Ce pot învăța mărcile dintr-un an de GDPR în pregătirea pentru Legea privind confidențialitatea consumatorilor din California

Următorul este un post de oaspeți de la Jack Carvel, consilier general la Qubit.

Mai 2019 marchează un an de la implementarea Regulamentului general privind protecția datelor (​GDPR), cea mai substanțială schimbare a reglementării privind confidențialitatea datelor din ultimele decenii. În timp ce GDPR a făcut un bine semnificativ în creșterea gradului de conștientizare cu privire la drepturile persoanelor atunci când vine vorba de date, povestea aplicării legii a fost complet diferită.

Lipsa surprinzătoare a amenzilor mari și utilizarea greșită continuă a datelor terților, despre care mulți credeau că ar înceta cu totul să mai existe, au fost flagrante în ultimul an. Cu toate acestea, acest lucru se poate schimba în continuare odată cu implementarea noii legislații, cum ar fi componenta anticipată ePrivacy — următorul element al regimului UE de protecție a datelor care se anticipează să intre în vigoare în curând — și o dezvoltare majoră a confidențialității datelor care va veni în SUA în ianuarie. 2020: Legea privind confidențialitatea consumatorilor din California (CCPA). În această postare, voi discuta lecțiile învățate din GDPR după un an și sfaturi despre cum să vă pregătiți cel mai bine pentru CCPA și alte legislații mai stricte care sunt anticipate în viitorul apropiat.

GDPR: „A+” pentru conștientizare, „D” pentru aplicare

În primul rând, să acordăm credit acolo unde se cuvine: GDPR a fost foarte bun pentru afacerile care l-au luat în serios. A dus la baze de date mai sănătoase ale clienților, cu o înțelegere mai clară a clienților și o perspectivă mai bună asupra comportamentului acestora.

Primăvara trecută a fost un pic ca aplicarea metodei Kondo sau curățarea de primăvară asupra datelor, deoarece companiile din întreaga lume treceau prin procesul de a înțelege unde sunt stocate datele lor și ce se întâmplă cu acestea. Toată lumea s-a concentrat pe protecția datelor pentru doar câteva luni, făcând lumea online mai sigură și mai sigură. Și, controlul s-a îmbunătățit enorm. Au fost o mână de amenzi, printre care una semnificativă pentru Google de 50 de milioane de euro. La început, mulți din industrie au presupus că astfel de amenzi vor deveni norma, dar nu am văzut asta încă.

Un domeniu în care GDPR a fost deosebit de slab este relațiile sale cu brokerii de date terți. Există o mulțime de practici proaste cu companiile al căror model de afaceri se bazează pe vânzarea de date la mâna a doua sau la mâna a treia. Aceste date pot fi cu ușurință copiate, dezvăluite și transmise părților fără ca consumatorul să știe vreodată – și probabil au fost obținute fără consimțământul sau înțelegerea datelor care au fost colectate și de ce. Odată cu GDPR, mulți se așteptau să se termine, dar autoritățile de reglementare nu au urmărit aceste practici abuzive de date.

Există, de asemenea, companii mai mici în SUA (și în alte jurisdicții din afara UE) care nu respectă standardele. Ei nu au resursele pentru a se conforma cu diferite regimuri de date și nu au consilier intern pentru a monitoriza conformitatea, așa că își asumă doar riscul. Cu aceste companii, atunci când există o încălcare, există foarte puțină transparență, deoarece autoritățile de reglementare nu sunt în măsură să verifice acuratețea declarațiilor. Cu toate acestea, nerespectarea este o strategie foarte riscantă. Consumatorii devin mult mai conștienți de drepturile lor asupra datelor și de valoarea datelor lor, așa că, deși o companie poate evita amenzile, își riscă echitatea și reputația mărcii în cazul în care se confruntă cu o încălcare a datelor - și asta poate fi chiar mai grav decât amenzile.

Ar putea veni o aplicare mai strictă

Există reglementări privind confidențialitatea datelor care sunt anticipate care pot schimba jocul odată cu aplicarea. O dezvoltare semnificativă care urmează este Regulamentul ePrivacy, care definește politicile despre cookie-uri, ce consimțământ este necesar, cui companii pot trimite e-mail și din ce motive, urmărire și așa mai departe, adăugând un nivel mai definitiv conceptului mai larg de date personale. Este probabil ca acest lucru să declanșeze mai multe aplicări, deoarece autoritățile de reglementare vor folosi atât GDPR, cât și reglementarea ePrivacy în comun, deși mai sunt încă câteva luni.

O altă lege la orizont care va schimba modul în care operează întreprinderile este CCPA. Ceea ce este esențial aici este că aceasta este prima din acest tip de legislație care are rădăcini în SUA. S-ar putea să nu vedem atât de multă zgomot în jurul acestei viitoare reglementări, poate pentru că nu este o lege federală, dar companiile care nu se pregătesc pentru aceasta ar putea fii foarte neplăcut surprins de penalități, cum ar fi până la 7.500 USD pentru încălcarea CCPA și 750 USD pentru fiecare înregistrare compromisă - ceea ce se poate ridica la o sumă considerabilă și poate fi devastatoare pentru o afacere mai mică.

Câteva sfaturi pentru retaileri

Retailerii, în special cei din SUA care nu au trecut prin procesul riguros de pregătire pentru GDPR pe care îl au companiile globale, trebuie să ia în considerare pregătirea anticipată semnificativă necesară pentru a se conforma politicilor viitoare. Este probabil ca California să fie mai strictă în a impune amenzi uriașe pentru nerespectare decât ceea ce am observat cu GDPR. Este posibil ca mărcile globale mari să fie deja pregătite pentru CCPA, în parte datorită pregătirilor lor pentru GDPR și a analizei minuțioase a datelor care există în Europa de ceva timp. Cu toate acestea, întreprinderile mai mici pot fi surprinse cu privirea de investigațiile riguroase privind confidențialitatea și conformitatea datelor care urmează. Iată câteva sfaturi care pot ajuta companiile din SUA, iar cei care doresc să continue să facă afaceri în California ajută la pregătirea pentru legislația viitoare:

1. Chiar dacă nu este o cerință fermă a CCPA, crearea unei „înregistrări a prelucrării” ar trebui să fie primul pas: identificați ce date colectați și exact ce faceți cu acestea. Trecând prin acest proces, veți înțelege în ce domeniu vă încadrați în CCPA. Trebuie să intri în proces cu o înțelegere aprofundată a tuturor acestor lucruri.
2. Desigur, datele sunt valoroase, dar mai multe date nu înseamnă neapărat mai multă valoare. Dacă nu știi de ce îl colectezi, scapă de el. Datele care nu sunt utile companiei dvs. doar vă costă bani în costuri de stocare și vă sporesc expunerea la încălcări ale datelor. Ștergerea datelor poate fi înfricoșătoare, dar este un pas incredibil de încurajator de făcut și, în cele din urmă, va face ca luarea deciziilor bazate pe date să fie mai eficientă. Multe companii au înregistrat rate de conversie crescute și o direcționare mai eficientă atunci când folosesc seturi de date curate.
3. În conformitate cu GDPR, există o cerință pentru un responsabil cu protecția datelor în unele cazuri. Aceasta este o idee bună, în general: atrageți răspunderea pe cineva pentru confidențialitatea datelor și pentru pregătirea companiei pentru a-și îndeplini obligațiile în temeiul regimurilor legale aplicabile. Mai mult, asigurați-vă că această persoană are vizibilitate ridicată. Cu CCPA, nu există o cerință ca această persoană să raporteze la conducerea superioară, ca în GDPR; cu toate acestea, ar fi o idee foarte bună să ne asigurăm că conducerea superioară este bine conștientă de ceea ce constată auditorul intern.
4. Luați legătura în mod proactiv cu furnizorii și partenerii dvs. pentru a înțelege ce se întâmplă în anumite scenarii; v-ar putea ajuta cu cerințele în anumite intervale de timp? Vorbiți despre proces. Când începeți această conversație cu celelalte părți cu care lucrează afacerea dvs., va fi rapid clar dacă acestea vor putea să ajute și să se conformeze.
5. Înțelegeți beneficiile pozitive ale legilor privind confidențialitatea datelor pentru afacerea dvs. Aceste politici permit companiilor să își facă bazele de date cu clienți mai sănătoase și mai active, să reducă costurile legate de stocarea datelor și să dezvolte mai multe comunicări personale către acele persoane care doresc să le primească.
6. Fă-o distracție. Este mult mai probabil ca utilizatorii finali să înțeleagă și să consimtă la practicile dvs. de prelucrare a datelor dacă utilizați un limbaj simplu și simplu și le arătați beneficiile a ceea ce faceți. Dacă nu puteți justifica colecția, poate că merită să vă reconsiderați dacă aveți într-adevăr nevoie de ea!

Poate să nu fie ușor să dezvoltați și să executați procese pentru conformitate, dar atunci când acest lucru se va face, va face lumea un loc mai bun. Și pentru companiile bine pregătite, poate însemna chiar un impuls pentru afacerea lor.