Hay más y más análogos de GDPR en el mundo. Recientemente, se
desarrolló un proyecto de ley similar
en India , ahora Estados Unidos está en línea. California tomó un ejemplo de Europa,
aprobando su propia ley que rige las reglas para trabajar con los datos personales de los usuarios.
La Ley de Privacidad del Consumidor de California, o CCPA, entrará en vigor el 1 de enero de 2020. A continuación, consideramos las principales disposiciones de la ley, que fue desarrollada y adoptada en solo una semana.
/ foto Ryan Brisco PDQuien cae bajo la ley
La nueva ley no es tan dura como la directiva europea, pero aún implica grandes cambios en la vida empresarial. Todos los usuarios de Internet en California tienen derecho a exigir a la empresa la información que ha recopilado sobre él y una lista de terceros a quienes conoció.
De acuerdo con la misma ley, el usuario ahora puede demandar a una organización que se aprovechó ilegalmente de su PD o no cumplió cualquiera de sus solicitudes a tiempo.
CCPA cubre compañías que procesan los datos personales de los residentes de California (los residentes pueden estar tanto en el estado como en el extranjero) y reciben un mínimo de $ 25 millones en ingresos anuales. Pero hay un matiz: si el ingreso de la empresa es menor, pero almacena datos personales de más de 50 mil personas, su actividad se enmarca en la SSRA.
La nueva ley también regula las actividades de las empresas que reciben más de la mitad de las ganancias (sin importar el tamaño) de la venta de PD. La ubicación de la organización no importa: no importa si está ubicada en California o fuera del estado.
Lo que se considera datos personales
Los identificadores personales son cualquier identificador, biometría, geolocalización, historial de actividad en Internet e información sobre empleo o educación. En general, cualquier dato que pueda identificar a una persona llega allí.
Al mismo tiempo, se encuentran formulaciones bastante vagas en la ley. Por ejemplo, un identificador personal puede incluir información sobre la familia del usuario. Además, como PD clasifique cualquier información que le permita compilar perfiles de usuario: ya sea psicológica, conductual, etc.
Derechos de usuario
Por ley, el usuario recibe un conjunto de derechos "tradicionales":
- Derecho de acceso. El usuario puede enviar una solicitud y obtener toda la información que la compañía ha recopilado sobre él;
- El derecho al olvido. El usuario puede requerir la eliminación de información sobre sí mismo de los servidores de la compañía y servidores de terceros;
- El derecho a saber. Previa solicitud, la empresa debe divulgar los fines de la recopilación de datos personales y sus fuentes;
- Derecho a rechazar. Los usuarios pueden negarse a transferir sus datos a terceros.
Aquí radica una diferencia importante con respecto al GDPR: según la directiva europea, una empresa necesita obtener el
consentimiento del usuario para procesar la DP. Según la ley de California, una organización solo necesita procesar las solicitudes de los usuarios.
Si los datos del usuario se perdieron o fueron robados, la compañía tendrá que pagar de 100 a 750 dólares a cada víctima.
Si el usuario ha enviado una queja a la empresa sobre una violación relacionada con sus datos personales, está obligado a resolver el problema dentro de un mes. De lo contrario, ella será multada. Ahora son 7.5 mil dólares.
Sin embargo, según el CCRA, las compañías no están obligadas a revelar ningún hecho de violación si no han recibido una solicitud correspondiente de los usuarios.
Los montos de multas y pagos aún pueden cambiar, pero en cualquier caso (teniendo en cuenta todos los costos técnicos y legales), la SSRA puede convertirse en una amenaza financiera para la existencia de muchas compañías.
/ foto Justin Lim PDDescuentos
Otro matiz interesante: la ley prohíbe a las empresas discriminar a los usuarios que se niegan a proporcionar sus datos personales. Pero al mismo tiempo, sugiere la posibilidad de introducir un sistema de recompensas para aquellos que estuvieron de acuerdo.
Formalmente, esto significa (si el artículo no cambia) que las empresas pueden otorgar descuentos a quienes comparten sus datos con terceros y establecer precios diferentes para los usuarios en función de su configuración de privacidad.
Esto crea no solo un precedente tecnológico interesante, sino también cultural: el CCPA de facto forma nuevas reglas de juego mediante las cuales las empresas pueden comprar información de los usuarios que previamente recibieron de forma gratuita.
En el residuo seco
Formalmente, la ley entra en vigor el 1 de enero de 2020. Pero tan pronto como comience a operar, la compañía deberá proporcionar de inmediato a los usuarios los datos recopilados sobre ellos en los últimos 12 meses. En consecuencia, la fecha límite para la implementación de todas las soluciones tecnológicas necesarias para esto llega un año antes, es decir, solo cuatro meses después.
Con este enfoque, se pueden esperar las primeras demandas el primer día de la directiva. Como fue el caso con GDPR
y trajes para Facebook y Google .
/ foto Catálogo de libros CCLos grandes gigantes de TI se
oponen gradualmente, pero no muy abiertamente,
a esta ley . En particular, financian una
organización pública que lucha contra ella.
Los expertos creen que la ley, adoptada con tanta prisa, será enmendada y redactada en dos años. Sin embargo, no están seguros de que los cambios sean significativos. Es probable que los puntos clave permanezcan intactos.
Por lo tanto, la SSRA es el
primer paso hacia una comprensión completamente nueva de la seguridad de la información en Estados Unidos y la modificación de la mayoría de las prácticas que durante muchos años se consideraron básicas y sin cambios.
Publicaciones relacionadas de nuestro blog IaaS:
Publicaciones de PPS Fresh en nuestro blog sobre Habré: