Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Cumplimiento de CCPA: Cómo lograr la conformidad

Cumplimiento de CCPA: Cómo lograr la conformidad

Apr 7, 2021

La recolección y procesamiento de información personal (PI) permite a las empresas personalizar la experiencia del cliente e incrementar las ventas. Sin embargo, ciertas defensorías de derechos del consumidor y regulaciones de privacidad limitan estrictamente la recolección de PI para asegurar que las organizaciones utilicen sus datos de manera significativa y justa. La más famosa es el General Data Protection Regulation (GDPR), pero cada vez más estados en los Estados Unidos están promulgando leyes de privacidad de datos propias.

Preeminente entre estas leyes se encuentra la California Consumer Privacy Act de 2018 (CCPA) y su posterior extensión, la California Privacy Rights Act (CPRA), de la que hablaremos más adelante en este artículo.

De hecho, es posible que haya notado que los términos de servicio de la mayoría de los servicios digitales ahora estipulan consideraciones especiales para los residentes de California. Esto se debe a las normas establecidas por la CCPA que se aplican a las organizaciones que operan en el estado de California.

Muchas organizaciones ya tienen políticas establecidas para cumplir con el GDPR. Sin embargo, la CCPA tiene algunas disposiciones que requieren medidas adicionales. Para proteger su organización, debe entender qué es la CCPA, sus disposiciones clave y los pasos que puede tomar para asegurar el cumplimiento de la CCPA. Este artículo discutirá cómo lograr el cumplimiento de la CCPA, por qué es importante y cómo mantener un equilibrio entre la privacidad y la eficiencia empresarial. .

¿Qué es la California Consumer Privacy Act?

La Ley de Privacidad del Consumidor de California es un estatuto estatal de California que entró en vigor el 1 de enero de 2020. El propósito principal de la CCPA es proteger a los consumidores de las empresas que venden su información privada sin ningún aviso oficial o oportunidades de inclusión y exclusión voluntarias. La intención es responsabilizar a esas empresas por cualquier transacción comercial que involucre datos personales.

Descarga gratuita:

Términos y definiciones de la CCPA

¿Qué es el cumplimiento de CCPA? Responder a esta pregunta requiere definir algunos términos clave:

  • Empresa — Una entidad con fines de lucro que realiza negocios en el estado de California y cumple con los criterios para estar sujeta a la CCPA (proporcionados a continuación).
  • Finalidad empresarial — Las empresas que buscan recopilar y utilizar datos personales deben cumplir con uno de los siguientes propósitos empresariales, según se detalla en la subdivisión (d) del Código Civil de California 140:
    • Auditoría de una interacción actual para marketing y publicidad
    • Gestión de amenazas de seguridad y legales
    • Depuración de errores que afectan la funcionalidad
    • Recolección de datos para uso a corto plazo que no se comparte con terceros ni se utiliza para crear un perfil
    • Gestión de cuentas o transacciones
    • Realizando investigación interna para el desarrollo tecnológico y demostración
    • Intentando verificar, mantener o mejorar la calidad o seguridad de los dispositivos o servicios del negocio
  • Residente de California — Alguien que se encuentra en el estado por algo más que un propósito temporal o transitorio, o alguien que está temporalmente fuera del estado pero cuyo hogar permanente está en California.
  • Colección — Definida como “comprar, alquilar, recopilar, obtener, recibir o acceder a cualquier información personal perteneciente a un consumidor por cualquier medio.”
  • Consumidor — Una persona natural que es residente de California.
  • Violación de datos — Una situación en la que una parte no autorizada obtiene acceso a información sensible que puede perjudicar a los consumidores. Según un análisis de la CCPA por el National Law Review, hay tres requisitos que deben cumplirse para que un consumidor pueda tomar medidas como resultado de la violación:
    • Los datos deben ser información personal según lo definido por la CCPA.
    • La información personal debe estar sin cifrar y sin editar.
    • La violación debió haber sido el resultado de la falla de una empresa en implementar y mantener procedimientos y prácticas de seguridad razonables.
  • Información personal — Incluyendo cualquier dato, como un nombre real, alias o número de teléfono, que pueda ser utilizado para crear un perfil sobre las características o preferencias de alguien.
  • Venta — La ley define esto como “vender, alquilar, liberar, divulgar, diseminar, poner a disposición, transferir o de cualquier otra forma comunicar por cualquier medio” la información personal de un consumidor a cualquier parte a cambio de cualquier tipo de compensación. La CCPA proporciona excepciones específicas que se aplican a esta definición. Una es la referencia o contratación, que ocurre cuando un consumidor dirige intencionalmente a un negocio para interactuar con un tercero utilizando un identificador personal. Otra es cuando los negocios no recopilan, venden o de otra manera usan información personal más allá de lo que es necesario “para realizar el propósito comercial.”

Lea la entrada de blog relacionada:

¿Qué organizaciones deben cumplir con la CCPA?

La CCPA no se limita a las empresas con sede en California. Más bien, se aplica a cualquier empresa con fines de lucro que recolecte información personal de residentes de CA y cumpla con al menos uno de los siguientes criterios:

  • Tiene unos ingresos anuales de al menos $25 millones
  • Contiene información personal de al menos 50,000 individuos o hogares
  • Genera más de la mitad de los ingresos anuales vendiendo información personal de residentes de California

Las exenciones incluyen lo siguiente:

  • Instituciones financieras sujetas a las regulaciones Gramm-Leach-Bliley (GLB) o CalFIPA
  • Agencias de informes crediticios sujetas a la Fair Credit Reporting Act
  • Proveedores de salud sujetos a CMIA y HIPAA
  • Ciertas relaciones de negocio a negocio (B2B)

En consecuencia, si su organización ha recopilado alguna información personal de un residente de California (por ejemplo, a través de cookies en el sitio web), entonces es posible que deba cumplir con la CCPA.

¿Qué información regula la CCPA?

La subdivisión (v) (1) de la Section 1798.140 del Código Civil de California enumera varias categorías de tipos de datos protegidos bajo la CCPA. Muchos de estos son autoexplicativos, como “nombre real” o “dirección de correo electrónico”. Sin embargo, algunos requieren una explicación adicional:

  • Identificadores personales únicos/identificadores en línea — Aunque el término “identificador personal único” está listado como un subtipo de información personal, se define por separado como “un identificador persistente que puede ser utilizado para reconocer a un consumidor, una familia o un dispositivo que está vinculado a un consumidor o familia, a lo largo del tiempo y en diferentes servicios.” Ejemplos notables incluyen números de cliente, direcciones IP, pseudónimos únicos y alias de usuarios en línea.
  • Información biométrica — Los datos de sueño, salud y ejercicio, como los recopilados por teléfonos inteligentes o dispositivos portátiles, entran en la categoría protegida de información biométrica. Esta protección también se extiende a los datos que podrían recopilarse fuera de línea, como rasgos psicológicos o conductuales, ADN o grabaciones de voz.
  • Datos de geolocalización — Aunque no está definido explícitamente en la CCPA, los datos de geolocalización generalmente incluyen cualquier información de ubicación precisa obtenida de dispositivos GPS o medios similares. En otras palabras, el registro en la página web o en la página de redes sociales de un restaurante no puede venderse de manera que se pueda rastrear hasta un consumidor en particular.

Excepciones

La CCPA tiene como objetivo prevenir la venta de información personal que pueda ser utilizada para identificar a una persona. Sin embargo, hay ciertas instancias donde la ley no se aplica, incluyendo las siguientes:

  • Información disponible públicamente— Cualquier información que esté disponible a través de registros gubernamentales no se considera "información personal" y, por lo tanto, no está protegida.
  • Información personal de salud — Información médica protegida bajo la Ley de Confidencialidad de la Información Médica y la información recopilada por el Departamento de Salud y Servicios Humanos de EE. UU. según la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA) están reguladas de manera separada. La información de ensayos clínicos sujeta a la Política Federal para la Protección de Sujetos Humanos también está excluida de la CCPA.
  • Los datos utilizados para generar un informe de consumidor — La actividad utilizada para determinar la solvencia se rige por separado por la Fair Credit Reporting Act.
  • Información financiera — Cualquier información vendida con la notificación adecuada según lo definido por la Gramm-Leach-Bliley Act o la California Financial Information Privacy Act no está cubierta por la CCPA.
  • Información recopilada por el DMV — Cualquier información recopilada por un Departamento de Vehículos Motorizados estatal o sus empleados, oficiales o contratistas está cubierta de manera independiente por la Driver’s Privacy Protection Act (DPPA).
  • Otra información — Otras excepciones incluyen cierta información de empleados utilizada dentro del ámbito de la relación empleador-empleado, y cierta información de garantía y llamadas a revisión de vehículos.

Disposiciones clave de privacidad y derechos del consumidor en la CCPA

La CCPA incluye las siguientes disposiciones diseñadas para proteger los derechos de los consumidores:

  • Divulgación general — Las empresas están obligadas a publicar una política de privacidad que describa los derechos de los consumidores y las categorías de información personal que han recopilado y divulgado en los últimos 12 meses.
  • Derecho a saber — Los consumidores tienen el derecho de solicitar detalles sobre la naturaleza de los datos que se han recopilado, utilizado, compartido y vendido, así como las razones de dichas acciones.
  • Derecho de acceso y portabilidad— Las empresas deben entregar la información cubierta por el “derecho a saber” de forma gratuita a los consumidores dentro de los 45 días posteriores a una solicitud verificable. La divulgación debe cubrir la información recopilada en el período de 12 meses anterior a la solicitud.
  • Derecho a optar por no participar — Los consumidores pueden, en cualquier momento, solicitar que su información personal no sea vendida por una empresa que de otro modo vende legalmente información personal a terceros.
  • Derecho de supresión (derecho al olvido) — Los consumidores pueden solicitar a una empresa que elimine toda la información personal recopilada sobre ellos en cualquier período de tiempo.
  • Derecho a no discriminación— Las empresas no pueden tomar represalias contra los consumidores que ejercen sus derechos bajo la CCPA. Ejemplos de represalias o discriminación incluyen la negación de servicio, diferencias en precios o tarifas, y diferencias en la calidad de bienes y servicios.
  • Derecho privado de acción — En caso de una violación de la CCPA, los consumidores tienen el derecho de presentar demandas en un intento de recuperar daños.
  • Restricciones en la recopilación de datos de menores — Las empresas tienen prohibido vender la información de consumidores menores de edad a menos que se les haya dado consentimiento específico. Los menores de 13 a 16 años deben dar su consentimiento antes de que las empresas puedan vender sus datos personales. Si el consumidor es menor de 13 años, la empresa debe obtener el consentimiento de un padre o tutor.

Lea la entrada de blog relacionada:

Sanciones y remedios de la CCPA

Los consumidores deben enviar un aviso de intención de buscar acciones legales con 30 días de anticipación en caso de un incidente alegado. Si una empresa no remedia la alegación, podría enfrentar multas de hasta $2,500 por cada violación. El tribunal también puede imponer medidas disciplinarias adicionales.

Los consumidores no son responsables de demostrar daños reales, solo que su información personal estuvo involucrada en una violación de datos como se definió anteriormente.

Enmiendas a la CCPA

La California Privacy Rights Act (CPRA), promulgada en 2020, es un conjunto de enmiendas a la CCPA. Este proyecto de ley, que será aplicable a partir del 1 de julio de 2023, trae consigo varios cambios, incluyendo:

  • Nuevos términos — Hay varios términos nuevos, incluyendo “compartir” y “información personal sensible”, que cambian el tratamiento futuro de los datos personales.
  • Nuevos derechos — Los consumidores tienen derechos adicionales de privacidad, incluyendo el derecho a optar por no compartir y el derecho a corregir información inexacta.
  • Nuevas responsabilidades — Las enmiendas a la ley de privacidad de California imponen varios requisitos nuevos a las empresas, incluida la necesidad de establecer medidas de seguridad razonables para proteger la información personal y nuevos requisitos en torno al intercambio de información.

Consejos para el cumplimiento de CCPA

Cumplir con la CCPA ayuda a su organización a reducir riesgos y evitar sanciones. Aquí hay algunos consejos para ayudarle a alinear sus prácticas de recolección y gestión de datos con los requisitos de cumplimiento de la CCPA.

Inventarie sus datos.

Para cumplir con el CCPA, necesitas rastrear las actividades de procesamiento de datos, lo que te obliga a localizar información personal en tus servidores de archivos, bases de datos y almacenamiento en la nube. Asegúrate de clasificar tus datos para saber cuáles están sujetos al CCPA, así como cómo se ajustan a otras categorías útiles para tu negocio. De esa manera, podrás elegir e implementar las estrategias de seguridad adecuadas para diferentes tipos de datos.

Establezca procesos para manejar las solicitudes de acceso de los sujetos de datos (DSARs).

Es crítico establecer procedimientos efectivos y eficientes para apoyar a los clientes que ejercen sus derechos bajo la CCPA. Las DSARs son sensibles al tiempo — las empresas deben divulgar qué información personal se recopila, cómo se procesa, para qué propósitos y con quién se comparte dentro de los 45 días posteriores a la recepción de una solicitud verificable. Clasificar sus datos y tener flujos de trabajo que puedan ser realizados por personal no técnico le ayudará a responder a cada solicitud del consumidor de manera oportuna.

Solicite una demostración individual:

Revise y registre cómo se utiliza la información protegida.

Los consumidores tienen derecho a saber cómo se utiliza su información, por lo que es de su interés tener respuestas preparadas para ellos. Necesita identificar dónde se utiliza la información personal, incluyendo procesos empresariales, software y dispositivos. Además, necesita información sobre qué tipos de datos se utilizan con fines de marketing y cuáles de ellos se venden o comparten con terceros. Además, es importante proteger los datos cuando están en mayor riesgo: estando en tránsito o en reposo. Específicamente, cuando no se utilizan, los datos deben estar cifrados y seudonimizados para su protección.

Revise sus prácticas de registro.

Para cumplir con la CCPA, debe ser capaz de disponer de los datos apropiados en respuesta a las solicitudes de “right to be forgotten” (“derecho al olvido”). El derecho de eliminación de la CCPA solo se aplica a los datos recopilados del consumidor (y no a los datos sobre el consumidor recopilados de fuentes de terceros). El mayor desafío aquí es eliminar los datos que se han compartido con diferentes equipos internos y sistemas o divulgado a terceros como proveedores o socios. Con cualquiera de estas partes, necesita rastrear hasta las fuentes que almacenan datos y solicitar la eliminación.

Facilite a los consumidores el ejercicio de sus derechos.

Debe ser fácil para los consumidores ejercer sus derechos bajo la CCPA. Debe proporcionar al menos dos métodos para enviar solicitudes, incluyendo un número de teléfono gratuito y un formulario en su sitio web. Además, los consumidores que quieran optar por no permitir la venta o compartición de su información personal excepto cuando sea necesario, deben tener una manera sencilla de hacerlo, como un enlace fácil de encontrar en su sitio web titulado “No Venda Mi Información Personal”.

Revise y actualice su política de privacidad.

La CCPA requiere que una política de privacidad esté accesible a través de su sitio web. Debe explicar sus prácticas en línea y fuera de línea para la recolección, uso, compartición y venta de la información personal de los consumidores. También debe incluir información sobre los derechos de privacidad de los consumidores y cómo pueden ejercerlos.

Obligue a realizar formación sobre privacidad a todos los empleados.

Los miembros de su organización necesitan comprender su papel en mantener a su organización en cumplimiento con los requisitos de CCPA. Esto significa proporcionar capacitación tanto para los nuevos empleados como para el personal experimentado.

Monitoree los cambios en las leyes.

La CPRA ya ha traído enmiendas a la CCPA, y es probable que los requisitos sigan cambiando en el futuro. Esté atento a estos cambios para seguir cumpliendo.

¿Cómo ayuda Netwrix con la CCPA?

La solución de cumplimiento de Netwrix ofrece un enfoque completo y multinivel que le permite cumplir con la CCPA, responder rápidamente y con precisión a las DSAR y estar preparado para cumplir con los requisitos actualizados.

La CCPA exige que garantices que toda la información personal que recopiles y almacenes se mantenga segura. Con Netwrix compliance solutions, puedes implementar un enfoque de seguridad centrado en los datos que cumpla con este objetivo. Puedes automatizar la auditoría de cambios, accesos y configuraciones y clasificación de los datos sensibles. Además, obtendrás información práctica para mejorar la seguridad de los datos y la infraestructura, como la identificación de datos sobreexpuestos y configuraciones incorrectas. Asimismo, podrás responder rápidamente a las solicitudes de acceso de los titulares de los datos al automatizar el proceso de recopilación de información, un paso crucial y que normalmente requiere muchos recursos.

FAQ

1. ¿Qué es la CCPA?

La CCPA es una ley estatal de California que establece protecciones para la información personal de los consumidores.

2. ¿Qué datos cubre la CCPA?

La CCPA cubre toda la información personal privada del consumidor que no está disponible a través de fuentes locales, estatales o federales.

3. ¿A qué empresas afecta la CCPA?

La CCPA se aplica a todas las empresas con fines de lucro que operan en California y que cumplen con ciertas condiciones, como un umbral de ingresos. Esto incluye a compañías que no están basadas en California pero que hacen negocios allí.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Craig Riddell

Field CISO NAM

Craig es un líder en seguridad de la información galardonado, especializado en gestión de identidades y accesos. En su rol de Field CISO NAM en Netwrix, aprovecha su amplia experiencia en la modernización de soluciones de identidad, incluyendo experiencia con Privileged Access Management, privilegio cero permanente y el modelo de seguridad Zero Trust. Antes de unirse a Netwrix, Craig ocupó roles de liderazgo en HP y Trend Micro. Posee las certificaciones CISSP y Certified Ethical Hacker.

Aprende más sobre este tema

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad