Mantente actualizado de lo que pasa en el mundo de la Auditoría y el Control Interno

REGÍSTRATE GRATIS EN NUESTRO BOLETÍN

ISSN IMPRESO: 2665-1696 - ISSN ONLINE: 2665-3508

0
Comparte:

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

Por: C.P. Iván Rodríguez. Colaborador de Auditool

El 25 de mayo de 2018 se implementó el Reglamento General de Protección de Datos (RGPD), que proporciona a los ciudadanos de la Unión Europea una protección y privacidad en relación con el uso organizativo de su información personal. Posteriormente, el gobernador de California Jerry Brown firmó la Ley de Privacidad del Consumidor de California de 2018, que marca la principal ley de privacidad de datos de los Estados Unidos.  (California Consumer Privacy Act - CCPA por sus siglas en inglés) El 1 de enero de 2020, la ley entró en vigor. Esto implicó que las organizaciones estadounidenses y sus equipos de auditoría interna trabajen para entender y prepararse al respecto. Algunas anotaciones sobre esta norma:

Propósito y alcance

CCPA protege los derechos de los residentes de California con respecto a su información personal. Estas protecciones incluyen el derecho a ser informado de toda la información personal recopilada por las organizaciones, así como y donde se recopiló, cómo la empresa tiene la intención de utilizar la información y a quién se divulga  o vende (si corresponde).

Aunque se centró en los residentes de California, el impacto de la ley puede ser de gran alcance. Las empresas que hacen negocios en California y cumplen con uno de los siguientes criterios se verán afectadas:

  • Tiene ingresos brutos anuales superiores a 25 millones de dólares;
  • Compra o vende la información personal de 50.000 o más consumidores o hogares;
  • Obtiene más de la mitad de sus ingresos anuales por la venta de información personal de los consumidores.

En el marco del CCPA, la información que se puede utilizar para identificar hogares y dispositivos (es decir, navegación por Internet, geolocalización, etc.) se considera información personal, además de información que se puede utilizar para identificar a las personas. CCPA se centra casi exclusivamente en la recopilación y venta de información personal y tiene poco que ver con el procesamiento de esa información.

Impactos

La aplicación de la ley se produce en un enfoque escalonado. A partir del 1 de julio de 2020, bajo la jurisdicción del fiscal general de California, las violaciones de derechos individuales podrían resultar en una pena máxima de U$7,500, que se espera que se den para los infractores intencionales. Las empresas que se convierten en víctimas de robo de datos u otras violaciones de seguridad de datos pueden ser ordenadas en demandas de clase civil para pagar daños legales entre $100 a $750 por residente de California y incidente, o daños reales, si es mayor.

Gestión del riesgo de cumplimiento

Los auditores internos deben centrar su atención en varias áreas clave cuando examinan el cumplimiento del CCPA:

  • Liderazgo y responsabilidad: Es fundamental que la organización tenga una persona responsable del cumplimiento del CCPA, con la experiencia, la autoridad y los recursos necesarios. Es conveniente reunir un equipo multifuncional (legal, de recursos humanos, de TI, de comunicaciones, etc.) para liderar el esfuerzo de cumplimiento.
  • Divulgaciones/Consentimiento: Las divulgaciones relacionadas con la recopilación de la información personal y su eventual venta son fundamentales para el cumplimiento de CCPA, al igual que la obtención del consentimiento en el caso en que las empresas vendan sus datos

La auditoría interna debe ayudar a la organización a garantizar que se creen y/o actualicen todas las divulgaciones y el consentimiento necesarios para el cumplimiento del CCPA. Además, se deben supervisar continuamente los mecanismos creados para el efecto.

  • Políticas: Las políticas afectadas por CCPA, como la política de privacidad y la política de retención de datos de la organización, deben actualizarse para incorporar lo pertinente del CCPA. La auditoría interna debe revisar periódicamente las políticas pertinentes para asegurarse de que son actuales, conformes y accesibles.

Además, debido a los derechos proporcionados a las personas para preguntar sobre su información personal, la auditoría interna debe evaluar la preparación de la organización para manejar dichas consultas a través de procesos manuales y/o automatizados. El personal capacitado, un plan de comunicaciones aprobado, los canales de comunicación de trabajo y los procedimientos para la documentación son elementos clave que los auditores deben estar buscando.

Gobernanza de datos y seguridad de la información: Proteger la información personal de los consumidores contra el acceso no autorizado es un aspecto central del CCPA. Sin embargo, en el caso de que se produzca una violación de datos que implique información personal, será fundamental que las organizaciones puedan demostrar una gestión de datos responsable. Una vez más, la auditoría interna debe realizar procedimientos rutinarios para verificar que la documentación de la información personal recopilada es exhaustiva y precisa. La auditoría interna también debe verificar que un plan de respuesta de violación de datos está en su lugar, está actualizado y cumple con los requisitos de CCPA. Además, se deben realizar pruebas para verificar que la información personal vendida se vendió con consentimiento y, por el contrario, que la información para la que se retuvo el consentimiento no se vendió. De otra parte, las solicitudes válidas de eliminación de datos deben revisarse para determinar si se llevaron a cabo adecuadamente.

En el futuro, la auditoría interna será un valioso aliado a medida que las organizaciones trabajen para mantener el cumplimiento del CCPA o de normas similares en otras jurisdicciones. Los procedimientos de auditoría interna que verifican los procesos y controles de la organización en torno a la información personal (es decir, divulgación, consentimiento, documentación, respuesta de consulta, seguridad de la información, etc.) pueden proporcionar una advertencia temprana crucial si se detectan problemas. Al mismo tiempo, la auditoría interna debería ayudar a su organización a mirar hacia adelante hacia el riesgo futuro. Esto representa una gran oportunidad para que la auditoría interna proporcione valor estratégico además de la verificación crítica y el aseguramiento de la calidad.

 

C.P. Iván Rodríguez -  

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá D.C, Colombia


Regístrese para que pueda comentar este documento

Auditool.org

Como miembro de Auditool accedes a Cursos Virtuales de Auditoría y Control Interno CPE, y a una completa Caja de Herramientas de Auditoría, permitiendo mejorar las habilidades de los Auditores, ahorrando tiempo y recursos, y creando y protegiendo valor en las organizaciones.

📰 SUSCRÍBETE EN NUESTRO BOLETÍN

Mantente actualizado de lo que pasa en el mundo de la Auditoría y el Control Interno.

 

lateralG3.2