¡Está vivo! Prepárese para las regulaciones de CPRA y la nueva legislación de privacidad de datos

Publicado: 2023-02-23

La legislación sobre privacidad de datos está cobrando impulso: proyectos de ley de privacidad más completos que se han propuesto y aprobado a nivel estatal que nunca antes. Pero ninguno es tan amplio como lo que viene en el estado de California.

La Ley de Derechos de Privacidad de California (CPRA) entró en vigencia el 1 de enero de 2023 y la aplicación comenzará el 1 de julio de 2023. La CPRA representa tanto una aclaración como una ampliación de la Ley de Privacidad del Consumidor de California (CCPA) original; juntos, constituirán las leyes de privacidad más estrictas del país.

Entonces, ¿qué significa eso para su negocio? Por un lado, si su estrategia de marketing está en peligro de incumplimiento y realiza algún negocio (incluidas las ventas en línea) en el estado de California, debe colocar la privacidad en la parte superior de su lista de prioridades.

Antes de continuar, tenga en cuenta que el contenido de este blog debe considerarse un informe y/o una opinión, NO un asesoramiento legal. Consulte a su departamento legal sobre todas las decisiones relacionadas con el cumplimiento.

Descripción general: CPRA vs. CCPA y otras leyes de privacidad de datos que entrarán en vigencia en 2023

Probablemente esté al tanto de una serie de fechas límite modificadas y cronogramas ajustados en torno a la CPRA que se anunciaron a fines de 2022, pero no cambian el calendario previamente establecido para la aplicación. Así que pongámonos manos a la obra.

La CPRA fue una medida de votación que surgió porque había áreas grises en la CCPA original que dejaban muchas preguntas sin respuesta, particularmente en torno a la definición de información de identificación personal (PII) y diferentes tipos de recopilación de datos.

Cronología de la legislación de privacidad de California: CCPA a CPRA

rueda de alambre

Las otras leyes estatales de privacidad fuera de California que entrarán en vigencia en 2023 son:

  • Ley de privacidad de Colorado (CPA): a partir del 1 de julio de 2023
  • Ley de Connecticut sobre Privacidad de Datos Personales y Monitoreo en Línea (CTDPA): A partir del 1 de julio de 2023
  • Ley de Privacidad del Consumidor de Utah (UCPA): Vigente a partir del 31 de diciembre de 2023
  • Ley de Protección de Datos del Consumidor de Virginia (CDPA): A partir del 1 de enero de 2023

Al igual que la CPRA, todas estas leyes estatales tienen disposiciones sobre los derechos del consumidor, así como sus propias interpretaciones de lo que constituye información personal confidencial. Pero es muy importante saber que todos son diferentes. No existe una solución única para el cumplimiento de la privacidad en todos los estados.

Ahí es donde interviene su departamento legal. Debe establecer una comunicación regular con su equipo legal para mantenerse al tanto de las nuevas reglas y regulaciones que pueden afectar su negocio este año y en el futuro.

Los cambios: CPRA modificó las regulaciones sobre PII y el intercambio de datos

Si bien la CPRA ya está vigente, las reglas finales basadas en las regulaciones modificadas no se publicarán hasta abril de 2023 luego de un breve retraso por parte de la Agencia de Protección de la Privacidad de California (CPPA).

Algunos de los cambios bajo CPRA incluyen el fortalecimiento de los límites en el intercambio de datos y proporcionar una guía más clara sobre cómo los vendedores pueden usar lo que la ley define como información personal "potencialmente confidencial", que incluye:

  • número de seguro social o licencia de conducir
  • Número de tarjeta de identificación estatal o pasaporte
  • Detalles de inicio de sesión del consumidor
  • Geolocalización
  • Cuentas financieras, incluidos números de tarjetas de débito/crédito junto con cualquier verificación o contraseña vinculada a la cuenta
  • Carrera
  • Etnicidad
  • Religión
  • Datos genéticos
  • Información biométrica
  • comunicaciones privadas
  • orientación sexual
  • Información de salud

Uno de los mayores debates que condujo a la CPRA fue el lenguaje ambiguo del requisito de "No vender" de la CCPA. Según la nueva ley, las empresas ahora deben permitir que los consumidores opten por no vender ni compartir su información con la opción obligatoria "No vender ni compartir mi información" en sus sitios web.

Si está compartiendo datos con un tercero que no estaba autorizado originalmente, la ley le exige permitir que los usuarios opten por no participar. Hay dos partes a considerar:

  • Identidad real: la información de identificación personal (PII) de un usuario que se captura en el sitio
  • Identidad pasiva: cookies e identificadores de navegador, o cualquier cosa que rastree automáticamente a los usuarios

Mientras se finalizan las reglamentaciones actuales, puede esperar reglamentaciones adicionales en el futuro. La sección 1798.185 de la CPRA autoriza a la CPPA a “solicitar una amplia participación pública y adoptar reglamentos para promover los propósitos de este título (la CPRA)”. Eso ofrece un amplio margen para reglas y restricciones adicionales, que van desde agregar nuevas categorías de información personal relacionada con la privacidad de datos hasta establecer nuevos procedimientos relacionados con el intercambio de información personal y la exclusión voluntaria de la venta de datos personales.

En comparación con las leyes que entrarán en vigencia en los otros cuatro estados, California ofrece la mayor protección legal para la privacidad de los datos del consumidor con diferencia. Pero recuerde: el cumplimiento en California no significa automáticamente el cumplimiento en otros lugares.

Derechos de privacidad del consumidor bajo la legislación de diferentes estados

OneTrust

Los efectos: qué esperar de la aplicación de la CPRA

Bajo CCPA, la aplicación siguió siendo un gran signo de interrogación, pero se espera que California aumente la temperatura con CPRA. La multa de $ 1.2 millones impuesta a Sephora por violar la CCPA en 2022 debería servir como una advertencia para las marcas que pensaron que podían pasar por alto.

En caso de que no estuviera seguro de si California hablaba en serio, el establecimiento de la CPPA debería ser una señal clara; tomarán el relevo del Fiscal General de California (AG) para supervisar el cumplimiento, las reglas futuras y las sanciones por violaciones de la ley. La CPRA también elimina el período de "cura" de 30 días antes de ser multado por una infracción, y lo deja a discreción del AG y/o la CPPA en función de la intención (o falta de ella) de la organización de infringir la ley.

Aplicación de la CPRA frente a la CCPA

OneTrust

Es menos seguro cómo se desarrollará la aplicación en los cuatro estados donde la legislación entrará en vigor por primera vez; lo que sí sabemos es que tanto la aplicación como las sanciones serán diferentes en cada estado. Ya sea en California o en cualquier otro lugar, habrá consecuencias por las infracciones que pueden dañar financieramente su negocio y poner en riesgo su reputación entre sus clientes.

Cumplimiento de la CPRA: cómo trabajar con su equipo legal

Lo que las marcas pueden hacer ahora es actuar como si las regulaciones finales y su cumplimiento ya estuvieran en vigor. Si no está seguro de lo que eso significa, comuníquese con su equipo legal y busque formas en que puedan trabajar juntos para asegurarse de que su empresa cumpla con los requisitos.

Hay un par de maneras en que puede comenzar a trabajar con su equipo legal:

  • Mapee sus silos de datos: incluso las organizaciones con procesos de almacenamiento y administración de datos refinados pueden encontrar que algunos datos están aislados dentro de su organización. Es fundamental desarrollar un mapa integral que defina qué datos se almacenan, dónde se almacenan y el propósito del silo. Idealmente, buscaría romper estos silos, pero el primer paso es averiguar dónde están los datos.
  • Proporcione información integral de casos de uso: los equipos legales a menudo buscarán bloquear completamente los flujos de datos si pudieran crear un riesgo para la organización. En ausencia de contexto, por ejemplo, los equipos legales pueden recomendar a sus equipos que habiliten el procesamiento de datos restringido en una cuenta de Google Ads. En realidad, eso se aplicaría a todos los residentes sujetos a las leyes de datos regionales, no solo a aquellos que han ejercido su derecho a optar por no participar. Si bien este enfoque podría proporcionar una protección legal absoluta, también afectará la eficacia del marketing (y esto es algo que las marcas deberán comprender para determinar el equilibrio adecuado entre estas compensaciones). También es fundamental que los equipos legales mantengan un control completo. línea de visión para que puedan mantener una política de privacidad completa y actualizada en su sitio web que refleje la naturaleza de cómo se utilizan estos datos hoy (¡mucho puede cambiar en solo unos meses!)
  • Calcule el impacto estimado de las medidas de cumplimiento: si está bloqueando todo el seguimiento para los consumidores en una región determinada, calcule el alcance estimado de la cobertura y proporcione varios escenarios de pérdida de eficiencia. Por ejemplo, si tiene 100 000 clientes al año y el 12 % de ellos se encuentra en California, puede usar los datos de costo por adquisición (CPA) existentes para mostrar el impacto de la disminución de la eficiencia de los medios en un 10 % o un 20 % (o más). ). Eso podría suceder porque los CPA aumentan o la adquisición de clientes disminuye. Puede usar su trabajo para ayudar a sus equipos a comprender la escala del impacto fiscal al implementar las exclusiones voluntarias universales. Debido a que es difícil estimar ese impacto por adelantado, estos ejemplos a escala harán que otros líderes de la organización presten más atención y trabajen con usted y su equipo legal para encontrar una solución viable que garantice que los consumidores puedan ejercer sus derechos mientras mitigan el riesgo fiscal. al resultado final de la marca.
  • Discutir el papel y el uso de una plataforma de gestión de consentimiento (CMP): la forma en que los consumidores ejercen sus derechos para optar por no compartir datos o eliminar sus datos es de vital importancia. No todas las soluciones de CMP son iguales. Algunos, como CookieBot, solo están diseñados para bloquear las cookies (y, por lo tanto, el seguimiento de anuncios), mientras que otros, como OneTrust, son más completos. Deberá encontrar la solución adecuada para su negocio que lo mantenga en cumplimiento y en funcionamiento de marketing.
  • Alinee el lenguaje que está usando para educar a los consumidores: discuta diferentes formas de educar a los consumidores sobre el uso de datos con su equipo legal. Sin contexto, muchos consumidores podrían asumir el peor de los casos. Pero si proporciona ejemplos claros de cómo está utilizando sus datos y qué límites ha establecido, es posible que los consumidores estén más abiertos a compartir sus datos. Nunca es apropiado brindar incentivos para evitar que los consumidores ejerzan sus derechos, pero su equipo legal puede brindar orientación específica sobre lo que puede y no puede decir a los consumidores cuando planean optar por no participar.

Recuerde: el cumplimiento no es opcional. Adelántese a los desafíos futuros ahora trabajando en equipo con su departamento legal y encontrando el mejor camino posible a seguir.

Descargue State of the Data 2023: The Path to Profitability Requires Privacy Compliance para conocer la próxima legislación y los requisitos de cumplimiento que afectarán a su negocio.

Datos Privacidad de datos Inteligencia digital