proteccion de datos comparacion

¿Qué es la CCAC?

La Ley de Privacidad del Consumidor de California , o CCPA, es una nueva ley estatal en California que regula la recopilación y venta de datos personales por parte de compañías que hacen negocios en California o que procesan datos personales de California. La ley entrará en vigencia el 1 de enero de 2020, lo que hace que el cumplimiento sea urgente para  las organizaciones afectadas.

Dado que el CCAC rige la recopilación, el procesamiento y la venta de datos personales, muchas organizaciones, incluidas las que asesoran y educan a las empresas sobre el CCAC, lo han explicado comparándolo con el Reglamento General sobre la protección de Datos de la Unión Europea (GDPR). A primera vista, esto parece lógico, ya que estas son leyes sobre la protección de la privacidad de los ciudadanos, ¿no es así  ?

El hecho de que parezcan similares a primera vista es precisamente por qué es peligroso pensar en el CCAC en términos de GDPR: sus similitudes son solo superficiales. Estas leyes presentan diferencias fundamentales fundamentales. Aquí hay 5 razones por las cuales la comparación del CCAC con el GDPR ha llevado a trampas  monumentales.

Ley de protección de datos
Ley de protección de datos

Alcance y partes interesadas

Una de las principales diferencias entre el CCAC y el GDPR se relaciona con la pregunta de a quién y a qué tipo de datos se aplica cada ley. 
En cierto sentido, los requisitos del GDPR son más simples que los del CCAC. Cualquier entidad, incluso fuera de la Unión Europea, que procesa datos personales generados en la Unión Europea, ofrece bienes o servicios en la UE o controla el comportamiento de los usuarios en la UE, debe cumplir a la GDPR. 
Es particularmente importante tener en cuenta que el GDPR se aplica tanto al controlador de datos como al controlador de datos, lo que significa que el controlador de datos debe cumplir con el GDPR en fase con el controlador de  datos.

El CCAC tiene más matices en cuanto a las partes a las que se dirige. Para empezar, solo se aplica a organizaciones con fines de lucro. 
Además, solo los controladores de datos deben cumplir con los requisitos de CCAC. 
Esto significa que los controladores de datos son totalmente responsables de negociar con sus procesadores de datos para garantizar que los datos se procesen de  acuerdo con ellos.

Finalmente, el CCAC es más indulgente en su definición del término «hacer negocios». 
En otras palabras, a diferencia del GDPR, el monitoreo de la actividad del usuario no puede considerarse como «actividad comercial» en el sentido del CCAC. Esta es una distinción importante porque significa que una organización puede rastrear el comportamiento de los usuarios en California sin que se considere hacer negocios en California. 
En tales situaciones, estas compañías no caerían dentro del alcance del  CCAC.

¿Cómo se da el consentimiento (o se retira)?

Quizás la diferencia fundamental más obvia entre el GDPR y el CCAC es el proceso de recopilación y procesamiento de datos de un usuario determinado. 
Con el RGPD, una organización solo puede recopilar y procesar los datos personales de un usuario si cumple al menos uno de los seis principios legales  diferentes:

  • El consentimiento se da libremente
  • Es obligatorio cumplir con un contrato.
  • Es obligatorio cumplir con una obligación legal.
  • La recopilación de datos sirve para proteger los intereses del individuo.
  • Es obligatorio realizar una tarea realizada en interés público.
  • El procesamiento de datos es necesario en interés legítimo del controlador de datos

Además, el consentimiento debe otorgarse libremente, a sabiendas y sin ambigüedades, y debe obtenerse antes de la recopilación de datos.
Además, el silencio o la ausencia de consentimiento expreso no constituye el consentimiento bajo el  GDPR.

RETIRADA BAJO EL CCAC

Según el CCAC, el consentimiento para la recopilación y el procesamiento de datos funciona casi al contrario. Las empresas pueden recopilar y procesar datos personales a menos que el consumidor en cuestión elija «la opción de retiro».

A diferencia del RGPD, donde una organización no puede recopilar datos personales sin consentimiento, si un consumidor se retira bajo el CCAC, la organización aún puede recopilar y procesar datos para sus propios intereses personales. 
El efecto de la opción de exclusión voluntaria es que impide que la compañía que recopiló los datos los venda o los transfiera a un tercero por «consideraciones monetarias u otras consideraciones lucrativas». 
Estas consideraciones lucrativas pueden incluir el alquiler, publicación, divulgación, comunicación o puesta a disposición de datos a terceros. Para hacer esto, se debe encontrar una manera de compartir datos de manera segura internamente para evitar una violación de CCAC por divulgación accidental de datos. Personal.

Las empresas tienen el derecho de pedirles a los consumidores que opten por participar después de optar por no participar, pero deben esperar 12 meses antes de  volver a solicitar .

¿Estoy exento?

Para el GDPR, la respuesta es muy breve y concisa: no. No hay exención bajo el  GDPR.

El CCAC, por otro lado, proporciona ciertas exenciones, particularmente para organizaciones sin fines de lucro. 
Ciertos servicios financieros y organizaciones de atención médica también pueden estar exentos del CCAC si están sujetos a otras leyes o estándares que tienen requisitos de privacidad más estrictos  .

Los ejemplos de leyes que permiten a las organizaciones exentas bajo el CCPA incluyen la portabilidad de seguro de salud y Accountability Act (HIPAA) el y la Ley Gramm-Leach-Bliley (GLBA), Fair Credit Reporting Act, Financiero de California Ley de privacidad de la información o la Ley de protección de la privacidad del conductor de California para servicios financieros. 
Sin embargo, es importante tener en cuenta que, si bien una organización puede estar exenta de cumplir con los requisitos del CCAC, la ley, sin embargo, ofrece a los consumidores la oportunidad de presentar una queja en caso de una violación de datos.

Responder a solicitudes de eliminación de datos

El derecho a eliminar datos personales bajo el GDPR es mucho más claro que con el CCAC. 
Con el GDPR, cualquier organización debe borrar los datos personales cuando se le solicite o si ya no los usa, independientemente del origen de los datos. 
Las organizaciones que reciben tales solicitudes deben cumplirlas dentro de los 30 días, de lo contrario, corren el riesgo de ser penalizadas. 
También deben informar a cualquier organización aguas abajo de la solicitud de  eliminación.

Sin embargo, las compañías bajo el CCPA solo tienen que eliminar los datos recopilados directamente del consumidor. 
Todos los datos recopilados de una fuente pública pueden conservarse. Dicho esto, es esencial que cualquier organización implemente un medio para identificar y rastrear las fuentes de datos, ya que se requiere revelar el origen de los  datos.

Tanto el GDPR como el CCAC brindan exenciones que pueden anular la solicitud de un individuo para borrar datos, pero estas leyes están diseñadas principalmente para el interés público y para evitar otros problemas legales que puedan surgir borrado de  datos.

Sanciones por infracciones e infracciones.

Las sanciones por infracciones del GDPR y el CCAC pueden ser severas, aunque la definición de lo que constituye un delito y los procesos para penalizar a las organizaciones difieren considerablemente entre los  dos.

La Unión Europea puede imponer multas a las organizaciones que violen el GDPR hasta el 4% de sus ingresos del año anterior, aunque generalmente están reservadas para los delitos más graves. Las sanciones de GDPR generalmente se evalúan de acuerdo con el riesgo de que un delito se convierta en una violación o, si la violación ya ha tenido lugar, la proporción de la violación. Además, los ciudadanos de la Unión Europea tienen el derecho privado de emprender acciones legales en caso de incumplimiento o violación de la protección de datos, lo que puede conducir a procedimientos legales además de las sanciones  previstas.

Otra diferencia: a diferencia del CCAC, que solo cubre los datos recopilados en los últimos 12 meses, una organización puede ser penalizada por una violación del GDPR o una violación, independientemente de cuándo se  recopilaron estos datos .

SANCIONES CCAC

El CCAC evalúa las sanciones de una manera completamente diferente, pero que aún puede ser potencialmente catastrófica. 
Según el CCAC, cada archivo individual puede considerarse un delito y una empresa puede recibir una multa de $7,500 por delito, sin límite en el número de delitos que pueden  evaluarse.

Las opciones de recurso para los individuos, así como los procesos para  estas acciones, son también muy diferentes bajo la CCAC que bajo el DPGR.
Las personas tienen derecho a demandar a una organización  por violaciones de los datos en el marco de la Convención, pero la ley no ofrece motivos para entablar una acción judicial por violaciones de la  Convención que no resulten en una violación. De hecho, la CCAC obliga legalmente al Fiscal General de California a representar a los californianos en  caso de delito. Además, el Fiscal General tiene la opción de enjuiciar a una organización infractora por una violación de datos en nombre de los  californianos hasta seis meses después de que se haya producido  la violación.

Sin embargo, una advertencia importante con respecto a las sanciones del CCAC es que solo los datos recopilados en los últimos 12 meses pueden estar sujetos a sanciones bajo el  CCAC.

Protección de datos con XMedius

Las empresas bajo la jurisdicción del CCAC deben identificar e implementar rápidamente procesos para cumplir con la ley. Dado que las organizaciones aún pueden recopilar y procesar datos de alguien que se haya excluido (hasta que reciban una solicitud de eliminación), esto incluye una metodología para evitar la divulgación accidental de información  personal.

XM Fax es una solución de fax sobre IP (FoIP) segura, fácil de usar y altamente interoperable que permite a las empresas compartir datos personales entre diferentes oficinas sin el riesgo de revelar información accidentalmente o recuperarla de un correo electrónico no cifrado o mal dirigido. XM Fax también incluye una rica funcionalidad de auditoría, que permite a las organizaciones identificar la fuente de una infracción, si la hay, y agilizar las auditorías internas bajo el CCAC y las auditorías bajo cualquier otro estándar relevante (como HIPAA, GDPR, SOX, FERPA, PCI DSS,  etc.).

XM SendSecure es una solución segura de intercambio de archivos que permite el cifrado en tránsito y en reposo. A diferencia de muchos servicios para compartir archivos, XM SendSecure aplica la autenticación de dos factores (2FA) al explotar la información de contacto conocida por el destinatario, lo que ayuda a evitar el acceso no autorizado a la carpeta compartida. Esta solución también permite el almacenamiento efímero, lo que significa que los archivos compartidos se eliminarán automáticamente después de un tiempo, eliminando el riesgo de que la información antigua se recupere de una carpeta compartida olvidada o en  desuso.

MÁS INFORMACIÓN

Si el CCAC afecta a su organización y está buscando una manera de proteger y transferir de manera segura su información personal, contáctenos para obtener más información sobre cómo podemos  ayudarlo.