monday.com y la CCPA
En monday.com, nos esforzamos mucho para garantizar que los productos y las prácticas cumplan con las leyes globales de privacidad y protección de datos que rigen para nosotros y nuestros clientes.
Esta página se redactó para darle información sobre la CCPA y las formas en las que monday.com cumple con los requisitos actuales, y para mantenerlo actualizado sobre las novedades legislativas y normativas del estado de California.
¿Qué es la CCPA?
La Ley de Privacidad de los Consumidores de California de 2018 (CCPA, por sus siglas en inglés), que entró en vigencia el 1 de enero de 2020, consiste en una serie de proyectos de ley que otorgaron derechos de privacidad nuevos a los consumidores que residan en el estado de California y que impusieron obligaciones nuevas a las empresas que procesen su información personal.
Aunque los proyectos se firmaron en octubre de 2019 y la CCPA entró en vigencia en enero de 2020, la aplicación de la CCPA aún no comenzó porque el fiscal general de California está en proceso de finalizar las Reglamentaciones Sugeridas para la implementación de la CCPA.
En función de que la expectativa de que las Reglamentaciones tendrían un impacto significativo en cómo se interpretaría, implementaría y aplicaría la CCPA por las partes interesadas pertinentes, el fiscal general de California brindó un «período de gracia» hasta el momento de aprobación de las reglamentaciones, actualmente establecido para el 1 de julio de 2020.
Durante este período provisional de incertidumbre, monday.com se dedicó a cumplir con los requisitos de la CCPA y las Reglamentaciones Sugeridas, a la luz de reglamentaciones similares en todo el mundo (como el RGPD) y las normas cambiantes de la industria, para garantizar que nuestros clientes puedan seguir usando monday.com sin interrupciones y procesar la información personal de los consumidores de California igual que en otros lugares del mundo.
Funciones, responsabilidades y exenciones
La CCPA distingue tres funciones para las empresas involucradas en el procesamiento de la información personal:
● Empresa (similar a «controlador» según el RGPD).
● Proveedor de Servicios (similar a «procesador» según el RGPD).
● Tercero (similar a Empresa, pero sin interacción directa con el consumidor).
Las obligaciones impuestas sobre las «Empresas» establecen los límites para la «venta» de información personal y definen las acciones específicas que las Empresas están obligadas a hacer, como, entre otras:
● Crear un botón de «No vender mi información personal» en la página de inicio.
● Informar a los consumidores sobre las categorías y la información específica sobre ellos que se recopila/vende.
● Brindar al menos 2 métodos de comunicación para solicitar el ejercicio de los derechos del consumidor.
Dado que la CCPA actualmente solo se aplica a los «consumidores» (y no a los «Sujetos de Datos», según lo definido por el RGPD), algunas relaciones estuvieron exentas de la aplicación de la CCPA (a la espera de otros debates) hasta el 1 de enero de 2021:
● Información de empleados (incluye la información de empleados pasados, actuales y posibles).
● Interacciones entre empresas (B2B) (información obtenida en el transcurso de una actividad entre empresas). Para obtener más información, consulte:
● El sitio web informativo «Californians for Consumer Privacy» del movimiento que impulsó la creación de la CCPA.
● La página web de Xavier Becerra, el fiscal general de California.
¿Cómo cumple monday.com con la CCPA?
● Se identificó el papel de monday.com como «Proveedor de Servicios» según la CCPA, en tanto procesamos información personal únicamente en nombre de nuestros clientes (en dichos casos, las “Empresas”).
● Se identificó el papel de monday.com como «Empresa», en tanto procesa información personal de consumidores de California para sus propios fines. Por la naturaleza de los servicios de monday.com, sus actividades suelen estar exentas de la aplicación de la CCPA en la medida que monday.com: (a) no vende la información personal de los consumidores de California (ni de ningún otro sujeto de datos); (b) obtiene dicha información en el contexto y el transcurso de relaciones y servicios entre empresas.
● monday.com ya cumple con los requisitos del RGPD en relación con el derecho de acceso a los datos personales y simplemente amplió la esfera de dicha capacidad para incluir a los consumidores de California. Por lo tanto, cumple con el requisito de «retroactividad» para garantizar que los consumidores puedan acceder a su información personal abarcando el período previo de 12 meses.
● monday.com ya brinda medidas organizativas y técnicas para ejercer de manera suficiente los otros derechos propuestos de los consumidores que son similares al RGPD (como el derecho a la divulgación, la eliminación y la exclusión).
● Actualizamos la Política de Privacidad para garantizar que aborde de manera suficiente los derechos del consumidor y las prácticas requeridas según la CCPA.
● Implementamos modificaciones adicionales en el DPA y los procedimientos internos de monday.com para reflejar los requisitos específicos de la CCPA (como en relación con las funciones de las entidades, el tiempo máximo de respuesta y el proceso de verificación de los sujetos de datos, y las obligaciones de un Proveedor de Servicios hacia las Empresas en virtud de la CCPA).
¿Qué podemos esperar?
monday.com sigue de cerca todas las novedades en el proceso normativo y legislativo relacionadas con la CCPA y las Reglamentaciones Sugeridas del fiscal general, además de participar en evaluaciones comparativas frecuentes a la luz de estándares y prácticas nuevas de la industria.
Si tiene preguntas adicionales sobre el programa de privacidad de monday.com y las medidas en curso en relación con la CCPA, no dude en escribir al Responsable de la Protección de Datos y al Equipo de Privacidad a dpo@monday.com