Sunteți pregătit pentru actul de confidențialitate al consumatorilor din California?

Unele dintre cele mai cunoscute companii tehnologice au sediul în California, stat care, pe 28 iunie 2018, a adoptat Legea privind confidențialitatea consumatorilor din 2018 (CCPA). CCPA nu va intra în vigoare până la 1 ianuarie 2020, dar este de așteptat să afecteze întreprinderile din California, Statele Unite și, de fapt, întreaga lume. CCPA va avea un impact asupra modului în care întreprinderile pot gestiona datele clienților și este considerat de mulți drept cea mai strictă lege de protecție a datelor din istoria SUA.

Dacă simți un sentiment deja vu, atunci nu ești singur. În mai, a intrat în vigoare Regulamentul general privind protecția datelor (GDPR) al Uniunii Europene (UE). GDPR a fost un subiect fierbinte aici la PCMag. Deși legea a fost făcută de-a lungul Atlanticului, adevărul este, este o marcă pentru întreprinderile din întreaga lume, deoarece se aplică tuturor cetățenilor UE, indiferent de locul în care locuiesc. La fel ca GDPR, impactul noii CCPA va avea implicații de anvergură dincolo de domeniul de aplicare al stării sale de origine. Am discutat cu câțiva experți pentru a afla mai multe despre CCPA și despre implicațiile preconizate ale acesteia.

CCPA și dvs.: o introducere

CCPA stabilește dreptul consumatorului de a solicita ca întreprinderile să dezvăluie ce fel de date sunt colectate despre acestea. Cu excepția cazului în care utilizați un instrument precum o rețea privată virtuală (VPN), este aproape sigură că nenumărate companii adună informații despre dvs. de fiecare dată când sunteți online. A spune acest tip de transparență pe care CCPA îl va aduce este o afacere mare ar fi o subestimare.

John Tsopanis este un manager de confidențialitate la 1touch.io, o companie care ajută întreprinderile să înțeleagă datele personale pe care le gestionează. Tsopanis și-a petrecut ultimii ani consultând GDPR pentru companii și se pregătește să facă același lucru cu CCPA. Tsopanis explică CCPA în termeni de bază.

"La 1 ianuarie 2020, un rezident din California va avea dreptul legal de a cere oricărei companii mari din America: 'Vă prelucrați informațiile mele?'", A spus Tsopanis. "În termen de 45 de zile, compania respectivă va fi obligată să răspundă cu un raport care detaliază ultimele 12 luni. Va trebui să arate ce categorii specifice de informații personale au asupra acelui individ, cu cine le distribuie și care sunt motivele Pentru prelucrarea ei. Aceștia trebuie să ofere informațiile respective rezidenților din California - toate cele 40 de milioane dintre acestea - în termen."

Diferențele dintre GDPR și CCPA

Există unele diferențe substanțiale între ceea ce face GDPR și ceea ce acoperă CCPA. Pentru început, CCPA va utiliza o bază de renunțare la consimțământ, în timp ce GDPR utilizează o bază de renunțare. Aceasta înseamnă în esență că utilizatorii vor trebui să contacteze în mod activ companiile pentru a afla ce fel de informații se utilizează. În plus, GDPR se aplică oricărei organizații care deține date cu caracter personal cu privire la cetățenii UE.

CCPA, pe de altă parte, se aplică numai companiilor cu scop lucrativ care prelucrează date cu privire la rezidenții din California. Organizația trebuie să efectueze cel puțin 24 de milioane de dolari în venituri anuale, să dețină datele a 50.000 de oameni sau să facă cel puțin jumătate din veniturile lor în vânzarea de date cu caracter personal. Așadar, dacă dețineți un mic magazin boutique și amploarea operațiunilor dvs. online este o pagină web care listează orele și adresa magazinului dvs., atunci nu va trebui să vă faceți prea multe griji cu privire la CCPA. Dar dacă rulați un site web de comerț electronic printr-un furnizor la cheie sau vă mențineți propriul site de e-tail printr-un serviciu general de găzduire web, atunci veți dori să acordați atenție.

Courtney Bowman este asociat în departamentul de litigii la firma de avocatură internațională Proskauer Rose LLP. Bowman explică de ce CCPA va cere companiilor să se gândească cu atenție la utilizarea datelor lor dincolo de 2020. "Această cerință de 12 luni înseamnă că companiile vor trebui să se uite la politica lor de confidențialitate cel puțin o dată pe an și să încerce să afle dacă s-a schimbat ceva., " ea a spus.

„Vor trebui să monitorizeze în permanență ce date vând sau dezvăluie către terți, astfel încât să își poată ajusta politicile de confidențialitate în consecință”, a continuat Bowman. "Legea oferă, de asemenea, consumatorilor dreptul de a accesa sau de a șterge informațiile lor personale în anumite situații, iar întreprinderile vor trebui să se asigure că pot efectua efectiv acest drept în mod rapid. Aceasta va cere companiilor să se angajeze în cartografierea datelor pentru a afla unde se află datele lor este localizat și, de asemenea, să facă legătura cu departamentele IT pentru a-și da seama ce trebuie să facă pentru a se asigura că își pot îndeplini responsabilitățile în cadrul actului."

Impactul larg al CCPA

În lunile premergătoare GDPR, o temă continuă de acoperire a fost aceea că, în lumea noastră globalizată, GDPR ar afecta afacerile dincolo de Europa. La urma urmei, majoritatea companiilor mari fac afaceri în străinătate și vor trebui să își schimbe operațiunile online la nivel global pentru a se conforma legii. Cu toate acestea, atunci când am vorbit cu Tsopanis, el a spus că companiile americane trebuie să ia în considerare în mod special CCPA.

"Când vine vorba de companii americane, GDPR s-a concentrat în principal pe organizațiile majore care își desfășurau activitatea pe canale. Cu acestea, criteriile pentru companiile care se califică sunt mult mai mari printr-un ordin masiv de mărime", a spus Tsopanis. "Există 40 de milioane de oameni în California; 50.000 nu sunt chiar 0, 1 la sută din populație. Cred că scara de expunere a companiilor americane este semnificativ mai mare decât a fost anterior în GDPR."

Tsopanis oferă exemplul gigantului fast food Wendy. "Wendy's este cea mai mare companie 999 din Fortune 1000 și are un venit anual de 1, 2 miliarde de dolari - de 48 de ori mai mare decât pragul de aplicabilitate în conformitate cu această lege. Cel puțin, există 1.000 de miliarde de companii din America care trebuie să se conformeze această lege și ordine semnificative cu o magnitudine mai mare decât cea din categoria de 25 de milioane de dolari."

Este posibil să nu considerăm Wendy o companie tehnologică, dar își adună o parte corectă a informațiilor utilizatorilor. Acestea sunt, de asemenea, un exemplu perfect despre modul în care companiile de toate tipurile vor fi afectate de CCPA. Când vizitați site-ul lor web, comandați produse alimentare prin sistemele lor de vânzare (POS) sau chiar utilizați Wi-Fi-ul la restaurantul local Wendy, compania colectează informațiile dvs. și cel puțin în California, asta ”. toate vor fi supuse reglementărilor CCPA. Dacă o companie la fel de mică ca Wendy colectează atât de multe date despre utilizatori, atunci este înfricoșător de înfricoșător să te gândești la ce colectează companii mai mari. Mai simplu spus, CCPA va avea implicații enorme.

Descoperiri importante de date

Unul dintre cele mai importante efecte ale CCPA este că americanii vor putea în cele din urmă să descopere cantitățile mari de cumpărare de date și de vânzare de date pe care companiile le-au făcut. "Acest proiect de lege va permite populației americane să descopere în cele din urmă rețeaua web în masă a organizațiilor de cumpărare și vânzare a datelor au fost anterior anonime complet. Acest lucru va duce la o schimbare culturală dramatică în modul în care este percepută confidențialitatea datelor și, în final, la la un moment dat, conduce la o lege federală armonizată a confidențialității ", a spus Tsopanis.

Cand Cambridge Analytica scandalul a izbucnit, a atras atenția a milioane de oameni, indiferent dacă sunt sau nu tehnologi. I-a făcut pe oameni foarte preocupați de cine colectează informațiile lor și ce se face cu acestea, iar CCPA este, în parte, un răspuns la acest lucru. Tsopanis susține că dezvăluirile rezultate vor fi masive.

"Pentru fiecare jurnalist din țară, acesta este un zeu. California este o economie de 2, 7 miliarde de dolari - a cincea cea mai mare din lume - și este construită pe Big Data. Fiecare cerere de acces a fiecărei companii Fortune 1000 va dezvălui o întreagă rețea a companiilor de cumpărare și vânzare a datelor care urmează să fie examinate intens ", a explicat Tsopanis. „Nu știm exact ce vom găsi atunci când oamenii încep să obțină rapoartele de date, dar sunt sigur că vor fi câteva revelații interesante.”

Doar 18 luni de pregătit

Dacă am aflat ceva de la GDPR, companiile trebuie să planifice cât mai devreme pentru a fi gata pentru termen. În acest sens, companiile americane nu au deloc mult timp. GDPR a fost adoptat în aprilie 2016, iar companiile au avut puțin peste doi ani întregi pentru a se adapta și a se conforma regulamentului. Deoarece CCPA intră în vigoare chiar la începutul anului 2020, aceasta înseamnă că companiile mai mari au acum doar 18 luni pentru a se pregăti.

Este posibil ca acest termen să scoată în evidență chiar și cel mai experimentat profesionist în domeniul tehnologiei. "Cantitatea de muncă care trebuie depusă în 18 luni este mai mare decât era necesară pentru GDPR, cu mai puțin timp pentru a face acest lucru și cu companii americane care provin de la un nivel mai scăzut de maturitate a vieții private decât Europa", avertizează Tsopanis.

Pentru a se conforma, veteranul de securitate recomandă companiilor să aibă grijă corespunzătoare în dezvoltarea proceselor lor. „În următoarele șase luni, ceea ce organizațiile trebuie să facă este să dezvolte un fel de metodă de urmărire a informațiilor personale în întreaga organizație”, a spus Tsopanis. "Au nevoie de o modalitate de a accesa cu ușurință informațiile personale care au fost trimise către terță parte și la ce oră, și atunci trebuie să poată urmări acest lucru în cele 12 luni până la punerea în aplicare și să fie gata să furnizeze aceste informații la cerere atunci când intră în vigoare regulamentul.

"În esență, va fi nevoie de aproape toate companiile importante din SUA să desfășoare activități majore de identificare a datelor și să poată automatiza și să răspundă solicitărilor de acces ale persoanelor vizate de către rezidenții din California la data punerii în aplicare", a continuat Tsopanis. "De asemenea, este important de menționat că, atunci când legea trece în 2020, trebuie să poată furniza un raport asupra informațiilor utilizatorilor în cele 12 luni precedente. Acest lucru înseamnă că întreprinderile trebuie să urmărească aceste date la 1 ianuarie 2019."

Din perspectivă legală, Bowman spune că ar putea exista unele modificări înainte de termen. "Ne așteptăm să vedem câteva revizuiri ale legii înainte ca aceasta să intre în vigoare", a spus ea. "Deoarece a fost redactat destul de repede, chiar și după intrarea în vigoare, pot exista anumite zone cenușii care rămân remarcabile în ceea ce privește înțelegerea noastră. La urma urmei, GDPR a luat ani de zile pentru a redacta, și există încă mai multe părți ale GDPR care sunt ambigue ”.