Che cosa significa CCPA e cosa significa per le aziende?

Con la crescente consapevolezza delle aspettative dei consumatori in merito alla loro privacy, il CCPA è tra le prime di molte leggi sulla protezione dei dati che hanno colpito il paese.

Il CCPA è stato approvato nel 2018 ed è rivolto alle aziende che raccolgono e vendono informazioni personali sui consumatori.

Destinato a dare ai californiani un maggiore controllo su come i loro dati vengono archiviati e utilizzati, introduce protezioni dei dati rivoluzionarie dando ai residenti una voce più ampia sul destino delle loro informazioni personali.

Ma il CCPA si applica solo alle aziende con sede in California?

A chi si applica il CCPA?

Come il GDPR interesserà le aziende americane con clienti europei, il CCPA può interessare le aziende non californiane con consumatori nello stato.

CCPA si occupa di tutte le attività che operano online e raccolgono dati da californiani o fanno affari in California, anche se tale società non si trova fisicamente in California. Affinché il CCPA si applichi, un'azienda deve soddisfare uno qualsiasi di questi tre criteri:

• Genera almeno $ 25 milioni di entrate annuali.
• Ottieni dati da oltre 50.000 clienti.
• Guadagna almeno la metà delle sue entrate annuali vendendo i dati dei consumatori.

Se un'azienda rientra in uno di questi tre criteri, deve soddisfare i requisiti CCPA se i suoi consumatori risiedono in California. In caso contrario, un'azienda può pagare multe CCPA.

Blog correlato: chi ha bisogno delle certificazioni CMMC?

L'ambito di applicazione della legge sulla privacy CCPA

Il CCPA garantisce ai consumatori della California diritti fondamentali quando si tratta di utilizzare e vendere i loro dati su Internet. Entriamo più nel dettaglio su cosa significa ciascuno.

• Il diritto di accesso alle informazioni: i consumatori in California hanno il diritto di sapere quali categorie di informazioni personali sono state raccolte o vendute, da dove, a chi e perché.
• Il diritto alla cancellazione dei dati: i consumatori in California possono richiedere a un'azienda di eliminare i dati personali che ha raccolto su di loro.
• Il diritto di rinunciare alla raccolta o alla vendita dei dati: i consumatori in California possono ordinare a un'azienda di non raccogliere o vendere le proprie informazioni a terzi. Il CCPA include una definizione di "vendita" che va oltre uno scambio monetario.
• Diritto alla portabilità: consente alle persone di ottenere i propri dati personali in un formato strutturato, comune e leggibile da dispositivo automatico e di trasferire questi dati personali liberamente a un altro titolare del trattamento.

Il CCPA offre ai californiani una capacità limitata di citare in giudizio qualsiasi attività soggetta al CCPA quando le loro informazioni personali vengono compromesse, in genere a causa di una violazione.

Tuttavia, conferisce al procuratore generale dello stato una capacità molto più generale di citare in giudizio per conto dei residenti.

Il CCPA definisce le informazioni personali come qualsiasi informazione che "identifica, si riferisce a, descrive, è in grado di essere associata o potrebbe essere ragionevolmente collegata, direttamente o indirettamente, a un particolare consumatore o famiglia".

In altre parole, qualsiasi statistica, azione o conoscenza che può essere collegata a un individuo identificabile. Questa definizione ampia comprende quasi tutte le azioni all'interno dello spazio digitale.

In che modo le leggi sulla privacy influiscono sulle piccole imprese?

I criteri aggiuntivi di cui sopra sono specificamente progettati per proteggere le piccole e medie imprese.

Per le aziende che non soddisfano uno dei tre requisiti di cui sopra, la conformità al CCPA non si applica e i loro requisiti sulla privacy per i californiani rimangono invariati.

Allo stesso modo, il CCPA non influirà sulle PMI se tutti gli aspetti della loro attività si svolgono al di fuori della California, inclusa la vendita di dati personali. Tuttavia, se quell'azienda soddisfa uno dei tre criteri di cui sopra e ha anche un solo cliente in California, si applicherà il CCPA.

Tuttavia, esiste una notevole confusione in merito al fatto che il CCPA si applicherà a un'attività specifica.

Un sondaggio su 625 imprenditori e dirigenti aziendali ha rilevato che almeno il 34% degli intervistati non sapeva se il CCPA li avesse colpiti, mentre un altro 22% ha affermato di "non interessarsi".

Se sei confuso, non sei solo. Assicurati di consultare esperti nel campo per assicurarti di essere conforme, se necessario. Il mancato rispetto del CCPA può comportare pesanti sanzioni.

Le violazioni del CCPA sono soggette a sanzioni di $ 2.500 per ogni violazione e $ 7500 per violazioni intenzionali.

In che modo le PMI possono essere conformi al CCPA?

Le PMI che si stanno avvicinando o sono già conformi al GDPR troveranno la conformità al CCPA leggermente più semplice, anche se quest'ultima ha un ambito più ampio.

Per le aziende che raccolgono e vendono informazioni personali, la conformità al CCPA include:

• Aggiornamento delle informative e delle politiche sulla privacy. Il CCPA richiede al consumatore la notifica esplicita dell'intenzione dell'azienda di raccogliere e vendere informazioni "presso o prima del punto di raccolta". Questo avviso deve includere quali informazioni vengono raccolte e perché.
• Aggiornamento dell'inventario dei dati con nuove classificazioni. I dati archiviati nel back-end devono includere registrazioni della vendita delle informazioni, del trasferimento a terzi, del momento della raccolta e della vendita, oltre all'indicazione se le informazioni sono coperte dall'HIPAA o da un'altra legge sulla privacy dei dati.
• Creazione di procedure per conformarsi ai diritti dei consumatori della California. Le aziende hanno bisogno di un modo per consentire ai consumatori di richiedere l'accesso, la cancellazione o la rinuncia alla vendita delle proprie informazioni personali.
• Revisione della sicurezza del sito e dell'azienda. Il CCPA richiede una protezione dei dati personali "ragionevole". Per le PMI, un provider di servizi gestiti può alleggerire questo onere.
• Personale di formazione. Formare il personale su cos'è il CCPA, quali sono i suoi requisiti di conformità, come gestire le nuove procedure e come gestire potenziali incidenti.
• A partire da adesso. I consumatori californiani possono richiedere i dati raccolti fino a 12 mesi prima. Le aziende devono essere in grado di fornire registrazioni dei dati raccolti e venduti fin dal 1° gennaio 2019.

Blog correlato: sviluppo di una strategia di sicurezza informatica per proteggere la tua azienda

Qual è la differenza tra CCPA, CalOPPA e GDPR?

I diritti concessi ai sensi del CCPA si applicano ai "consumatori" della California, ovvero residenti e dipendenti.

Questi consumatori hanno il diritto di accedere e cancellare tutti i dati raccolti, oltre a rinunciare alla futura raccolta da parte di qualsiasi azienda con cui intrattengono rapporti commerciali online.

Al contrario, CalOPPA è il California Online Privacy Protection Act del 2003.

È stata la prima legge statale negli Stati Uniti a richiedere ai siti Web commerciali che raccolgono informazioni personali di pubblicare un'informativa sulla privacy visibile specificamente ai residenti della California.

Questa politica sulla privacy richiede agli operatori del sito Web di seguire la loro politica sulla privacy dichiarata.

Il GDPR è il Regolamento generale sulla protezione dei dati stabilito dall'Unione Europea nel maggio 2018

Offre ai cittadini dell'Unione europea un controllo significativamente maggiore sui propri dati privati ​​su Internet.

In particolare, il GDPR aggiorna il modo in cui i siti web acquisiscono il consenso dei consumatori per raccogliere i dati, delinea linee guida chiare per comunicare come vengono utilizzati i dati personali e istituisce requisiti per la prova del consenso dell'utente.

CCPA, CalOPPA e GDPR sono molto diversi nella loro applicazione e portata.

Tuttavia, hanno tutti una caratteristica fondamentale in comune: colpiscono più dei soli residenti rispettivamente della California e dell'Unione Europea.

Qualsiasi azienda operante online che abbia o interagisca con i residenti di una di queste due regioni si trova soggetta a queste leggi.

Proprio come il CCPA non si limita alle aziende che partono dalla California, il GDPR non si limita alle aziende con sede nell'Unione Europea. Qualsiasi azienda globale che gestisce i dati dei residenti nell'UE deve essere conforme al GDPR.

California Consumer Privacy Act: CPRA vs CCPA

CPRA sta per California Consumer Privacy Act. È anche noto come Proposition 24. Gli elettori della California hanno approvato questa misura di scrutinio nel 2020. Aggiunge modifiche ai requisiti del CCPA, dandogli il soprannome di "CCPA 2.0".

CPRA aggiunge:

• Diritto di rettifica , il che significa che i consumatori possono richiedere a un'azienda di modificare le informazioni errate su di loro
• Diritto di restrizione , che conferisce ai consumatori il diritto di limitare l'uso e la divulgazione delle proprie informazioni personali sensibili
• Diritto contro il processo decisionale automatizzato , che dà ai consumatori il diritto di rinunciare alla tecnologia che "profila" le loro prestazioni lavorative, lo stato economico, la salute, gli interessi, ecc.

La CPRA prevede inoltre l'obbligo per le organizzazioni di condurre una valutazione dei rischi e un divieto di discriminazione. Sebbene la misura sia stata approvata nel 2020, la maggior parte delle revisioni del CCPA non diventerà "operativa" fino al 2023.

Tuttavia, la disposizione che istituisce la California Privacy Protection Agency è in vigore. In sostanza, questo crea un consiglio di cinque membri con esperienza in materia di privacy e diritti dei consumatori, che attuerà e applicherà il CCPA.

Infografica correlata: MSP vs. MSSP: le differenze principali

Da asporto chiave

Il CCPA è la legge sulla privacy dei dati più ampia e completa negli Stati Uniti. Conferisce determinati diritti ai consumatori della California in merito alla raccolta, all'uso e alla vendita dei loro dati online.

Sebbene la legge preveda alcune esenzioni progettate per le PMI, può comunque potenzialmente influire su queste società.

Il CCPA richiede modifiche significative al modo in cui gli avvisi vengono forniti ai consumatori, nonché al modo in cui le aziende archiviano, classificano e proteggono le informazioni personali.

Sebbene CCPA e CPRA, CalOPPA e GDPR siano tutti diversi nelle definizioni e nella protezione dei dati degli utenti, hanno una cosa importante in comune: influenzano il modo in cui le persone in tutto il mondo fanno affari con le persone che vivono in queste regioni.

È meglio prepararsi in modo proattivo alla conformità per evitare contenziosi. Consulta oggi stesso un esperto per sapere cosa deve fare la tua azienda per rimanere conforme alle leggi federali e statali.

Il rispetto della conformità e della sicurezza informatica può essere un argomento complesso. Guarda questo video con un esperto in materia, Jeff Leder sulla gestione della sicurezza informatica , per scoprire come un servizio di sicurezza informatica gestito può gestire la conformità mentre ti concentri sulla tua attività.