Legea privind drepturile de confidențialitate din California (CPRA): ești gata pentru CCPA 2.0?

Publicat: 2020-12-01
Legea privind drepturile de confidențialitate din California (CPRA): ești gata pentru CCPA 2.0?

În mai 2020, grupul de susținere a confidențialității Californians for Consumer Privacy a anunțat că a strâns 900.000 de semnături pentru a adăuga Legea privind drepturile de confidențialitate din California (cunoscută și sub numele de CPRA, CCPA 2.0, Propunerea 24 sau Prop 24) la buletinul de vot din noiembrie 2020.

Pe 3 noiembrie, 56% dintre californieni au votat în favoarea CPRA la alegerile generale. Actul este menit să revizuiască și să reușească Legea privind confidențialitatea consumatorilor din California (CCPA), odată ce intră în vigoare la 1 ianuarie 2023.

Pe 3 noiembrie, 56% dintre californieni au votat în favoarea CPRA la alegerile generale.

Pe scurt, legea extinde drepturile de confidențialitate ale utilizatorilor pentru a se alinia la GDPR, impune îndatoriri suplimentare întreprinderilor și stabilește prima autoritate guvernamentală dedicată implementării și aplicării confidențialității în SUA, Agenția de protecție a confidențialității din California (CPPA) .

CCPA a avut deja un impact semnificativ în afara Californiei, devenind standardul pentru confidențialitatea datelor în SUA. Acesta este motivul pentru care acest proiect de lege trebuie urmărit îndeaproape - ar putea avea un impact asupra afacerilor chiar dacă acestea nu au sediul în California. Mai jos am subliniat punctele cheie pe care marketerii trebuie să le cunoască pentru a începe să se pregătească pentru noile cerințe de conformitate.

O nouă agenție de aplicare a confidențialității

La intrarea în vigoare a Regulamentului General pentru Protecția Datelor (GDPR), UE a desemnat Autoritatea pentru Protecția Datelor să pună în aplicare legile. SUA nu au o autoritate comparabilă pentru a impune noile drepturi la confidențialitatea consumatorilor.

Aici intervine Agenția de Protecție a Confidențialității din California (CPPA). Rolul său este de a clarifica noile linii directoare, de a aplica amenzi și de a organiza audieri despre încălcările confidențialității.

Noile concepte privind drepturile consumatorilor și informațiile personale

CPRA introduce noi concepte (care există deja în UE datorită GDPR) în peisajul confidențialității datelor din California.

Iată câteva dintre ele, explicate:

  • Dreptul la rectificare – Acordarea dreptului consumatorilor de a corecta informațiile personale inexacte.
  • Dreptul la restricție – Acordarea dreptului consumatorilor de a limita utilizarea și dezvăluirea informațiilor personale sensibile.
  • Informații de identificare personală „sensibile” – Conform noii legi, anumite tipuri de informații, cum ar fi numerele de securitate socială, numerele de pașaport, locația geografică precisă, informațiile biometrice etc., vor fi marcate ca „sensibile”.

Ce s-a schimbat?

CCPA 2020

  • Dreptul de a ști
  • Dreptul la ștergere
  • Dreptul de a renunța la vânzările terților
  • Dreptul la nediscriminare

Include în mod implicit PI sensibile într-un set de date reglementat mai larg, dar nu impune cerințe și interdicții separate pentru PI sensibile (altele decât cerințele de verificare sporite).

CPRA 2023

  • Dreptul de a ști
  • Dreptul la ștergere
  • Dreptul de a renunța la vânzările și partajarea terților
  • Dreptul de a limita utilizarea și dezvăluirea PI sensibile
  • Dreptul la corectare
  • Dreptul de acces la informații despre luarea automată a deciziilor
  • Dreptul de a renunța la tehnologia automată de luare a deciziilor
  • Dreptul de a restricționa PI sensibile
  • Obligații de audit
  • Dreptul la nediscriminare

Impune cerințe și restricții separate pentru PI sensibile:

  • Cerinte de confidentialitate
  • Cerințe de renunțare pentru utilizare și dezvăluire
  • Standardul de consimțământ pentru utilizare și dezvăluire
  • Cerințe de limitare a scopului

Noua definiție a vânzării de informații personale

CPRA va defini ce pot face companiile cu informațiile personale pe care le colectează de la rezidenții din California într-un mod nou. Conform CCPA, o vânzare a fost definită ca „schimb de date pentru un anumit tip de contraprestație financiară”, o definiție considerată prea vagă de mulți. CPRA rezolvă această problemă împărțind partajarea și vânzarea informațiilor personale ale oamenilor în două categorii diferite.

Ce s-a schimbat?

CCPA 2020

  • Are venituri anuale de peste 25 de milioane de dolari;
  • cumpără sau vinde, SAU primește sau acționează în scopuri comerciale, PI de peste 50.000 de consumatori, gospodării sau dispozitive; sau
  • obține cel puțin 50% din veniturile anuale din vânzarea de PI pentru consumatori.

CPRA 2023

  • Are venituri anuale de peste 25 de milioane de dolari;
  • cumpără, vinde sau împărtășește PI a peste 100.000 de consumatori sau gospodării; sau
  • obține cel puțin 50% din veniturile anuale din vânzarea sau partajarea PI pentru consumatori.

Mai multe drepturi pentru copiii sub 16 ani

  • Amenzi administrative majorate pentru partajarea ilegală a informațiilor personale ale copiilor : orice încălcare care implică informațiile personale ale copiilor sub 16 ani este supusă unei amenzi de 7.500 USD pentru fiecare încălcare. Potrivit actului actual, această pedeapsă era rezervată doar pentru încălcările intenționate. Amenda maximă de 2.500 USD pentru toate celelalte acte neintenționate care implică persoane de peste 16 ani rămâne aceeași.
  • Cerințe privind consimțământul de înscriere pentru partajarea informațiilor personale ale copiilor sub 16 ani : în conformitate cu CPRA, consumatorii pot nu numai să renunțe la vânzarea PI, ci și să renunțe la vânzarea acestora către terți în mod specific. În mod similar, CCRA abordează nevoia întreprinderilor de a colecta consimțământul afirmativ de opt-in fie pentru a împărți sau a vinde PI pentru copiii sub 16 ani. consumatorului, sau părintele sau tutorele consumatorului, să precizeze că consumatorul are vârsta mai mică de 13 ani sau cel puțin 13 ani și mai puțin de 16 ani.”

Ce este nou pentru antreprenori? Obligații Contractuale pentru Furnizorii de Servicii

CPRA introduce termenul „contractanți” pentru a-i descrie pe cei cărora o întreprindere le pune la dispoziție informațiile personale ale unui consumator pentru un scop de afaceri în temeiul unui contract scris (similar cu „furnizorii de servicii” ai CCPA, unde se referă la persoanele care prelucrează informații personale „ în numele” unei afaceri).

În timp ce CCPA a fost ambiguă în definițiile sale de furnizori de servicii și sub-furnizori de servicii, CPRA stabilește noile reguli foarte clar. Orice contractant sau furnizor de servicii este obligat prin contract scris să fie transparent cu privire la orice colaborări cu alți subprocesatori. Furnizorii de servicii nu pot adăuga sau deține alte date despre consumatori, oferind companiilor dreptul de a „a lua măsuri rezonabile și adecvate” pentru a se asigura că informațiile personale nu sunt obținute sau utilizate în mod neetic.

Ce trebuie să știe specialiștii în marketing despre CPRA

În 2023, specialiștii în marketing trebuie să acorde mai multă atenție datelor pe care le colectează și le folosesc pentru a ajunge la consumatori, fie că este vorba de date primare sau terțe, cum ar fi informațiile despre crearea de public și direcționarea utilizate de agenții de publicitate. Orice colectare de date, directă sau prin intermediul altor furnizori de servicii sau contractanți, va necesita acordul explicit al consumatorului . Orice utilizare, partajare sau vânzare ulterioară a informațiilor personale trebuie, de asemenea, dezvăluită.

Iată ce trebuie să facă agenții de marketing pentru a se pregăti pentru CPRA:

1. Prioritizează transparența în compania ta

CPRA clarifică faptul că întreprinderile trebuie să fie transparente cu privire la datele pe care le colectează. Dacă acordați deja atenție modului în care colectați datele, unde le stocați, cât timp le păstrați și cum le gestionați pe parcursul întregului ciclu de viață, acum este momentul să împărtășiți toate aceste măsuri cu utilizatorii dvs. În același sens, în conformitate cu CPRA, întreprinderile vor fi limitate în modul în care folosesc structurile de consimțământ pentru a împinge utilizatorii să facă anumite acțiuni. Dacă acest lucru face departamentul dvs. de marketing, începeți să analizați modul în care colectați consimțământul pentru a evita orice tipare întunecate și consimțământul implicit.

2. Consultați cookie-urile și actualizați politicile

Similar cu GDPR, CPRA limitează anumite funcții de partajare a datelor care includ utilizarea cookie-urilor. Începeți să inventariez modulele cookie care există pe site-ul dvs. web și actualizați-vă politicile pentru a vă asigura că sunt în conformitate cu cele mai recente reglementări. Asigurați-vă că vă actualizați verbiajul pentru a include toate noile clauze ale CPRA - colectați vreun PI „sensibil”? Cum pot utilizatorii să renunțe la tehnologia automată de luare a deciziilor? Asigurați-vă că aceste considerente sunt clare pentru consumatori.

3. Examinați toate contractele cu partenerii (inclusiv editorii)

În calitate de companie legată de CPRA, trebuie să vă asigurați că partenerii dumneavoastră oferă același nivel de conformitate cu legile privind confidențialitatea ca și dumneavoastră. Examinați cu atenție toate contractele dvs. (implică juridice, dacă este necesar) pentru a vă asigura că toate datele utilizatorilor sunt obținute prin consimțământ explicit și gestionate în mod etic.

CPRA limitează practicile de vânzare a datelor, mai ales când vine vorba de direcționarea către public și comportament. Asigurați-vă că vă examinați parteneriatele cu editorii și îi favorizați pe cei care folosesc grupuri de date primare și au obținut datele respectând aceste reglementări de confidențialitate.

4. Lucrați cu un expert în confidențialitate

Fie că angajezi pe cineva sau lucrezi cu un consultant sau o agenție externă, ai nevoie de un specialist care să te ajute să fii la curent cu cele mai recente reglementări. CPRA probabil nu este ultima lege privind confidențialitatea datelor care vă va afecta afacerea. De fapt, legea stabilește noi standarde care probabil vor fi adoptate la nivel național în viitor.

Sunteţi gata?

Acum că proiectul de lege a fost adoptat, companiile trebuie să se familiarizeze cu noile cerințe de conformitate. Legea intră în vigoare la 1 ianuarie 2023 și devine aplicabilă la 1 iulie 2023, dar s-ar putea aplica deja informațiilor personale colectate de companii încă de la 1 ianuarie 2022.

O astfel de înștiințare îndelungată pentru a se adapta la noile reglementări de confidențialitate ar putea suna excesiv, dar lucrurile se pot complica rapid la organizațiile mai mari, mai ales dacă lucrați cu mulți parteneri. De aceea vă recomandăm să începeți imediat.

Ai întrebări? Convert este cel mai compatibil instrument de testare A/B de confidențialitate de pe piață. Experții noștri cunosc toate profundele și dezavantajele reglementărilor privind confidențialitatea și de ce este nevoie pentru a fi pe deplin conformi - trimite-ne întrebările tale aici.

Gustați unul dintre cele mai sensibile instrumente de testare A/B de confidențialitate
Gustați unul dintre cele mai sensibile instrumente de testare A/B de confidențialitate