A finales de junio de 2018, California aprobó la AB 375, una ley de privacidad del consumidor que podría tener más repercusiones en las empresas estadounidenses que el Reglamento General de Protección de Datos (GDPR) de la Unión Europea que entró en vigor en mayo de 2018. La ley californiana no tiene algunos de los requisitos más onerosos del GDPR, como el estrecho plazo de 72 horas en el que una empresa debe informar de una violación. En otros aspectos, sin embargo, va incluso más lejos.
LaCCPA adopta una visión más amplia que el GDPR de lo que constituye datos privados. El reto para la seguridad, entonces, es localizar y asegurar esos datos privados.
- ¿Qué es la CCPA?
- ¿A qué empresas afecta la CCPA?
- ¿Cuándo tiene que cumplir mi empresa con la CCPA?
- ¿Qué ocurre si mi empresa no cumple con la CCPA?
- ¿Qué datos cubre la CCPA?
- ¿Cuáles son las principales disposiciones de la CCPA en materia de privacidad?
- ¿Qué significa la CCPA para la seguridad?
- Un trabajo en curso
¿Qué es la CCPA?
La Ley de Privacidad del Consumidor de California (CCPA) es una ley que permite a cualquier consumidor californiano exigir ver toda la información que una empresa ha guardado sobre él, así como una lista completa de todos los terceros con los que se comparten los datos. Además, la ley californiana permite a los consumidores demandar a las empresas si se infringen las directrices de privacidad, incluso si no hay ninguna infracción.
¿A qué empresas afecta la CCPA?
Todas las empresas que prestan servicios a los residentes de California y tienen al menos 25 millones de dólares de ingresos anuales deben cumplir la ley. Además, las empresas de cualquier tamaño que tengan datos personales de al menos 50.000 personas o que obtengan más de la mitad de sus ingresos de la venta de datos personales, también entran en la ley. Las empresas no tienen que tener su sede en California o una presencia física allí para estar sujetas a la ley. Ni siquiera tienen que estar radicadas en Estados Unidos.
Una enmienda realizada en abril exime a las «instituciones, agentes y organizaciones de apoyo a los seguros», puesto que ya están sujetas a una normativa similar en virtud de la Ley de Protección de la Información y la Privacidad de los Seguros (IIPPA) de California.
¿Cuándo tiene que cumplir mi empresa con la CCPA?
La ley entró en vigor el 1 de enero de 2020, pero su aplicación comenzó el 1 de julio.
¿Qué ocurre si mi empresa no cumple con la CCPA?
Las empresas tienen 30 días para cumplir con la ley una vez que los reguladores les notifican una infracción. Si el problema no se resuelve, hay una multa de hasta 7.500 dólares por registro. «Si se piensa en el número de registros que se ven afectados en una infracción, la cifra aumenta muy rápidamente», afirma Debra Farber, directora senior de estrategia de privacidad de BigID. Dado que el proyecto de ley se elaboró y aprobó en sólo una semana, es probable que sufra algunas modificaciones, añade. «Es probable que cambien cosas como los importes de las multas».
También hay otro riesgo financiero potencial, dice Farber. «El proyecto de ley contempla el derecho de un individuo a demandar, por primera vez», dice. «Y permite demandas colectivas por daños y perjuicios».
Además, hay un plazo de 30 días que comienza cuando los consumidores notifican por escrito a una empresa que creen que se han violado sus derechos de privacidad. «Si no se soluciona, y el fiscal general se niega a procesar, entonces pueden presentar una demanda colectiva», dice Farber. «Por ejemplo, la ley especifica que las empresas deben tener un pie de página claramente visible en los sitios web que ofrezca a los consumidores la opción de no compartir sus datos. Si falta ese pie de página, los consumidores pueden demandar. También pueden demandar si no pueden averiguar cómo se ha recogido su información u obtener copias de la misma. «La ley establece sanciones específicas en caso de que se produzca un acceso no autorizado, ya sea a través de una infracción, una filtración, un robo o una «divulgación como resultado del incumplimiento por parte de la empresa de la obligación de aplicar y mantener procedimientos y prácticas de seguridad razonables».
«Si se añaden todos los demás costes relacionados con las infracciones -respuesta de TI, análisis forense y recuperación, aspectos legales, notificaciones, etc.-, esto podría hacer que una infracción se convirtiera en una amenaza existencial para muchas empresas», afirma Chris Prevost, jefe de arquitectura de soluciones de seguridad en tiempo de ejecución de Imperva.
En general, si una empresa ha tomado las medidas necesarias para cumplir con el GDPR, entonces tiene casi todo el camino hecho para la Ley de Privacidad del Consumidor de California. Al menos, está más cerca que si no está preparada para el GDPR, dice Eric Dieterich, líder de la práctica de privacidad de datos en Focal Point Data Risk, LLC. «Algunas multinacionales hicieron cambios para sus mercados europeos, pero tal vez no lo extendieron a las actividades basadas en Estados Unidos, por lo que podría haber un cambio de alcance», dice.
¿Qué datos cubre la CCPA?
La ley de California adopta un enfoque más amplio de lo que constituye datos sensibles que el GDPR. Por ejemplo, la información olfativa está cubierta, así como el historial de navegación y los registros de las interacciones de un visitante con un sitio web o una aplicación. Esto es lo que el AB 375 considera «información personal»:
- Identificadores como un nombre real, un alias, una dirección postal, un identificador personal único, un identificador en línea, una dirección IP, una dirección de correo electrónico, un nombre de cuenta, un número de la Seguridad Social, un número de carné de conducir, un número de pasaporte u otros identificadores similares
- Características de clasificaciones protegidas en virtud de la legislación californiana o federal
- Información comercial, incluidos los registros de bienes personales, productos o servicios adquiridos, obtenidos o considerados, u otros historiales o tendencias de compra o consumo
- Información biométrica
- Información de Internet u otra actividad de red electrónica, incluyendo, pero sin limitarse a ello, el historial de navegación, el historial de búsqueda y la información relativa a la interacción de un consumidor con un sitio web, una aplicación o un anuncio
- Datos de geolocalización
- Información sonora, electrónica, visual, térmica, olfativa o similar
- Información profesional o relacionada con el empleo
- Información sobre educación, definida como información que no es información de identificación personal (PII) disponible públicamente, tal como se define en la Ley de Derechos Educativos y Privacidad de la Familia (20 U.S.C. sección 1232g, 34 C.F.R. Parte 99)
- Las inferencias realizadas a partir de cualquier información identificada en esta subdivisión para crear un perfil sobre un consumidor que refleje las preferencias, características, tendencias psicológicas, preferencias, predisposiciones, comportamiento, actitudes, inteligencia, habilidades y aptitudes del consumidor
Una enmienda, AB 874, actualmente a la espera de la firma del gobernador, eximiría de la clasificación como IIP a la información disponible públicamente, desidentificada y agregada del consumidor. La información disponible públicamente se define como los datos disponibles y mantenidos en los registros gubernamentales.
La CCPA cubría originalmente los datos de los empleados y de los consumidores. Sin embargo, una enmienda aprobada en abril exime a los datos de los empleados de la normativa. Otra enmienda, la AB 25, exime parcialmente los datos personales recogidos de solicitantes de empleo, propietarios, directores, funcionarios, personal médico y contratistas. Esta exención expiraría el 1 de enero de 2021. En el momento de redactar este informe, la AB 25 estaba a la espera de la firma del gobernador.
¿Cuáles son las principales disposiciones de la CCPA en materia de privacidad?
Las empresas deben permitir a los consumidores optar por no compartir sus datos con terceros. Eso significa que ahora las empresas tendrán que ser capaces de separar los datos que recogen según las opciones de privacidad de los usuarios.
Además, aunque una empresa no puede negar a los usuarios un servicio igual, sí puede ofrecer incentivos a los usuarios que proporcionen información personal. «Esta disposición podría estar sujeta a cambios, pero tal y como está planteada hoy, le da la posibilidad de ofrecer descuentos a las personas que estén dispuestas a que sus datos sean compartidos o vendidos a terceros», dice Dieterich. «Tradicionalmente, los sistemas no están diseñados para que su estructura de precios pueda cambiar en función de las opciones de privacidad. Ese es un concepto nuevo que tiene implicaciones muy técnicas».
Otra diferencia importante con el GDPR es que la ley de California permite a los clientes un acceso mucho mayor a sus registros, dice Subra Ramesh, SVP de productos en Dataguise. Un consumidor californiano tiene derecho a saber qué información recopila una empresa sobre él. La mayoría de las empresas van a tener problemas para reunir esa información. «En primer lugar, la cantidad de datos que recopilan ya es masiva y sigue creciendo, a menudo en cientos o miles de terabytes, y con organizaciones de nivel empresarial que procesan petabytes de datos», afirma.
Estos datos se encuentran en múltiples plataformas de almacenamiento, en diferentes tiempos de archivo. «La mayoría de las herramientas de búsqueda de archivos carecen de la capacidad de buscar a través de los modernos ecosistemas de repositorios de archivos tan frecuentes hoy en día», dice Aaron Ganek, CEO de Cloudtenna. «La gestión de archivos entre silos es un reto importante. Es difícil entender el contexto de cada archivo si están dispersos dentro de diferentes repositorios.» Además, los problemas de cumplimiento están asociados a la unión de datos, dice. «Las herramientas empresariales heredadas tienen dificultades para respetar los distintos permisos y modelos de seguridad, lo que infringe las mismas leyes y normativas para las que se utilizan».
Luego está el límite de tiempo. «Después de la solicitud de acceso, una empresa tiene 45 días para proporcionarles un informe completo sobre el tipo de información que tienen, si se vendió y a quién, y si se vendió a terceros en los últimos 12 meses, debe dar los nombres y direcciones de los terceros a los que se venden los datos», dice John Tsopanis, gerente de productos de privacidad en 1touch.io. «Eso no se puede hacer en Europa».
Como la norma abarca los 12 meses anteriores de registros, las empresas tienen que empezar a cumplirla dentro de seis meses, dice. Después, el 1 de enero de 2020, todas las empresas tendrán que revelar todas las empresas a las que vendan datos. «Cambiará el panorama de la privacidad en Estados Unidos para siempre», afirma Tsopanis.
¿Qué significa la CCPA para la seguridad?
La ley 375 es ligera en cuanto a los requisitos en torno a la seguridad y la respuesta a las violaciones en comparación con el GDPR. Como se ha dicho antes, la ley define sanciones para las empresas que exponen los datos de los consumidores debido a una violación o un fallo de seguridad. También permite a los tribunales ofrecer «medidas cautelares o declarativas» o «cualquier otra medida que el tribunal considere adecuada».
Las empresas no están obligadas a informar de las violaciones en virtud de la ley AB 375, y los consumidores deben presentar quejas antes de que sea posible imponer multas. El mejor curso de acción para la seguridad, por tanto, es saber qué datos define la AB 375 como datos privados y tomar medidas para protegerlos. Una vez más, cualquier organización que cumpla con el GDPR probablemente no necesite tomar más medidas para cumplir con la AB 375 en términos de seguridad de los datos.
Los requisitos de la AB 375 en torno al seguimiento, el acceso y el almacenamiento de los datos significan que los equipos de seguridad tendrán que trabajar estrechamente con los administradores de las bases de datos, dice Terry Ray, vicepresidente senior y compañero de Imperva, un proveedor de ciberseguridad. Cualquier herramienta seleccionada para ayudar a hacer frente a la AB 375 no sólo tendrá que tener una visibilidad completa de los datos almacenados en todo el entorno corporativo heterogéneo, sino también garantizar que el acceso a estos datos esté debidamente protegido. «Por último, necesitarán que estas herramientas cooperen con el nuevo portal del consumidor compartiendo datos específicos de éste con el consumidor verificable que los solicite», afirma.
Si los datos se almacenan con proveedores de la nube, el problema no hace más que empeorar. Por ejemplo, los empleados pueden crear una cuenta de intercambio de archivos para hacer un seguimiento de los contactos de marketing o ventas. «No es sorprendente que las grandes empresas tecnológicas como Google y Facebook se hayan opuesto al proyecto de ley», afirma Kevin Bocek, vicepresidente de estrategia de seguridad e inteligencia de amenazas de Venafi. «Controlar la privacidad y la información personal que fluye entre las máquinas es increíblemente difícil, y un gran reto para todas las empresas».
Un trabajo en curso
El proyecto de ley se elaboró en sólo siete días porque los legisladores querían evitar una iniciativa electoral para aprobar una ley aún más estricta a la que se oponían muchas empresas tecnológicas. «Ahora mismo, muchas de las disposiciones y definiciones entran en conflicto entre sí», afirma Andy Dale, consejero general y vicepresidente de privacidad global de SessionM.
Un área problemática es si una empresa puede cobrar a los consumidores precios diferentes en función de su configuración de privacidad. Por ejemplo, muchas empresas tienen una opción en la que el consumidor puede pasar a un nivel de pago en el que no ve ningún anuncio. Aquí, la ley, tal y como está redactada actualmente, es un poco contradictoria.
«Si el consumidor ejerce sus derechos en virtud de la normativa, las empresas no pueden ofrecer un nivel o calidad diferente de producto, bienes o servicios al consumidor», dice Pravin Kothari, director general de CipherCloud. «En la otra cara de la moneda, según el reglamento, a las empresas no se les prohíbe cobrar a un consumidor un precio o tarifa diferente, o proporcionarle un nivel o calidad diferente de bienes o servicios, si esa diferencia está razonablemente relacionada con el valor proporcionado al consumidor por los datos de éste».»
Parece que California está tratando de definir un marco en el que los consumidores puedan cobrar por compartir sus datos, dice Kothari. «En este ámbito, la legislación es un poco visionaria», dice. «Veremos en la práctica cómo funciona realmente».
Más sobre la CCPA:
- 9 preguntas de la CCPA que todo CISO debería estar preparado para responder
- La CCPA es una oportunidad para poner en orden su casa de seguridad de datos
- ¿Qué es la «seguridad razonable»? Y cómo cumplir con el requisito
- Tome en serio la protección de los datos de los consumidores
- Cómo la propiedad de los datos por parte de los ciudadanos afecta a los negocios en el futuro