(2) Al evaluar el monto de los daños legales, el tribunal considerará una o más de las circunstancias relevantes presentadas por cualquiera de las partes en el caso, incluidas, entre otras, la naturaleza y gravedad de la mala conducta, el número de violaciones, la persistencia de la mala conducta, el período de tiempo durante el cual ocurrió la mala conducta, la intencionalidad de la mala conducta del acusado y los activos, pasivos y patrimonio neto del acusado.
En otras palabras, lo que la agencia considere apropiado en función del caso único. Esto es deliberadamente amplio.
Cumplir con la CPRA significa continuar y expandir los esfuerzos que está haciendo para cumplir con la CCPA. Esto incluye tener formas claras para que los usuarios opten por no participar en la recopilación de datos, facilitando que los usuarios transfieran o cambien sus datos y sea proactivo en su enfoque de la privacidad del usuario.
Al igual que en el mundo del cumplimiento de PCI en el procesamiento de pagos, cumplir con CPRA no es un trato de una sola vez. Los reguladores buscan un esfuerzo constante, un enfoque interno en la protección de los derechos de los usuarios. Esto es algo que debe ser un proceso dentro de su negocio, y cuanto más meticuloso sea con ese proceso, menos probable será que le impongan una multa o, en el caso de una multa, menos severo puede ser. Es importante demostrar un esfuerzo auténtico.
Puede estructurar ese esfuerzo en tres categorías amplias, similar a cómo las empresas en la UE se están acercando al GDPR. Esas categorías son:
1. Minimización de datos
La minimización de datos significa recopilar la cantidad mínima de datos necesaria para satisfacer las necesidades de su empresa. Es un esfuerzo activo contra el "exceso de datos", que innecesariamente hace que las filtraciones de datos sean más dañinas. “Solo recolecta lo que necesitas” es el mantra aquí.
2. Limitación de la finalidad
Una vez que recopila la información personal de alguien, solo puede usarla en la medida en que el usuario esté de acuerdo. Si ha estado utilizando un conjunto de datos en particular recopilado con consentimiento durante un período de tiempo y desea usarlo en una capacidad diferente (como compartir o vender), debe poder demostrar que los usuarios también dieron su consentimiento para ese uso secundario.
3. Respuesta a solicitudes y participación activa con inquietudes sobre la privacidad
En esencia, la CPRA está tratando de proteger la privacidad del usuario haciendo que la gestión de datos sea más fácil y transparente para los consumidores. Las empresas deben crear sistemas y procesos para simplificar la opción dentro y fuera de la recopilación y el uso de datos.
Frases como "No use mi información personal" deben estar claramente representadas en las páginas de inicio, debe haber recursos de servicio al cliente asignados a la administración de datos y recursos que les indiquen a los consumidores exactamente cómo y por qué usa qué datos deben existir.
Si trabaja en estas tres categorías, estará bien encaminado.
Para obtener un resumen más detallado sobre cómo comenzar a prepararse para el período retroactivo del 1 de enero de 2022 de la CPRA, haga clic aquí.
Si opera en California en cualquier capacidad y cae en una de las tres categorías mencionadas anteriormente o planea crecer en una de esas categorías eventualmente, debe ser proactivo con respecto a la CPRA.
La CPRA y su ley hermana, la CCPA, representan un cambio fundamental en el enfoque de California hacia los datos del consumidor y obligarán a las empresas a analizar detenidamente cómo recopilan, protegen y utilizan los datos del consumidor.
El mejor plan es tener un plan, y los propietarios de negocios deben demostrar un enfoque activo, temprano y bien preparado para la privacidad del consumidor según lo definido por la CPRA y la CCPA.