Comparación de cumplimiento de CCPA vs. RGPD

El RGPD es una ley de la Unión Europea (UE) que entró en vigor en abril de 2016. El Reglamento está diseñado para mejorar la protección de datos personales y aumentar la responsabilidad de la organización por violaciones de datos para proteger a los residentes de la Unión Europea. El RGPD incluye multas de hasta el 4 % de los ingresos globales o 20 millones de EUR (lo que sea mayor), y sin importar dónde se encuentre su organización, si procesa o controla los datos personales de los residentes de la UE, su organización está sujeta a la regulación.

Requisitos de seguridad de datos notables del RGPD
Algunas de las disposiciones clave del RGPD exigen que las organizaciones:

• Garanticen la seguridad de los datos personales, "incluyendo la protección contra procesamiento no autorizado o ilegal" (artículo 5)
• Implementar medidas organizacionales y técnicas para garantizar un nivel de seguridad de datos adecuado al riesgo, que incluya la “seudonimización y el cifrado de datos personales”. (Artículo 32)
• Comuniquen "sin retraso indebido" robos de datos personales a las personas afectadas "cuando la brecha pueda representar un riesgo elevado para los derechos y libertades" de estas personas. (Artículo 34)
• Protegerse contra “la comunicación o el acceso no autorizados a datos personales”. (Artículo 32)

Más sobre el RGPD:

• ¿Qué es el RGPD? – Página web de Entrust con la lista completa de capítulos y artículos del RGPD
• GDPR.UE: Sitio oficial de la Unión Europea con guía completa para el cumplimiento
• Resumen de RGPD: Página web de Entrust con una descripción general del RGPD

El Artículo 6 (Legalidad del procesamiento) identifica el “cifrado o seudonimización” como “garantías apropiadas” para proteger los datos personales de los sujetos.

El Artículo 32 (Seguridad del procesamiento) establece que “el procesador implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que incluye, entre otras cosas, según corresponda:

(a) la seudonimización y el cifrado de datos personales …”

Artículo 34 (Comunicación de una violación de datos personales al interesado) permite a las organizaciones que sufren una violación de datos evitar el requisito de comunicación si utilizaron el cifrado para “hacer que los datos personales sean ininteligibles para cualquier persona no autorizada para acceder a ellos”.

La Ley de Privacidad del Consumidor de California (CCPA) entró en vigor a principios de 2020. Fue diseñada para dar a los residentes de California más control sobre qué datos personales se recopilan sobre ellos y cómo se utilizan esos datos.

Aquellos negocios a los que se descubra violando la CCPA pueden incurrir en una multa de $ 7,500 por cada violación intencional. Las infracciones no intencionales son menos onerosas, pero aun así costosas, a $ 2,500 cada una. Sin embargo, los litigios civiles pueden tener un impacto muy negativo en las organizaciones que no cumplen. Por cada consumidor afectado por el incumplimiento de la CCPA, las organizaciones enfrentan hasta $ 750 en daños civiles por consumidor.

Más sobre la CCPA:

• CCPA Código Civil: Código oficial en el sitio de información sobre la legislación del estado de California
• Resumen de CCPA: Página web de Entrust con una descripción general de CCPA

La sección 1798.150 de CCPA establece lo siguiente: “Cualquier consumidor cuya información personal no cifrada y no redactada, como se define en el subpárrafo (A) del párrafo (1) de la subdivisión (d) del artículo 1798.81.5, esté sujeto a un acceso no autorizado y exfiltración, robo o divulgación como resultado de la violación por parte de la empresa del deber de implementar y mantener procedimientos y prácticas de seguridad razonables apropiados a la naturaleza de la información para proteger la información personal puede iniciar una acción civil…”

Además, la protección de las claves de cifrado se aborda en la legislación relacionada con la CCPA. El proyecto de ley de la Asamblea 1130, que no forma parte de la CCPA, pero que se introdujo para actualizar el estatuto de notificación de violaciones de California. Este proyecto de ley exige que se notifique a las personas cuyos datos fueron violados, a menos que esos datos estén cifrados y que esas claves no se hayan obtenido con los datos.

¿En qué se parecen el RGPD y la CCPA?
Tanto RGPD como CCPA están destinados a proteger la privacidad y los derechos de datos de quienes viven en sus respectivas geografías. Ambos amplían su alcance a las organizaciones que hacen negocios con sus residentes, independientemente de si esas organizaciones residen en sus áreas.

Tanto la CCPA como el RGPD otorgan a las personas ciertos derechos con respecto a sus datos personales y requieren transparencia de las organizaciones que tienen y procesan esos datos.

Tanto la CCPA como el RGPD:

• Requerir que las empresas divulguen qué información personal han recopilado las empresas sobre esas personas.
• Exigir a las organizaciones que divulguen lo que hacen con los datos personales.
• Exigir a las organizaciones que tienen datos personales que los eliminen a pedido de la persona a la que pertenecen.
• Exigir a las organizaciones que implementen medidas de ciberseguridad para proteger los datos personales de las personas.
• Imponer multas por incumplimiento.

¿En qué se diferencian el RGPD y la CCPA?

• El RGPD requiere que las empresas tengan una base legal antes de procesar datos sobre residentes. La CCPA no lo hace.
• El RGPD se aplica a todas las empresas que cumplen con el requisito de base legal mencionado anteriormente. La CCPA se aplica solo a empresas con ingresos brutos anuales de más de $25 millones.
• Según la CCPA, una persona puede evitar que las empresas vendan sus datos privados y las organizaciones no pueden discriminar a estas personas.
• El RGPD impone condiciones adicionales para las empresas que procesan información relacionada con la salud, porque RGPD es más específico al incluir términos como “datos genéticos” y “datos biométricos”. La CCPA utiliza un término general.
• En general, las multas del RGPD parecen ser más altas que las multas de la CCPA. Sin embargo, la CCPA abre la puerta a litigios civiles, que podrían resultar igual de costosos para una organización infractora.