¿Cómo puede prepararse para el marco de privacidad de datos de la CPRA en los sistemas de información?
La Ley de Derechos de Privacidad de California (CPRA
La Ley de Derechos de Privacidad de California (CPRA
La CPRA se aplica a cualquier empresa que recopile o venda información personal de residentes de California y cumpla con uno de los siguientes criterios: tenga ingresos brutos anuales de más de $25 millones, compre, venda o comparta la información personal de más de 100,000 consumidores u hogares, o obtenga más del 50% de sus ingresos anuales de la venta o el intercambio de información personal. La CPRA también crea una nueva categoría de información personal confidencial, como datos biométricos, información de salud, información financiera y datos de geolocalización, que está sujeta a restricciones adicionales y derechos de exclusión. La CPRA también impone nuevas obligaciones a las empresas, como la realización de evaluaciones de impacto de la protección de datos, el nombramiento de un responsable de la privacidad y el mantenimiento de medidas de seguridad razonables.
Para cumplir con la CPRA, debe tener una imagen clara y precisa de qué información personal recopila, dónde la almacena, cómo la usa, con quién la comparte y cuánto tiempo la conserva. También debe identificar cualquier información personal confidencial y los fines específicos para los que la recopila. Puede utilizar herramientas de inventario y asignación de datos para ayudarle a documentar y visualizar sus flujos de datos e identificar cualquier brecha o riesgo en sus actividades de procesamiento de datos. También debe actualizar el inventario de datos y la asignación con regularidad para reflejar cualquier cambio en las operaciones comerciales o las prácticas de datos.
Maintaing an accurate, comprehensive Record of Processing manualy - is practically impossible in medium-large companies. Using tools to help you reflect the data flows in your organization is highly recommended. Especially, automatic or AI-based tools which are capable of periodically monitoring data flows and identify new gaps. Such tools might need to be migrated with your organizational information systems so make sure to choose a vendor with appropriate security standards.
La CPRA requiere que las empresas proporcionen a los consumidores políticas y avisos de privacidad claros y completos que les informen sobre sus derechos y opciones con respecto a su información personal. Debe revisar y revisar sus políticas y avisos de privacidad para asegurarse de que cumplen con los requisitos de la CPRA y reflejan sus prácticas actuales de datos. También debe mejorar sus políticas y avisos de privacidad para incluir más detalles sobre sus evaluaciones de impacto de protección de datos, su oficial de privacidad, sus períodos de retención, sus mecanismos de exclusión voluntaria y su información de contacto. También debe hacer que sus políticas y avisos de privacidad sean fácilmente accesibles y comprensibles para sus consumidores.
La CPRA otorga a los consumidores varios derechos sobre su información personal, como el derecho a acceder, eliminar, corregir, excluirse y limitar el uso y la divulgación de su información personal. Debe implementar y probar sus sistemas y procesos para recibir, verificar y responder a las solicitudes de derechos del consumidor de manera oportuna y conforme a las normas. También debe asegurarse de que tiene las capacidades técnicas y organizativas para cumplir con las solicitudes de derechos del consumidor y para comunicarse con los consumidores y cualquier tercero involucrado en el procesamiento de datos.
La CPRA requiere que las empresas brinden capacitación y educación adecuadas a su personal y a las partes interesadas que son responsables de manejar las consultas de los consumidores o la información personal. Debe capacitar y educar a su personal y a las partes interesadas sobre los requisitos de la CPRA, sus prácticas de datos, sus políticas y avisos de privacidad, sus solicitudes y respuestas sobre los derechos del consumidor y sus evaluaciones de impacto de la protección de datos. También debe proporcionarles las herramientas y los recursos necesarios para realizar sus funciones y para informar de cualquier problema o incidente. También debe supervisar y evaluar su rendimiento y cumplimiento, y proporcionarles comentarios y orientación.
Some tips from my experience when it comes to employees training on new regulations: 1. Choose a role based training over a global/departmental one. Tailor the new requirements and training based on the different teams' exposure to personal data. For example, HR teams might process highly sensitive data than the marketing teams. And different requirements may be applicable to marketing than the ones applicable to the Product teams. 2. Conduct TNA (Training Need Assessment) by meeting different stakeholders in your company. Discuss together the areas of focus and gaps require strengthening. 3. Traing must be linked to the success of the company. Make the connection between compliance and earnings. So everyone feels a part of the effort.
La CPRA establece una nueva Agencia de Protección de la Privacidad de California (CPPA) que tendrá la autoridad y los recursos para hacer cumplir la CPRA y emitir reglamentos y directrices. Debe monitorear y adaptarse a los desarrollos y la aplicación de la CPRA y mantenerse actualizado sobre las acciones y decisiones de la CPPA. También debe revisar y auditar sus sistemas de información y prácticas de datos con regularidad y realizar los ajustes o mejoras necesarios para garantizar su cumplimiento y seguridad continuos. También debe estar preparado para demostrar su cumplimiento y responsabilidad ante la CPPA y los consumidores en caso de cualquier consulta o investigación.