Cosa possono imparare i marchi da un anno di GDPR nella preparazione del California Consumer Privacy Act

Quello che segue è un guest post di Jack Carvel, consigliere generale di Qubit.

Maggio 2019 segna il primo anniversario dell'attuazione del Regolamento generale sulla protezione dei dati (GDPR), il cambiamento più sostanziale degli ultimi decenni nella normativa sulla privacy dei dati. Sebbene il GDPR abbia fatto molto bene nell'aumentare la consapevolezza sui diritti delle persone quando si tratta di dati, la storia dell'applicazione è stata completamente diversa.

La sorprendente mancanza di ingenti multe e il continuo uso improprio dei dati di terzi, che molti pensavano avrebbero cessato di esistere del tutto, è stato lampante lo scorso anno. Tuttavia, questo può ancora cambiare con l'attuazione di una nuova legislazione, come la prevista componente ePrivacy - il prossimo elemento del regime di protezione dei dati dell'UE che dovrebbe entrare in vigore presto - e un importante sviluppo della privacy dei dati in arrivo negli Stati Uniti a gennaio 2020: il California Consumer Privacy Act (CCPA). In questo post, discuterò delle lezioni apprese dal GDPR dopo un anno e dei suggerimenti su come prepararsi al meglio per il CCPA e altre leggi più rigorose che sono previste nel prossimo futuro.

GDPR: "A+" per consapevolezza, "D" per applicazione

Innanzitutto, diamo credito dove è dovuto: il GDPR è stato molto positivo per le aziende che l'hanno preso sul serio. Ha portato a database dei clienti più sani con una comprensione più chiara dei clienti e una migliore comprensione del loro comportamento.

La scorsa primavera è stato un po' come applicare il metodo Kondo o le pulizie di primavera ai dati mentre le aziende di tutto il mondo stavano subendo il processo di comprensione di dove sono archiviati i loro dati e cosa sta succedendo con essi. Tutti si sono concentrati sulla protezione dei dati solo per pochi mesi, rendendo il mondo online più sicuro e protetto. E il controllo è migliorato enormemente. Ci sono state una manciata di multe, e tra queste una significativa per Google da 50 milioni di euro. All'inizio, molti nel settore pensavano che tali multe sarebbero diventate la norma, ma non l'abbiamo ancora visto.

Un'area in cui il GDPR è stato particolarmente poco brillante è nei suoi rapporti con broker di dati di terze parti. Ci sono molte cattive pratiche là fuori con le aziende il cui intero modello di business si basa sulla vendita di dati di seconda o di terza mano. Questi dati possono essere facilmente copiati, divulgati e forniti alle parti all'insaputa del consumatore e probabilmente sono stati ottenuti senza il consenso o la comprensione di quali dati venivano raccolti e perché. Con il GDPR, molti si aspettavano che finisse, ma le autorità di regolamentazione non hanno seguito queste pratiche abusive sui dati.

Ci sono anche aziende più piccole negli Stati Uniti (e in altre giurisdizioni al di fuori dell'UE) che non rispettano gli standard. Non hanno le risorse per conformarsi a diversi regimi di dati e non hanno consulenti interni per monitorare la conformità, quindi si assumono semplicemente il rischio. Con queste società, quando c'è una violazione, c'è pochissima trasparenza, poiché le autorità di regolamentazione non sono in grado di verificare l'accuratezza delle dichiarazioni. Tuttavia, la non conformità è una strategia molto rischiosa. I consumatori stanno diventando molto più consapevoli dei loro diritti sui dati e del valore dei loro dati, quindi mentre un'azienda può evitare multe, stanno mettendo a rischio la propria brand equity e reputazione in caso di violazione dei dati, e questo potrebbe essere anche peggio delle multe.

Potrebbero arrivare un'applicazione più rigorosa

Sono previste norme sulla privacy dei dati che potrebbero cambiare il gioco con l'applicazione. Uno sviluppo significativo in arrivo è il Regolamento ePrivacy, che definisce le politiche sui cookie, quale consenso è necessario, a chi le aziende possono inviare e-mail e per quali motivi, tracciamento e così via, aggiungendo uno strato più definitivo al concetto più ampio di dati personali. È probabile che ciò inneschi una maggiore applicazione perché le autorità di regolamentazione utilizzeranno congiuntamente sia il GDPR che il regolamento ePrivacy, anche se mancano ancora mesi.

Un'altra legge all'orizzonte che cambierà il modo in cui operano le imprese è il CCPA. La chiave qui è che questa è la prima di questo tipo di legislazione che è radicata negli Stati Uniti. Potremmo non vedere così tanto ronzio attorno a questo regolamento imminente, forse perché non è una legge federale, ma le aziende che non si preparano a questo potrebbero essere spiacevolmente sorpreso dalle sanzioni, come fino a $ 7.500 per violazione del CCPA e $ 750 per ogni record compromesso, il che può sommarsi a una somma considerevole e può essere devastante per un'azienda più piccola.

Alcuni consigli per i rivenditori

I rivenditori, in particolare quelli negli Stati Uniti che non sono passati attraverso il rigoroso processo di preparazione al GDPR che le aziende globali hanno, devono considerare la significativa preparazione anticipata necessaria per conformarsi alle politiche imminenti. È probabile che la California sia più severa nell'imporre pesanti multe per non conformità rispetto a quanto abbiamo osservato con il GDPR. I grandi marchi globali potrebbero già essere preparati per il CCPA a causa in parte dei loro preparativi per il GDPR e del meticoloso controllo dei dati che esiste in Europa da qualche tempo. Tuttavia, le piccole imprese potrebbero essere colte alla sprovvista dalle rigorose indagini sulla privacy e sulla conformità dei dati in arrivo. Ecco alcuni suggerimenti che possono aiutare le aziende statunitensi e coloro che desiderano continuare a fare affari in California aiutano a prepararsi per la legislazione imminente:

1. Anche se non è un requisito fermo del CCPA, la creazione di un "record di elaborazione" dovrebbe essere il primo passo: identificare quali dati stai raccogliendo e esattamente cosa ne stai facendo. Sottoponendoti a questo processo, capirai in quale ambito rientri nel CCPA. Devi entrare nel processo con una comprensione approfondita di tutto questo.
2. Naturalmente i dati sono preziosi, ma più dati non significano necessariamente più valore. Se non sai perché lo stai raccogliendo, sbarazzati di esso. I dati che non sono utili per la tua azienda ti stanno solo costando denaro in costi di archiviazione e stanno aumentando la tua esposizione alle violazioni dei dati. L'eliminazione dei dati può essere spaventosa, ma è un passo incredibilmente potente da compiere e, in definitiva, renderà più efficiente il processo decisionale basato sui dati. Molte aziende hanno riscontrato un aumento dei tassi di conversione e un targeting più efficace quando utilizzano set di dati puliti.
3. In base al GDPR, in alcuni casi è richiesto un responsabile della protezione dei dati. Questa è una buona idea in generale: rendere qualcuno responsabile per la privacy dei dati e per preparare l'azienda ad adempiere ai propri obblighi ai sensi dei regimi legali applicabili. Inoltre, assicurati che questa persona abbia un'elevata visibilità. Con il CCPA, non è necessario che questa persona riferisca all'alta dirigenza, come nel GDPR; tuttavia, sarebbe un'ottima idea garantire che l'alta dirigenza sia ben consapevole di ciò che rileva il revisore interno.
4. Contatta in modo proattivo i tuoi fornitori e partner per capire cosa succede in scenari specifici; sarebbero in grado di aiutarti con i requisiti entro tempi specifici? Parla del processo. Quando inizi questa conversazione con le altre parti con cui lavora la tua azienda, sarà subito chiaro se saranno in grado di aiutare e rispettare.
5. Comprendi i vantaggi positivi delle leggi sulla privacy dei dati per la tua azienda. Queste politiche consentono alle aziende di rendere i database dei clienti più sani e più attivi, ridurre i costi relativi all'archiviazione dei dati e sviluppare comunicazioni più personali con le persone che desiderano riceverle.
6. Rendilo divertente. È molto più probabile che gli utenti finali comprendano e acconsentano alle tue pratiche di trattamento dei dati se utilizzi un linguaggio semplice e chiaro e mostri loro i vantaggi di ciò che stai facendo. Se non puoi giustificare la raccolta, forse vale la pena riconsiderare se ne hai davvero bisogno!

Potrebbe non essere facile sviluppare ed eseguire processi per la conformità, ma quando ciò sarà fatto, renderà il mondo un posto migliore. E per le aziende ben preparate, può anche significare una spinta per il loro business.