ArticolulUn ghid complet pentru Legea privind confidențialitatea consumatorilor din California

Aflați cum Actul de confidențialitate al consumatorilor din California afectează întreprinderile care gestionează datele rezidenților și ce puteți face pentru a reduce riscul de încălcare a reglementărilor legii.

*Această piesă a fost scrisă în 2018. CCPA a intrat în vigoare la 1 ianuarie 2020.

Au trecut câteva luni de la marea panică GDPR din 2018. Cu toții am avut timp să încheiem conformitatea, să ne tragem respirația și să privim în viitor (dar dacă nu ați abordat încă conformitatea cu GDPR sau nu știți ce este GDPR , consultați articolul meu despre GDPR pentru site-urile web din SUA). Deci, ce urmează pentru reglementările privind confidențialitatea personală pentru entitățile din SUA?

Este vorba despre California Consumer Privacy Act (CCPA), care a fost semnat în lege pe 23 septembrie 2018. De data aceasta ar trebui să putem evita isteria pe care am văzut-o cu GDPR. In speranta, cu toții ne facem cercetările și diligența cu mult înainte ca legea să intre în vigoare la 1 ianuarie 2020.

Înainte de a continua, vă rugăm să rețineți că acest articol se adresează proprietarilor de site-uri web de tip business-to-business (B2B) mijlocii și mari. Indiferent dacă organizația dvs. este publică sau privată, este irelevant, la fel și dacă organizația dvs. are sediul în California.

Consider că majoritatea postărilor de blog pe acest subiect și despre subiecte similare sunt extrem de suspecte, așa că cercetarea pentru acest articol depinde numai de textul legii. Indiferent de unde obțineți informațiile, verificați-le cu un avocat specializat în subiect. Dacă compania dvs. tratează informații personale ca parte a activității sale de bază, acest articol nu este pentru dvs.

Iată ce voi acoperi:

• Ce este Legea privind confidențialitatea consumatorilor din California?
• Cine este protejat de CCPA?
• Ce anume este protejat?
• Ce organizații trebuie să se conformeze?
• Care sunt drepturile consumatorului?
• Care sunt pașii pentru a asigura conformitatea cu CCPA?
• Care sunt sancțiunile pentru nerespectare?

Să ne scufundăm!

Ce este Legea privind confidențialitatea consumatorilor din California?

În 1972, alegătorii din California au modificat Constituția Californiei pentru a include dreptul la intimitate printre drepturile „inalienabile” ale tuturor oamenilor. Modificarea a stabilit un drept legal și aplicabil la confidențialitate pentru fiecare californian. Fundamental pentru acest drept la confidențialitate este capacitatea persoanelor de a controla utilizarea, inclusiv vânzarea, a informațiilor lor personale – AB 375, Secțiunea 2(a)

Pentru a sprijini acest amendament, au fost deja adoptate o serie de legi din California: Legea privind protecția confidențialității online, Legea privind drepturile de confidențialitate pentru minorii din California în lumea digitală și Shine the Light.

CCPA este o nouă lege care se bazează pe acelea pentru a proteja în continuare drepturile rezidenților. A început ca o inițiativă propusă de vot, dar susținătorii săi au fost de acord să o retragă cu condiția ca o nouă lege să poată fi adoptată înainte de 28 iunie 2018.

Acesta a fost termenul limită pentru a finaliza ceea ce va fi pe buletinul de vot. Pentru a face față acestui lucru, un proiect de lege imperfect (Assembly Bill 375) a fost reînviat după ce anterior nu a reușit să câștige tracțiune. A fost trecută în grabă. Inițiativa buletinului de vot și AB 375 sunt ambele denumite California Consumer Privacy Act, chiar dacă inițiativa buletinului de vot și legea rezultată s-au dovedit a fi foarte diferite.

Membrii Adunării din California s-au temut că, dacă o lege nu va fi adoptată la timp, iar inițiativa va fi inclusă în buletinul de vot, alegătorii vor adopta o lege pe care întreprinderile ar fi dificil, dacă nu imposibil, să o respecte.

Mai târziu, în 2018, o versiune modificată a trecut prin Senatul statului California (Legea de lege 1121 al Senatului). Dar legea încă nu este perfectă și alte amendamente par posibile.

Înainte de a intra în detaliile legii, ar trebui să recunoaștem că unele părți se pot schimba. Poate că legea în sine nu va fi niciodată aplicată.

În prezent, există inițiative în vigoare pentru a stabili o lege federală privind confidențialitatea datelor care ar trece peste orice lege de stat privind confidențialitatea datelor. Legiuitorii federali ar putea simți că legea din California fie depășește, fie nu merge suficient de departe, și apoi grăbesc o lege federală... O mișcare care reflectă acțiunea luată de Adunarea Statului California.

Este rezonabil ca legislatorii de stat și federali să fie precauți față de inițiativele conduse de alegători și de un grup de legi individuale ale statului. Întreprinderile ar putea fi supuse unor directive tehnice nepractice sau cu povara copleșitoare a conformării cu legile a 50 de state diferite.

În calitate de dezvoltator web, sunt speriat de ambele scenarii. Dar, ca consumator individual, sunt dezamăgit de legea din California. Pur și simplu nu merge suficient de departe pentru a proteja datele personale, identificabile.

Orice s-ar întâmpla, următorii doi ani vor fi destul de haotici, dar aici ne aflăm acum...

Cine este protejat de CCPA?

CCPA se aplică tuturor persoanelor care trăiesc în California. Textul legii spune:

Consumator înseamnă o persoană fizică care este rezidentă în California, așa cum este definită în secțiunea 17014 din titlul 18 din Codul de reglementări din California, așa cum a citit acea secțiune la 1 septembrie 2017, oricum identificată, inclusiv prin orice identificator unic. – AB 375, Secțiunea 3, 1798.140

O „persoană fizică” poate fi considerată pur și simplu ca o ființă umană individuală. O „persoană juridică”, prin contrast, ar putea fi doar o entitate juridică. Definiția rezidentului este:

Termenul „rezident”, așa cum este definit în lege, include (1) orice persoană care se află în stat în alt scop decât un scop temporar sau tranzitoriu și (2) orice persoană care este domiciliată în stat care se află în afara statului pentru un scop temporar sau tranzitoriu. Toate celelalte persoane sunt nerezidenți. – Codul de reglementări din California, titlul 18, secțiunea 17014

Un tehnolog inteligent din organizația dvs. poate sugera filtrarea utilizatorilor după stat, oferindu-le celor din California o experiență diferită. Dar există trei defecte în această abordare.

În primul rând, rezidenții din California sunt protejați, indiferent dacă se află în statul respectiv în acel moment. În al doilea rând, instrumentele pe care le folosim pentru a determina locația unui utilizator sunt imperfecte. Și în al treilea rând, menținerea unei experiențe separate de site-uri web doar pentru utilizatorii din California ar fi un plus, inutil povară.

Rețineți că în textul legii (inclusiv titlul) cuvântul „Consumatori” este folosit pentru a desemna toate persoanele fizice care sunt rezidente în California. Este o alegere ciudată, deoarece persoanele nu sunt obligate să cumpere bunuri sau servicii pentru a fi protejate de lege.

Ce este protejat?

CCPA protejează informațiile personale ale rezidenților din California. Informațiile personale sunt informații care pot fi asociate cu o persoană sau o gospodărie, direct sau indirect.

Rețineți că este complet posibil să colectați date despre un utilizator anonim, de exemplu prin cookie sau adresa IP, și apoi să legați acele date la o persoană la o dată ulterioară. Aceasta înseamnă că datele „pot fi asociate” cu o persoană.

Deci, dacă CCPA se aplică afacerii dvs., trebuie să dezvăluiți această colecție persoanei atunci când datele sunt colectate - chiar dacă persoana nu a fost încă identificată sau nu va fi niciodată identificată. Pentru că este posibil să identifici persoana înseamnă că trebuie să te conformezi. Informațiile personale includ, dar nu se limitează la:

(A) Identificatori, cum ar fi un nume real, un alias, o adresă poștală, un identificator personal unic, un identificator online, o adresă de protocol Internet, o adresă de e-mail, un nume de cont, un număr de securitate socială, un număr de permis de conducere, un număr de pașaport sau alți identificatori similari.

(B) Orice categorii de informații personale descrise în subdiviziunea (e) din Secțiunea 1798.80.

(C) Caracteristicile clasificărilor protejate conform legii din California sau federale.

(D) Informații comerciale, inclusiv înregistrări ale proprietăților personale, produselor sau serviciilor achiziționate, obținute sau luate în considerare, sau alte istorii sau tendințe de cumpărare sau consum.

(E) Informații biometrice.

(F) Informații despre activitățile de pe Internet sau din alte rețele electronice, inclusiv, dar fără a se limita la, istoricul de navigare, istoricul căutărilor și informații privind interacțiunea unui consumator cu un site web, aplicație sau reclamă pe Internet.

(G) Date de geolocalizare.

(H) Informații audio, electronice, vizuale, termice, olfactive sau similare.

(I) Informații profesionale sau legate de angajare.

(J) Informații despre educație, definite ca informații care nu sunt disponibile public informații de identificare personală, așa cum sunt definite în Legea privind drepturile educaționale și confidențialitatea familiei (20 USC secțiunea 1232g, 34 CFR Partea 99).

(K) Inferențe extrase din oricare dintre informațiile identificate în această subdiviziune pentru a crea un profil despre un consumator care să reflecte preferințele consumatorului, caracteristicile, tendințele psihologice, preferințele, predispozițiile, comportamentul, atitudinile, inteligența, abilitățile și aptitudinile consumatorului.

– AB 375, Secțiunea 3, 1798.140

Ce organizații trebuie să se conformeze?

Dacă organizația dvs. nu face afaceri în statul California, sunteți clar. Și cineva care navighează pe site-ul tău din California nu înseamnă intenția de a face afaceri în stat. Dar dacă compania ta face afaceri în California, trebuie să-ți pui câteva întrebări:

1. Organizația dvs. are venituri anuale brute care depășesc 25 milioane USD? (Rețineți că cifra se ajustează cu Indicele prețurilor de consum).
2. Organizația dvs. se ocupă de informațiile personale ale a 50.000 sau mai mulți consumatori, gospodării sau dispozitive în fiecare an?
3. Organizația dvs. obține 50% sau mai mult din veniturile sale anuale din vânzarea informațiilor personale ale consumatorilor?

Dacă puteți răspunde da la oricare dintre aceste trei întrebări, atunci organizația dvs. trebuie să se conformeze. Dacă organizația dvs. se încadrează sub toate aceste praguri, dar este deținută de o entitate mai mare (cu un control mai mare de 50%) care depășește oricare dintre ele, atunci, din nou, organizația dvs. trebuie să se conformeze.

Care sunt drepturile consumatorului?

Drepturile acordate rezidenților din California prin această lege prezintă multe asemănări cu cele acordate cetățenilor UE în temeiul GDPR. La fel ca GDPR, companiile trebuie să informeze utilizatorii când colectează date și ce vor face exact cu acestea înainte ca informațiile să fie colectate:

O afacere care colectează informații cu caracter personal ale unui consumator trebuie, la sau înainte de punctul de colectare, să informeze consumatorii cu privire la categoriile de informații personale care trebuie colectate și la scopurile pentru care categoriile de informații personale vor fi utilizate – AB 375, Secțiunea 3, 1798.100(b)

Și au dreptul să solicite toate datele lor pe care o companie le-a colectat:

Un consumator are dreptul de a solicita ca o companie care colectează informații personale ale unui consumator să-i dezvăluie acestuia categoriile și informațiile personale specifice pe care compania le-a colectat – AB 375, Secțiunea 3, 1798.100(a)

Pe baza acestui fapt, consumatorii au dreptul de a cunoaște categoriile de surse din care au fost colectate informațiile, scopul comercial al colectării datelor și categoriile de terțe părți cărora le sunt partajate informațiile.

De asemenea, utilizatorii au dreptul de a cere ca datele lor să fie șterse din înregistrările dumneavoastră și din evidențele tuturor furnizorilor dumneavoastră de servicii.

Un consumator va avea dreptul de a solicita unei companii să șterge orice informații personale despre consumator pe care afacerea le-a colectat de la consumator – AB 375, Secțiunea 3, 1798.105(a)

Dacă afacerea dvs. principală constă în tratarea datelor cu caracter personal ale consumatorilor, există drepturi suplimentare de care trebuie să fiți conștient și la care trebuie să fiți pregătit să răspundeți. Dar din nou, acest articol nu este pentru tine.

Care sunt pașii pentru a asigura conformitatea cu CCPA?

În primul rând, trebuie să anunțați în prealabil utilizatorii cu privire la toate colectarea datelor. Spre deosebire de GDPR, CCPA nu necesită un mecanism de consimțământ pozitiv. De exemplu, atunci când un utilizator completează un formular, va fi suficientă o simplă declarație care dezvăluie ce vei face cu datele. Utilizatorul nu trebuie să bifeze o casetă care să explice că înțelege și este de acord cu colectarea.

Trebuie să oferiți utilizatorilor cel puțin două metode pentru a le solicita datele sau pentru a le șterge datele. Una dintre aceste metode trebuie să fie un număr gratuit; celălalt poate fi pur și simplu adresa unui site web.

Toate solicitările trebuie să fie verificate și răspuns în termen de 45 de zile. Această perioadă de timp poate fi prelungită cu încă 45 de zile, atâta timp cât anunțați consumatorul în primele 45 de zile. Dezvăluirea dvs. către utilizator trebuie să includă ultimele 12 luni de colectare a datelor, așa că asigurați-vă că puteți stoca și recupera datele necesare începând cu 1 iulie 2019.

O companie care primește o solicitare verificabilă a unui consumator de a accesa informații personale trebuie să ia prompt măsuri pentru a dezvălui și a furniza, gratuit consumatorului, informațiile personale cerute de această secțiune – AB 375, Secțiunea 3, 1798.100(d)

Nu sunteți obligat să răspundeți la solicitările de date ale unui singur utilizator de mai multe ori în orice perioadă de 12 luni.

Trebuie să vă actualizați politica de confidențialitate pentru a dezvălui o descriere a drepturilor consumatorilor în conformitate cu Secțiunile 1798.110, 1798.115 și 1798.125 din CCPA. De asemenea, trebuie să prezentați metodele disponibile pentru a face solicitări cu privire la datele acestora.

După cum sa menționat mai sus, una dintre aceste metode trebuie să fie un număr gratuit. De asemenea, trebuie să dezvăluiți toate categoriile de informații pe care le-ați colectat în ultimele 12 luni și să păstrați acele informații actualizate cel puțin o dată la 12 luni.

În același timp, trebuie să vă asigurați că toate persoanele care se ocupă de întrebările consumatorilor cu privire la practicile de confidențialitate ale companiei sau respectarea acestui titlu sunt informate cu privire la toate cerințele. De asemenea, trebuie să știe cum să îi îndrume pe consumatori să își exercite drepturile în temeiul acelor secțiuni.

Este posibil să vedeți unele persoane care vă sfătuiesc că trebuie să aveți un link pe pagina de pornire intitulat „Nu vindeți informațiile mele personale”, dar această cerință este specifică companiilor care vând informații personale ale consumatorilor. După cum am menționat mai devreme în acest articol, dacă vindeți informații personale ale consumatorilor, acest articol nu este pentru dvs.

În cele din urmă, nu puteți discrimina utilizatorii care și-au exercitat drepturile de confidențialitate acordate de CCPA. Discriminarea include refuzul de bunuri sau servicii, perceperea de prețuri mai mari sau furnizarea unui nivel sau calitate diferit de bunuri și servicii.

Puteți oferi stimulente financiare pentru colectarea de informații personale. Dar aveți grijă ca aceste programe de stimulare să nu fie de natură coercitivă sau cămătărie.

Care sunt sancțiunile pentru nerespectare?

Sancțiunile evaluate de procurorul general din California sunt relativ mici în comparație cu cele care vin cu încălcările GDPR. Rețineți că, în cazul unei presupuse încălcări, vi se vor acorda 30 de zile pentru a remedia problema și vi se va cere să plătiți penalitatea numai dacă nu faceți acest lucru.

Dacă sunteți găsit în încălcare și nu remediați problema, veți primi o amendă civilă de 2.500 USD pentru o încălcare neintenționată și 7.500 USD pentru o încălcare intenționată. Aceste sancțiuni sunt atât de ușoare încât unele companii vor alege cu siguranță să ignore legea. Dar o fac cu mare pericol.

Costul mai mare ridicat de a fi găsit în încălcarea CCPA este riscul crescut de expunere la procese colective. Daunele legale sunt limitate la 100 USD - 750 USD per consumator per incident sau daune reale, oricare dintre acestea este mai mare. Dar, deoarece este obișnuit să gestionezi datele a mii de persoane, daunele totale dintr-o acțiune colectivă pot fi substanțiale.

Recomandări

Poate cel mai îngrijorător lucru cu privire la aceste noi legi este cunoașterea faptului că mai urmează. Fie vom începe să vedem mai multe legi statale menite să ne protejeze confidențialitatea datelor, fie o lege federală care va fi adoptată și va preempționa sau trece peste legile de stat.

Este imposibil să știm ce ar putea include aceste legi viitoare, dar putem face niște presupuneri educate. Și există câteva practici suplimentare care vor ajuta la asigurarea conformității în toate statele și în UE:

• Definiți un proces pentru a elimina datele clienților după o perioadă de timp stabilită
• Solicitați un mecanism de consimțământ pozitiv în toate punctele de colectare a datelor
• Colectați mai puține date!

Ultima sugestie este ușor de realizat și te scutește de multă responsabilitate. Există multe lucruri pe majoritatea site-urilor web moderne care înregistrează, urmăresc și valorifică activitatea utilizatorului.

Marea majoritate a acestor lucruri nu colectează de fapt date pentru proprietarul site-ului web; colectează date pentru rețelele de publicitate vizate. Serviciile „gratuite” precum analizele, găzduirea fonturilor, rețelele de livrare a conținutului, widget-urile de partajare și altele asemenea, nu sunt gratuite.

Plătești pentru ele cu confidențialitatea utilizatorilor tăi. Nu le folosiți pe site-ul dvs. web ori de câte ori este posibil și nu le configurați astfel încât să nu mai dezvăluiți datele personale ale utilizatorilor dvs.

Resurse

• Proiectul de lege nr. 375 al Adunării Statului California
• Proiectul de lege nr. 1121 al Senatului statului California
• Articolele Data Privacy Monitor despre CCPA În mod normal, mă abțin de la link-uri către bloguri, dar postările lui DPM și Alan L. Friel, în special, sunt în mod constant excelente

Reglementările CCPA pot fi copleșitoare. Sperăm că am contribuit la consolidarea tot ceea ce trebuie să știți. Pe măsură ce vă gândiți să efectuați un audit al site-ului dvs., suntem bucuroși să discutăm. Pentru mai multe informații despre considerentele web și digitale pentru marca dvs., iată câteva sfaturi și resurse pentru a vă ajuta:

• Aflați ce este nevoie pentru a vă face site-ul accesibil.
• Aflați cheile pentru securitatea site-ului și cum să vă păstrați site-ul în siguranță.
• Aruncă o privire la cum să creezi un site web de afaceri captivant (și care transformă).