Metazine Tu Magazine del Metaverso. Toda la información del presente y futuro de nuestra vida digital.
Estamos emocionados de traer Transform 2022 en persona el 19 de julio y virtualmente del 20 al 28 de julio. Únase a los líderes de inteligencia artificial y datos para discusiones en profundidad y oportunidades emocionantes para establecer contactos. ¡Regístrese hoy!
La protección de datos es un desafío para muchas empresas porque Estados Unidos no cuenta actualmente con una ley nacional de privacidad, como el RGPD de la UE, que describa explícitamente los medios de protección. En ausencia de un referéndum federal, varios estados han promulgado medidas integrales de privacidad de datos. La Ley de derechos de privacidad de California (CPRA) reemplazará la ley de privacidad actual del estado y entrará en vigencia el 1 de enero de 2023, al igual que la Ley de protección de datos del consumidor de Virginia (VCDPA). La Ley de Privacidad de Colorado (CPA) comenzará el 1 de julio de 2023, mientras que la Ley de Privacidad del Consumidor de Utah (UCPA) comenzará el 31 de diciembre de 2023.
Para las empresas que operan en California, Virginia, Colorado y Utah*, o cualquier combinación de las cuatro, es esencial comprender los matices de las leyes para garantizar que cumplan con los requisitos de seguridad y mantengan el cumplimiento en todo momento.
Tabla de contenidos
Comprender cómo se cruzan las leyes de privacidad de datos es difícil
Si bien el espíritu de las leyes de privacidad de datos de estos cuatro estados es lograr una protección de datos más integral, existen matices importantes que las organizaciones deben abordar para garantizar el cumplimiento. Por ejemplo, Utah no requiere que las empresas afectadas realicen evaluaciones de protección de datos, auditorías de cómo una empresa protege los datos para determinar los riesgos potenciales. Virginia, California y Colorado requieren evaluaciones, pero las razones por las que una empresa puede necesitar hacer una varían.
Virginia requiere que las empresas se sometan a evaluaciones de protección de datos para procesar datos personales con fines publicitarios, vender datos personales, procesar datos confidenciales o procesar perfiles de consumidores. El VCDPA también exige una evaluación para las “actividades de procesamiento que involucran datos personales que presentan un mayor riesgo de daño a los consumidores”. Sin embargo, la ley no define explícitamente lo que considera un “riesgo aumentado”. Colorado requiere calificaciones como Virginia, pero excluye la creación de perfiles como motivo para dichas calificaciones.
De manera similar, la CPRA requiere evaluaciones anuales de protección de datos para actividades que presentan riesgos significativos para los consumidores, pero no describe qué constituye riesgos “significativos”. Esta definición se hará a través de un proceso regulatorio a través de la Agencia de Protección de Privacidad de California (CPPA).
Las leyes estatales también tienen variaciones relacionadas con si una evaluación de protección de datos requerida por una ley es transferible a otra. Por ejemplo, suponga que una organización debe cumplir con la VCDPA y otra ley estatal de privacidad. Si esa empresa se somete a una evaluación de protección de datos con requisitos similares o más estrictos, VCDPA reconocerá que la otra evaluación cumple con sus requisitos. Sin embargo, las empresas sujetas a la CPA no tienen este lujo: Colorado solo reconoce sus requisitos de evaluación para cumplir con los requisitos.
Otra área donde las leyes difieren es cómo cada una define los datos confidenciales. La definición de CPRA es amplia e incluye un subconjunto llamado información personal confidencial. VCDPA y CPA son más similares y tienen menos categorías de datos confidenciales. Sin embargo, sus enfoques de los datos confidenciales no son idénticos. Por ejemplo, la CPA considera la información sobre la vida sexual y las condiciones de salud física y mental de un consumidor como datos confidenciales, mientras que la VCDPA no lo hace. Por el contrario, Virginia considera los datos confidenciales como información de geolocalización del consumidor, mientras que Colorado no lo hace. Una empresa que deba cumplir con cada ley deberá determinar qué datos se consideran confidenciales para cada estado en el que opera.
También hay variaciones en las cuatro leyes de privacidad relacionadas con la regulación. En Colorado y Utah, el desarrollo de las reglas quedará a discreción del fiscal general. Virginia formará una junta de representantes gubernamentales, empresarios y expertos en privacidad para abordar el proceso regulatorio. California participará en la regulación a través de la CPPA.
Lo anterior representa solo algunas variaciones entre las cuatro leyes, hay más. Lo que está claro es que mantener el cumplimiento de múltiples leyes será difícil para la mayoría de las organizaciones, pero hay pasos claros que las empresas pueden tomar para reducir la complejidad.
Superar la ambigüedad mediante la protección proactiva de la privacidad de los datos
Sin una ley nacional de privacidad que sirva como base para las expectativas de protección de datos, es importante que las organizaciones que operan bajo las leyes de privacidad de varios estados tomen las medidas adecuadas para garantizar la seguridad de los datos independientemente de las regulaciones. Aquí hay cinco sugerencias.
Colabore con expertos legales y de cumplimiento
Es vital contar con alguien en el personal o que actúe como consultor que comprenda las leyes de privacidad y pueda guiar a una organización a través del proceso. Además de la experiencia en cumplimiento, el asesoramiento legal será imprescindible para ayudar a navegar todos los aspectos de las nuevas políticas.
Identificar el riesgo de los datos
Desde el momento en que una empresa crea o recibe datos de una fuente externa, las organizaciones primero deben determinar su riesgo en función del nivel de sensibilidad. La determinación inicial sienta las bases para los medios por los cuales las organizaciones protegen los datos. Como regla general, cuanto más confidenciales sean los datos, más estrictas deberían ser las medidas de seguridad.
Crear políticas de protección de datos
Cada organización debe tener políticas claras y aplicables sobre cómo protegerá los datos. Estas políticas se basan en varios factores, incluidos los mandatos regulatorios. Sin embargo, las políticas deben intentar proteger los datos de una manera que exceda los mandatos de cumplimiento, ya que las regulaciones a menudo se modifican para exigir una protección más estricta. De esta manera, las organizaciones pueden cumplir y mantenerse al día.
Integre la protección de datos en su proceso de análisis
La canalización de análisis de datos se construye en la nube, donde los datos sin procesar se convierten en información empresarial procesable y de gran valor. Por razones de cumplimiento, las empresas necesitan proteger los datos a lo largo de su ciclo de vida en la tubería. Esto implica que los datos confidenciales deben transformarse tan pronto como ingresan a la canalización y, por lo tanto, permanecen en un estado anónimo. La canalización de análisis de datos es un objetivo para los ciberdelincuentes porque, tradicionalmente, los datos solo se pueden procesar a medida que viajan aguas abajo de forma clara. Emplear los mejores métodos de seguridad de su clase, como el enmascaramiento de datos, la tokenización y el cifrado, es fundamental para proteger los datos a medida que ingresan a la canalización y evitar la exposición que puede hacer que las organizaciones no cumplan o algo peor.
Implementar computación optimizada para la privacidad
Las organizaciones extraen un enorme valor de los datos al procesarlos con herramientas de análisis de última generación fácilmente disponibles en la nube. Las técnicas de computación para la mejora de la privacidad (PEC) permiten procesar los datos sin exponerlos en texto claro. Esto permite casos de uso avanzado en los que los controladores de datos pueden agrupar datos de múltiples fuentes para obtener información más detallada.
El adagio, “Una onza de prevención vale una libra de cura”, sin duda es válido para la protección de datos, especialmente cuando la protección está ligada a mantener el cumplimiento. Para las organizaciones que están sujetas a las próximas leyes de privacidad de datos, la clave para el cumplimiento es crear un entorno en el que los métodos de protección de datos sean más estrictos de lo que exige la ley. Cualquier trabajo realizado ahora para gestionar la complejidad del cumplimiento solo beneficiará a la organización a largo plazo.
*Desde que escribí este artículo, Connecticut se ha convertido en el quinto estado en aprobar una ley de privacidad de datos del consumidor.
Ameesh Divatia es cofundadora y directora ejecutiva de Deflector
Tomadores de decisiones de datos
¡Bienvenido a la comunidad VentureBeat!
DataDecisionMakers es el lugar donde los expertos, incluidos los ingenieros de datos, pueden compartir ideas e innovaciones relacionadas con los datos.
Si desea leer ideas de vanguardia e información actualizada, las mejores prácticas y el futuro de los datos y la tecnología de datos, únase a nosotros en DataDecisionMakers.
¡Incluso podría considerar contribuir con su propio artículo!
Leer más de DataDecisionMakers
