales una vez que entre en vigencia.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.