Una guida al CCPA: il California Consumer Privacy Act
Pubblicato: 2021-03-12Il California Consumer Privacy Act è stato approvato nel 2018. Si tratta di uno statuto statale che prevede tutele per i residenti della California, progettato per offrire ai consumatori californiani il controllo sui propri dati online e informazioni personali.
Il CCPA offre ai consumatori la protezione dei dati, tra cui:
Il diritto di conoscere le informazioni personali raccolte dalle aziende.
Il diritto di cancellare le informazioni personali che sono state raccolte.
Il diritto di rinunciare alla vendita delle proprie informazioni personali.
Il diritto alla non discriminazione per l'esercizio dei propri diritti CCPA.
Chi deve preoccuparsi della conformità al CCPA
Il CCPA è solo la legge della California, ma si applica a qualsiasi organizzazione che conduca affari in California o raccolga dati su utenti californiani. Le protezioni si applicano solo ai residenti in California, ma si applicano anche quando sono temporaneamente fuori dallo stato.
Il CCPA si applica a:
- Imprese a scopo di lucro che conducono affari in California con un fatturato annuo di oltre 25 milioni di dollari.
- Aziende che acquistano, ricevono o vendono le informazioni personali di 50.000 o più residenti, famiglie o dispositivi della California
- Aziende che traggono il 50% o più del loro reddito annuo dalla vendita delle informazioni personali dei residenti in California.
La California è lo stato più popoloso degli Stati Uniti e sede della Silicon Valley, quindi al posto delle normative federali che regolano la protezione dei dati per i consumatori americani, il CCPA ha stabilito lo standard e l'obbligo per il modo in cui le aziende negli Stati Uniti raccolgono, conservano, vendono e trattano dati personali.
Ai sensi del CCPA, le aziende possono essere citate in giudizio se "informazioni personali non crittografate e non oscurate sono state rubate in una violazione dei dati a causa dell'incapacità dell'azienda di mantenere procedure e pratiche di sicurezza ragionevoli per proteggerle".
I vantaggi del CCPA
CCPA non stabilisce automaticamente un ambiente digitale sicuro; è una tabella di marcia verso un Internet più sicuro. Stabilisce un precedente per il tipo di dati che noi consumatori dovremmo aspettarci di essere protetti. Mostra anche quale tipo di requisiti le aziende dovrebbero aspettarsi di rispettare se vogliono proteggere i dati degli utenti e apre la strada a normative future.
CCPA ha portato una maggiore consapevolezza su come i siti web raccolgono, gestiscono e vendono i dati. Ha fatto in modo che le aziende siano in una posizione in cui dovrebbero rivelare come gestiscono i dati dei consumatori. Sebbene non vi sia alcun obbligo per tutti i siti Web di rafforzare rigorosamente la sicurezza dei dati e il CCPA dipenda, per la maggior parte, dall'esito dei tribunali, si basa su azioni collettive per concludere i casi. La responsabilità del mancato rispetto potrebbe essere sufficiente per apportare miglioramenti alla sicurezza generale dei dati.
Svantaggi del CCPA
Sebbene il CCPA sia il primo passo importante compiuto negli Stati Uniti per migliorare la protezione dei dati per i consumatori, non è privo di difetti. Ci sono problemi con il CCPA sia nell'ambito che nel modo in cui è scritto.
Nessun obbligo di mantenere la sicurezza dei dati
Non è necessario implementare e mantenere una solida pratica di sicurezza dei dati. Il CCPA autorizza effettivamente i consumatori al risarcimento dei danni legali solo se sono stati oggetto di una violazione dei dati. Non vi è alcun obbligo di mantenere pratiche di sicurezza diverse dal fatto che la mancata fornitura di pratiche di sicurezza sufficienti, a seguito di una violazione, ti renderebbe responsabile per i danni legali ai consumatori se dimostrato in tribunale.
Contenzioso
I casi sono portati attraverso il sistema giudiziario in base al quale i consumatori possono citare in giudizio le imprese. Questa potrebbe essere una barriera all'ingresso per molti consumatori, in particolare i consumatori stanchi di trattare con il sistema giudiziario.
Una clausola di “cura” che favorisce le imprese
In base alla disposizione di "cura" di 30 giorni del CCPA, i consumatori devono fornire una comunicazione scritta della questione specifica prima di avviare qualsiasi azione legale contro un'impresa: "Se l'impresa sana la violazione rilevata e fornisce al consumatore una dichiarazione scritta che lo indichi, i danni legali sono non disponibile."
Come il CCPA definisce i consumatori
Sebbene il GDPR si applichi a qualsiasi interessato nell'UE al momento della raccolta o del trattamento indipendentemente dalla nazionalità, il CCPA definisce il consumatore come residente in California, anche se temporaneamente fuori dallo stato. Solo la protezione dei consumatori californiani lascia senza protezione una vasta fetta del paese.
Come il CCPA definisce i titolari del trattamento
Il CCPA si applica alle aziende che commerciano i dati di oltre 50.000 californiani all'anno o hanno un fatturato di oltre $ 25 milioni, o alle aziende che traggono oltre il 50% del proprio reddito annuo dalla vendita di informazioni personali; Il GDPR si applica a tutti i siti Web, società e organizzazioni nel mondo (titolari del trattamento dei dati) se offrono beni o servizi a persone all'interno dell'UE.
Autorità di vigilanza: poteri investigativi limitati
Le violazioni e la non conformità del CCPA sono valutate dal procuratore generale della California. Solo l'AG californiana ha l'autorità per indagare sulle violazioni del CCPA e i consumatori possono avviare un contenzioso solo nel caso in cui siano coinvolti in una violazione - e questo avvia semplicemente un procedimento giudiziario.
Come ottenere la conformità al CCPA
Per le aziende, dovresti assicurarti che il tuo sito Web includa informazioni sul tipo di dati che stai raccogliendo sui tuoi utenti, consentire agli utenti di rinunciare alla vendita di queste informazioni e dovresti essere in grado di eliminare le informazioni personali quando viene effettuata una richiesta del consumatore .
Controlla i dati che stai raccogliendo
Comprendi come la legge ti influenza. Scopri che tipo di dati sui consumatori stai raccogliendo. Non sono solo le PII, ma anche i dati di tracciamento web che sono implicati nella legge.
La tua più grande responsabilità potrebbe non provenire nemmeno dall'interno della tua organizzazione, ma con i fornitori di terze parti che utilizzi come servizi Web o fornitori di plug-in.
Mappa i dati dei consumatori
A partire dal 1 gennaio 2020, i consumatori della California possono chiedere informazioni su come raccogli i loro dati e cosa ne fai; dovresti essere in grado di rispondere a queste domande. Semplifica la ricerca dei dati da parte del tuo team rendendoli indicizzabili e ricercabili. Inizia a mappare i dati che hai scoperto durante il tuo audit chiedendo:
- Quali dati raccogli?
- Dove lo conservi?
- Chi è responsabile dei dati?
- Come raccogli i dati?
- Con chi condividi i dati?
- Vendi i dati?
Implementare le informative sulla privacy
È ora di aggiornare la tua informativa sulla privacy, inclusa la tua politica sulla privacy, i termini e le condizioni e la politica sui cookie. Indica punti specifici sul tipo di informazioni che stai raccogliendo, su come raccogli tali informazioni, quali tipi di terze parti avranno accesso a tali dati e i motivi per cui stai raccogliendo queste informazioni.
Rendi chiare le tue politiche e mantienile aggiornate e dai ai tuoi utenti l'opportunità di rinunciare. Dovresti anche considerare l'aggiunta di un pulsante "non vendere i miei dati" al tuo sito Web che consente la revisione delle tue politiche e l'opzione di rinunciare a determinate pratiche sui dati.
Sviluppare processi per le richieste di informazioni
Potrebbe essere richiesto di fornire copie dei dati dei consumatori, eliminare i dati su loro richiesta, spiegare i dati raccolti o impedire ai consumatori di raccogliere i loro dati. Agli enti interessati potrebbe essere chiesto da un consumatore:
- Per una copia delle proprie informazioni personali
- Che le loro informazioni personali siano cancellate
- Quali categorie di informazioni personali vengono vendute
- Per rinunciare alla vendita di informazioni personali per i maggiori di 16 anni
- Per acconsentire alla vendita di informazioni personali per persone di età compresa tra 13 e 16 anni
- Per ottenere il consenso da un tutore per vendere informazioni personali da un consumatore di età inferiore a 13 anni
Rivolgiti alla privacy a tutti i livelli
Mantieni il tuo software e i tuoi sistemi aggiornati e sicuri. Ciò significa avere password complesse e protezione da malware, oltre ad affrontare il rischio umano. Forma il tuo team in modo che comprenda la legge, come si applica a loro e come potrebbero svolgere un ruolo nella protezione dei dati.
Adotta un approccio basato sul rischio
Proteggi la tua azienda prendendo l'iniziativa con le tue pratiche di sicurezza dei dati e coinvolgendo esperti di sicurezza dei dati, insieme ai membri del tuo team, a ogni livello della tua organizzazione. Il rischio esiste a tutti i livelli. Raccogli informazioni e input da tutti i membri della tua organizzazione e, come una squadra, identifica i tuoi maggiori rischi e dai la priorità alle loro correzioni.
Sanzioni per inadempienza
Le aziende non possono essere citate in giudizio per violazioni del CCPA a meno che non vi sia una violazione dei dati. In casi specifici, i consumatori hanno diritto al risarcimento dei danni. Un'azienda non è responsabile se "cura" qualsiasi non conformità entro 30 giorni dalla notifica della presunta non conformità (sebbene alcuni casi potrebbero non essere in grado di "curare").
Danni
I danni legali che un individuo può ricevere vanno da $ 100 a $ 750 per incidente o possono essere per l'importo totale dei danni monetari effettivamente subiti a causa della violazione dei dati. I tribunali possono anche decidere sanzioni più severe a seconda della gravità della violazione. Considerando che una tipica violazione dei dati potrebbe interessare centinaia di migliaia di consumatori, i costi possono aumentare, ma i consumatori devono affrontare un contenzioso prima che vengano applicate sanzioni.
Sanzioni
Oltre ai danni individuali dovuti ai consumatori, le imprese possono incorrere in sanzioni civili in caso di violazione e violazione del CCPA. Queste sanzioni possono variare da "$ 2.500 per una violazione non intenzionale a $ 7.500 per una violazione intenzionale".
I nostri pensieri sul CCPA
All'inizio del 2021, è stato rivelato che gli hacker cinesi hanno tentato di rubare dati biometrici e informazioni di identificazione personale di oltre l'80% degli americani. In alcuni casi hanno avuto successo. Non c'è solo un imperativo aziendale per rafforzare la sicurezza dei dati dei consumatori, ma esiste anche un imperativo di sicurezza nazionale. Sfortunatamente, non ci si può fidare degli stati per applicare la protezione dei dati in modo uguale e simultaneo.
Nel 2019, dopo che un foglio di calcolo con i nomi di 4.457 persone insieme ai loro numeri di previdenza sociale, numeri di telefono e indirizzi e-mail è stato pubblicato inavvertitamente dal dipartimento del lavoro in Georgia, la Corte Suprema dello stato della Georgia ha stabilito che "non aveva alcun obbligo intrinseco per proteggere le informazioni personali dei cittadini che memorizza”. La sentenza ha ribadito che coloro a cui sono stati affidati dati sensibili, i raccoglitori di dati, non avevano l'obbligo di proteggere tali informazioni, e questo è un problema.
In assenza di normative federali, il CCPA cerca di colmare un vuoto che ha un disperato bisogno di essere riempito. Stabilisce gli standard di sicurezza dei dati che le aziende devono implementare e le protezioni che i consumatori dovrebbero aspettarsi. Tuttavia, ci sono grandi lacune su chi è protetto e quali aziende sono responsabili, il che lascia troppa ambiguità e margine di manovra per essere un deterrente efficace o incoraggiare la conformità.
CCPA ≠ GDPR
Il CCPA è spesso menzionato nello stesso respiro del GDPR, ma non è vicino all'ambito o all'impatto e non è all'altezza del GDPR.
Senza i poteri ampi per controllare, indagare o far rispettare gli standard di sicurezza dei dati come con il GDPR, il CCPA rimane un deterrente semplicemente perché la sicurezza dei dati diventa una responsabilità piuttosto che qualcosa di attivamente indagato e applicato.
A differenza del GDPR, il CCPA non è stato così efficace nel comunicare ciò che è richiesto alle aziende e come vengono gestiti i casi. Sebbene non tutti i dati sulle multe GDPR siano stati resi pubblici, sono disponibili ulteriori informazioni in merito ai requisiti di conformità e alle sanzioni per non conformità. Esiste persino un sito Web indipendente dedicato al monitoraggio dell'applicazione del GDPR, ed è stato interessante seguirlo mentre ogni nazione membro applica la conformità al GDPR.
Il GDPR ha emesso centinaia di sanzioni negli ultimi anni, inclusa una multa di 18,4 milioni di sterline a Marriott per una violazione dei dati del 2018 per "misure tecniche e organizzative insufficienti per garantire la sicurezza delle informazioni". Il CCPA non ha avuto la stessa pubblicità riguardo alla sua applicazione o alle sue ripercussioni. Senza sanzioni o casi degni di nota, il CCPA potrebbe non essere un deterrente sufficiente per risolvere il problema dell'insicurezza dei dati negli Stati Uniti.
Se le conseguenze non sono abbastanza elevate e l'applicazione della legge non è coerente, rapida ed efficace, il CCPA potrebbe non essere sufficientemente dissuasivo per le aziende da prendere sul serio la questione della sicurezza dei dati.
Non siamo avvocati; non possiamo aiutarti a verificare e ottenere la conformità in materia di sicurezza informatica, ma possiamo creare un sito Web eccezionale che soddisfi i requisiti CCPA e possiamo lavorare insieme al tuo team di gestione dei dati per creare un ambiente digitale che rafforzi la fiducia dei consumatori nel tuo marchio e soddisfi i tuoi obiettivi di business.
Se le normative sulla privacy dei dati ti preoccupano per il tuo sito Web e la conformità, leggi la nostra guida al GDPR per aumentare di livello le tue conoscenze sulle normative sulla sicurezza dei dati, oppure contattaci e inizia una conversazione.