¿Crees que la privacidad es solo para Europa? Piensa otra vez.

El RGPD está hecho. Y de todos modos, solo afectó a las empresas que operan en la UE. ¿Derecha?

Realmente no.

1. La privacidad nunca se "hace". El cumplimiento es un requisito siempre presente y las empresas deben monitorear constantemente sus puntos de contacto, sus prácticas de recopilación de datos, su lógica de procesamiento de datos y el mismo conjunto de consideraciones para sus proveedores, de manera continua.
2. El RGPD afectó a todas las empresas que procesaban datos de ciudadanos de la UE, no solo a las ubicadas en Europa.
3. El RGPD fue la punta del iceberg. El mundo se está dando cuenta de las amenazas de la recopilación y el procesamiento de datos insensibles con impunidad. Sí, Europa despertó primero. Pero eso no significa que Estados Unidos y el resto del mundo seguirán durmiendo.

De hecho, EE. UU. ya ha iniciado el camino hacia las regulaciones de privacidad revolucionarias. Con las leyes aprobadas en California, Nevada y Maine y los proyectos de ley planificados en muchos otros estados, las empresas deberían esperar verse afectadas en los próximos meses.

Este artículo desglosa las partes cruciales de la ley/proyecto de ley de regulación de la privacidad de cada estado, incluidos a quiénes cubren, cuándo entran en vigencia, las sanciones, cómo lograr el cumplimiento, por qué los estados tomaron las riendas ante el gobierno federal para proteger los datos personales de los consumidores, así como cómo la adopción del cumplimiento de la privacidad podría beneficiar a su negocio.

¿Regulación federal de EE. UU.?

En una carta a los líderes del Congreso el 10 de septiembre, los directores ejecutivos de Business Roundtable en todas las industrias instaron a los legisladores a aprobar, lo antes posible, una ley nacional integral de privacidad de datos que fortalezca las protecciones para los consumidores estadounidenses y establezca un marco para permitir la innovación y el crecimiento continuos en el economía digital

La carta, firmada por 51 directores ejecutivos, fue enviada a los líderes de la Cámara y el Senado ya los líderes de los comités de Energía y Comercio de la Cámara y de Comercio, Ciencia y Transporte del Senado.

Desde la perspectiva empresarial de EE. UU., nunca ha habido un mejor momento para introducir una ley federal de protección de datos.

El RGPD estipula que cualquier empresa que recopile datos sobre personas residentes en la UE debe cumplir con la legislación, ya sea que la empresa tenga su sede en la UE o no. Esto significa que muchas empresas de EE. UU. ya cumplen con el RGPD para operar internacionalmente y cuentan con el marco para expandir este cumplimiento al mercado de EE. UU.

Es diferente para las empresas nacionales de EE.UU. El cumplimiento de la protección de datos se está convirtiendo en una pesadilla, con (potencialmente) hasta 50 leyes estatales diferentes con diferentes especificaciones y requisitos. Una ley federal agilizaría esto, proporcionando una legislación unificadora en todos los estados.

Leyes estatales de EE. UU.

En respuesta, los estados han tomado medidas mucho antes.

Con leyes aprobadas en tres estados, proyectos de ley propuestos en otros y varios estados que aprobaron nuevas leyes de notificación de violación de datos, estamos presenciando el comienzo de un cambio masivo hacia la protección de los datos del consumidor y la responsabilidad de las empresas que los controlan y procesan.

El Centro de Investigación IAPP Westin compiló la siguiente lista de proyectos de ley integrales de privacidad propuestos y promulgados de todo el país para ayudar a los esfuerzos comerciales a mantenerse al tanto del panorama cambiante de la privacidad estatal.

Aunque muchos de los proyectos de ley incluidos en el mapa no se convertirán en ley, comparar las disposiciones clave de cada proyecto de ley puede ser útil para comprender cómo se está desarrollando la privacidad en los Estados Unidos.

California

Como una de las primeras leyes de privacidad aprobadas después del RGPD, la CCPA actúa como modelo para otros proyectos de ley en los EE. UU. A partir del 1 de enero de 2020, la CCPA se aplica a una empresa que recopila/procesa datos personales de los residentes de California o hace negocios en California.

Estas empresas están sujetas a la CCPA si:

• Superar un ingreso bruto de $ 25 millones
• Comprar, recibir, vender o compartir (total combinado) información personal de 50 000 o más consumidores, hogares o dispositivos
• Obtenga el 50% o más de los ingresos anuales de la venta de información personal del consumidor

La CCPA otorga derechos a los consumidores similares al RGPD, incluida la divulgación de información personal y solicitudes de datos personales. Las empresas deben responder a las solicitudes verificables de los consumidores con información, como categorías y datos de información personal, terceros y categorías de terceros con los que se comparten datos, y más.

Esta sección, conocida como solicitudes de interesados ​​(DSR) otorga a los usuarios acceso y opciones de eliminación de su información personal. Además, la CCPA requiere que las empresas muestren un enlace "No vender mi información personal" en su página de inicio.

El Procurador General hará cumplir la CCPA e incluye multas de hasta $7,500 por cada infracción individual.

Nevada

La ley de privacidad de Nevada se firmó el 29 de mayo de 2019, pero entró en vigencia el 1 de octubre de 2019, tres meses antes que la CCPA más conocida. Las leyes son muy similares pero tienen una gran diferencia en cómo se define "venta". La ley de Nevada es más limitada, no cubre a todos los proveedores de servicios y es más indulgente con las instituciones financieras.

Según InfoLawGroup, la CCPA y la ley de Nevada son similares en el sentido de que ambas requieren que "las empresas presenten un proceso para verificar la legitimidad de una solicitud de exclusión del consumidor y requieren que las empresas respondan a la solicitud dentro de los 60 días".

Al igual que en California, la aplicación de la ley en Nevada recae en el Fiscal General e incluye multas de hasta $5,000 por infracción.

Maine

La ley de privacidad de Maine se firmó el 6 de junio de 2019, pero entrará en vigencia el 1 de julio de 2020. Esta ley impide que los proveedores de servicios de Internet (ISP) vendan, compartan u otorguen acceso a terceros a los datos de sus clientes, a menos que se indique explícitamente. aprobación de esos clientes. Con los cambios,

Los residentes de Maine ahora tienen una capa adicional de protección para los correos electrónicos, los chats en línea, el historial del navegador, las direcciones IP y los datos de geolocalización que comúnmente recopilan y almacenan las empresas del sector de telecomunicaciones y tecnología.

Por lo tanto, si bien la CCPA otorga a los clientes el derecho de optar por no participar, esta nueva ley prohíbe que los ISP utilicen los datos del cliente a menos que el cliente opte por participar. Este requisito va más allá que la CCPA o la ley de Nevada y es relativamente único entre las leyes de privacidad de EE. UU., que generalmente favorecer el consentimiento de exclusión.

No espere, prepárese ahora:

Según una encuesta de PwC de 2018, el 64 % de las empresas aún no habían comenzado a prepararse para las regulaciones de la CCPA.

¿Ha pospuesto el inicio de su viaje de cumplimiento? ¿Ha comenzado el proceso, pero se encuentra desafiado por los plazos que se acercan rápidamente?

La siguiente es una lista de acciones conscientes que puede tomar como empresa para recorrer el camino del cumplimiento de la mayoría de las leyes existentes y las que se aplicarán en el futuro cercano.

Paso 1: actualice los avisos y políticas de privacidad

Con todos los correos electrónicos "Hemos actualizado nuestra Política de privacidad" (cumplimiento con GDPR) recibidos en mayo de 2018, probablemente sea razonable esperar otra ola, esta vez que cumpla con CCPA o Nevada o Maine, en el tercer trimestre de 2019.

Estas leyes requerirán que "en el punto de recopilación o antes" las empresas cubiertas notifiquen a los consumidores las categorías de información personal que recopila la empresa y el propósito con el que la empresa utiliza la información.

El aviso también debe establecer explícitamente las categorías de información personal que se recopilan, divulgan o venden, y los consumidores tienen un nuevo derecho a optar por que no se venda su información.

Las empresas también deberán actualizar sus políticas de privacidad para incluir una descripción de los otros nuevos derechos del consumidor.

Como muchas empresas tuvieron que determinar cuándo cumplir con el RGPD, antes de realizar las actualizaciones de políticas requeridas legalmente, las empresas deberán determinar si mantendrán un aviso de privacidad para cada residente del estado o tendrán una política universal.

Paso 2: actualice los inventarios de datos, los procesos comerciales y las estrategias de datos

Las empresas también deberán mantener un inventario de datos, que es esencialmente una base de datos para rastrear sus actividades de procesamiento de datos, incluidos los procesos comerciales, terceros, productos, dispositivos y aplicaciones que procesan datos personales de los consumidores.

Las empresas que tenían que cumplir con el RGPD tendrán que agregar algunas columnas a sus inventarios de datos, incluida una columna:

• identificar si el uso de datos incluye la “venta” de información;
• identificar qué categorías de información personal se transfieren a terceros;
• identificando si los datos fueron recopilados hace más de 12 meses y, por lo tanto, potencialmente exentos.
• La base de datos también deberá mantenerse actualizada y poder rastrear todas las solicitudes de derechos del consumidor, como el seguimiento de una solicitud verificada de información.

Paso 3: Implementar Protocolos para Garantizar los Derechos del Consumidor

Estas leyes garantizan una serie de derechos de los consumidores que las empresas deberán tomar medidas para garantizar.

• Derecho de notificación : si bien no es exactamente un derecho otorgado, en el momento o antes de que una empresa recopile información personal de un consumidor, se debe notificar adecuadamente al consumidor qué categorías de información se recopilan y los fines para los que se utiliza la información.

• Derecho de Acceso / Derecho a Solicitar – Previa solicitud verificable, la empresa debe tomar medidas para divulgar y entregar, sin cargo al consumidor, la información personal, que puede ser entregada por correo o electrónicamente. Si se proporciona electrónicamente, debe proporcionarse en un formato portátil y, en la medida de lo técnicamente posible, en un formato fácilmente utilizable que permita al consumidor transmitir la información personal a otra entidad sin problemas. Una empresa puede proporcionar información personal a un consumidor en cualquier momento, pero no tiene que brindársela a un consumidor más de dos veces en un período de 12 meses.

• Derecho a saber : el consumidor tiene derecho a solicitar que una empresa que recopila información personal divulgue lo siguiente: (1) las categorías de información personal recopilada; (2) las fuentes de las que se recopiló la información; (3) el propósito empresarial o comercial para recopilar o vender la información; (4) categorías de terceros con quienes la empresa comparte la información; (5) las piezas específicas de información personal que la empresa recopiló sobre el consumidor.

• Derecho a eliminar : el consumidor tiene derecho a solicitar, previa solicitud verificable, que una empresa elimine cualquier información personal sobre el consumidor que la empresa haya recopilado. Al recibir dicha solicitud, la empresa debe eliminar la información y ordenar a los proveedores de servicios que también eliminen la información de sus registros, a menos que la empresa o el proveedor de servicios necesite la información para: (1) calcular la transacción para la cual se recopiló la información personal , proporcionar un bien o servicio solicitado por el consumidor, o anticipado razonablemente dentro del contexto de la relación comercial en curso de una empresa con el consumidor, o ejecutar un contrato entre la empresa y el consumidor; (2) detectar incidentes de seguridad; proteger contra actividades maliciosas, engañosas, fraudulentas o ilegales; o enjuiciar a los responsables de esa actividad; (3) depuración para identificar y reparar errores existentes en la funcionalidad prevista; (4) ejercer la libertad de expresión, garantizar el derecho de otro consumidor a ejercer su derecho a la libertad de expresión, o ejercer otro derecho previsto por la ley; (5) participar en investigaciones científicas, históricas o estadísticas públicas o recibidas por pares en el interés público; (6) permitir únicamente usos internos que estén razonablemente alineados con las expectativas del consumidor en función de la relación del consumidor con la empresa; (7) cumplir con una obligación legal; (8) utilizar la información personal del consumidor, internamente, de una manera legal que sea compatible con el contexto en el que el consumidor proporcionó la información.

• Derecho a optar por no participar: el consumidor tiene derecho a optar por no participar en la venta de información personal por parte de una empresa. Las empresas deben poner a disposición, en una forma razonablemente accesible para los consumidores, un enlace claro y visible a la página de inicio, titulado "No vender mi información personal" que permita al consumidor optar por no vender la información personal del consumidor. La empresa debe esperar al menos 12 meses antes de solicitar vender la información personal de cualquier consumidor que haya optado por no participar.

Paso 4: Realice actualizaciones de seguridad

Estas leyes también exigen que las empresas cubiertas protejan los datos personales con una seguridad "razonable". En la práctica, este estándar ha llevado a las empresas a adoptar un enfoque basado en el riesgo para abordar las amenazas a la confidencialidad, integridad y disponibilidad de los datos personales. Evalúan las amenazas a los datos, clasifican los riesgos de las vulnerabilidades detectadas y abordan primero las brechas de alto riesgo.

Paso 5: Actualice los acuerdos de procesadores de terceros

Para cumplir con las leyes de privacidad de EE. UU., las empresas que tienen otras empresas que procesan sus datos deberán actualizar sus contratos con terceros, incluida la inserción de cláusulas contractuales estándar; requerir inventarios de datos de proveedores; utilizando cuestionarios de debida diligencia; suministro de registros de procesamiento; requerir la sincronización de los procesos de respuesta del consumidor; requerir evaluación y auditoría in situ; y exigir el mapeo de los elementos de datos específicos compartidos con cada tercero, incluida la designación de aquellas transferencias que califican como "venta".

Para aquellos terceros que pagaron por la información, deberán diseñar procesos adicionales para acomodar las solicitudes de los consumidores para optar por no vender y proporcionar la eliminación de esos datos.

Paso 6: Entrenamiento

Finalmente, estas leyes exigen que los empleados que manejan las consultas de los consumidores estén informados de todos sus requisitos. Debido a las penalizaciones involucradas, esta capacitación debe ser la mínima y se recomienda capacitación adicional para los empleados.

¿Crees que es mucho para implementar? Las empresas se beneficiarán del cumplimiento:

Ha habido algunas críticas a las leyes de privacidad y afirma que estas leyes son malas para las empresas.

Los programas de cumplimiento cuestan dinero, pero las empresas no pueden esperar ganar dinero con un activo, como los datos, y no gastar dinero para asegurarse de que sus acciones cumplan.

Sin embargo, los requisitos clave en las leyes de privacidad, como se mencionó anteriormente, están en su mayoría en línea con el sentido común, por lo que un programa de cumplimiento nunca debe ser un pozo sin fondo.

Además, incluso si la presión legal no comenzara a aumentar, la presión ética y de conciencia sí lo haría.

Los consumidores quieren hacer negocios con empresas que protegen ACTIVAMENTE la privacidad de sus datos.

Sí, hay un costo de cumplimiento, pero esto debe verse como parte del costo de hacer negocios con datos y construir y preservar la reputación de una marca. Como organización que cumple con las normas, podrá comercializar su adherencia, lo que a su vez puede ayudar a impulsar las ventas y la lealtad de los clientes.

Casi todas las organizaciones en todo el mundo ahora reconocen que la inversión en privacidad se está traduciendo en beneficios comerciales al alza. Las organizaciones que han invertido para prepararse para el RGPD experimentan menos y menos costosas filtraciones de datos , ven menos fricciones en las ventas debido a las preocupaciones sobre la privacidad de los clientes, se ven afectados menos registros de datos y el tiempo de inactividad del sistema es más breve .

Estos son algunos de los hallazgos del Estudio comparativo de privacidad de datos 2019 de Cisco, recientemente publicado, que se basa en datos de una encuesta doble ciego de más de 3200 profesionales de seguridad y privacidad en 18 países. El estudio es el primero de una serie que explora los problemas clave a los que se enfrentan las organizaciones en materia de privacidad y ciberseguridad en la actualidad.

Según el estudio de Cisco, el 97% de las empresas afirman que están recibiendo más beneficios de sus inversiones en privacidad, más allá de simplemente cumplir con las leyes de privacidad. Estos beneficios incluyen la ventaja competitiva , el atractivo para los inversionistas , la eficiencia operativa y una mayor capacidad de flexibilidad e innovación .

Tres cuartas partes de todos los encuestados dijeron que estaban recibiendo dos o más de estos beneficios. Además, la mayoría de las empresas ahora dicen que la privacidad sólida de los datos es un diferenciador competitivo en sus mercados.

Estos resultados resaltan la necesidad de que las empresas realicen cambios no solo para cumplir con las leyes de privacidad, sino también para maximizar los beneficios comerciales de sus inversiones en privacidad.

Mejorar la gestión de datos, aumentar la confianza del cliente y experimentar retrasos de ventas más breves y filtraciones de datos menos costosas puede ser significativo para su organización y brindarle la ventaja competitiva que su empresa necesita para prosperar.

La escritura es grande y audaz en la pared. La privacidad no es solo para Europa... es la necesidad del momento para las empresas de todo el mundo. El cambio es turbulento. Pero es uno que era inevitable.

Los humanos inventaron cerraduras para proteger sus activos tangibles. Ahora que los datos intangibles son igualmente valiosos (si no más), la acumulación y el procesamiento imprudentes de los mismos serán mal vistos, disgustados y, en última instancia, vistos como una violación.

Las prácticas de cumplimiento de la privacidad agilizan las operaciones. Y mejoran la reputación al reducir el riesgo de infracciones. En mi opinión, no se trata del esfuerzo que implica el cumplimiento, se trata de despertar temprano al hecho de que el cumplimiento puede muy bien ser SU próxima gran ventaja competitiva.

Convert ya ha sentado una base sólida. ¿Y usted?