Uno sguardo al Colorado Privacy Act: previsioni sul futuro della protezione dei dati degli utenti
Pubblicato: 2021-09-16
Lo scorso luglio, il Colorado ha approvato il Colorado Privacy Act (CPA), diventando così il quarto stato ad emanare una legislazione completa sulla privacy negli Stati Uniti, dopo California, Nevada e Virginia.
Mentre il CPA e leggi simili saranno soggette a modifiche con il passare del tempo, la domanda rimane: le aziende dovrebbero iniziare a lavorare per conformarsi a ogni nuova legge individuale, o dovrebbero istituire una sorta di piano attraverso il quale i diritti degli utenti rimangono protetti, non importa quale accade in termini di modifiche alle politiche?
Con le normative sulla privacy uniche di ogni stato, sta diventando sempre più difficile per le aziende tenere traccia di questi cambiamenti, garantire la conformità ed evitare sanzioni.
Per semplificare questo processo, confronteremo alcuni esempi recenti di stati diversi e offriremo informazioni su come potrebbero influenzare le pratiche commerciali e le tendenze future nella protezione dei dati degli utenti.
In questo post del blog, diamo un'occhiata al Colorado Privacy Act e al modo in cui si confronta con altre leggi sulla privacy, come l'SB20 del Nevada, il CDPA della Virginia, il CPPA della California e il più recente CPRA e il GDPR europeo.
Innanzitutto, ecco un riepilogo di tutte le disposizioni chiave di queste leggi:
| Disposizioni chiave | Colorado CPA | Nevada SB220 | Virginia CDPA | California CDPA + CPRA | GDPR Europa | ||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Capacità di elaborazione | |||||||||||||||||||||||||||||||||||
| Minimizzazione dei dati | sì | sì | No | sì | |||||||||||||||||||||||||||||||
| Scopo consentito | sì | sì | No | sì | |||||||||||||||||||||||||||||||
| Diritti individuali | |||||||||||||||||||||||||||||||||||
| Diritto di ricevere la comunicazione delle attività di trattamento | sì | sì | sì | sì | sì | ||||||||||||||||||||||||||||||
| Diritto di accesso ai dati personali | sì | sì | sì | sì | |||||||||||||||||||||||||||||||
| Diritto alla portabilità dei dati (ovvero, i dati devono essere forniti in un formato facilmente utilizzabile, in modo da poter essere trasferiti da un'entità/piattaforma a un'altra) | sì | sì | sì | sì | |||||||||||||||||||||||||||||||
| Diritto di correggere gli errori nei dati personali | sì | sì | No | sì | |||||||||||||||||||||||||||||||
| Diritto di cancellare i dati personali | sì | sì | sì | sì | |||||||||||||||||||||||||||||||
| Diritto di rinunciare alla pubblicità comportamentale | No | sì | No | sì | |||||||||||||||||||||||||||||||
| Diritto di opposizione alla profilazione automatizzata e al processo decisionale | No | sì | No | sì | |||||||||||||||||||||||||||||||
| Diritto alla non discriminazione per l'esercizio di tali diritti | sì | sì | sì | sì | |||||||||||||||||||||||||||||||
| Diritto di rinunciare alla vendita di informazioni personali | sì | sì | sì | sì | No | ||||||||||||||||||||||||||||||
| Accettare o rifiutare il trattamento di informazioni sensibili | Adesione | Adesione | Decidere di uscire | Adesione | |||||||||||||||||||||||||||||||
| Diritto di ricorso rigetto delle richieste | No | sì | No | No | |||||||||||||||||||||||||||||||
| Responsabilità/Governance | |||||||||||||||||||||||||||||||||||
| Valutazioni sulla protezione dei dati | sì | sì | No | sì | |||||||||||||||||||||||||||||||
| Sicurezza | |||||||||||||||||||||||||||||||||||
| Sicurezza dei dati appropriata per salvaguardare le informazioni | sì | sì | sì | sì | |||||||||||||||||||||||||||||||
| Notifica di violazione | sì | sì | sì | sì | |||||||||||||||||||||||||||||||
| Trasferimenti di dati al di fuori del SEE | |||||||||||||||||||||||||||||||||||
| Misure aggiuntive per i trasferimenti internazionali | sì | No | No | sì | |||||||||||||||||||||||||||||||
| Trasferimenti a Terzi | |||||||||||||||||||||||||||||||||||
| Requisiti contrattuali negli accordi con i fornitori di servizi | sì | sì | sì | sì | |||||||||||||||||||||||||||||||
| Marketing | |||||||||||||||||||||||||||||||||||
| Consenso ai cookie Adtech | No | sì | sì | sì | |||||||||||||||||||||||||||||||
| Consenso ottenuto prima del marketing diretto | sì | No | No | sì | |||||||||||||||||||||||||||||||
| Agenzie di contrasto | |||||||||||||||||||||||||||||||||||
| Procuratore generale | Procuratore generale | procuratore generale, CPPA | DPA | ||||||||||||||||||||||||||||||||
| Data operativa | |||||||||||||||||||||||||||||||||||
| 1 luglio 2023 | 1 ottobre 2019 | 1 gennaio 2023 | 1 gennaio 2020 / 1 gennaio 2023 | 25 maggio 2018 | |||||||||||||||||||||||||||||||
Cosa hanno in comune tutte queste leggi sulla privacy?
Il CPA è simile ad altre leggi sulla privacy come GDPR, la legge della California e quella della Virginia. Tuttavia, non è paragonabile al Nevada poiché quest'ultimo ha emanato solo una legge molto più limitata in merito alla vendita di determinati dati raccolti online, quindi è escluso dal confronto seguente.
- Accordo sul trattamento dei dati : è comune a tutte le leggi sulla privacy. In parole povere, significa che un'organizzazione deve redigere un modello legale in cui descrive le attività di trattamento dei dati personali che si svolgono durante l'utilizzo di un servizio o prodotto. In breve, parla di come avverrà il trattamento dei dati, chi sarà responsabile di cosa e quali misure di sicurezza verranno adottate. Abbiamo preparato il nostro modello nel 2018 per il GDPR, disponibile qui. Con ogni nuova legge, aggiorniamo le clausole modello per adattarle a tutti i nuovi termini legali.
- Una seconda comunanza tra le leggi sulla privacy è che tutte richiedono alle organizzazioni di adottare misure tecniche e organizzative appropriate per rispondere rapidamente e adeguatamente quando i consumatori esercitano i propri diritti. Quali sono questi diritti differisce da legge a legge, come si vede nella tabella sopra, ma le misure rimangono le stesse.
- La notifica di violazione dei dati personali è un altro termine comune presente nelle leggi. Una violazione della sicurezza dei dati personali è qualsiasi evento che può potenzialmente incidere sulla riservatezza, l'integrità o la disponibilità dei dati personali detenuti da un'organizzazione in qualsiasi formato.
Le violazioni della sicurezza dei dati personali possono verificarsi per molte ragioni, tra cui:- la divulgazione di dati riservati a soggetti non autorizzati;
- perdita o furto di dati o apparecchiature su cui sono archiviati i dati;
- controlli di accesso inappropriati che consentono l'uso non autorizzato delle informazioni;
- tentativi di accesso non autorizzato a sistemi informatici, ad es. hacking; registrazioni alterate o cancellate senza autorizzazione del “titolare” dei dati;
- virus o altri attacchi alla sicurezza su sistemi o reti di apparecchiature informatiche;
- lasciare le apparecchiature IT incustodite quando si accede a un account utente senza bloccare lo schermo per impedire ad altri di accedere alle informazioni;
- e-mail contenenti informazioni personali o sensibili inviate per errore al destinatario sbagliato.
- Un altro requisito comune ai sensi di GDPR, CCPA, VCDPA e CPA è il processo di conduzione delle valutazioni dell'impatto sull'elaborazione dei dati (DPIA) per qualsiasi nuovo progetto di elaborazione ad alto rischio. Una DPIA è il processo di considerazione sistematica del potenziale impatto che un progetto o un'iniziativa potrebbe avere sulla privacy delle persone. Consente alle organizzazioni di identificare potenziali problemi di privacy prima che si presentino e trovare un modo per mitigarli. Il GDPR ha introdotto per la prima volta DPIA obbligatorie per le organizzazioni coinvolte nel trattamento ad alto rischio; ad esempio, dove viene utilizzata una nuova tecnologia, dove è probabile che un'operazione di profilazione influisca in modo significativo sulle persone o dove vi sia un monitoraggio su larga scala di un'area accessibile al pubblico.
Ad esempio, per esercitare il diritto di accesso ai dati personali utilizzati da Convert, è necessario inviare una richiesta scritta a [email protected]. Nella richiesta, indica che la tua richiesta è stata avanzata nell'esercizio del tuo diritto di accesso ai sensi della specifica legge sulla privacy che ti interessa. Il DPO è tenuto a rispondere alla tua richiesta scritta. Preparati a fornire prove della tua identità, che il DPO dovrebbe richiederti per assicurarti che le informazioni personali non siano fornite alla persona sbagliata. Il processo di cui sopra è specifico per GDPR, CCPA, CPA ed è già documentato nella nostra pagina Privacy.
Allo stesso modo, se desideri chiudere il tuo account Convert, abbandonare il servizio e desideri un backup di tutti i tuoi dati Convert, puoi esercitare il tuo diritto alla portabilità dei dati. Puoi scrivere un'e-mail allo stesso indirizzo e-mail sopra, se l'opzione per scaricare i dati non è immediatamente disponibile, e chiedere al DPO un backup dei dati utilizzati nel servizio. Il DPO deve agire su tua richiesta scritta.
Nel suo progetto GDPR, Convert ha sviluppato una guida per il personale e un modello da utilizzare per eseguire le DPIA. Puoi trovare il modello con le domande di screening precompilate qui. Da allora questo modello è stato adattato alle nuove leggi sulla privacy degli Stati Uniti.
Ma ci sono alcune differenze chiave!
GDPR protegge i dati personali. Le leggi statunitensi proteggono principalmente quei consumatori che scelgono di proteggere i propri dati personali.
- Il dibattito sulla protezione dei dati e dei consumatori è al centro di tutte queste iniziative sulla privacy. È anche un punto chiave che differenzia il GDPR da tutte le altre leggi sulla privacy. Con il GDPR i dati personali sono tutelati nelle varie fasi, dalla raccolta, elaborazione, conservazione, trasferimento a terzi. Le leggi statunitensi assicurano che il consumatore sia protetto mentre è online e utilizza servizi, naviga o testa i prodotti. Ecco perché la Privacy Policy di un'azienda non può rimanere la stessa quando entra in vigore una nuova legge. È necessario aggiungere nuove sezioni per riflettere i nuovi termini e disposizioni legali. Consulta sempre i tuoi avvocati per sapere esattamente cosa aggiungere per essere conforme a ogni legge.
- Le leggi differiscono anche per l'ambito di applicazione del regime di opt-in /opt-out. Il GDPR opera in regime di opt-in, nel senso che i paesi membri dell'Unione Europea non raccolgono alcun dato personale dal visitatore fino a quando non acconsentono esplicitamente selezionando una casella di spunta sul banner di consenso che appare sul sito che stanno navigando. L'opposto sta accadendo nei siti di editori con sede negli Stati Uniti. I dati possono essere raccolti fino a quando un visitatore non decide di rinunciare al trattamento dei dati. La California opera solo nell'ambito di un regime ibrido di opt-out/opt-in. Il CCPA consente a un'organizzazione di raccogliere i dati dei consumatori per impostazione predefinita, ma richiede anche ai raccoglitori di dati di fornire avvisi sulla privacy ai consumatori prima della raccolta dei dati. Il CPA e il VCDPA sono soggetti a un chiaro regime di opt-out.
In Convert, operiamo in un regime di opt-in poiché apprezziamo la trasparenza e le scelte dei visitatori e abbiamo adattato la nostra esperienza utente per soddisfare i suoi requisiti. - Le differenze possono essere viste anche nelle regole dei trasferimenti internazionali di dati . Il GDPR è ancora una volta molto severo con questi trasferimenti e li consente solo quando il paese destinatario ha normative sulla privacy simili. In caso contrario, richiede alle organizzazioni di utilizzare clausole contrattuali standard o il consenso degli utenti. D'altra parte, CCPA e VCDPA consentono trasferimenti internazionali di dati in tutto il mondo fino a quando non si verifica un incidente. Quindi, l'organizzazione è ritenuta responsabile e si applicano sanzioni. Il CPA è alquanto clemente e richiede alle organizzazioni di informare gli utenti/visitatori quando si verificano trasferimenti internazionali di dati, ma senza limitarli.
In Convert, aderiamo al GDPR e forniamo gli strumenti di trasferimento necessari quando richiesto (le clausole contrattuali standard fanno parte del contratto che i nostri utenti stanno firmando). - Infine, le leggi prevedono periodi di risposta diversi alle violazioni della privacy . Il GDPR e il VCDPA danno ai titolari o ai responsabili del trattamento 30 giorni per reagire alle violazioni della privacy. Il CPPA è autorizzato, ma non obbligato, a offrire un periodo per sanare le violazioni del CPRA. Il CPA deve offrire un periodo di risposta di 60 giorni.
Poiché Convert non ha fatto parte di alcuna violazione della privacy, non è stato facile da testare, ma abbiamo simulato tali richieste internamente e abbiamo scoperto che possiamo rispondere entro 7-10 giorni. Abbastanza impressionante dato il fatto che molte persone e strumenti possono essere coinvolti.
La tua azienda è pronta per il CPA?
Molte di queste leggi hanno una verbosità simile, quindi individuare le differenze è piuttosto difficile. Tuttavia, abbiamo cercato di renderlo più chiaro per te con questo confronto sopra. Per ottenere la conformità con queste leggi sulla privacy, preparati a dedicare molto tempo a esaminarle e consultare esperti legali.
Per fortuna, alcune misure si applicano universalmente a tutti loro. Li abbiamo elencati in uno dei nostri precedenti articoli, ma eccoli di nuovo per rinfrescarvi la memoria:
- Creare e mantenere un inventario completo dei dati, fornendo informazioni dettagliate sui tipi di dati coinvolti e sulla natura delle attività di elaborazione.
- Garantire che i dati sensibili siano separati e gestiti senza rischi inutili.
- Implementare un framework per condurre valutazioni dell'impatto sulla protezione dei dati (DPIA).
- Valuta le politiche, le pratiche e i controlli di sicurezza informatica in atto per assicurarti che siano coerenti con gli standard riconosciuti dal settore.
- Consentire ai consumatori di rinunciare alla vendita delle proprie informazioni personali (ove applicabile).
- Aggiornare le politiche sulla privacy rivolte al pubblico per, tra le altre modifiche, impegnarsi a non identificare nuovamente i dati personali anonimi e fornire dettagli sulle proprie attività di trattamento dei dati.
- Sviluppare meccanismi per accettare, tracciare, verificare e onorare le richieste dei consumatori di accedere, correggere, eliminare e rifiutare i dati personali ai sensi del CPA.
- Assicurati che i dipendenti del servizio clienti abbiano una conoscenza accurata delle normative per soddisfare le richieste dei consumatori in modo efficiente e prevedibile.
Come sarà il panorama della privacy nel prossimo decennio?
La privacy dei dati sta emergendo come una questione determinante di questo decennio. Questo sarà un mondo sempre più sensibile alla privacy, in cui sia le aziende che gli individui stanno diventando sempre più consapevoli che non esiste più il "privato".
Le recenti leggi sulla privacy ci hanno insegnato che queste iniziative richiedono ampi sforzi e tempo per pianificare attentamente, individuare le lacune nei meccanismi di privacy e implementare nuove politiche, processi e sforzi di riparazione. Quindi il panorama della privacy dei dati non cambierà rapidamente.
Sebbene il futuro della privacy sia in gran parte non scritto, diverse tendenze lo stanno già plasmando in vari modi. Le organizzazioni che sapranno affrontare al meglio queste tendenze nei prossimi dieci anni saranno più competitive di quelle che continueranno a conformarsi alle nuove leggi.
Vediamo quali sono.
- La maggior parte dei consumatori proteggerà in modo proattivo i propri dati personali. Vedremo migliori strumenti di protezione della privacy (nello stesso modo in cui ora abbiamo strumenti che invadono la privacy). Le organizzazioni che non aderiscono a queste protezioni rischieranno di perdere i propri clienti.
- I trasferimenti di dati transfrontalieri diventeranno più semplici. Non dovremo costruire regni di dati locali che non possono essere inseriti da stranieri.
- Privacy customer experience journey : verranno sviluppati nuovi progetti in linea con le aspettative culturali e legali delle leggi sulla privacy, nonché con la posizione di ciascuna azienda sull'etica dei dati e della tecnologia.
- Cultura della privacy dei dipendenti: le risorse umane utilizzeranno programmi per la privacy dei dipendenti in linea con i dati e i valori tecnologici dell'azienda per sviluppare una cultura della privacy a tutto tondo. Un tale programma potrebbe includere un consiglio dei dipendenti che riesamina e comunica valutazioni sulla privacy e sull'impatto etico per le nuove tecnologie e l'utilizzo dei dati sul posto di lavoro.
Molto può cambiare in 10 anni, ma anche poco può cambiare. Qui a Convert, abbiamo fatto del rispetto della privacy dei nostri visitatori e utenti parte della nostra cultura. Dove saremo nel 2030? Entro il 2030, vediamo aziende che rispettano la privacy degli utenti insieme alle autorità di regolamentazione che lavorano insieme senza intoppi senza compromettere le libertà individuali. Questa visione è ciò che conta di più per il nostro team della società Convert e ci auguriamo che anche tu ti unisca a noi!
