A novembre, gli elettori della California hanno approvato la Proposizione 24, il California Privacy Rights Act (CPRA) del 2020. Questa iniziativa elettorale si basa sul California Consumer Privacy Act (CCPA) del 2018 ed è a volte indicato come “CCPA 2.0”. Il CPRA è più un reboot che un sequel, tuttavia, e aumenta sostanzialmente i diritti degli individui e gli obblighi delle imprese che gestiscono i dati personali.
Il CPRA ha guadagnato un immenso sostegno popolare; ha vinto il 56% dei voti, rendendolo la seconda più popolare iniziativa elettorale della California del 2020. La popolarità della legge significa che le aziende devono prenderla sul serio o rischiano di incorrere in danni alla reputazione.
Qui, stiamo esaminando alcune delle nuove aggiunte più significative nel CPRA e offrendo suggerimenti su come prepararsi.
Le seguenti informazioni non sono intese come consigli legali, e i lettori dovrebbero consultare i loro avvocati su questioni di conformità.
Il CPRA aumenta le sanzioni e l’applicazione
Il CCPA mette l’applicazione nelle mani del procuratore generale della California, ma il CPRA dà più potere agli individui e a una nuova agenzia statale. Infatti, la legge proposta era originariamente chiamata California Privacy Rights and Enforcement Act (CPREA), che indica la sua nuova enfasi sulla responsabilità.
Istituzione di una nuova agenzia di regolamentazione
Il CPRA crea la California Privacy Protection Agency (CPPA), che Lexology chiama “la prima agenzia governativa negli Stati Uniti focalizzata esclusivamente sulla privacy”. La CCPA ha il compito di far rispettare la legge emettendo multe e richiedendo alle aziende di sottoporsi alla valutazione dei rischi e alle verifiche delle loro politiche di gestione dei dati.
Inoltre, la CCPA fornirà ulteriori regolamenti, regole e indicazioni sull’interpretazione della CPRA. Secondo il sito web di Prop 24, questa nuova agenzia avrà un budget di 10 milioni di dollari, che “equivarrebbe a circa lo stesso numero di personale di applicazione della privacy che la FTC ha per sorvegliare l’intero paese.”
Questa potrebbe effettivamente finire per essere una buona notizia per le imprese perché il CPPA sarà in grado di offrire una guida e chiarezza sui requisiti del CPRA. Il linguaggio del CCPA è stato fonte di confusione, e la National Law Review sottolinea che il CCPA è stato impopolare a causa delle sue “definizioni troppo ampie, linguaggio ambiguo e mancanza generale di chiarezza”. Questa agenzia potrebbe funzionare come l’Information Commissioner’s Office (ICO) del Regno Unito, che ha contribuito a creare chiarezza e guidare l’applicazione del General Data Protection Regulation (GDPR).
Espandere il diritto privato di azione
Con il CCPA, gli individui avevano meno potere di ritenere le aziende responsabili per la non conformità. Sotto la CCPA, i privati cittadini possono solo intraprendere un’azione legale privata contro un’azienda per certi tipi di violazioni e, spesso, solo dopo aver dato all’azienda un preavviso e la possibilità di “curare” il problema. Ma la nuova legge afferma che “L’implementazione e il mantenimento di ragionevoli procedure e pratiche di sicurezza… a seguito di una violazione non costituisce una cura.”
In altre parole, se le mucche scappano dalla stalla, le aziende devono rimetterle dentro se vogliono evitare guai legali. Semplicemente mettere un lucchetto alla porta in modo che nulla esca la prossima volta, non sarà sufficiente.
Il CPRA segue la guida del GDPR
Il CPRA include molti concetti familiari a chiunque abbia studiato il GDPR. Queste nuove aggiunte cercano di dare agli individui un maggiore controllo sui loro dati personali e limitare i modi in cui le aziende possono usarli.
Una nuova categoria di “informazioni personali sensibili”
Il CPRA introduce il concetto di “informazioni personali sensibili” come una particolare classe di dati, che è tenuta a standard più elevati rispetto alle altre informazioni personali. Questo concetto è già presente nel GDPR, anche se la definizione del CPRA è più ampia.
Le informazioni personali sensibili nel CPRA possono essere divise in due categorie: identificatori diretti e dati altamente privati. La prima categoria include ID rilasciati dal governo, informazioni finanziarie e qualsiasi combinazione di credenziali di conto che permettono l’accesso a un conto. La seconda categoria comprenderebbe la geolocalizzazione precisa, l’etnia, la religione, le informazioni genetiche e biometriche, l’orientamento sessuale e il contenuto delle e-mail e dei messaggi di testo, a meno che tali messaggi siano stati inviati all’azienda in questione.
Il CPRA dà esplicitamente agli individui un maggiore potere di limitare il modo in cui le aziende utilizzano queste informazioni. Gli utenti possono ora richiedere che un’azienda usi queste informazioni solo se necessario per fornire il servizio o i beni “ragionevolmente attesi da un consumatore medio” e solo per un numero limitato di scopi specificamente delineati dalla legge.
Questo, a sua volta, crea un nuovo requisito di opt-out per le aziende, che JD Supra ipotizza possa comportare l’inclusione di “un link disponibile sulla home page del loro sito web intitolato Limitare l’uso delle mie informazioni personali sensibili”. Questa sarebbe una notifica separata da un link che dice, “Non vendere o condividere le mie informazioni personali.”
Introdurre il “diritto di correzione”
Il CPRA dà ai consumatori il diritto di richiedere alle aziende di correggere le informazioni personali inesatte su quel consumatore. (Le aziende sono tenute a informare i consumatori di questo diritto, e nel caso in cui qualcuno richieda una modifica, devono fare “sforzi commercialmente ragionevoli” per correggerla.
Aumento delle restrizioni per la conservazione/cancellazione dei dati
Il CCPA garantisce ai consumatori un diritto limitato di richiedere che le loro informazioni personali siano cancellate, anche se con diverse eccezioni che lo rendono significativamente più debole del “diritto all’oblio” del GDPR. Il CPRA pone l’onere sulle imprese (e le parti che gestiscono le loro informazioni) di cancellare i dati per conto proprio. La legge richiede alle imprese di conservare le informazioni personali solo per il tempo necessario per raggiungere gli scopi comunicati al consumatore.
Inoltre, se un consumatore richiede la cancellazione, le imprese devono passare questa richiesta ai fornitori di servizi e appaltatori, che, a loro volta, devono informare i propri fornitori di servizi e appaltatori per creare un obbligo condiviso di cancellazione.
Estensione del campo di applicazione alla “condivisione” dei dati
In quasi tutti i casi in cui il CCPA menziona la “vendita”, il CPRA lo ha modificato per dire “vendita o condivisione”. Per essere chiari, la definizione di vendita del CCPA è già abbastanza ampia. Tuttavia, il CPRA cerca di eliminare le scappatoie che le aziende sfruttano allo scopo di “cross-contextual behavioral advertising.”
Questo cambiamento può rendere impossibile per aziende come Facebook e Google di eludere il requisito di opt-out insistendo sul fatto che non stanno “vendendo” i dati degli utenti, ma semplicemente permettendo agli inserzionisti di utilizzare tali dati per il marketing mirato. Come riporta Datawallet, questo piccolo cambiamento potrebbe finire per “cambiare completamente lo status quo dell’attuale ecosistema della pubblicità digitale.”
Come le aziende dovrebbero prepararsi al CPRA
La buona notizia per le aziende è che l’applicazione del CPRA non inizierà fino al luglio 2023. Il CPRA estende anche le esenzioni del CCPA sui dati dei dipendenti fino a quel momento.
IAPP ipotizza che questo periodo di grazia può essere destinato a dare al governo federale il tempo di introdurre una legislazione nazionale sulla privacy. Indipendentemente dal motivo, le aziende hanno un po’ di tempo per prepararsi e mettere in atto nuove politiche sui dati.
Per migliorare le politiche di cancellazione dei dati
Come discusso prima, il CPRA richiede che le aziende (e le parti esterne che lavorano con loro) cancellino i dati personali dopo che hanno servito il loro scopo. Oltre a rispettare questo elemento della legge, la cancellazione dei dati è semplicemente una buona pratica, poiché più dati personali si conservano, più si ha da perdere in caso di violazione. E data l’enfasi della nuova legge sull’applicazione e il suo esteso diritto di azione privata, ogni record compromesso in una violazione potrebbe portare a gravi sanzioni.
Il rafforzamento delle politiche di cancellazione richiede innanzitutto che tutti i dati personali siano contabilizzati, non fluttuanti nell’etere. Come dice lo IAPP: “Mentre molti responsabili della privacy hanno implementato giornate annuali per la cancellazione dei dati come una buona pratica, ottenere che tutti i dipendenti si conformino e cancellino le pile di dati obsoleti, che non hanno più uno scopo, è rimasta una sfida perpetua.”
Una soluzione a questa sfida è quella di collegare tutti i dati personali sotto profili utente centralizzati, accessibili attraverso il vostro sistema di gestione delle identità e degli accessi (IAM). Avere un unico archivio dei dati dei clienti semplifica la conformità con molti aspetti delle leggi sulla privacy dei dati della California, come la cancellazione dei dati personali, fare correzioni e dare rapporti ai consumatori su richiesta.
Implementare l’MFA per i login
La CPRA individua le credenziali di login per un’attenzione speciale. In primo luogo, include le credenziali sotto “informazioni personali sensibili”. E mentre il CCPA dava solo agli individui il diritto privato di azione legale se una violazione esponeva le loro informazioni personali non criptate, il CPRA estende quel diritto alle violazioni che espongono “l’indirizzo email di un utente in combinazione con una password o una domanda e risposta di sicurezza che permetterebbe l’accesso all’account”, a condizione che la violazione si sia verificata come risultato del fallimento del business di mantenere pratiche di sicurezza ragionevoli.
Questo nuovo linguaggio è un chiaro tentativo di combattere l’epidemia di attacchi di autenticazione interrotta, come il credential stuffing, in cui le credenziali di accesso esposte diventano il gateway per i ladri di identità.
Un modo per migliorare la conformità è quello di criptare le password memorizzate. Ma la crittografia da sola può essere insufficiente perché gli standard di crittografia cambiano, e c’è sempre la possibilità che abbiate un vecchio database di password in chiaro che si nasconde nei vostri sistemi.
Ecco perché è saggio implementare l’autenticazione a più fattori (MFA) e garantire che le credenziali da sole non consentano automaticamente l’accesso all’account. L’MFA richiederà un’ulteriore forma di credenziale (come un’impronta digitale o un codice monouso) nel caso di un login insolito (come qualcuno che cerca di accedere con un nuovo dispositivo).
Esaminate le vostre relazioni con terze parti
Il CPRA pone l’accento sull’estensione degli obblighi sulla privacy dei dati a contraenti, fornitori di servizi e terze parti. Definisce specificamente un appaltatore come qualcuno a cui un’azienda dà accesso alle informazioni personali attraverso un contratto scritto. Questo contratto proibisce all’appaltatore di vendere o condividere i dati con altre parti o di usarli per qualsiasi scopo non elencato nel contratto.
Il CPRA richiede anche a qualsiasi fornitore di servizi, appaltatore o terza parte che riceve dati di accettare contrattualmente di aderire agli standard del CPRA. Lo IAPP nota che questi requisiti “ricordano il GDPR e vari meccanismi internazionali di trasferimento dei dati progettati per estendere le protezioni del GDPR e consentire la conformità transfrontaliera.”
Questi cambiamenti rendono essenziale per le aziende educarsi sulla privacy dei dati e sugli standard di sicurezza informatica di ogni parte esterna con cui condividono dati personali. Il lavoro di stesura dei contratti spetterà agli avvocati, ma spetta ai professionisti della sicurezza garantire che le terze parti siano all’altezza dei loro obblighi contrattuali praticando una buona sicurezza dei dati.
CPRA è una grande (ma non necessariamente cattiva) notizia
Quando la notizia del “CCPA 2.0” è caduta per la prima volta, poco dopo il passaggio della legge originale, alcuni leader aziendali erano costernati. Alcuni sembravano sentire che Alastair Mactaggart, il leader del movimento, fosse personalmente fuori a prenderli. Ma ora che la legge è passata, è il momento per tutti gli interessati di abbracciare i suoi obiettivi generali.
Le nuove aggiunte in questa legge sulla privacy sono parte di una vasta evoluzione nei diritti dei consumatori. E mentre questa legge particolare si applica solo ai californiani, ci sono leggi statali che stanno nascendo in tutti gli Stati Uniti con programmi simili. Anche se può essere difficile raggiungere la conformità con questo mosaico nazionale e globale di leggi, tutte richiedono la stessa mentalità di base. Rispettare la privacy, praticare la trasparenza e controllare l’accesso ai dati personali.
Vuoi saperne di più sui fondamenti della privacy dei dati, della sicurezza dei dati e della conformità legale? Inizia qui.
Informazioni su Auth0
Auth0 fornisce una piattaforma per autenticare, autorizzare e proteggere l’accesso di applicazioni, dispositivi e utenti. I team della sicurezza e delle applicazioni si affidano alla semplicità, all’estensibilità e all’esperienza di Auth0 per far funzionare l’identità per tutti. Salvaguardando miliardi di transazioni di login ogni mese, Auth0 protegge le identità in modo che gli innovatori possano innovare e permette alle imprese globali di offrire esperienze digitali affidabili e superiori ai loro clienti in tutto il mondo.
Per maggiori informazioni, visita https://auth0.com o segui @auth0 su Twitter.