Terceros y la Ley de Privacidad del Consumidor de California (CCPA)

En el entorno de datos siempre cambiante de hoy, las empresas de todo el mundo confían en asociaciones con terceros para ayudar a impulsar sus esfuerzos comerciales. Nuestra economía impulsada por los datos permite a las organizaciones desarrollar la participación del cliente, aumentar la percepción del consumidor y aumentar los ingresos, pero con las nuevas restricciones que la CCPA está imponiendo a las organizaciones, ¿el uso de datos de terceros es cosa del pasado? Afortunadamente, para muchas organizaciones, cumplir con esta restricción en la CCPA será simplemente una cuestión de identificar a sus proveedores externos, definir esas relaciones dentro de los contratos e implementar procesos para cumplir con las nuevas reglas de exclusión voluntaria de la venta.

Para comenzar, las organizaciones deberán comprender cómo la CCPA define a los terceros. De acuerdo con la Sección 1798.140 (w), un "Tercero" significa una persona que no es cualquiera de los siguientes:

1. La empresa que recopila información personal de los consumidores bajo este título.
2. Una persona a quien la empresa divulga la información personal de un consumidor con un propósito comercial de conformidad con un contrato escrito, siempre que el contrato:
   1. Prohíbe a la persona que recibe la información personal de:
      1. Vender la información personal.
      2. Retener, usar o divulgar la información personal para cualquier propósito que no sea el propósito específico de realizar los servicios especificados en el contrato, incluida la retención, el uso o la divulgación de la información personal para un propósito comercial que no sea la prestación de los servicios especificados en el contrato. .
      3. Retener, usar o divulgar la información fuera de la relación comercial directa entre la persona y la empresa.
   2. Incluye una certificación hecha por la persona que recibe la información personal de que la persona comprende las restricciones en el subpárrafo (A) y las cumplirá.

Esto no debe confundirse con un "proveedor de servicios", que la CCPA define como una entidad legal que " procesa información en nombre de una empresa y a la que la empresa divulga la información personal de un consumidor para un propósito comercial de conformidad con un contrato escrito ". . Esto significa que la propia organización empresarial y sus proveedores de servicios que utilizan los datos según las instrucciones no se consideran terceros. Sin embargo, muchas otras organizaciones que intercambian datos con una empresa entrarían en la categoría de terceros.

Para que las organizaciones puedan determinar cómo manejar estas relaciones con los proveedores, deberán comenzar por crear una lista de todos los proveedores y terceros que reciben datos de la organización. Como se mencionó en nuestro blog anterior sobre CCPA frente a GDPR , tener un mapa de datos existente de los preparativos de GDPR debería ser útil en este proceso. El mapa de datos debe incluir todas las organizaciones con las que su empresa comparte datos, así como el propósito de compartir los datos. También requerirá que considere todas las áreas funcionales de su organización, desde ingeniería hasta recursos humanos y finanzas. Es probable que su empresa comparta datos fuera del desarrollo de productos para llevar a cabo los negocios diarios, que deben tenerse en cuenta.

Una vez que comprenda a dónde se envían sus datos fuera de la organización, querrá revisar los contratos con esas organizaciones para evaluar los derechos que el socio / proveedor tiene sobre los datos y determinar si se requerirán evaluaciones de impacto de privacidad adicionales. ¿Puede el tercero usar los datos solo con el fin de proporcionar a su organización los servicios designados o puede actuar como controlador y determinar qué se puede hacer con los datos? (También es importante tener en cuenta que, aunque la CCPA no tiene el lenguaje del controlador / procesador (a diferencia del GDPR), puede ayudar a identificar a los controladores y procesadores en los contratos para que sepa quién es el que toma las decisiones cuando se trata de los datos que se comparten entre las organizaciones). Si es lo último, es probable que su organización deba revelar esta relación con sus consumidores, así como ofrecerles la opción de "optar por no participar" en la venta de sus datos.

Aquí es donde las cosas podrían complicarse e interrumpir muchas relaciones comerciales basadas en datos. Debido a la definición amplia de datos de "venta" según la CCPA, las organizaciones realmente tendrán que revisar sus relaciones entre proveedores y socios para determinar a quién pueden estar "vendiendo" datos y si deben agregar la función "Optar por no participar" a su sitio web. Como recordatorio, de acuerdo con la Sección 1798.140 (t) "Vender", "vender", "vender" o "vender" significa:

1. vender, alquilar, divulgar, divulgar, difundir, poner a disposición, transferir o comunicar de otro modo oralmente, por escrito o por medios electrónicos u otros medios, la información personal de un consumidor por parte de la empresa a otra empresa o un tercero a cambio de una consideración monetaria o de otro valor .
2. A los efectos de este título, una empresa no vende información personal cuando:
   1. Un consumidor usa o dirige a la empresa para que divulgue intencionalmente información personal o usa la empresa para interactuar intencionalmente con un tercero, siempre que el tercero no venda también la información personal, a menos que esa divulgación sea consistente con las disposiciones de este título. Una interacción intencional ocurre cuando el consumidor tiene la intención de interactuar con el tercero, a través de una o más interacciones deliberadas. Pasar el cursor sobre, silenciar, pausar o cerrar un determinado contenido no constituye la intención del consumidor de interactuar con un tercero.
   2. La empresa usa o comparte un identificador para un consumidor que ha optado por no vender la información personal del consumidor con el fin de alertar a terceros que el consumidor ha optado por no vender la información personal del consumidor.
   3. La empresa utiliza o comparte con un proveedor de servicios la información personal de un consumidor que es necesaria para llevar a cabo un propósito comercial si se cumplen las dos condiciones siguientes: servicios que el proveedor de servicios realiza en nombre de la empresa, siempre que el proveedor de servicios también lo haga no vender la información personal.
      1. La empresa ha notificado que la información se utiliza o comparte en sus términos y condiciones de conformidad con la Sección 1798.135.
      2. El proveedor de servicios no recopila, vende ni usa la información personal del consumidor, excepto cuando sea necesario para realizar el propósito comercial.
   4. La empresa transfiere a un tercero la información personal de un consumidor como un activo que forma parte de una fusión, adquisición, quiebra u otra transacción en la que el tercero asume el control de la totalidad o parte del negocio siempre que la información se utilice o compartida consistentemente con las Secciones 1798.110 y 1798.115. Si un tercero altera materialmente la forma en que usa o comparte la información personal de un consumidor de una manera que sea materialmente inconsistente con las promesas hechas en el momento de la recopilación, deberá notificar previamente al consumidor sobre la práctica nueva o modificada. El aviso deberá ser lo suficientemente prominente y sólido para garantizar que los consumidores existentes puedan ejercer fácilmente sus opciones de acuerdo con la Sección 1798.120. Este subpárrafo no autoriza a una empresa a realizar cambios materiales, retroactivos en la política de privacidad o realizar otros cambios en su política de privacidad de una manera que viole la Ley de Prácticas Desleales y Engañosas (Capítulo 5 (comenzando con la Sección 17200) de la Parte 2 de la División 7 del Código de Negocios y Profesiones).

Esa es una forma muy larga de decir que una organización puede no necesariamente recibir un pago a cambio de información personal, pero aún así podría considerarse una "venta" de datos. Como ejemplo en el contexto del correo electrónico, un remitente puede hacer que la información recopilada sobre sus suscriptores (a través del seguimiento o la recopilación en línea) esté disponible para una organización de análisis de terceros para proporcionar información demográfica detallada. No se intercambia dinero, ya que el tercero agrega los datos proporcionados por el remitente del correo electrónico a su base de datos más grande. Debido a que el tercero ahora está obteniendo los datos para su propio uso o para el uso de otros clientes, estaría bajo el paraguas de terceros según lo define la CCPA, a pesar de que no se intercambia dinero. Esto significa que el remitente del correo electrónico debería proporcionar a sus suscriptores una manera fácil de optar por que sus datos no se transmitan a este tercero. Para agregar otra capa de complejidad, las organizaciones tendrán que comunicarse con todos sus terceros cuando un consumidor ejerza sus derechos, lo que generalmente requiere que las organizaciones implementen medidas técnicas para garantizar un proceso sin problemas.

Entonces, ¿dónde deja eso a su organización? Aunque puede parecer un proceso realmente tedioso, todo lo mencionado es imperativo para garantizar que su organización y las empresas con las que trabaja cumplan una vez que la CCPA entre en vigor. Las multas podrían ser de hasta $ 7500 por infracción intencional, lo que podría resultar en multas de millones para las organizaciones que no cumplan con las normas. Nadie quiere enfrentarse a una multa de varios millones de dólares por descuidar el control de sus relaciones con terceros.

CCPA continúa evolucionando, pero es importante que su organización comience a organizar su proceso de administración de proveedores para estar preparado cuando entre en vigencia. Aunque esta es la última publicación programada en nuestra serie CCPA , continuaremos publicando publicaciones ad hoc a medida que se finalice la ley, ¡así que estad atentos!