Por que a súa empresa ten que prestar atención ao cumprimento da CCPA

Por que as empresas deberían prestar atención á Lei de privacidade do consumidor de California - CCPA

A famosa cultura do surfista relaxado e soleado de California desmente o seu papel para cambiar as conversacións nacionais sobre cuestións candentes mediante a aprobación de actos lexislativos históricos. A primeira en aprobar todo, desde a contaminación do aire ata a marihuana medicinal ata a lexislación de divorcio sen culpa, California está liderando a loita por leis de privacidade de datos amigables para o consumidor.

o Lei de privacidade do consumidor de California (CCPA) é a lei de privacidade de datos máis completa e aplicable dos Estados Unidos. É difícil exagerar o seu impacto nas prácticas de privacidade.

O que debes saber sobre CCPA

As normas de privacidade son complexas, é certo. Pero son manexables para todas e cada unha das empresas co enfoque correcto. Se estás no inicio da túa viaxe de cumprimento da privacidade (música inspiradora), aquí tes o que necesitas saber sobre CCPA e a túa empresa. 

A pregunta de 25 millóns de dólares: ¿Applícaseme a CCPA?

A pregunta número un que recibimos dos clientes é: Entón, teño que preocuparme por CCPA ou non?

CCPA aplícase ás empresas con ánimo de lucro que operan en California, recollen e controlan a información persoal dos residentes de California e cumpren un dos seguintes requisitos:

  • Ingresos brutos anuais superiores a 25 millóns de dólares
  • Recopila información persoal de máis de 50,000 residentes, fogares ou dispositivos de California cada ano *
  • Recibe o 50 % ou máis dos ingresos anuais pola venda de información persoal dos residentes de California

*O limiar para a información persoal recollida elevarase a 100,000 en 2023, cando a Lei de Dereitos de Privacidade de California sexa aplicable.

Isto pode parecer só para grandes corporacións. Non é. Os investigadores estiman tantos como O 75% das empresas de California obtén menos de 25 millóns de dólares en ingresos anuais estarán afectados pola lei.

Todo é sobre o individuo (dereitos)

O dereito individual do consumidor a controlar como se usa a súa información persoal está no corazón da CCPA. Os dereitos codificados pola CCPA inclúen o dereito a:

  • Saber que información está a recompilar sobre eles e por que
  • Solicitar que elimine a súa información das súas bases de datos
  • Saiba con que empresas de terceiros está a compartir os seus datos ou a quen está a mercar os seus datos
  • Obriga unha resposta de aceptación antes de vender datos para calquera persoa menor de 16 anos
  • Desactivar a venda de información persoal

O último, o dereito a rexeitar a venda de información persoal, é o grande. Cunha definición ampla do que constitúe a "venda" de datos (vender, alugar, divulgar, divulgar, difundir, poñer a disposición ou transferir... a información persoal dun consumidor por diñeiro or algo máis valioso), este requisito pode ser o máis esvaradío para as empresas.

Xestión de solicitudes de dereitos individuais

Se permites que terceiros utilicen os datos que recompilas para os seus propios fins e necesitas cumprir coa CCPA, ti ter para ter procesos de mapeo de datos seguros e eficientes que che permitan identificar, modificar e eliminar información persoal dos consumidores dentro dos prazos de CCPA.

Isto significa que necesitas:

  • Dispoñer de procesos para a presentación de dereitos individuais para coñecer/eliminar solicitudes. Isto debería incluír polo menos dúas formas de presentar as solicitudes.  
    • É necesario un número de teléfono gratuíto, excepto para as empresas só en liña; un enderezo de correo electrónico pode ocupar o lugar do número gratuíto.  
    • Xeralmente, todas as empresas poden proporcionar un formulario web ou un enderezo de correo electrónico para enviar solicitudes.
    • Antes de finalizar os teus procesos, revisa cun profesional da privacidade para asegurarte de que estás tomando as opcións correctas.
  • Saiba que pode cumprir o rigoroso prazo de confirmación da solicitude de 10 días e o prazo de finalización de 45 días
  • Saiba que o seu equipo pode identificar e verificar correctamente os rexistros de información dos consumidores 

Transparencia Con Dentes

con requisitos estritos por informar aos clientes sobre as prácticas de recollida de datos, podes agradecer a CCPA por todas esas prácticas Actualiza a nosa política de privacidade correos electrónicos que recibiu de todas as empresas ás que deu o seu enderezo de correo electrónico. 

Os avisos de privacidade conformes coa CCPA deben ser accesibles e indicar especificamente o tipo de información que estás recompilando, o que estás facendo con ela e con quen a estás compartindo. Tamén debe detallar claramente os dereitos que teñen os seus consumidores. (Ver arriba). 

Ademais, ten que dicirlle todo isto aos consumidores no momento da recollida ou antes e proporcionar un (obvio) Non venda os meus datos persoais botón na súa páxina de inicio.

Barra lateral: se a túa política de privacidade é de catro páxinas de densa lexislación, reescríbea nun estilo amigable. Facelo axudará aos teus clientes a entendelo e mellorará a súa experiencia no teu sitio. 

Mantelo en segredo, mantelo a salvo

CCPA esixe que o manteñas procedementos de seguridade razoables para protexer a información confidencial do consumidor. A lexislación non establece o que é un "procedemento de seguridade razoable", pero o primeiro que debes facer é asegurarte de comprender o ciclo de vida completo dun rexistro de datos. Isto significa que necesitas saber que información recompilas, por que a recolles, cando a recolles, onde a almacenas, canto tempo a gardas e con quen a compartes. 

Outras cousas que definitivamente deberían estar na túa lista de tarefas son:

  • Restrinxir e actualizar as súas estruturas de acceso de permisos (sorprenderíase de cantas empresas esquecen eliminar aos antigos empregados dos seus sistemas)
  • Reforzar os procesos de actualización e parcheo de software/hardware da túa empresa para que non deixes os teus sistemas vulnerables a pirateos
  • Creación de políticas da empresa para contrasinais seguros, uso de VPN (sen wifi pública!) e separación de dispositivos persoais e de traballo
  • Cifrando datos en reposo e cando se transfiren a outras empresas.

Despois de abordar eses pasos, considere unha avaliación de privacidade e seguridade para o seu sistema   para cada un dos seus provedores de servizos.

Por que CCPA realmente, Realmente Cuestións

CCPA é só o comezo. É a primeira lei ampla de privacidade de datos de Estados Unidos, pero nin sequera está preto da última. A conformidade con CCPA permitirá que a túa empresa se adapte rapidamente aos cambios que xa son visibles no horizonte. 

Máis normativas de privacidade están en camiño

O sucesor da CCPA, o Lei de rexistros de privacidade de California (CPRA), xa foi aprobada polos votantes de California. CPRA aclara seccións vagas do CCPA, engade proteccións adicionais para o consumidor e engade exposición á responsabilidade civil para a súa empresa se unha violación de datos expón a información persoal confidencial dos seus clientes. 

Excluíndo o dereito de acceso, o CPRA, tal e como está escrito agora, aplicarase á información persoal que recompiles dos teus clientes a partir do 1 de xaneiro de 2022. Isto significa que aínda que a CPRA non entrará en vigor ata xaneiro de 2023, deben poder realizar un seguimento eficaz dos rexistros de datos individuais a finais de 2021. 

Ser compatible con CCPA logrará isto de forma efectiva e facilitará moito a túa viaxe cara ao cumprimento da CPRA.

A CPRA tamén aumentou drasticamente a probabilidade de que vemos medidas de aplicación sólidas ao crear e financiar a Axencia de Protección da Privacidade de California, que contará con fondos e persoal significativos para xestionar as queixas de privacidade. Coa aplicación da CCPA xestionada pola oficina do fiscal xeral de California, as empresas puideron evitar o escrutinio ou evitar que se lles imputen violacións da privacidade. Isto será considerablemente menos probable co aumento do nivel de escrutinio da CPRA.

Normas de privacidade noutros estados

Nevada, Maine, Massachusetts, Nova York, Vermont e Illinois tamén teñen leis de protección de datos nos libros aínda que difieren en moitos aspectos da CCPA e non se consideran unha lei de privacidade completa. Outros estados teñen facturas activas pendentes. Aínda que ningunha destas leis pendentes coincida cos estándares de California, as probabilidades son moi altas de que haxa unha regulación no teu estado nos próximos cinco anos. Se podes facer que a túa empresa cumpra agora con CCPA, cumprir cos requisitos futuros será máis rápido, máis eficiente e menos custoso.

Multas, taxas, medidas cautelares, oh!

Nada é peor para o comercio electrónico que unha violación de datos. Os hackeos adoitan dar lugar a unha publicidade vergonzosamente mala, pero tamén dan un golpe á túa reputación cos consumidores que se traducen en perdas de vendas e ingresos diminuídos.

Non obstante, non se trata só da confianza do consumidor. O incumprimento tamén presenta un risco financeiro real que pode esgotar as túas reservas mentres caen as vendas.

Segundo a CCPA, a falta de resolución dos problemas de incumprimento nun prazo de 30 días desde a notificación pode dar lugar a unha medida cautelar que pode pechar a túa empresa. Podería estar suxeito a unha multa de 2,500 a 7,000 dólares por rexistro do estado de California. O limiar de CCPA para a recollida de datos é de 50,000 rexistros ao ano. Cobrar 2,500 ou 7,500 dólares ata unha fracción de tantos rexistros supón moito diñeiro.

Ademais, os clientes individuais poden demandalo directamente se hai un incumprimento de datos non redactados ou non cifrados por un importe de 100-750 USD por rexistro. 

Formación, Formación, Formación

A investigación estima que 30% de todos os hacks pódese atribuír a un erro humano interno e case 95 % das violacións baseadas na nube son causados ​​inadvertidamente por erros dos empregados.

Mesmo os grandes programas de datos de privacidade fallarán se os seus empregados e provedores non o entenden. Comeza agora a adestrar aos teus empregados sobre o cumprimento da CCPA e as mellores prácticas de privacidade de datos. Se os teus provedores non poden ou non queren cumprir as túas expectativas, busca outros novos. 

Antes de pensar que a privacidade pertence unicamente ao mundo dos traballadores de TI, lembre no que vivimos un mundo interconectado, hipervínculo e de intercambio de información. Desde o seu departamento de mercadotecnia ao seu equipo de vendas aos seus representantes de atención ao cliente, o cumprimento da privacidade e a formación deben abordarse en todos os niveis da súa empresa. 

Leva tempo desenvolver unha forte cultura de concienciación sobre a privacidade, así que non o perdas máis.

Sexa o bo tipo

Os datos do consumidor non son só unha ferramenta, é a moeda máis valiosa do mundo. Debes gardala con tanto coidado como as túas patentes, dereitos de autor e fórmulas de produtos. Aínda que a CCPA non se aplique tecnicamente a ti, os consumidores teñen pouca tolerancia coas empresas que xogan rápido e solta coa súa información persoal.

En lugar de ver os requisitos de privacidade como un centro de custo, pense neles como un valor engadido básico que xera confianza cos seus clientes e individualiza a súa experiencia.

Construíndo o teu futuro dixital

A confianza dixital, ou a confianza que teñen os usuarios de que unha empresa se comporta de forma ética en liña, será un problema clave dos consumidores durante a próxima década. Ao cumprir agora con CCPA creará a base sólida que precisa para adaptarse á infraestrutura de privacidade de datos que se está construíndo ao seu redor en tempo real. En lugar de quedar encaixado, constrúe o andamio de prácticas de privacidade que che aforrará tempo e diñeiro a longo prazo.

¿Que pensas?

Este sitio usa Akismet para reducir o spam. Aprende a procesar os teus datos de comentarios.