Preparati per il CDPA: la costa orientale incontra la costa occidentale mentre la Virginia firma la legge sulla privacy
Pubblicato: 2021-04-22
Lo stato della Virginia ha recentemente votato per diventare il primo stato della costa orientale ad emanare una legge che disciplina il modo in cui le aziende proteggono i dati personali dei consumatori. La nuova legge arriva quando i giganti della tecnologia affrontano il respingimento di legislatori e consumatori sulla gestione delle informazioni personali.
Il disegno di legge del Virginia Consumer Data Protection Act (CDPA) è stato convertito in legge il 2 marzo 2021 ed entrerà in vigore nel 2023.
Simile al California Consumer Privacy Act del 2018 (CCPA), al California Privacy Rights Act del 2020 (CPRA) e persino al GDPR europeo, il CDPA è l'ultimo sviluppo in quello che è stato un anno spartiacque per la legislazione sulla privacy negli Stati Uniti.
Ma le aziende che hanno lavorato sul rispetto delle altre leggi non dovrebbero dormire sugli allori. Devono ancora prepararsi per il CDPA, che ha disposizioni diverse da quelle del CCPA o del CPRA.
In questo articolo, diamo un'occhiata a queste distinte disposizioni del Virginia Act e le confrontiamo con il CCPA (come modificato dal CPRA) e il GDPR.
| Disposizioni chiave | Virginia CDPA | California CCPA + CPRA | GDPR Europa | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Capacità di elaborazione | |||||||||||||||||||||||
| Minimizzazione dei dati | sì | No | sì | ||||||||||||||||||||
| Scopo consentito | sì | No | sì | ||||||||||||||||||||
| Diritti individuali | |||||||||||||||||||||||
| Diritto di ricevere la comunicazione delle attività di trattamento | sì | sì | sì | ||||||||||||||||||||
| Diritto di accesso ai dati personali | sì | sì | sì | ||||||||||||||||||||
| Diritto alla portabilità dei dati (ovvero, i dati devono essere forniti in un formato facilmente utilizzabile, in modo da poter essere trasferiti da un'entità/piattaforma a un'altra) | sì | sì | sì | ||||||||||||||||||||
| Diritto di correggere gli errori nei dati personali | sì | No | sì | ||||||||||||||||||||
| Diritto di cancellare i dati personali | sì | sì | sì | ||||||||||||||||||||
| Diritto di rinunciare alla pubblicità comportamentale | sì | No | sì | ||||||||||||||||||||
| Diritto di opposizione alla profilazione automatizzata e al processo decisionale | sì | No | sì | ||||||||||||||||||||
| Diritto alla non discriminazione per l'esercizio di tali diritti | sì | sì | sì | ||||||||||||||||||||
| Diritto di rinunciare alla vendita di informazioni personali | sì | sì | No | ||||||||||||||||||||
| Accettare o rifiutare il trattamento di informazioni sensibili | Adesione | Decidere di uscire | Adesione | ||||||||||||||||||||
| Diritto di ricorso rigetto delle richieste | sì | No | No | ||||||||||||||||||||
| Responsabilità/Governance | |||||||||||||||||||||||
| Valutazioni sulla protezione dei dati | sì | No | sì | ||||||||||||||||||||
| Sicurezza | |||||||||||||||||||||||
| Sicurezza dei dati appropriata per salvaguardare le informazioni | sì | sì | sì | ||||||||||||||||||||
| Notifica di violazione | sì | sì | sì | ||||||||||||||||||||
| Trasferimenti di dati al di fuori del SEE | |||||||||||||||||||||||
| Misure aggiuntive per i trasferimenti internazionali | No | No | sì | ||||||||||||||||||||
| Trasferimenti a Terzi | |||||||||||||||||||||||
| Requisiti contrattuali negli accordi con i fornitori di servizi | sì | sì | sì | ||||||||||||||||||||
| Marketing | |||||||||||||||||||||||
| Consenso ai cookie Adtech | sì | sì | sì | ||||||||||||||||||||
| Consenso ottenuto prima del marketing diretto | No | No | sì | ||||||||||||||||||||
| Agenzie di contrasto | |||||||||||||||||||||||
| Procuratore generale | procuratore generale, CPPA | DPA | |||||||||||||||||||||
| Data operativa | |||||||||||||||||||||||
| 1 gennaio 2023 | 1 gennaio 2020 / 1 gennaio 2023 | 25 maggio 2018 | |||||||||||||||||||||
Le aziende che hanno lavorato per ottenere la conformità al CCPA o al GDPR scopriranno che queste leggi hanno molti termini e termini simili; tuttavia, è un errore presumere che la legge della Virginia abbia requisiti identici.
Sebbene ci siano somiglianze con il CCPA e il GDPR, il CDPA contiene sfumature che probabilmente saranno uniche per ciascuna organizzazione.
Se sei sopraffatto dalla lettura di questo articolo, dai un'occhiata alle istruzioni dettagliate che abbiamo esposto di seguito per aiutare ad affrontare la conformità con la nuova legge sulla privacy.
Innanzitutto, chiedi agli avvocati, ai professionisti IT e agli specialisti della privacy della tua organizzazione di valutare l'applicazione della legge alla tua azienda. Quindi, identifica eventuali lacune e sviluppa un piano di conformità che includa soluzioni per questi problemi.
Entriamo più nel dettaglio, vero?
Per ottenere la conformità al CDPA, è necessario:
- Creare e mantenere un inventario completo dei dati, fornendo informazioni dettagliate sui tipi di dati coinvolti e sulla natura delle attività di elaborazione.
- Garantire che i dati sensibili siano separati e gestiti senza rischi inutili.
- Implementare un framework per condurre valutazioni dell'impatto sulla protezione dei dati (DPIA).
- Valuta le politiche, le pratiche e i controlli di sicurezza informatica in atto per assicurarti che siano coerenti con gli standard riconosciuti dal settore.
- Consentire ai consumatori di rinunciare alla vendita delle proprie informazioni personali (ove applicabile).
- Aggiornare le politiche sulla privacy rivolte al pubblico per, tra le altre modifiche, impegnarsi a non identificare nuovamente i dati personali anonimi e fornire dettagli sulle proprie attività di trattamento dei dati.
- Sviluppare meccanismi per accettare, tracciare, verificare e onorare le richieste dei consumatori di accedere, correggere, eliminare e rifiutare i dati personali ai sensi del CDPA.
- Assicurati che i dipendenti del servizio clienti abbiano una conoscenza accurata delle normative per soddisfare le richieste dei consumatori in modo efficiente e prevedibile.
Infine, mentre il 2023 può sembrare un futuro lontano, non rimandare la costruzione del tuo piano di conformità.
Se altre recenti leggi sulla privacy ci hanno insegnato qualcosa, è che queste iniziative richiedono ampi sforzi e tempo per pianificare attentamente, individuare le lacune nei meccanismi di privacy e implementare nuove politiche, processi e sforzi di riparazione.
Non è troppo presto per iniziare gli sforzi di conformità al CDPA poiché più stati, come New York e Washington, iniziano a emanare leggi sulla protezione della privacy dei consumatori.
Man mano che più legislature statali diventano attive nell'approvazione di leggi o leggi sulla protezione della privacy dei consumatori, una cosa diventa chiara: garantire la privacy dei clienti non può più essere un ripensamento. Deve essere integrato nel tuo modello di business.
