Navegando por las nuevas regulaciones de privacidad de datos de EE. UU.

Jul 21, 2023

Imagen vía Unsplash

En una era marcada por rápidos avances tecnológicos y una dependencia cada vez mayor de las plataformas digitales, la privacidad de los datos se ha convertido en una preocupación fundamental. Para abordar estas preocupaciones, varios estados de EE. UU. han implementado estrictas normas de protección de datos. A partir de julio de 2023, Virginia, Connecticut, Colorado y Utah impondrán multas por incumplimiento de estas regulaciones, responsabilizando a las empresas por el mal manejo de información confidencial.

Actualmente, nueve estados (California, Virginia, Connecticut, Colorado, Utah, Iowa, Indiana, Tennessee y Montana) tienen leyes integrales de privacidad de datos. Además, alrededor de 16 estados introdujeron proyectos de ley de privacidad durante el ciclo legislativo 2022-23, que cubren diversas cuestiones como identificadores biométricos y datos de salud. Los proyectos de ley propuestos en otros estados (por ejemplo, Illinois, Massachusetts, Minnesota, Nueva York, Pensilvania) ofrecen derechos similares pero pueden diferir en su implementación y cumplimiento.

A medida que las nuevas regulaciones entran en vigor, es fundamental que las personas y las empresas comprendan plenamente sus implicaciones. Comprender el alcance de estas regulaciones y sus requisitos específicos es esencial para su cumplimiento. Entendamos qué implican estas regulaciones, a quién se aplican y qué deben hacer las empresas para evitar sanciones y daños a su reputación.

Las próximas regulaciones de privacidad de datos en VA, CT, CO y UT se inspiran en el GDPR, que se considera un punto de referencia global para la protección de la privacidad de datos y comparte similitudes con la Ley de Privacidad del Consumidor de California (CCPA), una de las leyes de privacidad de datos más completas en los Estados Unidos. Comprender el alcance de estas regulaciones es fundamental para crear una estrategia eficaz de seguridad y cumplimiento. Esto es lo que los líderes de seguridad necesitan saber:

Esto incluye información próxima sobre la toma de decisiones automatizada, auditorías de ciberseguridad y evaluaciones de riesgos del procesamiento de datos. El personal y los contactos B2B serán tratados como consumidores según la CCPA. Los consumidores pueden limitar la recopilación y el uso de datos, incluidos los datos de geolocalización dentro de 1,850 pies. Las empresas deben divulgar políticas de retención de datos y evitar la retención excesiva. Los consumidores pueden evitar el intercambio de datos para publicidad conductual en contextos cruzados. Se elimina el período de "subsanación" de 30 días para las acciones de ejecución. Las sanciones por mal manejo de la información de los niños se han triplicado a $7,500 por incidente, aumentando las repercusiones del incumplimiento.

Para evitar el incumplimiento, las empresas deben tomar medidas de manera proactiva para adelantarse a las amenazas e infracciones. A continuación se presentan algunos puntos esenciales con los que las empresas deben familiarizarse como paso inicial para garantizar el cumplimiento.

Tener un conocimiento detallado de las regulaciones cambiantes permite una implementación efectiva para las empresas que navegan por la privacidad de los datos. Además, es fundamental ser consciente de las oportunidades de reparación en caso de violaciones no intencionadas. Al abordar rápidamente las prácticas que no cumplen con las normas dentro de plazos específicos, las empresas pueden minimizar las posibles sanciones y mantener un estricto cumplimiento de las regulaciones.

Evalúe el impacto potencial de estas regulaciones en sus operaciones comerciales. Identifique áreas donde se recopilan, almacenan o comparten datos personales y evalúe si las prácticas actuales se alinean con los nuevos requisitos. La identificación de brechas facilitará la implementación de los cambios necesarios.

Para cumplir con las regulaciones de privacidad de datos en varios estados, las empresas deben ser conscientes de las implicaciones en diferentes jurisdicciones. Por ejemplo, si una empresa en Florida atiende a clientes de Virginia, también debe cumplir con los requisitos de privacidad de datos de Virginia. Con regulaciones de privacidad en 22 estados de EE. UU., las empresas deben realizar un análisis exhaustivo de las ubicaciones de sus clientes para rastrear y cumplir con las leyes de privacidad relevantes en cada estado operativo.

Para cumplir con las regulaciones de privacidad de datos, las empresas deben actualizar las políticas de privacidad, obtener consentimiento explícito, garantizar una seguridad sólida de los datos y proporcionar canales accesibles para que los consumidores ejerzan sus derechos de privacidad. El monitoreo y la automatización continuos son vitales para rastrear e informar las actividades de privacidad de datos. Además, las actualizaciones periódicas de aplicaciones y sistemas son cruciales para la evolución de los requisitos de privacidad, a pesar de los costos asociados (codificación, actualización de procesos de aplicaciones, etc.). Dar prioridad a un entorno seguro y consciente de la privacidad es esencial para la confianza del usuario.

Las leyes de privacidad de datos de EE. UU. difieren en su aplicabilidad a los registros digitales y en papel. Si bien algunas leyes, como HIPAA, se aplican a todo tipo de registros, otras, como la Ley de Protección de la Privacidad Infantil en Línea (COPPA), se centran en la recopilación de datos en línea. Las leyes anteriores de California se centraban en los datos electrónicos, incluidos los avisos de privacidad y los informes de violaciones. Sin embargo, la CCPA amplió su cobertura a los registros electrónicos y en papel. Las nuevas leyes de privacidad de datos de EE. UU. se inspiran en la CCPA.

Invierta en personas, procesos y tecnología para fortalecer la seguridad, el cumplimiento y la gobernanza. Aproveche la tecnología para el monitoreo automatizado, la detección de amenazas y la respuesta a incidentes. Implemente cifrado, autenticación multifactor y prácticas de codificación segura para proteger los datos y evitar daños a la reputación.

Las prioridades clave para las empresas incluyen:

Kaus Phaltankar es cofundador y director ejecutivo de Caveonix.