Il California Privacy Rights Act (CPRA): sei pronto per il CCPA 2.0?

Nel maggio 2020, il gruppo di difesa della privacy Californians for Consumer Privacy ha annunciato di aver raccolto 900.000 firme per aggiungere il California Privacy Rights Act (noto anche come CPRA, CCPA 2.0, Proposition 24 o Prop 24) al ballottaggio di novembre 2020.

Il 3 novembre, il 56% dei californiani ha votato a favore del CPRA alle elezioni generali. L'atto ha lo scopo di rivedere e sostituire il California Consumer Privacy Act (CCPA), una volta entrato in vigore il 1 gennaio 2023.

In breve, la legge estende i diritti alla privacy degli utenti per allinearsi al GDPR, impone obblighi aggiuntivi alle aziende e istituisce la prima autorità governativa dedicata all'implementazione e all'applicazione della privacy negli Stati Uniti, la California Privacy Protection Agency (CPPA) .

Il CCPA ha già avuto un impatto significativo al di fuori della California, diventando lo standard per la privacy dei dati negli Stati Uniti. Ecco perché questo disegno di legge deve essere osservato da vicino: potrebbe avere un impatto sulle aziende anche se non hanno sede in California. Di seguito abbiamo delineato i punti chiave che gli esperti di marketing devono conoscere per iniziare a prepararsi per i nuovi requisiti di conformità.

Una nuova agenzia per l'applicazione della privacy

Quando è entrato in vigore il Regolamento generale sulla protezione dei dati (GDPR), l'UE ha nominato l'Autorità per la protezione dei dati personali per far rispettare le leggi. Gli Stati Uniti non hanno un'autorità paragonabile per imporre i nuovi diritti alla privacy dei consumatori.

È qui che entra in gioco la California Privacy Protection Agency (CPPA). Il suo ruolo è chiarire le nuove linee guida, applicare sanzioni e tenere audizioni sulle violazioni della privacy.

Nuovi diritti dei consumatori e concetti PII

Il CPRA introduce nuovi concetti (che esistono già nell'UE grazie al GDPR) nel panorama della privacy dei dati in California.

Eccone alcuni, spiegati:

• Diritto di rettifica – Concedere ai consumatori il diritto di correggere le informazioni personali inesatte.
• Diritto alla restrizione – Concedere ai consumatori il diritto di limitare l'uso e la divulgazione di informazioni personali sensibili.
• Informazioni di identificazione personale "sensibili" - In base alla nuova legge, alcuni tipi di informazioni, come numeri di previdenza sociale, numeri di passaporto, posizione geografica precisa, informazioni biometriche, ecc., saranno contrassegnati come "sensibili".

Cosa è cambiato?

Nuova definizione di vendita di informazioni personali

Il CPRA definirà cosa possono fare le aziende con le informazioni personali che raccolgono dai residenti della California in un modo nuovo. Ai sensi del CCPA, una vendita era definita come "scambio di dati per un qualche tipo di corrispettivo finanziario", una definizione considerata da molti troppo vaga. Il CPRA risolve questo problema suddividendo la condivisione e la vendita delle informazioni personali delle persone in due diverse categorie.

Cosa è cambiato?

Più diritti per i minori di 16 anni

• Aumento delle sanzioni amministrative per la condivisione illegale di informazioni personali di minori : qualsiasi violazione che coinvolga le informazioni personali di minori di 16 anni è soggetta a una multa di $ 7.500 per violazione. Ai sensi della presente legge, tale sanzione era riservata alle sole violazioni dolose. La multa massima di $ 2.500 per tutti gli altri atti non intenzionali che coinvolgono persone di età superiore ai 16 anni rimane la stessa.
• Requisiti di consenso per la partecipazione alla condivisione delle informazioni personali dei minori di 16 anni : ai sensi del CPRA, i consumatori possono non solo rinunciare alla vendita delle proprie PI, ma anche rinunciare alla vendita specificatamente a terzi. Allo stesso modo, il CCRA risponde alla necessità per le aziende di raccogliere il consenso affermativo di opt-in per condividere o vendere il PI dei minori di 16 anni. Il CPRA chiede inoltre una nuova regolamentazione per "stabilire specifiche tecniche per un segnale di preferenza di opt-out che consenta il consumatore, o il genitore o tutore del consumatore, di specificare che il consumatore ha meno di 13 anni o almeno 13 anni e meno di 16 anni.

Cosa c'è di nuovo per gli appaltatori? Obblighi contrattuali per i fornitori di servizi

Il CPRA introduce il termine "appaltatori" per descrivere coloro ai quali un'azienda mette a disposizione le informazioni personali di un consumatore per uno scopo commerciale in virtù di un contratto scritto (simile ai "fornitori di servizi" del CCPA, dove si riferiva a persone che trattano informazioni personali " per conto di” un'impresa).

Sebbene il CCPA fosse ambiguo nelle sue definizioni di fornitori di servizi e subfornitori di servizi, il CPRA stabilisce le nuove regole in modo molto chiaro. Qualsiasi appaltatore o fornitore di servizi è vincolato per contratto scritto a essere trasparente su eventuali collaborazioni con altri sub-responsabili del trattamento. I fornitori di servizi non possono aggiungere o conservare altri dati dei consumatori, dando alle aziende il diritto di "adottare misure ragionevoli e appropriate" per garantire che le informazioni personali non vengano ottenute o utilizzate in modo non etico.

Ciò che gli esperti di marketing devono sapere sulla CPRA

Nel 2023, gli esperti di marketing devono prestare maggiore attenzione ai dati che raccolgono e utilizzano per raggiungere i consumatori, che si tratti di dati proprietari o di terze parti, come la creazione del pubblico e le informazioni di targeting utilizzate dagli inserzionisti. Qualsiasi raccolta di dati, sia diretta che tramite altri fornitori di servizi o appaltatori, richiederà il consenso esplicito del consumatore . Anche qualsiasi successivo utilizzo, condivisione o vendita di informazioni personali deve essere divulgato.

Ecco cosa devono fare i professionisti del marketing per prepararsi alla CPRA:

1. Dai priorità alla trasparenza nella tua azienda

Il CPRA chiarisce che le aziende devono essere trasparenti sui dati che raccolgono. Se stai già prestando attenzione a come raccogli i dati, dove li memorizzi, per quanto tempo li conservi e come li gestisci durante l'intero ciclo di vita, ora è il momento di condividere tutte queste misure con i tuoi utenti. Allo stesso modo, ai sensi del CPRA, le aziende saranno limitate nel modo in cui utilizzano le strutture di consenso per spingere gli utenti a compiere determinate azioni. Se questo è qualcosa che fa il tuo reparto marketing, inizia ad analizzare il modo in cui raccogli il consenso per evitare schemi oscuri e consenso implicito.

2. Rivedere i cookie e aggiornare le politiche

Analogamente al GDPR, il CPRA limita alcune funzioni di condivisione dei dati che includono l'uso dei cookie. Inizia a fare l'inventario dei cookie che esistono sul tuo sito web e aggiorna le tue politiche per assicurarti che siano in linea con le normative più recenti. Assicurati di aggiornare la tua verbosità per includere tutte le nuove clausole del CPRA: stai raccogliendo PI "sensibili"? In che modo gli utenti possono rinunciare alla tecnologia per il processo decisionale automatizzato? Assicurati che queste considerazioni siano chiare ai consumatori.

3. Rivedi tutti i contratti con i partner (inclusi gli editori)

In qualità di azienda vincolata a CPRA, devi assicurarti che i tuoi partner forniscano lo stesso livello di conformità alle leggi sulla privacy come te. Esamina attentamente tutti i tuoi contratti (anche legali se necessario) per garantire che tutti i dati degli utenti siano ottenuti tramite consenso esplicito e gestiti in modo etico.

Il CPRA limita le pratiche di vendita dei dati, soprattutto quando si tratta di targeting del pubblico e comportamentale. Assicurati di esaminare le tue partnership con gli editori e di favorire coloro che utilizzano pool di dati proprietari e hanno ottenuto i dati nel rispetto di queste normative sulla privacy.

4. Collabora con un esperto di privacy

Che tu assuma qualcuno o lavori con un consulente esterno o un'agenzia, hai bisogno di uno specialista che ti aiuti a stare al passo con le ultime normative. La CPRA probabilmente non è l'ultima legge sulla privacy dei dati che avrà un impatto sulla tua attività. In effetti, la legge sta fissando nuovi standard che probabilmente saranno adottati a livello nazionale in futuro.

Siete pronti?

Ora che il disegno di legge è stato approvato, le aziende devono acquisire familiarità con i nuovi requisiti di conformità. La legge entra in vigore il 1° gennaio 2023 e diventa esecutiva il 1° luglio 2023, ma potrebbe già applicarsi ai dati personali raccolti dalle aziende già dal 1° gennaio 2022.

Un preavviso così lungo per adeguarsi alle nuove normative sulla privacy potrebbe sembrare eccessivo, ma le cose possono complicarsi rapidamente nelle organizzazioni più grandi, soprattutto se lavori con molti partner. Ecco perché ti consigliamo di iniziare subito.

Hai qualche domanda? Convert è lo strumento di test A/B più conforme alla privacy sul mercato. I nostri esperti conoscono tutti i dettagli delle normative sulla privacy e ciò che serve per essere pienamente conformi: inviaci le tue domande qui.