O privire asupra Actului de confidențialitate din Colorado: Predicții privind viitorul protecției datelor utilizatorilor
Publicat: 2021-09-16
În iulie trecut, Colorado a adoptat Legea privind confidențialitatea din Colorado (CPA), devenind al patrulea stat care a adoptat o legislație cuprinzătoare privind confidențialitatea în SUA, după California, Nevada și Virginia.
În timp ce CPA și legile similare vor fi supuse modificării pe măsură ce trece timpul, întrebarea rămâne: dacă întreprinderile încep să lucreze pentru a se conforma cu fiecare nouă lege individuală sau ar trebui să stabilească un fel de plan prin care drepturile utilizatorilor să rămână protejate, indiferent de ce se întâmplă în ceea ce privește schimbările de politică?
Cu reglementările unice de confidențialitate ale fiecărui stat, devine din ce în ce mai dificil pentru companii să țină evidența acestor schimbări, să asigure conformitatea și să evite sancțiunile.
Pentru a facilita acest proces, vom compara câteva exemple recente din diferite state și vom oferi o perspectivă asupra modului în care acestea ar putea afecta practicile de afaceri, precum și tendințele viitoare în protecția datelor utilizatorilor.
În această postare pe blog, aruncăm o privire asupra Legii privind confidențialitatea din Colorado și a modului în care aceasta se compară cu alte legi privind confidențialitatea, cum ar fi SB20 din Nevada, CDPA din Virginia, CPPA din California și cea mai recentă CPRA și GDPR european.
Mai întâi, iată un rezumat al tuturor prevederilor cheie ale acestor legi:
| Dispoziții cheie | Colorado CPA | Nevada SB220 | Virginia CDPA | California CDPA + CPRA | GDPR Europa | ||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Abilitatea de a Procesa | |||||||||||||||||||||||||||||||||||
| Minimizarea datelor | da | da | Nu | da | |||||||||||||||||||||||||||||||
| Scopul permis | da | da | Nu | da | |||||||||||||||||||||||||||||||
| Drepturi individuale | |||||||||||||||||||||||||||||||||||
| Dreptul de a primi notificare cu privire la activitățile de prelucrare | da | da | da | da | da | ||||||||||||||||||||||||||||||
| Dreptul de acces la datele personale | da | da | da | da | |||||||||||||||||||||||||||||||
| Dreptul la portabilitatea datelor (adică, datele trebuie furnizate într-un format ușor de utilizat, astfel încât să poată fi transferate de la o entitate/platformă la alta) | da | da | da | da | |||||||||||||||||||||||||||||||
| Dreptul la corectarea erorilor din datele personale | da | da | Nu | da | |||||||||||||||||||||||||||||||
| Dreptul la ștergerea datelor cu caracter personal | da | da | da | da | |||||||||||||||||||||||||||||||
| Dreptul de a renunța la publicitatea comportamentală | Nu | da | Nu | da | |||||||||||||||||||||||||||||||
| Dreptul de a vă opune profilării automate și luării deciziilor | Nu | da | Nu | da | |||||||||||||||||||||||||||||||
| Dreptul la nediscriminare pentru exercitarea acestor drepturi | da | da | da | da | |||||||||||||||||||||||||||||||
| Dreptul de a renunța la vânzarea de informații personale | da | da | da | da | Nu | ||||||||||||||||||||||||||||||
| Înscrieți-vă sau renunțați la procesarea informațiilor sensibile | Înscrieți-vă | Înscrieți-vă | A renunța | Înscrieți-vă | |||||||||||||||||||||||||||||||
| Dreptul de a face apel la respingerea cererilor | Nu | da | Nu | Nu | |||||||||||||||||||||||||||||||
| Responsabilitate/Guvernare | |||||||||||||||||||||||||||||||||||
| Evaluări privind protecția datelor | da | da | Nu | da | |||||||||||||||||||||||||||||||
| Securitate | |||||||||||||||||||||||||||||||||||
| Securitatea adecvată a datelor pentru a proteja informațiile | da | da | da | da | |||||||||||||||||||||||||||||||
| Notificare de încălcare | da | da | da | da | |||||||||||||||||||||||||||||||
| Transferuri de date în afara SEE | |||||||||||||||||||||||||||||||||||
| Măsuri suplimentare pentru transferurile internaționale | da | Nu | Nu | da | |||||||||||||||||||||||||||||||
| Transferuri către terți | |||||||||||||||||||||||||||||||||||
| Cerințe contractuale în acordurile cu furnizorii de servicii | da | da | da | da | |||||||||||||||||||||||||||||||
| Marketing | |||||||||||||||||||||||||||||||||||
| Consimțământ pentru cookie-urile Adtech | Nu | da | da | da | |||||||||||||||||||||||||||||||
| Consimțământul obținut înainte de marketingul direct | da | Nu | Nu | da | |||||||||||||||||||||||||||||||
| Agenții de executare | |||||||||||||||||||||||||||||||||||
| procuror general | procuror general | procuror general, CPPA | DPA | ||||||||||||||||||||||||||||||||
| Data operativă | |||||||||||||||||||||||||||||||||||
| 1 iulie 2023 | 1 octombrie 2019 | 1 ianuarie 2023 | 1 ianuarie 2020 / 1 ianuarie 2023 | 25 mai 2018 | |||||||||||||||||||||||||||||||
Ce au în comun toate aceste legi privind confidențialitatea?
CPA este similar cu alte legi privind confidențialitatea, cum ar fi GDPR, legea din California și cea din Virginia. Cu toate acestea, nu se compară cu Nevada, deoarece acesta din urmă a promulgat doar o lege mult mai limitată cu privire la vânzarea anumitor date colectate online, deci este exclusă din comparația de mai jos.
- Acord de prelucrare a datelor - Acesta este comun în toate legile privind confidențialitatea. Mai simplu, înseamnă că o organizație trebuie să elaboreze un șablon legal în care să descrie activitățile de prelucrare a datelor cu caracter personal care au loc atunci când utilizează un serviciu sau un produs. Pe scurt, vorbește despre cum va avea loc prelucrarea datelor, cine va fi responsabil pentru ce și ce măsuri de securitate vor fi luate. Am pregătit șablonul nostru încă din 2018 pentru GDPR, disponibil aici. Cu fiecare lege nouă, actualizăm clauzele șablon pentru a se adapta la toți termenii juridici noi.
- O a doua caracteristică comună între legile privind confidențialitatea este că toate solicită organizațiilor să ia măsuri tehnice și organizatorice adecvate pentru a răspunde rapid și corect atunci când consumatorii își exercită drepturile. Care sunt aceste drepturi diferă de la lege la lege, așa cum se vede în tabelul de mai sus, dar măsurile rămân aceleași.
- Notificarea încălcării datelor cu caracter personal este un alt termen comun prezent în legi. O încălcare a securității datelor cu caracter personal este orice eveniment care are potențialul de a afecta confidențialitatea, integritatea sau disponibilitatea datelor cu caracter personal deținute de o organizație în orice format.
Încălcările securității datelor cu caracter personal pot avea loc din mai multe motive, inclusiv:- dezvăluirea datelor confidențiale către persoane neautorizate;
- pierderea sau furtul datelor sau echipamentelor pe care sunt stocate datele;
- controale de acces neadecvate care permit utilizarea neautorizată a informațiilor;
- încercări de a obține acces neautorizat la sisteme informatice, de exemplu hacking; înregistrările modificate sau șterse fără autorizarea „proprietarului” datelor;
- viruși sau alte atacuri de securitate asupra sistemelor sau rețelelor de echipamente IT;
- lăsarea echipamentelor IT nesupravegheate atunci când sunteți conectat la un cont de utilizator fără a bloca ecranul pentru a împiedica accesul altora la informații;
- e-mailuri care conțin informații personale sau sensibile trimise din greșeală unui destinatar greșit.
- O altă cerință comună în conformitate cu GDPR, CCPA, VCDPA și CPA este procesul de efectuare a evaluărilor impactului procesării datelor (DPIA) pentru orice proiecte noi de procesare cu risc ridicat. O DPIA este procesul prin care se analizează sistematic impactul potențial pe care un proiect sau o inițiativă l-ar putea avea asupra vieții private a persoanelor. Permite organizațiilor să identifice potențiale probleme de confidențialitate înainte ca acestea să apară și să găsească o modalitate de a le atenua. GDPR a introdus mai întâi DPIA obligatorii pentru acele organizații implicate în procesarea cu risc ridicat; de exemplu, în cazul în care se implementează o nouă tehnologie, în cazul în care o operațiune de profilare este probabil să afecteze în mod semnificativ persoanele sau acolo unde există o monitorizare pe scară largă a unei zone accesibile publicului.
De exemplu, pentru a vă exercita dreptul de acces la datele personale pe care le utilizează Convert, trebuie să trimiteți o solicitare scrisă la [email protected]. În cerere, menționați că solicitarea dumneavoastră este făcută în exercitarea dreptului dumneavoastră de acces conform legii specifice privind confidențialitatea care vă interesează. DPO-ul trebuie să răspundă solicitării dumneavoastră scrise. Fiți pregătit să furnizați dovezi ale identității dvs., pe care RPD ar trebui să le solicite pentru a vă asigura că informațiile personale nu sunt furnizate persoanei greșite. Procesul de mai sus este specific GDPR, CCPA, CPA și este deja documentat pe pagina noastră de confidențialitate.
În mod similar, dacă doriți să vă închideți contul Convert, să părăsiți serviciul și doriți o copie de rezervă a tuturor datelor dvs. Convert, vă puteți exercita dreptul la portabilitatea datelor. Puteți scrie un e-mail la aceeași adresă de e-mail de mai sus, dacă opțiunea de descărcare a datelor nu este disponibilă imediat, și puteți cere DPO o copie de rezervă a datelor utilizate în cadrul serviciului. RPD trebuie să acționeze în baza cererii dumneavoastră scrise.
În proiectul său GDPR, Convert a dezvoltat îndrumări pentru personal și un șablon care să fie utilizat pentru a efectua DPIA. Puteți găsi șablonul cu întrebările de screening precompletate aici. De atunci, acest șablon a fost adaptat la noile legi privind confidențialitatea din SUA.
Dar există câteva diferențe cheie!
GDPR protejează datele personale. Legile SUA îi protejează în principal pe acei consumatori care aleg să li se protejeze datele personale.
- Dezbaterea privind datele vs protecția consumatorilor se află în centrul tuturor acestor inițiative de confidențialitate. Este, de asemenea, un punct cheie care diferențiază GDPR de toate celelalte legi privind confidențialitatea. Cu GDPR, datele personale sunt protejate pe parcursul diferitelor faze, de la colectare, prelucrare, stocare, transfer către terți. Legile SUA se asigură că consumatorul este protejat în timp ce este online și utilizează servicii, navighează sau testează produse. Acesta este motivul pentru care Politica de confidențialitate a unei companii nu poate rămâne aceeași atunci când o nouă lege intră în vigoare. Trebuie adăugate noi secțiuni, pentru a reflecta noi termeni și prevederi legale. Consultați-vă întotdeauna cu avocații dvs. pentru a ști exact ce să adăugați pentru a fi în conformitate cu fiecare lege.
- Legile diferă și în sfera de aplicare a regimului de opt-in / opt-out . GDPR funcționează în regim de opt-in, adică țările membre ale Uniunii Europene nu colectează date personale de la vizitator până când își dă acordul explicit, bifând o casetă de selectare pe bannerul de consimțământ care apare pe site-ul pe care îl navighează. Opusul se întâmplă în site-urile editorilor din SUA. Datele pot fi colectate până când un vizitator decide să renunțe la prelucrarea datelor. California funcționează doar într-un regim hibrid de renunțare/renunțare. CCPA permite unei organizații să colecteze datele consumatorilor în mod implicit, dar solicită și colectorilor de date să furnizeze consumatorilor notificări de confidențialitate înainte de colectarea datelor. CPA, VCDPA sunt sub un regim clar de renunțare.
La Convert, operăm sub un regim de înscriere, deoarece prețuim transparența și alegerile vizitatorilor și ne-am adaptat Experiența utilizatorului pentru a se potrivi cerințelor acesteia. - Diferențele pot fi observate și în regulile transferurilor internaționale de date . GDPR este din nou foarte strict cu aceste transferuri și le permite doar atunci când țara destinatară are reglementări similare privind confidențialitatea. În caz contrar, solicită organizațiilor să utilizeze clauze contractuale standard sau consimțământul utilizatorilor. Pe de altă parte, CCPA și VCDPA permit transferurile internaționale de date în întreaga lume până când apare un incident. Apoi, organizația este responsabilă și se aplică amenzi. CPA este oarecum indulgentă, solicitând organizațiilor să informeze utilizatorii/vizitatorii când au loc transferuri internaționale de date, dar fără a le restricționa.
La Convert, aderăm la GDPR și oferim instrumentele de transfer necesare atunci când sunt solicitate (clauzele contractuale standard fac parte din contractul pe care îl semnează utilizatorii noștri). - În cele din urmă, legile au perioade de răspuns diferite la încălcările de confidențialitate . GDPR și VCDPA acordă controlorilor sau procesatorilor 30 de zile pentru a reacționa la încălcările confidențialității. CPPA este permisă, dar nu este obligată să ofere o perioadă pentru a vindeca încălcările CPRA. CPA trebuie să ofere o perioadă de răspuns de 60 de zile.
Deoarece Convert nu a făcut parte din nicio încălcare a confidențialității, acest lucru nu a fost ușor de testat, dar am simulat astfel de solicitări în interior și am aflat că putem răspunde în 7-10 zile. Destul de impresionant având în vedere faptul că pot fi implicați mulți oameni și instrumente.
Compania dvs. este pregătită pentru CPA?
Multe dintre aceste legi au verbiaj similar, așa că identificarea diferențelor este destul de dificilă. Cu toate acestea, am încercat să vă facem mai clar cu această comparație de mai sus. Pentru a respecta aceste legi privind confidențialitatea, fiți pregătit să petreceți mult timp examinându-le și consultând experți juridici.
Din fericire, unele măsuri se aplică universal tuturor. Le-am enumerat într-unul dintre articolele noastre anterioare, dar iată-le din nou pentru a vă împrospăta memoria:
- Creați și mențineți un inventar cuprinzător de date, oferind o perspectivă atât asupra tipurilor de date implicate, cât și asupra naturii activităților de procesare.
- Asigurați-vă că datele sensibile sunt separate și gestionate fără riscuri inutile.
- Implementarea unui cadru pentru efectuarea evaluărilor de impact privind protecția datelor (DPIA).
- Evaluați politicile, practicile și controalele de securitate cibernetică în vigoare pentru a vă asigura că sunt în concordanță cu standardele recunoscute de industrie.
- Permiteți consumatorilor să renunțe la vânzarea informațiilor lor personale (unde este cazul).
- Actualizați politicile de confidențialitate adresate publicului pentru, printre alte modificări, să se angajeze să nu reidentifice datele personale de-identificate și să ofere detalii despre activitățile sale de prelucrare a datelor.
- Dezvoltați mecanisme de acceptare, urmărire, verificare și onorare a cererilor consumatorilor de a accesa, corecta, șterge și renunța la datele cu caracter personal conform CPA.
- Asigurați-vă că angajații dvs. de servicii pentru clienți au cunoștințe exacte despre reglementări pentru a satisface cererile consumatorilor în mod eficient și previzibil.
Cum va arăta peisajul confidențialității în următorul deceniu?
Confidențialitatea datelor devine o problemă definitorie a acestui deceniu. Aceasta va fi o lume din ce în ce mai sensibilă la confidențialitate, în care atât companiile, cât și persoanele fizice devin din ce în ce mai conștienți de faptul că nu mai există așa ceva ca „privat”.
Legile recente privind confidențialitatea ne-au învățat că aceste inițiative necesită eforturi extinse și timp pentru a planifica cu atenție, a identifica lacunele în mecanismele de confidențialitate și a implementa noi politici, procese și eforturi de remediere. Deci, peisajul confidențialității datelor nu se va schimba rapid.
Deși viitorul confidențialității este în mare parte nescris, mai multe tendințe îl modelează deja într-o varietate de moduri. Organizațiile care navighează cel mai bine în aceste tendințe în următorii zece ani vor fi mai competitive decât cele care continuă doar să respecte noile legi.
Să vedem care sunt.
- Majoritatea consumatorilor își vor proteja în mod proactiv datele personale. Vom vedea instrumente mai bune de protecție a confidențialității (în același mod în care avem acum instrumente care invadează confidențialitatea). Organizațiile care nu aderă la aceste protecții vor risca să-și piardă clienții.
- Transferurile transfrontaliere de date vor deveni mai simple. Nu va trebui să construim regate de date locale care nu pot fi introduse de străini.
- Călătoriile experienței clienților privind confidențialitatea : vor fi dezvoltate noi proiecte care se vor alinia cu așteptările culturale și legale ale legilor privind confidențialitatea, precum și cu poziția fiecărei companii cu privire la etica datelor și tehnologice.
- Cultura de confidențialitate a angajaților: resursele umane vor folosi programe de confidențialitate a angajaților care sunt aliniate cu valorile de date și tehnologie ale companiei pentru a dezvolta o cultură de confidențialitate completă. Un astfel de program ar putea include un consiliu al angajaților care analizează și comunică evaluări ale impactului etic și al confidențialității pentru noile tehnologii și utilizări de date la locul de muncă.
Multe se pot schimba în 10 ani, dar din nou, puțin se poate schimba. Aici, la Convert, am făcut din respectarea confidențialității vizitatorilor și utilizatorilor noștri o parte a culturii noastre. Unde vom fi în 2030? Până în 2030, vedem companii care respectă confidențialitatea utilizatorilor, alături de autoritățile de reglementare, lucrând împreună fără a compromite libertățile individuale. Această viziune este ceea ce contează cel mai mult pentru echipa noastră de la Compania Convert și unde sperăm să ni se alăture și dvs.!
