ccpa-data-privacy
(9 minute read)

La CCPA y la evolución de las funciones de las leyes de privacidad de datos

En vez de reaccionar a cada fragmento de la legislación a medida que se promulga, las organizaciones deben considerar la implementación de...

Subroto Mukerji

Colaboradores: Jimma Elliott-Stevens, Christopher EvansStephen NolanNirmal Ranganathan

Los esfuerzos para proteger los datos del consumidor dieron frutos con la promulgación el 1.° de enero de la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés). California, una de las economías más grandes del mundo, es oficialmente el primer estado en aprobar una legislación integral acerca de la protección de la privacidad de datos del consumidor. La CCPA surge a raíz del Reglamento General de Protección de Datos (RGPD) de Europa, pero, hasta ahora, ningún otro estado ha promulgado una legislación similar.

Aunque por el momento la CCPA puede ser una anomalía en Estados Unidos, se cree ampliamente que esta y otras legislaciones similares generarán todavía más legislaciones regionales acerca de la protección de datos del consumidor. Cada vez más, los consumidores están exigiendo saber quién tiene su información y cómo la están usando. A medida que las empresas empiecen a atestiguar el impacto de sanciones y multas en relación con la falta de cumplimiento del RGPD, y en lo que usted considera qué legislación puede estar en perspectiva, sería inteligente considerar lo que esto significa para su empresa.

Las organizaciones pueden ayudar a mitigar los desafíos que traerán las legislaciones futuras asegurando que todas sus estrategias de datos están enfocadas en la seguridad. En vez de reaccionar a cada fragmento de la legislación según se vaya promulgando, las organizaciones deben considerar la gobernanza de la privacidad y los datos en todos los aspectos de sus negocios y tomar decisiones clave teniendo en cuenta la protección de datos.

¿Qué motiva la nueva legislación?

Mucho de lo que vemos en la nueva legislación nace del caos de las infracciones a los datos que son cada vez mayores y más frecuentes, y la consecuente preocupación e inquietud del cliente en relación con estas infracciones.

Hubo infracciones a grandes volúmenes de datos, como en las que Facebook y Equifax comprometieron información personal identificable de varios miles de usuarios que ahora están preocupados y con la inquietud de que sus datos confidenciales estén al alcance de cualquiera y puedan ser capitalizados. Legislaciones como la CCPA buscan regular los datos para que los consumidores sepan sus derechos en relación con dónde se ubican sus datos, sus derechos para que los datos sean olvidados, cómo se usan y almacenan sus datos y con quién se comparten sus datos.

Las infracciones son una carga financiera y, a menudo, generan daños a la marca y reputación de la organización que las comete. Las infracciones también están en aumento a medida que los hackers se vuelven más sofisticados. Por eso, las empresas necesitan un plan sólido para la protección de datos, incluido el monitoreo continuo de la seguridad realizado por profesionales de seguridad certificados.

Aunque varias industrias, especialmente las organizaciones de servicios médicos y financieros, tomaron medidas hace mucho para proteger los datos personales, para muchas otras industrias, la gobernanza de datos y la privacidad de los datos del consumidor son consideraciones relativamente nuevas, y legislaciones como el RGPD y la CCPA a menudo impulsan un cambio.

¿Estamos avanzando hacia un estándar global?

Aunque la legislación de privacidad de datos seguramente seguirá implementándose en otras regiones durante los próximos años, es poco probable que algún día exista un estándar para la privacidad y administración de datos que se aplique de manera global. La realidad es que es poco probable que países en diferentes regiones geográficas logren alcanzar algún día el nivel de cohesión necesario para acordar y aprobar una legislación unificada. Por ejemplo, hay una legislación en la región Asia Pacífico que es más estricta que el RGPD y la CCPA, mientras que países como Rusia y China tienen leyes que prohíben que los datos abandonen físicamente el país. Es difícil imaginar un escenario en el que estos países puedan acordar exactamente qué necesidades deben incluirse en una sola legislación.

Otro obstáculo para un estándar global de privacidad es la aplicación del cumplimiento de normas. Con tantos requerimientos diferentes vigentes actualmente de una país a otro, y con la inmensa variedad regional entre la organización y la supervisión gubernamentales, es poco probable que algún día exista una aplicación uniforme del cumplimiento de normas.

Un escenario más probable es que las leyes de protección de datos sigan siendo creadas y aplicadas localmente, haciendo que la escalabilidad de los datos sea más desafiante a través de las regiones y que algunas organizaciones se den cuenta de que atender a algunas regiones será menos rentable que atender a otras.

Los países seguirán gravitando hacia un enfoque regional más conservador en relación con las obligaciones de protección de datos, lo que puede crear desafíos para las empresas. Aquí es donde puede ayudar la seguridad de datos desde el diseño.

Cómo implementar la seguridad de datos desde el diseño

El principio de la “seguridad de datos desde el diseño” es la suposición de que su empresa se verá afectada por la próxima legislación.

En general, tiene más sentido implementar prácticas de seguridad de datos que le permitan cumplir con cualquier ley nueva. Aunque es probable que en el futuro tendrá que adaptarse a una nueva legislación, tendrá una mejor oportunidad de lograr el cumplimiento de normas si implementa los principios básicos correctos.

A continuación, algunas maneras para implementar la seguridad de datos desde el diseño:

Un enfoque de tres pilares

Es mejor tener una prioridad ejecutiva en relación con la seguridad y la protección de la privacidad de datos. Esta es una iniciativa a nivel ejecutivo que debe ser reconocida por el CEO y el departamento jurídico como un requisito básico para su empresa. No hay excepción a esta regla; la seguridad y protección de datos deben estar en la hoja de ruta de su empresa y tener prioridad en todas las áreas de la compañía.

La gestión de la privacidad de datos tiene que ser parte de los estatutos de su empresa, basarse en sus KPI (indicadores clave de desempeño) e informarse en las revisiones operativas recurrentes. Más allá de eso, abogamos por un enfoque de tres pilares para la seguridad de datos desde el diseño. Para que sus prácticas tengan éxito, es necesario que tenga los siguientes equipos en operación:

  • Jurídico: Necesita abogados que le traduzcan los requisitos y lo ayuden a comprender exactamente lo que significan las diferentes leyes para su empresa.
  • Expertos y arquitectos en tecnología y seguridad: Este equipo creará y diseñará las soluciones necesarias para cumplir con los requisitos.
  • Equipo de cumplimiento y riesgos: Este equipo implementará los procesos y auditorías pertinentes para ayudar a tener un cumplimiento de normas continuo.

La experiencia técnica que ofrece cada uno de estos equipos deberá ser de gran nivel para ayudar a garantizar que aborde adecuadamente las inquietudes relacionadas con los datos, que son específicos de su industria y empresa.

Designe un director ejecutivo de datos y cree una oficina de gobernanza de datos

Considere contratar o designar a un CDO (director ejecutivo de datos) y crear una DGO (oficina de gobernanza de datos). Esta se encargará de las iniciativas para la seguridad de datos y las responsabilidades diarias del mantenimiento. Su propósito, y el del CDO, es brindar a su empresa visiones bien definidas para los datos que tiene ahora y permitirle tomar decisiones estratégicas motivadas por los datos con base en su catálogo de datos.

La función del CDO es una combinación de un CTO (director de tecnología), CIO (director de información) y CISO (director general de Seguridad de Información). Todas estas personas tienen responsabilidades relacionadas y las funciones del CDO están exactamente donde se cruzan esas responsabilidades. Si cree que aún no hay un caso comercial suficiente para un puesto de CDO independiente, también existe la oportunidad de aprovechar la función de CIO o CISO para que lleve a cabo estas tareas.

Empiece con el final en mente

Incluso si todavía no se ve afectado por una legislación de protección de datos reciente, debería suponer que así será. Empiece a planificar ahora. Si está comenzando una nueva iniciativa o proyecto y los crea con el cumplimiento de normas y la seguridad en mente, puede ahorrarse muchos dolores de cabeza cuando entre en vigor la nueva legislación. Incluso si no cumple plenamente con la legislación actual, al tener el cumplimiento en mente al desarrollar una arquitectura alrededor de un nuevo proyecto, le dará mucha más ventaja que si estuviera en otra situación.

Escoja un enfoque que pueda mantener de manera razonable

Hay varias maneras diferentes de empezar a diseñar su plan de protección de datos, y cómo escoja diseñar su plan depende de su negocio específico.

Muchas organizaciones escogen un enfoque conservador, tomando la reglamentación más estricta y aplicándola de manera global. Con frecuencia, es la manera más eficaz y efectiva de adelantarse a la legislación de privacidad de datos, y muy probablemente resultará en que excede los requisitos de la legislación en algunas áreas. Además, no tendrá que preocuparse acerca de manejar diferentes estilos de implementaciones de sistemas para distintas reglamentaciones.

La desventaja del enfoque conservador es que puede perder el acceso a ciertos clientes. Por ejemplo, si escoge seguir el RGPD en vez de la CAN-SPAM porque tiene un enfoque más estricto en cuanto a la privacidad de datos, puede perder parte de su audiencia de marketing con base en los requisitos de aceptación adicionales que tiene el RGPD.

Si perder esa ventaja de marketing es un factor decisivo para su empresa, puede decidir seguir diferentes niveles de rigurosidad en diferentes áreas de su empresa. Solo tenga en cuenta que, si escoge este enfoque, debe tener disponibles recursos administrativos para sustentar la aplicación de varios lineamientos a lo largo de las diferentes áreas de su empresa.

En función de dónde se ubican los activos, es posible que tenga que ubicar sus datos por región para cumplir con la soberanía de datos. En muchas organizaciones, es más barato (o potencialmente obligatorio por los requisitos de seguridad de su país) que los datos se queden en la región. Tener los datos por regiones tiene sus consideraciones propias, incluida la arquitectura o fragmentación de datos por regiones, almacenamiento en la nube múltiple y requisitos de cómputo, y las consideraciones de costos asociados.

Escoger un enfoque requiere que se identifique qué método ofrece el mayor valor para su empresa, en comparación con los límites de lo que puede mantener de manera constante. Si no puede admitir la gestión de diferentes tipos de datos, entonces es mejor que adopte un estándar en toda la empresa. La implementación de una nueva estrategia puede parecer abrumadora, pero es con el mantenimiento de su programa que podrá lograr o infringir el cumplimiento de normas.

Programe auditorías regulares para monitorear los objetivos de seguridad y cumplimiento de normas

La legislación de protección de datos casi nunca es estática, así que hay mucho trabajo qué hacer además de definir su enfoque. El cumplimiento es un esfuerzo continuo, y tendrá que realizar auditorías regulares para asegurarse de que va por buen camino. Algunas legislaciones pueden requerir auditorías más frecuentes, pero, en general, es suficiente realizar una auditoría al año. Use esas auditorías como una oportunidad para revisar los reglamentos que tiene implementados y para recopilar información sobre qué tan bien están funcionando sus prácticas de cumplimiento de normas.

El resultado final: la seguridad de datos desde el diseño beneficia a todos

Ahora que los clientes están obteniendo más control sobre dónde viven sus datos y cómo se usan, las empresas deben pensar en maneras ingeniosas de abordar la gestión de la privacidad de datos.

La evolución de la protección de datos seguirá siendo cada vez más regulada y aumentará su alcance y requisitos. Una evolución muy probable incluirá requisitos alrededor del monitoreo de la seguridad de los datos protegidos, muy parecidos a los requisitos que el RGPD aplica actualmente. Planificar esto desde el principio ayudará a asegurar que sus activos y negocios están listos para la próxima reglamentación. Las empresas que no planifiquen por adelantado se encontrarán luchando para superar los nuevos obstáculos, uno a la vez.

Aunque la implementación de la seguridad de datos desde el diseño incurrirá en costos iniciales, estará protegiéndose a largo plazo contra pérdidas de ingresos y reputación en caso de una infracción a los datos. Ser proactivo es lo mejor que puede hacer tanto para sus clientes como para su organización.

Acerca del autor

Director de OperacionesSubroto Mukerji

Subroto es el director general de operaciones de Rackspace y es responsable de gestionar las operaciones y funciones de tecnología de la empresa en todo el mundo. Es un líder internacional con más de 25 años de experiencia en la industria de los...

Read More