En noviembre, los votantes de California aprobaron la Propuesta 24, la Ley de Derechos de Privacidad de California (CPRA) de 2020. Esta iniciativa electoral se basa en la Ley de Privacidad del Consumidor de California (CCPA) de 2018 y a veces se denomina «CCPA 2.0». Sin embargo, la CPRA es más un reinicio que una secuela, y aumenta sustancialmente los derechos de las personas y las obligaciones de las empresas que manejan datos personales.
La CPRA obtuvo un inmenso apoyo popular; obtuvo el 56% de los votos, lo que la convierte en la segunda iniciativa electoral de California más popular de 2020. La popularidad de la ley significa que las empresas deben tomársela en serio o arriesgarse a sufrir daños en su reputación.
Aquí repasamos algunas de las novedades más significativas de la CPRA y ofrecemos sugerencias sobre cómo prepararse.
La siguiente información no pretende ser un consejo legal, y los lectores deben consultar con sus abogados sobre cuestiones de cumplimiento.
La CPRA aumenta las sanciones y la aplicación
La CCPA puso la aplicación en manos del Fiscal General de California, pero la CPRA da más poder a los individuos y a una nueva agencia estatal. De hecho, la ley propuesta se llamaba originalmente Ley de Derechos de Privacidad y Aplicación de la Ley de California (CPREA), lo que indica su nuevo énfasis en la responsabilidad.
Establecimiento de una nueva agencia reguladora
La CPRA crea la Agencia de Protección de la Privacidad de California (CPPA), que Lexology califica como «la primera agencia gubernamental de Estados Unidos centrada exclusivamente en la privacidad.» La CCPA se encarga de hacer cumplir la ley emitiendo multas y exigiendo a las empresas que se sometan a evaluaciones de riesgo y auditorías de sus políticas de tratamiento de datos.
Además, la CCPA proporcionará más reglamentos, normas y orientaciones en cuanto a la interpretación de la CPRA. Según el sitio web de la Proposición 24, esta nueva agencia tendrá un presupuesto de 10 millones de dólares, lo que «equivaldría aproximadamente al mismo número de personal de aplicación de la privacidad que tiene la FTC para vigilar todo el país».
Esto podría acabar siendo una buena noticia para las empresas porque la CCPA podrá ofrecer orientación y claridad sobre los requisitos de la CPRA. El lenguaje de la CCPA era una fuente de confusión, y la National Law Review señala que la CCPA ha sido impopular debido a sus «definiciones demasiado amplias, lenguaje ambiguo y falta de claridad en general.» Esta agencia podría funcionar como la Oficina del Comisionado de Información (ICO) del Reino Unido, que ha ayudado a crear claridad y a guiar la aplicación del Reglamento General de Protección de Datos (GDPR).
Ampliación del derecho de acción privado
Con la CCPA, los particulares tenían menos poder para exigir responsabilidades a las empresas por su incumplimiento. En virtud de la CCPA, los ciudadanos particulares sólo pueden emprender acciones legales privadas contra una empresa por determinados tipos de incumplimientos y, a menudo, sólo después de avisar a la empresa y darle la oportunidad de «subsanar» el problema. Sin embargo, la nueva ley establece que «la aplicación y el mantenimiento de procedimientos y prácticas de seguridad razonables… después de una violación no constituye una cura»
En otras palabras, si las vacas se escapan del establo, las empresas tienen que volver a meterlas dentro si quieren evitar problemas legales. Limitarse a poner un candado en la puerta para que no se escape nada la próxima vez, no será suficiente.
La CPRA sigue el ejemplo del GDPR
La CPRA incluye muchos conceptos familiares para cualquiera que haya estudiado el GDPR. Estas nuevas adiciones buscan dar a los individuos más control sobre sus datos personales y limitar las formas en que las empresas pueden utilizarlos.
Una nueva categoría de «información personal sensible»
La CPRA introduce el concepto de «información personal sensible» como una clase particular de datos, que se mantiene con estándares más altos que otra información personal. Este concepto ya aparece en el GDPR, aunque la definición de la CPRA es más amplia.
La información personal sensible en la CPRA puede dividirse en dos categorías: identificadores directos y datos altamente privados. La primera categoría incluye las identificaciones emitidas por el gobierno, la información financiera y cualquier combinación de credenciales de cuentas que permitan el acceso a una cuenta. La segunda categoría abarcaría la geolocalización precisa, el origen étnico, la religión, la información genética y biométrica, la orientación sexual y el contenido de los mensajes de correo electrónico y de texto, a menos que esos mensajes se hayan enviado a la empresa en cuestión.
La CPRA otorga explícitamente a los individuos un mayor poder para limitar la forma en que las empresas utilizan esta información. Los usuarios pueden ahora solicitar que una empresa utilice esta información sólo en la medida necesaria para proporcionar el servicio o los bienes «razonablemente esperados por un consumidor medio» y sólo para un número limitado de fines específicamente señalados por la ley.
Esto, a su vez, crea un nuevo requisito de exclusión voluntaria para las empresas, que JD Supra especula que puede implicar la inclusión de «un enlace disponible en su página de inicio del sitio web titulado Limitar el uso de mi información personal sensible». Se trataría de una notificación distinta a la de un enlace que diga «No venda ni comparta mi información personal».
Introducción del «derecho de rectificación»
La CPRA otorga a los consumidores el derecho a solicitar que las empresas corrijan la información personal inexacta sobre ese consumidor. (El GDPR se refiere a esto como el «derecho de rectificación».) Las empresas están obligadas a notificar a los consumidores de este derecho, y en el caso de que alguien solicite un cambio, deben hacer «esfuerzos comercialmente razonables» para corregirlo.
Aumentar las restricciones para la retención/eliminación de datos
La CCPA concede a los consumidores un derecho limitado a solicitar que su información personal sea eliminada, aunque con varias excepciones que lo hacen significativamente más débil que el «derecho a ser olvidado» del GDPR. La CCPA hace recaer en las empresas (y en las partes que manejan su información) la responsabilidad de eliminar los datos por su cuenta. La ley exige a las empresas que conserven la información personal solo el tiempo necesario para lograr los fines revelados al consumidor.
Además, si un consumidor solicita la eliminación, las empresas deben transmitir esta solicitud a los proveedores de servicios y contratistas, quienes, a su vez, deben notificar a sus propios proveedores de servicios y contratistas para crear una obligación compartida de eliminación.
Ampliación del ámbito de aplicación a «compartir» datos
En casi todos los casos en los que la CCPA menciona «vender», la CPRA la ha modificado para decir «vender o compartir». Para ser claros, la definición de venta de la CCPA ya es bastante amplia. No obstante, la CPRA trata de eliminar las lagunas que las empresas explotan con el fin de hacer «publicidad conductual transversal»
Este cambio puede hacer que empresas como Facebook y Google no puedan eludir el requisito de exclusión voluntaria insistiendo en que no están «vendiendo» los datos de los usuarios, sino que simplemente permiten que los anunciantes utilicen esos datos para el marketing dirigido. Como informa Datawallet, este pequeño cambio podría acabar «cambiando por completo el statu quo del ecosistema publicitario digital existente».
Cómo deben prepararse las empresas para la CPRA
La buena noticia para las empresas es que la aplicación de la CPRA no comenzará hasta julio de 2023. La CPRA también amplía las exenciones de la CCPA sobre los datos de los empleados hasta ese momento.
El IAPP especula que este periodo de gracia puede tener como objetivo dar tiempo al gobierno federal para introducir una legislación nacional sobre privacidad. Sea cual sea el motivo, las empresas tienen tiempo para prepararse y poner en marcha nuevas políticas de datos.
Aumentar las políticas de eliminación de datos
Como ya se ha comentado, la CPRA exige que las empresas (y las partes externas que trabajan con ellas) eliminen los datos personales una vez que hayan cumplido su función. Más allá de cumplir con ese elemento de la ley, la eliminación de datos es simplemente una buena práctica, ya que cuantos más datos personales se conserven, más se puede perder en caso de infracción. Y dado el énfasis de la nueva ley en la aplicación y su derecho ampliado de acción privada, cada registro comprometido en una violación podría dar lugar a graves sanciones.
El endurecimiento de las políticas de eliminación requiere en primer lugar que todos los datos personales se contabilicen, no que floten en el éter. Como dice la IAPP «Aunque muchos responsables de la privacidad han implementado días anuales de eliminación de datos como mejor práctica, conseguir que todos los empleados cumplan y eliminen trozos de datos obsoletos, que ya no sirven para nada, ha seguido siendo un reto perpetuo»
Una solución a este reto es conectar todos los datos personales bajo perfiles de usuario centralizados, accesibles a través de su sistema de gestión de identidades y accesos (IAM). Disponer de un único repositorio de datos de clientes simplifica el cumplimiento de muchos aspectos de las leyes de privacidad de datos de California, como la eliminación de datos personales, la realización de correcciones y la entrega de informes a los consumidores que lo soliciten.
Implementar MFA para los inicios de sesión
La CPRA señala las credenciales de inicio de sesión para una atención especial. En primer lugar, incluye las credenciales bajo «información personal sensible». Y mientras que la CCPA sólo otorgaba a los individuos el derecho privado a emprender acciones legales si una brecha exponía su información personal no cifrada, la CPRA amplía ese derecho a las brechas que exponen la «dirección de correo electrónico de un usuario en combinación con una contraseña o pregunta y respuesta de seguridad que permitiría el acceso a la cuenta», siempre que la brecha se produzca como resultado de que la empresa no haya mantenido prácticas de seguridad razonables.
Este nuevo lenguaje es un claro intento de combatir la epidemia de ataques de autenticación rota, como el «credential stuffing», en el que las credenciales de inicio de sesión expuestas se convierten en la puerta de entrada para los ladrones de identidad.
Una forma de mejorar el cumplimiento es cifrar las contraseñas almacenadas. Pero la encriptación por sí sola puede ser insuficiente porque los estándares de encriptación cambian, y siempre existe la posibilidad de que tenga una vieja base de datos de contraseñas en texto plano escondida en sus sistemas.
Por eso es prudente implementar la autenticación multifactor (MFA) y asegurarse de que las credenciales por sí solas no permitan automáticamente el acceso a la cuenta. La MFA solicitará una forma adicional de credencial (como una huella dactilar o un código de un solo uso) en el caso de un inicio de sesión inusual (como alguien que intenta iniciar sesión con un nuevo dispositivo).
Examine sus relaciones con terceros
La CPRA hace gran hincapié en la ampliación de las obligaciones de privacidad de datos a los contratistas, proveedores de servicios y terceros. Define específicamente a un contratista como alguien a quien una empresa da acceso a información personal a través de un contrato escrito. Este contrato prohíbe al contratista vender o compartir los datos con otras partes o utilizarlos para cualquier fin que no figure en el contrato.
La CPRA también exige a cualquier proveedor de servicios, contratista o tercero que reciba datos que acepte por contrato adherirse a las normas de la CPRA. La IAPP señala que estos requisitos «recuerdan al GDPR y a varios mecanismos de transferencia de datos internacionales diseñados para ampliar las protecciones del GDPR y permitir el cumplimiento transfronterizo».
Estos cambios hacen que sea esencial que las empresas se informen sobre los estándares de privacidad de datos y ciberseguridad de cada parte externa con la que comparten datos personales. El trabajo de redactar contratos recaerá en los abogados, pero corresponde a los profesionales de la seguridad asegurarse de que los terceros cumplan con sus obligaciones contractuales practicando una buena seguridad de los datos.
La CCPA es una gran (pero no necesariamente mala) noticia
Cuando se conoció la noticia de la «CCPA 2.0», poco después de la aprobación de la ley original, algunos líderes empresariales se mostraron consternados. Algunos parecían sentir que Alastair Mactaggart, el líder del movimiento, iba personalmente a por ellos. Pero ahora que la ley ha sido aprobada, ha llegado el momento de que todos los interesados acepten sus objetivos generales.
Las nuevas adiciones de esta ley de privacidad forman parte de una amplia evolución de los derechos de los consumidores. Y aunque esta ley en particular sólo se aplica a los californianos, están surgiendo leyes estatales en todo Estados Unidos con programas similares. Aunque puede ser un reto lograr el cumplimiento de este mosaico nacional y global de leyes, todas ellas requieren la misma mentalidad básica. Respetar la privacidad, practicar la transparencia y controlar el acceso a los datos personales.
¿Quieres saber más sobre los fundamentos de la privacidad de datos, la seguridad de datos y el cumplimiento legal? Empieza por aquí.
Acerca de Auth0
Auth0 proporciona una plataforma para autenticar, autorizar y asegurar el acceso de aplicaciones, dispositivos y usuarios. Los equipos de seguridad y aplicaciones confían en la simplicidad, extensibilidad y experiencia de Auth0 para hacer que la identidad funcione para todos. Protegiendo miles de millones de transacciones de inicio de sesión cada mes, Auth0 asegura las identidades para que los innovadores puedan innovar, y permite a las empresas globales ofrecer experiencias digitales superiores y de confianza a sus clientes en todo el mundo.
Para más información, visite https://auth0.com o siga a @auth0 en Twitter.