Cumplimiento de la CCPA y la CPRA: lo que deben hacer las empresas de cannabis ahora | Cannabiz Media

Aplicación de la Ley de privacidad del consumidor de California (CCPA) comenzó el 1 de julio de 2020. La CCPA brinda a los consumidores que residen en California un control significativamente mayor sobre cómo las empresas usan su información personal. Como resultado, todas las empresas necesitaban revisar sus datos, sistemas y procesos para asegurarse de que cumplían plenamente con las nuevas leyes.

No fue hasta el viernes 14 de agosto de 2020 que el Fiscal General del estado anunció las regulaciones para implementar las CCPA fueron aprobadas y entraron en vigencia de inmediato. Sin embargo, cumplir con la CCPA se volvió más confuso para las empresas, porque en algunos casos, la regulaciones de aplicación fue más allá de lo que exige el estatuto de la CCPA.

Sin embargo, la historia aún no había terminado. De hecho, los problemas de cumplimiento recién estaban comenzando.

En octubre de 2020, el gobernador de California, Gavin Newsom, firmó dos enmiendas a la CCPA en ley. La AB 1281 extendió las exenciones parciales para los datos de los empleados y los datos de empresa a empresa (B2B), que anteriormente expiraba el 1 de enero de 2021. La AB 713 enmendó las exenciones de la CCPA relacionadas con la información médica y la privacidad de la salud.

Pero eso no fue todo. Avance rápido hasta noviembre de 2020, y las cosas se volvieron aún más confusas.

El 3 de noviembre de 2020, los votantes de California aprobaron la propuesta 24 de la boleta electoral, la Ley de Derechos de Privacidad de California de 2020 (CPRA), o lo que algunas personas denominan CCPA 2.0. CPRA no entrará en vigor hasta el 1 de enero de 2023, pero trae consigo incluso mas cambios que las empresas deberán cumplir, incluyendo

• Nueva definición de negocio cubierto
• Lenguaje adicional sobre compartir datos
• Derechos adicionales del consumidor
• Nuevas reglas para una categoría de "información personal confidencial"
• Nueva definición de "consentimiento"
• Cambios en la definición de "proveedor de servicios"
• Derecho de acción privado ampliado por violaciones de datos
• Nuevos requisitos de divulgación
• Eliminación del período de curación de 30 días.
• Exenciones ampliadas para datos de empleados y B2B
• Establecimiento de la Agencia de Protección de la Privacidad de California
• Y más...

Todas las empresas, incluidas las de cannabis, deben comprender los requisitos actuales de la CCPA y lo que viene en la CPRA. Ahora es el momento de comenzar a revisar y renovar sus políticas y procedimientos.

Para algunas empresas, el cumplimiento de estas leyes es una tarea muy importante, pero los riesgos de incumplimiento, en términos de demandas y sanciones monetarias, son demasiado grandes para ignorarlos. A continuación se presentan 10 acciones iniciales que las empresas de cannabis pueden tomar para cumplir con la CCPA.

1. Definir un presupuesto de cumplimiento de CCPA

El presupuesto de cumplimiento de CCPA de su negocio de cannabis depende de una serie de factores. Es importante destacar que debe considerar contratar nuevos empleados para gestionar el cumplimiento hoy y de manera continua. Además, deberá capacitar a los empleados para que sigan los nuevos flujos de trabajo en un esfuerzo por cumplir con los requisitos de la CCPA.

Si bien la mayor parte de su presupuesto se utilizará a corto plazo para que su empresa cumpla con las nuevas regulaciones, también deberá invertir en el monitoreo continuo del cumplimiento. Es probable que la CCPA evolucione, y otros estados ya están aumentando sus esfuerzos para aprobar leyes de privacidad más estrictas.

2. Contratar empleados clave

Si su empresa aún no tiene un experto en cumplimiento de personal, ahora es el momento de contratar uno. Además, necesitará personal de seguridad experimentado para implementar los cambios necesarios en el sitio web de su empresa, los sistemas, etc.

La clave es tener a una persona responsable de los principales esfuerzos de cumplimiento en su empresa, y eso incluye el cumplimiento de CCPA. Por lo general, esta persona estaría en el nivel ejecutivo y puede tener un gerente y otros profesionales en el personal (o disponibles como consultores) para ayudarlos. Dependiendo del tamaño de su negocio, el cumplimiento podría requerir un equipo completo de personas.

3. Desarrollar procesos de mapeo y retención de datos

El gobierno de datos es una parte importante del cumplimiento de CCPA de su negocio de cannabis. Debe tener procesos establecidos para identificar cómo se recopila la información personal, cómo se clasifica, cómo se almacena, dónde se almacena, cómo se protege y cómo su empresa evita el intercambio, la venta o la distribución ilegal de esos datos.

La CCPA incluye una disposición que dice que las empresas deben poder proporcionar a los consumidores que soliciten su información personal todos los datos recopilados dentro del plazo permitido por la ley. Si su empresa no cuenta con un proceso para identificar y asignar información personal a sus fuentes, responder a estas solicitudes podría llevar mucho tiempo, si no es que imposible. De hecho, si sus procesos son inadecuados, su negocio de cannabis podría terminar enfrentando demandas y sanciones.

4. Desarrollar un sistema de respuesta de solicitud del consumidor

La CCPA otorga a las empresas un período de tiempo para responder a las solicitudes de los consumidores de la información personal recopilada sobre ellos. Si su empresa no cuenta con un sistema de respuesta y no puede producir la información solicitada como lo permite la ley, es posible que no pueda responder adecuadamente dentro de ese plazo. Una vez más, su empresa podría enfrentar costosas demandas y sanciones como resultado.

Es esencial que su empresa desarrolle un sistema de respuesta de solicitud del consumidor, y la mayor parte de ese sistema debe ser lo más automatizado posible. Imagínese si recibe 10 o 100 solicitudes en un mes. Si los sistemas no están automatizados, es posible que su empresa no pueda responder a todas esas solicitudes a tiempo y podría tener muchos problemas, legal y financieramente.

5. Crear un sistema de exclusión voluntaria

Según la CCPA, los consumidores de California tienen el derecho de optar por no recibir rastreadores y tecnologías publicitarias de terceros. Como tal, debe comprender completamente toda la tecnología utilizada en su sitio web, aplicaciones móviles, etc.

También debe crear un sistema de exclusión voluntaria para que los consumidores puedan optar por no recibir seguimiento en cualquier momento. Al igual que su sistema de respuesta de solicitud del consumidor (ver # 4 arriba), su sistema de exclusión voluntaria debe ser automatizado en la medida de lo posible. Si bien esto incluirá un costo mayor hoy para el desarrollo y la implementación, ahorrará aún más tiempo y dinero más adelante si automatiza el sistema ahora.

6. Actualizar las políticas de privacidad

Las políticas de privacidad de su negocio de cannabis deben actualizarse para cumplir con la CCPA. Tenga en cuenta que la actualización de las políticas de privacidad se refiere a la actualización de las políticas y avisos de privacidad internos y externos.

En otras palabras, este requisito legal no solo se aplica a la política de privacidad publicada en su sitio web. También se refiere a políticas, divulgaciones y avisos relacionados con la privacidad que se utilizan en toda su empresa.

7. Desarrollar flujos de trabajo legales y de respuesta del regulador

¿Cómo responderá su empresa si un regulador solicita información sobre sus procesos de cumplimiento de CCPA? ¿Qué sucede si un consumidor presenta una acción civil contra su negocio de cannabis relacionada con su información personal en virtud de la CCPA? Ambos pueden ocurrir en algún momento, por lo que necesita flujos de trabajo para agilizar el proceso de respuesta, incluida la automatización de los sistemas en la medida de lo posible.

El líder de cumplimiento de su negocio de cannabis (ver # 2 arriba) debe supervisar el proceso de respuesta, pero todos los empleados que tienen un papel en la recopilación y el suministro de los datos solicitados deben comprender lo que se espera de ellos. Estos flujos de trabajo deben incluir responsabilidades y plazos específicos.

8. Definir políticas y capacitar empleados

Todos los empleados de negocios de cannabis deben recibir capacitación sobre CCPA y comprender su importancia. Deben comprender plenamente sus responsabilidades y recibir capacitación sobre los flujos de trabajo que se espera que realicen en respuesta a solicitudes de información de consumidores, reguladores y acciones judiciales.

El entrenamiento de cumplimiento de privacidad y CCPA no es una cosa única. A medida que las leyes evolucionen y más estados promulguen nuevas regulaciones de privacidad, se requerirá capacitación actualizada de manera continua para garantizar que su negocio de cannabis siga cumpliendo en todo momento.

9. Revise los datos de terceros y proveedores de servicios para el cumplimiento

Si su empresa depende de proveedores de servicios o terceros para proporcionar, almacenar, administrar o de otra manera recopilar, compartir, vender o distribuir datos con o en nombre de su empresa, entonces debe revisar su cumplimiento de CCPA. Además, los contratos deben actualizarse para abordar los cambios necesarios basados ​​en las regulaciones de CCPA.

Es imperativo que su negocio de cannabis audite a los proveedores de servicios y a terceros de forma continua para garantizar que continúen cumpliendo con la CCPA y todas las demás leyes de privacidad federales y estatales. Este es un paso crítico que reducirá el riesgo de su empresa a largo plazo.

10. Monitorear las leyes de privacidad de California y otros estados

No solo el CCPA continuará evolucionando, sino que otros los estados están modificando las leyes de privacidad para poner a los consumidores en control de cómo las empresas utilizan su información personal. Nuevamente, necesita el líder y el equipo de cumplimiento adecuados para monitorear continuamente estas leyes, para que su negocio de cannabis pueda tomar las medidas necesarias.

Conclusiones clave sobre el cumplimiento de CCPA

Las empresas de cannabis deben tomar medidas ahora para asegurarse de que cumplen plenamente con la CCPA y la CPRA a fin de reducir los riesgos asociados con el incumplimiento en el futuro. Estos 10 pasos deberían ayudarlo a comenzar. La clave es comenzar a trabajar en la estrategia e implementación de cumplimiento de su empresa ahora si aún no lo ha hecho porque la aplicación de la CCPA ya comenzó.

La aplicación de la CPRA no comienza hasta el 1 de enero de 2023, pero es importante comprender que la CPRA afecta la información personal recopilada a partir del 1 de enero de 2022. En otras palabras, no tiene dos años para aumentar. Realmente solo tiene un año para implementar los sistemas adecuados para cumplir con la CPRA.

Para empresas que confían en Base de datos de licencias de medios de Cannabiz para generar leads y crecer, pueden estar seguros de que ya cumple totalmente con el CCPA. Puede seguir el enlace para obtener más información sobre cómo garantizar que su marketing por correo electrónico y CRM cumplan con CCPA.

Programar una demostración de la base de datos de licencias de medios de Cannabiz para ver cómo puede ayudar a su negocio a crecer.

Publicado originalmente el 3/24/20. Actualizado 12/4/20.