En mayo de este 2020, el GDPR cumplirá dos años. Esta normativa europea de protección de datos, que es de obligatorio cumplimiento desde 2018, prevé multas de hasta el 4% de los ingresos anuales de una empresa. Desde su implementación, esta normativa se ha utilizado para aplicar sanciones millonarias a algunas empresas importantes, como British Airways o Marriott International.
En los últimos meses, hemos visto dos ejemplos muy claros de la importancia de proteger adecuadamente los datos personales de los usuarios. A mediados de octubre se descubrió un servidor que contenía los datos personales de más de mil millones de personas—una de las mayores brechas de datos de la historia. Y a principios de diciembre, los datos de más de 267 millones de usuarios de Facebook fueron expuestos online en una base de datos sin contraseña.
El CCPA: California intenta proteger los datos personales
Para proteger los derechos de los usuarios en relación con sus datos personales, el estado de California ha introducido una nueva ley llamada el California Consumer Privacy Act (CCPA). La ley entró en vigor el día 1 de enero de 2020 y encomienda requerimientos estrictos en cuanto a la transparencia del uso de los datos personales.
Bajo la ley, cualquier residente de California tiene el derecho de exigir a una empresa a ver toda la información almacenada sobre el usuario . También tiene derecho a ver una lista completa de todos los terceros con los que se comparten sus datos personales. Es más, la ley proporciona el derecho a demandar a una empresa que incumpla los directrices de privacidad, aunque no haya una brecha de datos.
CCPA y GDPR: similitudes y diferencias
La nueva ley de protección de datos en California tiene parecidos con la normativa europea. Como el GDPR, una empresa no tiene por qué estar basada en California para que le afecte el CCPA; cualquier organización que haga negocios en California debe cumplir con las reglas, esté donde esté registrado.
Sin embargo, también hay diferencias. A diferencia del GDPR, el CCPA no exige que una empresa informe de una brecha de datos. De hecho, bajo el CCPA, para que una empresa pueda ser multada, tiene que haber una queja de un consumidor.
Otra diferencia es el alcance limitado en cuanto a las empresas afectadas: solo se aplica a empresas que cuenten por lo menos con 25 millones de dólares en ingresos y que ganen al menos la mitad de su dinero vendiendo datos. También se aplica a las empresas que almacenan los datos de al menos 50.000 consumidores.
Una diferencia importante entre las dos normativas es que el CCPA tiene una definición más amplia de lo que considera información personal:
- Identificadores como nombres reales, alias, direcciones físicas, direcciones IP, nombres de cuenta, entre otros.
- Información biométrica.
- Historial de navegación, historial de búsquedas.
- Información electrónica, visual, termal, de audio, olfativa o similar.
- Información profesional o relacionada con el empleo
- Información sobre la educación que no está disponible públicamente.
Las consecuencias de incumplimiento
Además de la posibilidad de ser sometido a un pleito, en caso de una brecha de datos una empresa puede tener que enfrentarse a una multa de hasta 7.500$ (6.750€) por cada archivo afectado. Si tenemos en cuenta la cantidad de archivos que suelen verse afectados en una brecha de datos, está claro que se puede tratar de una multa muy elevada.
Las consecuencias del CCPA abarcan más ámbitos, además del financiero: al igual que cualquier ciberincidente, ser sancionado bajo esta ley también supone un daño reputacional para la empresa afectada. Tener la reputación de no poder proteger los datos personales que maneja tu empresa puede impedir que un consumidor se fíe de la compañía.
Protege tu empresa contra las repercusiones del CCPA
Según explica CSO, las herramientas para ayudar a cumplir con el CCPA no solo tendrán que tener una visibilidad completa de los datos que se almacenan en una empresa, sino que tendrá que asegurar que haya controles estrictos de acceso a esos datos. Panda Data Control es un módulo adicional de Panda Adaptive Defense diseñado específicamente para proteger los datos personales (PPI) que almacena una empresa. Descubre y audita los datos de carácter personal desestructurados en los equipos. Identifica los ficheros con datos de carácter personal (PII) de tu empresa además de los usuarios, empleados o colaboradores, y equipos o servidores que acceden a ella.
La protección de datos personales es una de las cuestiones más importantes para todas las empresas de hoy en día. Las brechas de datos son una realidad cada vez más frecuente y es imprescindible hacer todo lo posible para protegernos de ellas.