Articolo Una guida completa al California Consumer Privacy Act

Scopri in che modo il California Consumer Privacy Act influisce sulle aziende che gestiscono i dati dei residenti e cosa puoi fare per ridurre il rischio di violare le normative della legge.

*Questo pezzo è stato scritto nel 2018. Il CCPA è entrato in vigore il 1 gennaio 2020.

Sono passati alcuni mesi dal grande panico del GDPR del 2018. Abbiamo avuto tutti il ​​tempo di concludere la compliance, riprendere fiato e guardare al futuro (ma se non hai ancora affrontato la compliance al GDPR o non sai cos'è il GDPR , dai un'occhiata al mio articolo sul GDPR per i siti Web con sede negli Stati Uniti). Quindi quali sono le prospettive per le normative sulla privacy personale per le entità con sede negli Stati Uniti?

È il California Consumer Privacy Act (CCPA), che è stato convertito in legge il 23 settembre 2018. Questa volta dovremmo essere tutti in grado di evitare l'isteria che abbiamo visto con il GDPR. Auspicabilmente, stiamo tutti facendo le nostre ricerche e due diligence molto prima che la legge entri in vigore il 1 gennaio 2020.

Prima di continuare, tieni presente che questo articolo è rivolto ai proprietari di siti Web business-to-business (B2B) di dimensioni medio-grandi. Se la tua organizzazione è pubblica o privata è irrilevante, così come se la tua organizzazione ha sede in California.

Trovo che la maggior parte dei post del blog su questo e argomenti simili siano altamente sospetti, quindi la ricerca per questo articolo dipende esclusivamente dal testo della legge. Indipendentemente da dove ottieni le tue informazioni, verificale con un avvocato specializzato nell'argomento. Se la tua azienda tratta le informazioni personali come parte della sua attività principale, questo articolo non fa per te.

Ecco cosa tratterò:

• Cos'è il California Consumer Privacy Act?
• Chi è protetto dal CCPA?
• Che cosa, esattamente, è protetto?
• Quali organizzazioni devono conformarsi?
• Quali sono i diritti del consumatore?
• Quali sono i passaggi per garantire la conformità al CCPA?
• Quali sono le sanzioni per il mancato rispetto?

Immergiamoci!

Cos'è il California Consumer Privacy Act?

Nel 1972, gli elettori della California hanno modificato la Costituzione della California per includere il diritto alla privacy tra i diritti "inalienabili" di tutte le persone. L'emendamento ha stabilito un diritto legale e applicabile alla privacy per ogni californiano. Fondamentale per questo diritto alla privacy è la capacità delle persone di controllare l'uso, inclusa la vendita, delle proprie informazioni personali – AB 375, Sezione 2(a)

Per supportare questo emendamento, sono già state approvate alcune leggi della California: The Online Privacy Protection Act, Privacy Rights for California Minors in the Digital World Act e Shine the Light.

Il CCPA è una nuova legge che si basa su quelle per proteggere ulteriormente i diritti dei residenti. È iniziata come un'iniziativa di voto proposta, ma i suoi sostenitori hanno deciso di ritirarla a condizione che una nuova legge potesse essere approvata prima del 28 giugno 2018.

Quella era la scadenza per finalizzare ciò che sarebbe stato votato. Per far fronte a questo, un disegno di legge imperfetto (disegno di legge sull'assemblea 375) è stato resuscitato dopo che in precedenza non era riuscito a ottenere trazione. È stato superato in fretta. L'iniziativa elettorale e l'AB 375 sono entrambi indicati come il California Consumer Privacy Act anche se l'iniziativa elettorale e la legge risultante si sono rivelate molto diverse.

I membri dell'Assemblea della California temevano che se una legge non fosse stata approvata in tempo e l'iniziativa fosse arrivata al ballottaggio, gli elettori avrebbero approvato una legge che sarebbe stato difficile se non impossibile da rispettare per le aziende.

Più tardi, nel 2018, una versione modificata è passata attraverso il Senato dello Stato della California (Senate Bill 1121). Ma la legge non è ancora perfetta e sembrano probabili ulteriori emendamenti.

Prima di entrare nei dettagli della legge, dovremmo riconoscere che alcune parti potrebbero cambiare. Forse la legge stessa potrebbe non essere mai applicata.

Attualmente sono in atto iniziative per stabilire una legge federale sulla privacy dei dati che annullerebbe qualsiasi legge statale sulla privacy dei dati. I legislatori federali potrebbero ritenere che la legge della California ecceda o non vada abbastanza lontano, e quindi affrettino una legge federale... Una mossa che rispecchia l'azione intrapresa dall'Assemblea statale della California.

È ragionevole che i legislatori statali e federali diffidano delle iniziative guidate dagli elettori e di una serie di leggi statali individuali. Le aziende potrebbero essere gravate da direttive tecniche poco pratiche o dall'onere schiacciante di conformarsi alle leggi di 50 stati diversi.

Come sviluppatore web, sono spaventato da entrambi questi scenari. Ma come consumatore individuale, sono deluso dalla legge della California. Semplicemente non va abbastanza lontano per proteggere i dati personali identificabili.

Qualunque cosa accada, i prossimi due anni saranno piuttosto caotici, ma questa è la nostra posizione in questo momento...

Chi è protetto dal CCPA?

Il CCPA si applica a tutte le persone che vivono in California. Il testo della legge recita:

Consumatore indica una persona fisica residente in California, come definita nella Sezione 17014 del Titolo 18 del California Code of Regulations, come detta sezione letta il 1 settembre 2017, comunque identificata, anche da qualsiasi identificatore univoco. – AB 375, Sezione 3, 1798.140

Una "persona naturale" può essere semplicemente pensata come un singolo essere umano. Una "persona giuridica", al contrario, potrebbe essere solo una persona giuridica. La definizione di residente è:

Il termine "residente", come definito dalla legge, comprende (1) ogni individuo che si trova nello Stato per scopi diversi da quelli temporanei o transitori, e (2) ogni individuo che è domiciliato nello Stato che si trova fuori dello Stato per uno scopo temporaneo o transitorio. Tutti gli altri individui sono non residenti. – Codice dei regolamenti della California, titolo 18, sezione 17014

Un tecnico intelligente della tua organizzazione potrebbe suggerire di filtrare gli utenti per stato, offrendo a quelli in California un'esperienza diversa. Ma ci sono tre difetti in questo approccio.

In primo luogo, i residenti della California sono protetti indipendentemente dal fatto che si trovino nello stato in quel momento. In secondo luogo, gli strumenti che utilizziamo per determinare la posizione di un utente sono imperfetti. E terzo, mantenere un'esperienza del sito Web separata solo per gli utenti in California sarebbe un ulteriore, non necessario fardello.

Si noti che in tutto il testo della legge (incluso il titolo) la parola "Consumatori" è usata per indicare tutte le persone fisiche residenti in California. È una scelta strana perché gli individui non sono tenuti ad acquistare beni o servizi per essere protetti dalla legge.

Cosa è protetto?

Il CCPA protegge le informazioni personali dei residenti in California. Le informazioni personali sono informazioni che possono essere associate a un individuo oa un nucleo familiare, direttamente o indirettamente.

Tieni presente che è del tutto possibile raccogliere dati su un utente anonimo, ad esempio tramite Cookie o indirizzo IP, e quindi collegare tali dati a un individuo in un secondo momento. Ciò significa che i dati "possono essere associati" a una persona.

Pertanto, se il CCPA si applica alla tua attività, devi divulgare questa raccolta all'individuo al momento della raccolta dei dati, anche se la persona non è stata ancora identificata o non sarà mai identificata. Perché è possibile identificare la persona significa che devi rispettare. Le informazioni personali includono, ma non sono limitate a:

(A) Identificatori come nome reale, alias, indirizzo postale, identificatore personale univoco, indirizzo Internet Protocol dell'identificatore online, indirizzo e-mail, nome dell'account, numero di previdenza sociale, numero di patente, numero di passaporto o altri identificatori simili.

(B) Qualsiasi categoria di informazioni personali descritte nella sottosezione (e) della Sezione 1798.80.

(C) Caratteristiche delle classificazioni protette ai sensi della legge californiana o federale.

(D) Informazioni commerciali, inclusi record di proprietà personali, prodotti o servizi acquistati, ottenuti o considerati, o altre storie o tendenze di acquisto o consumo.

(E) Informazioni biometriche.

(F) Informazioni sull'attività su Internet o su altre reti elettroniche, inclusi, a titolo esemplificativo ma non esaustivo, cronologia di navigazione, cronologia delle ricerche e informazioni relative all'interazione di un consumatore con un sito Web, un'applicazione o una pubblicità Internet.

(G) Dati di geolocalizzazione.

(H) Informazioni audio, elettroniche, visive, termiche, olfattive o simili.

(I) Informazioni professionali o relative al lavoro.

(J) Informazioni sull'istruzione, definite come informazioni che non sono informazioni di identificazione personale pubblicamente disponibili come definito nel Family Educational Rights and Privacy Act (20 USC sezione 1232g, 34 CFR Parte 99).

(K) Inferenze tratte da una qualsiasi delle informazioni identificate in questa suddivisione per creare un profilo su un consumatore che rifletta le preferenze, le caratteristiche, le tendenze psicologiche, le preferenze, le predisposizioni, il comportamento, gli atteggiamenti, l'intelligenza, le abilità e le attitudini del consumatore.

– AB 375, Sezione 3, 1798.140

Quali organizzazioni devono conformarsi?

Se la tua organizzazione non opera nello Stato della California, sei al sicuro. E qualcuno che naviga nel tuo sito web dall'interno della California non indica l'intenzione di fare affari nello stato. Ma se la tua azienda fa affari in California, devi farti alcune domande:

1. La tua organizzazione ha un fatturato lordo annuo superiore a $ 25 milioni? (Si noti che la cifra si adegua con l'indice dei prezzi al consumo).
2. La tua organizzazione si occupa delle informazioni personali di 50.000 o più consumatori, famiglie o dispositivi ogni anno?
3. La tua organizzazione ottiene il 50 percento o più dei suoi ricavi annuali dalla vendita delle informazioni personali dei consumatori?

Se puoi rispondere affermativamente a una di queste tre domande, la tua organizzazione deve conformarsi. Se la tua organizzazione rientra in tutte queste soglie ma è di proprietà di un'entità più grande (con più del 50% di controllo) che supera una qualsiasi di esse, anche in questo caso la tua organizzazione deve conformarsi.

Quali sono i diritti del consumatore?

I diritti concessi ai residenti della California ai sensi di questa legge hanno molte somiglianze con quelli concessi ai cittadini dell'UE ai sensi del GDPR. Come il GDPR, le aziende devono far sapere agli utenti quando raccolgono dati e cosa faranno esattamente con essi prima che le informazioni vengano raccolte:

Un'azienda che raccoglie le informazioni personali di un consumatore deve, presso o prima del punto di raccolta, informare i consumatori in merito alle categorie di informazioni personali da raccogliere e alle finalità per le quali le categorie di informazioni personali devono essere utilizzate – AB 375, Sezione 3, 1798.100(b)

E hanno il diritto di richiedere tutti i dati che un'azienda ha raccolto:

Un consumatore ha il diritto di richiedere che un'azienda che raccoglie le informazioni personali di un consumatore riveli a quel consumatore le categorie e le informazioni personali specifiche che l'azienda ha raccolto – AB 375, Sezione 3, 1798.100 (a)

Sulla base di ciò, i consumatori hanno il diritto di conoscere le categorie di fonti da cui sono state raccolte le informazioni, lo scopo commerciale della raccolta dei dati e le categorie di terze parti con cui le informazioni vengono condivise.

Inoltre, gli utenti hanno il diritto di richiedere che i propri dati vengano cancellati dai propri archivi e dai registri di tutti i propri fornitori di servizi.

Un consumatore ha il diritto di richiedere che un'azienda cancelli tutte le informazioni personali sul consumatore che l'azienda ha raccolto dal consumatore – AB 375, Sezione 3, 1798.105 (a)

Se la tua attività principale consiste nel trattare i dati personali dei consumatori, ci sono ulteriori diritti di cui devi essere a conoscenza e a cui devi essere preparato a rispondere. Ma ancora una volta, questo articolo non fa per te.

Quali sono i passaggi per garantire la conformità al CCPA?

Innanzitutto, è necessario informare in anticipo gli utenti di tutta la raccolta dei dati. A differenza del GDPR, il CCPA non richiede un meccanismo di consenso positivo. Ad esempio, quando un utente compila un modulo, sarà sufficiente una semplice dichiarazione che riveli cosa farai con i dati. L'utente non ha bisogno di selezionare una casella che spieghi che lui o lei comprende e acconsente alla raccolta.

Devi fornire agli utenti almeno due metodi per richiedere i loro dati o per cancellare i loro dati. Uno di questi metodi deve essere un numero verde; l'altro può essere semplicemente un indirizzo di un sito web.

Tutte le richieste devono essere verificate e soddisfatte entro 45 giorni. Questo periodo di tempo può essere esteso di altri 45 giorni a condizione che tu lo comunichi al consumatore entro il primo periodo di 45 giorni. La tua comunicazione all'utente deve includere i 12 mesi precedenti di raccolta dei dati, quindi assicurati di essere in grado di archiviare e recuperare i dati necessari dal 1 luglio 2019.

Un'azienda che riceve una richiesta verificabile del consumatore da parte di un consumatore di accedere alle informazioni personali deve prontamente adottare misure per divulgare e fornire, gratuitamente al consumatore, le informazioni personali richieste dalla presente sezione – AB 375, Sezione 3, 1798.100(d)

Non sei obbligato a rispondere alle richieste di dati di un singolo utente più di una volta in un periodo di 12 mesi.

È necessario aggiornare la propria politica sulla privacy per divulgare una descrizione dei diritti dei consumatori ai sensi delle Sezioni 1798.110, 1798.115 e 1798.125 del CCPA. È inoltre necessario presentare le modalità disponibili per effettuare richieste in merito ai propri dati.

Come indicato sopra, uno di questi metodi deve essere un numero verde. È inoltre necessario divulgare tutte le categorie di informazioni raccolte nei 12 mesi precedenti e mantenere tali informazioni aggiornate almeno una volta ogni 12 mesi.

Allo stesso tempo, devi assicurarti che tutte le persone che gestiscono le richieste dei consumatori in merito alle pratiche sulla privacy dell'azienda o al rispetto di questo titolo siano informate di tutti i requisiti. Devono inoltre sapere come indirizzare i consumatori a esercitare i propri diritti ai sensi di tali sezioni.

Potresti vedere alcune persone consigliare che devi avere un link sulla tua home page intitolato "Non vendere le mie informazioni personali", ma questo requisito è specifico per le aziende che vendono le informazioni personali dei consumatori. Come accennato in precedenza in questo articolo, se vendi le informazioni personali dei consumatori, questo articolo non fa per te.

Infine, non è possibile discriminare gli utenti che hanno esercitato i diritti alla privacy concessi dal CCPA. La discriminazione include il rifiuto di beni o servizi, l'applicazione di prezzi più elevati o la fornitura di un diverso livello o qualità di beni e servizi.

È possibile offrire incentivi finanziari per la raccolta di informazioni personali. Ma attenzione che questi programmi di incentivazione non siano di natura coercitiva o usuraria.

Quali sono le sanzioni per il mancato rispetto?

Le sanzioni inflitte dal procuratore generale della California sono relativamente piccole rispetto a quelle che derivano dalle infrazioni al GDPR. Tieni presente che in caso di presunta violazione, ti verranno concessi 30 giorni per correggere il problema e, se non lo fai, ti verrà richiesto di pagare la sanzione.

Se vieni trovato in violazione e non risolvi il problema, dovrai affrontare una multa civile di $ 2.500 per una violazione non intenzionale e $ 7.500 per una violazione intenzionale. Queste sanzioni sono così lievi che alcune aziende sceglieranno sicuramente di ignorare la legge. Ma lo fanno a grande rischio.

Il maggior costo generato dall'essere trovati in violazione del CCPA è l'aumento del rischio di esposizione a azioni collettive. I danni legali sono limitati a $ 100 - $ 750 per consumatore per incidente o danni effettivi, a seconda di quale sia maggiore. Ma poiché è comune gestire i dati di migliaia di persone, i danni totali in un'azione collettiva possono essere sostanziali.

Raccomandazioni

Forse la cosa più preoccupante di queste nuove leggi è la consapevolezza che ce ne saranno altre in arrivo. O inizieremo a vedere più leggi statali progettate per proteggere la nostra privacy dei dati o una legge federale che verrà approvata e prevarrà o annullerà le leggi statali.

È impossibile sapere cosa potrebbero includere queste leggi future, ma possiamo fare alcune ipotesi plausibili. E ci sono un paio di pratiche aggiuntive che aiuteranno a garantire la conformità in tutti gli stati e nell'UE:

• Definire un processo per eliminare i dati dei clienti dopo un determinato periodo di tempo
• Richiedere un meccanismo di consenso positivo in tutti i punti di raccolta dei dati
• Raccogli meno dati!

Quest'ultimo suggerimento è facile da realizzare e ti assolve da molte responsabilità. Ci sono molte cose sui siti Web più moderni che registrano, tracciano e sfruttano l'attività degli utenti.

La stragrande maggioranza di queste cose in realtà non raccoglie dati per il proprietario del sito web; raccolgono dati per reti pubblicitarie mirate. Servizi "gratuiti" come analisi, hosting di font, reti di distribuzione di contenuti, widget di condivisione e simili sono tutt'altro che gratuiti.

Li stai pagando con la privacy dei tuoi utenti. Non utilizzarli sul tuo sito Web quando possibile o configurarli in modo da non divulgare più i dati personali dei tuoi utenti.

Risorse

• Disegno di legge n. 375 dell'Assemblea statale della California
• Disegno di legge n. 1121 del Senato della California
• Articoli di Data Privacy Monitor su CCPA Normalmente mi astengo dal linkare ai blog ma i post di DPM e Alan L. Friel, in particolare, sono costantemente eccellenti

I regolamenti CCPA possono essere schiaccianti. Speriamo di aver contribuito a consolidare tutto ciò che devi sapere. Poiché stai pensando di fare un controllo del tuo sito, siamo felici di chattare. Per ulteriori informazioni sulle considerazioni web e digitali per il tuo marchio, ecco alcuni suggerimenti e risorse per aiutarti:

• Scopri cosa serve per rendere accessibile il tuo sito.
• Scopri le chiavi per la sicurezza del sito web e come proteggere il tuo sito.
• Dai un'occhiata a come creare un sito web aziendale coinvolgente (e convertente).