Crezi că confidențialitatea este doar pentru Europa? Mai gandeste-te.

GDPR este gata. Și oricum a afectat doar afacerile care operează în UE. Dreapta?

Nu chiar.

1. Confidențialitatea nu este niciodată „terminată”. Conformitatea este o cerință permanentă, iar companiile ar trebui să își monitorizeze în mod constant punctele de contact, practicile de colectare a datelor, logica de procesare a datelor și același set de considerații pentru furnizorii lor, în mod continuu.
2. GDPR a afectat toate întreprinderile care procesau datele cetățenilor UE – nu doar pe cele situate în Europa.
3. GDPR a fost vârful aisbergului. Lumea devine conștientă de amenințările legate de colectarea și prelucrarea neclintită a datelor cu impunitate. Da, Europa s-a trezit prima. Dar asta nu înseamnă că SUA și restul lumii vor continua să adormite.

De fapt, SUA au început deja pe calea către reglementări revoluționare privind confidențialitatea. Având în vedere legi adoptate în California, Nevada și Maine și proiecte de lege planificate în multe alte state, întreprinderile ar trebui să se aștepte să fie afectate în următoarele luni.

Acest articol detaliază părțile esențiale ale legii/facturii de reglementare a confidențialității din fiecare stat - inclusiv cine acoperă, când intră în vigoare, sancțiuni, cum se asigură conformitatea, de ce statele au luat frâiele în fața guvernului federal pentru a proteja datele personale ale consumatorilor, precum și cum ar putea beneficia afacerea dvs. adoptarea respectării confidențialității.

Regulamentul federal al SUA?

Într-o scrisoare adresată liderilor Congresului din 10 septembrie, directorii executivi ai mesei rotunde de afaceri din toate industriile au îndemnat factorii de decizie să adopte, cât mai curând posibil, o lege națională cuprinzătoare privind confidențialitatea datelor care să consolideze protecția consumatorilor americani și să stabilească un cadru care să permită inovarea și creșterea continuă în economie digitală.

Scrisoarea, semnată de 51 de directori generali, a fost trimisă conducerii Camerei și Senatului și liderilor comisiilor pentru Energie și Comerț și Comerț, Știință și Transport din Senat.

Din perspectiva afacerilor din SUA, nu a existat niciodată un moment mai bun pentru introducerea unei legi federale privind protecția datelor.

GDPR stipulează că orice companie care colectează date despre persoane fizice rezidente în UE trebuie să respecte legislația – indiferent dacă acea companie are sediul în UE sau nu. Aceasta înseamnă că multe companii din SUA sunt deja conforme cu GDPR pentru a opera la nivel internațional și au cadru stabilit pentru a extinde această conformitate pe piața din SUA.

Este diferit pentru afacerile naționale din SUA. Conformitatea cu protecția datelor devine un coșmar, cu (potențial) până la 50 de legi de stat diferite, cu specificații și cerințe diferite. O lege federală ar eficientiza acest lucru, oferind o singură lege unificatoare în toate statele.

Legile Statelor SUA

Ca răspuns, statele au luat măsuri mult mai devreme.

Cu legi adoptate în trei state, proiecte de lege propuse în altele și mai multe state care adoptă noi legi privind notificarea încălcării datelor, asistăm la începutul unei schimbări masive către protecția datelor consumatorilor și responsabilitatea întreprinderilor care le controlează și le procesează.

Centrul de Cercetare IAPP Westin a compilat lista de mai jos cu proiecte de lege cuprinzătoare de confidențialitate propuse și adoptate din toată țara pentru a ajuta eforturile de afaceri de a rămâne la curent cu peisajul în schimbare privind confidențialitatea statului.

Deși multe dintre proiectele de lege incluse în hartă nu vor deveni lege, compararea prevederilor cheie din fiecare proiect de lege poate fi utilă pentru a înțelege cum se dezvoltă confidențialitatea în Statele Unite.

California

Fiind una dintre primele legi privind confidențialitatea adoptate după GDPR, CCPA acționează ca model pentru alte facturi din SUA. În vigoare de la 1 ianuarie 2020, CCPA se aplică unei companii care colectează/prelucrează datele personale ale rezidenților din California sau care desfășoară afaceri în California.

Aceste companii sunt supuse CCPA dacă:

• Depășește un venit brut de 25 de milioane de dolari
• Cumpărați, primiți, vindeți sau distribuiți (total combinat) informații personale ale a 50.000 sau mai mulți consumatori de gospodării sau dispozitive
• Obțineți 50% sau mai mult din veniturile anuale din vânzarea informațiilor personale ale consumatorului

CCPA acordă consumatorilor drepturi similare cu GDPR, inclusiv dezvăluirea de informații personale și solicitările de date cu caracter personal. Companiile trebuie să răspundă solicitărilor verificabile ale consumatorilor cu informații, cum ar fi categorii și date de informații cu caracter personal, terți și categorii de terți cu care sunt partajate datele și multe altele.

Această secțiune, cunoscută sub numele de solicitări ale subiectului de date (DSR) oferă utilizatorilor acces și opțiuni de ștergere pentru informațiile lor personale. De asemenea, CCPA cere ca companiile să afișeze un link „Nu vindeți informațiile mele personale” pe pagina lor de pornire.

CCPA va fi pusă în aplicare de către procurorul general și include amenzi de până la 7.500 USD pentru fiecare încălcare individuală.

Nevada

Legea privind confidențialitatea din Nevada a fost semnată pe 29 mai 2019, dar intră în vigoare la 1 octombrie 2019, cu trei luni înainte de mai cunoscuta CCPA. Legile sunt foarte asemănătoare, dar au o diferență majoră în modul în care este definită „vânzarea”. Legea Nevada este mai restrânsă, nu acoperă toți furnizorii de servicii și fiind mai îngăduitoare cu instituțiile financiare.

Potrivit InfoLawGroup, legea CCPA și Nevada sunt similare prin aceea că ambele impun „întreprinderilor să vină cu un proces pentru a verifica legitimitatea unei cereri de renunțare a consumatorului și solicită companiilor să răspundă la cerere în termen de 60 de zile”.

La fel ca în California, aplicarea legii din Nevada revine procurorului general și include amenzi de până la 5.000 USD per încălcare.

Maine

Legea privind confidențialitatea din Maine a fost semnată pe 6 iunie 2019, dar va intra în vigoare la 1 iulie 2020. Această lege blochează furnizorii de servicii de internet (ISP) să vândă, să partajeze sau să acorde terților acces la datele clienților lor, cu excepția cazului în care este dat în mod explicit. aprobarea acestor clienți. Odată cu schimbările,

Locuitorii din Maine au acum un strat suplimentar de protecție pentru e-mailurile, chaturile online, istoricul browserului, adresele IP și datele de localizare geografică care sunt colectate și stocate în mod obișnuit de companiile din sectorul de telecomunicații și tehnologie.

Așadar, în timp ce CCPA le oferă clienților dreptul de a renunța, această nouă lege interzice furnizorilor de servicii de internet să utilizeze datele clienților cu excepția cazului în care clientul acceptă. Această cerință depășește legea CCPA sau Nevada și este relativ unică printre legile de confidențialitate din SUA, care în general favorizează consimțământul de renunțare.

Nu așteptați—Pregătiți-vă acum:

Potrivit unui sondaj PwC din 2018, 64% dintre companii nu au început încă să se pregătească pentru reglementările CCPA.

Ați amânat începerea călătoriei dvs. de conformitate? Ai început procesul, dar te simți provocat de termenele limită care se apropie rapid?

Următoarea este o listă de acțiuni conștiente pe care le puteți întreprinde în calitate de companie pentru a merge pe calea conformării pentru majoritatea legilor existente și a celor care vor fi aplicate în viitorul apropiat.

Pasul 1: Actualizați notificările și politicile de confidențialitate

Cu toate e-mailurile „Ne-am actualizat Politica de confidențialitate” (conformitate cu GDPR) primite în mai 2018, este probabil rezonabil să ne așteptăm la un alt val, de data aceasta conform CCPA sau Nevada sau Maine, în T3 2019.

Aceste legi vor impune ca „la sau înainte de punctul de colectare” companiile acoperite să furnizeze o notificare consumatorilor informându-i cu privire la categoriile de informații personale pe care compania le colectează și la ce scop sunt utilizate informațiile de către companie.

Notificarea trebuie, de asemenea, să stabilească în mod explicit categoriile de informații personale care sunt colectate, dezvăluite sau vândute, iar consumatorii au un nou drept de a renunța la vânzarea informațiilor lor.

De asemenea, companiile vor trebui să își actualizeze politicile de confidențialitate pentru a include o descriere a celorlalte noi drepturi ale consumatorilor.

Deoarece multe companii au trebuit să stabilească când devin conforme cu GDPR, înainte de a face actualizările de politică impuse prin lege, companiile vor trebui să stabilească dacă vor menține o notificare de confidențialitate pentru fiecare rezident al statului sau dacă vor avea o politică universală.

Pasul 2: Actualizați inventarele de date, procesele de afaceri și strategiile de date

Companiile vor trebui, de asemenea, să mențină un inventar de date, care este în esență o bază de date pentru a-și urmări activitățile de prelucrare a datelor, inclusiv procesele de afaceri, terțe părți, produse, dispozitive și aplicații care prelucrează datele personale ale consumatorilor.

Companiile care trebuiau să se conformeze GDPR vor trebui să adauge câteva coloane la inventarele lor de date, inclusiv o coloană:

• identificarea dacă utilizarea datelor include „vânzarea” de informații;
• identificarea ce categorii de informații personale sunt transferate către terți;
• identificând dacă datele au fost colectate cu mai mult de 12 luni în urmă și, astfel, potențial scutite.
• Baza de date va trebui, de asemenea, să fie actualizată și să poată urmări toate solicitările privind drepturile consumatorilor, cum ar fi urmărirea unei cereri verificate de informații.

Pasul 3: implementați protocoale pentru a asigura drepturile consumatorilor

Aceste legi garantează o serie de drepturi ale consumatorilor pe care întreprinderile vor trebui să ia măsuri pentru a le asigura.

• Dreptul la notificare – Deși nu este tocmai un drept acordat, la sau înainte ca o companie să colecteze informații personale de la un consumator, consumatorul trebuie să fie informat în mod corespunzător ce categorii de informații sunt colectate și scopurile pentru care sunt utilizate informațiile.

• Dreptul de acces/Dreptul de solicitare – La cererea verificabilă, compania trebuie să ia măsuri pentru a dezvălui și a livra, în mod gratuit consumatorului, informațiile personale, care pot fi livrate prin poștă sau electronic. Dacă este furnizat electronic, acesta trebuie să fie furnizat într-un format portabil și, în măsura în care este fezabil din punct de vedere tehnic, într-un format ușor de utilizat, care să permită consumatorului să transmită informațiile personale către o altă entitate fără probleme. O companie poate furniza informații personale unui consumator în orice moment, dar nu trebuie să le furnizeze unui consumator de mai mult de două ori într-o perioadă de 12 luni.

• Dreptul de a cunoaște – Consumatorul are dreptul de a solicita unei companii care colectează informații personale să dezvăluie următoarele: (1) categoriile de informații personale colectate; (2) sursele din care au fost colectate informațiile; (3) scopul comercial sau comercial pentru colectarea sau vânzarea informațiilor; (4) categoriile de terți cu care afacerea împărtășește informațiile; (5) informațiile personale specifice pe care afacerea le-a colectat despre consumator.

• Dreptul de ștergere – Consumatorul are dreptul de a solicita, la cererea verificabilă, ca o companie să șteargă orice informații personale despre consumatorul pe care afacerea le-a colectat. La primirea unei astfel de solicitări, compania trebuie să șteargă informațiile și să îndrume orice furnizor de servicii să șteargă informațiile din înregistrările sale, cu excepția cazului în care compania sau furnizorul de servicii are nevoie de informații pentru: (1) să calculeze tranzacția pentru care au fost colectate informațiile personale. , să furnizeze un bun sau un serviciu solicitat de consumator sau anticipat în mod rezonabil în contextul relației de afaceri în desfășurare a unei afaceri cu consumatorul sau să execute în alt mod un contract între afacere și consumator; (2) detectarea incidentelor de securitate; protejați împotriva activităților rău intenționate, înșelătoare, frauduloase sau ilegale; sau urmărirea penală a celor responsabili de acea activitate; (3) depanare pentru a identifica și a repara erorile funcționalității prevăzute existente; (4) exercită libertatea de exprimare, asigură dreptul altui consumator de a-și exercita dreptul la libertatea de exprimare sau exercită un alt drept prevăzut de lege; (5) să se angajeze în cercetări științifice, istorice sau statistice publice sau primite de colegi în interes public; (6) să permită utilizări exclusiv interne care sunt aliniate în mod rezonabil cu așteptările consumatorului pe baza relației consumatorului cu afacerea; (7) respectă o obligație legală; (8) să utilizeze în alt mod informațiile personale ale consumatorului, pe plan intern, într-o manieră legală, compatibilă cu contextul în care consumatorul a furnizat informațiile.

• Dreptul de a renunța – Consumatorul are dreptul de a renunța la vânzarea informațiilor personale de către o companie. Companiile trebuie să pună la dispoziție, într-o formă rezonabil accesibilă consumatorilor, un link clar și vizibil către pagina de pornire, intitulat „Nu vindeți informațiile mele personale”, care să permită consumatorului să renunțe la vânzarea informațiilor personale ale consumatorului. Compania trebuie să aștepte cel puțin 12 luni înainte de a solicita vânzarea informațiilor personale ale oricărui consumator care a renunțat.

Pasul 4: faceți actualizări de securitate

Aceste legi impun, de asemenea, companiilor acoperite să protejeze datele personale cu securitate „rezonabilă”. În practică, acest standard a determinat companiile să adopte o abordare bazată pe risc pentru a aborda amenințările la adresa confidențialității, integrității și disponibilității datelor cu caracter personal. Ei evaluează amenințările la adresa datelor, clasifică riscurile vulnerabilităților detectate și abordează mai întâi lacunele cu risc ridicat.

Pasul 5: Actualizați acordurile cu procesorul terților

Pentru a respecta Legile SUA privind confidențialitatea, companiile care au alte companii care își prelucrează datele vor trebui să își actualizeze contractele cu terții, inclusiv să insereze limbajul clauzelor contractuale standard; solicitarea de inventare a datelor furnizorului; utilizarea chestionarelor de due diligence; Furnizarea înregistrărilor de prelucrare; solicitarea sincronizării proceselor de răspuns ale consumatorilor; care necesită evaluare și audit la fața locului; și solicitarea cartografierii elementelor de date specifice partajate cu fiecare terță parte, inclusiv desemnarea acelor transferuri care se califică drept „vânzare”.

Pentru acele terțe părți care au plătit pentru informații, vor trebui să proiecteze în plus procese pentru a satisface cererile consumatorilor de a renunța la vânzare și de a prevedea ștergerea datelor respective.

Pasul 6: Antrenament

În cele din urmă, aceste legi impun ca angajații care se ocupă de întrebările consumatorilor să fie informați cu privire la toate cerințele acesteia. Datorită sancțiunilor implicate, această pregătire ar trebui să fie minimă și se recomandă formarea suplimentară a angajaților.

Crezi că este mult de implementat? Companiile vor beneficia de conformitate:

Au existat unele critici la adresa legilor privind confidențialitatea și se susțin că aceste legi sunt dăunătoare pentru afaceri.

Programele de conformitate costă bani, dar companiile nu se pot aștepta să câștige bani dintr-un activ, cum ar fi datele, și să nu cheltuiască bani pentru a se asigura că acțiunile lor sunt conforme.

Cu toate acestea, cerințele cheie din legile privind confidențialitatea, așa cum s-a menționat mai sus, sunt în mare parte în conformitate cu bunul simț, așa că un program de conformitate nu ar trebui să fie niciodată o groapă fără fund.

Mai mult, chiar dacă presiunea legală nu începea să crească, presiunea etică și de conștientizare ar avea loc.

Consumatorii doresc să facă afaceri cu companii care își protejează ACTIV confidențialitatea datelor.

Da, există un cost de conformitate, dar acesta ar trebui văzut ca parte a costului de a face afaceri cu date și de a construi și de a păstra reputația unei mărci. Ca organizație conformă, veți putea să vă promovați aderarea, ceea ce, la rândul său, poate ajuta la creșterea vânzărilor și a loialității clienților.

Aproape toate organizațiile din întreaga lume recunosc acum că investițiile în confidențialitate se traduc în avantaje de afaceri. Organizațiile care au investit pentru a se pregăti pentru GDPR se confruntă cu încălcări de date din ce în ce mai puțin costisitoare , înregistrează mai puține fricțiuni de vânzări din cauza preocupărilor privind confidențialitatea clienților, sunt afectate mai puține înregistrări de date , timpul de nefuncționare a sistemului a fost mai scurt .

Acestea sunt câteva dintre concluziile studiului de referință privind confidențialitatea datelor Cisco 2019, lansat recent, care se bazează pe date dintr-un sondaj dublu-orb efectuat a peste 3.200 de profesioniști în securitate și confidențialitate din 18 țări. Studiul este primul dintr-o serie care explorează problemele cheie cu care se confruntă organizațiile în materie de confidențialitate și securitate cibernetică astăzi.

Potrivit studiului Cisco, 97% dintre companii spun că primesc beneficii suplimentare din investițiile în confidențialitate, dincolo de doar respectarea legilor privind confidențialitatea. Aceste beneficii includ avantajul competitiv , atractivitatea pentru investitori , eficiența operațională și o capacitate mai mare de flexibilitate și inovare .

Trei sferturi dintre toți respondenții au declarat că primesc două sau mai multe dintre aceste beneficii. În plus, majoritatea companiilor spun acum că confidențialitatea puternică a datelor este un factor de diferențiere competitiv pe piețele lor.

Aceste rezultate evidențiază necesitatea ca întreprinderile să sufere modificări nu numai pentru a respecta legile privind confidențialitatea, ci și pentru a maximiza beneficiile de afaceri ale investițiilor lor în materie de confidențialitate.

Îmbunătățirea gestionării datelor, creșterea încrederii clienților și întârzierea mai scurtă a vânzărilor și încălcări mai puțin costisitoare de date pot fi semnificative pentru organizația dvs. și vă pot oferi avantajul competitiv de care afacerea dvs. are nevoie pentru a prospera.

Scrisul este mare și îndrăzneț pe perete. Confidențialitatea nu este doar pentru Europa... este nevoia momentului pentru companiile din întreaga lume. Schimbarea este turbulentă. Dar este unul care era inevitabil.

Oamenii au inventat încuietori pentru a-și proteja bunurile corporale. Acum, că datele intangibile sunt la fel de prețioase (dacă nu mai mult), acumularea și procesarea nesăbuită a acestora va fi descurajată, neplăcută și în cele din urmă privită ca o încălcare.

Practicile de conformitate cu confidențialitatea eficientizează operațiunile. Și sporesc reputația prin reducerea riscului de încălcări. În opinia mea, nu este vorba despre efortul implicat în conformitate, ci totul este despre a te trezi devreme la faptul că conformitatea poate fi foarte bine următorul TAU mare avantaj competitiv.

Convert a pus deja o bază solidă. Tu ce mai faci?