În noiembrie, alegătorii din California au adoptat Propunerea 24, California Privacy Rights Act (CPRA) din 2020. Această inițiativă electorală se bazează pe California Consumer Privacy Act (CCPA) din 2018 și este uneori denumită „CCPA 2.0”. Cu toate acestea, CPRA este mai mult un restart decât o continuare și sporește substanțial drepturile persoanelor fizice și obligațiile întreprinderilor care gestionează date cu caracter personal.
C CPRA a obținut un sprijin popular imens; a obținut 56 % din voturi, ceea ce o face a doua cea mai populară inițiativă de vot din California din 2020. Popularitatea legii înseamnă că întreprinderile trebuie să o ia în serios sau riscă să sufere daune de reputație.
În cele ce urmează, trecem în revistă unele dintre cele mai semnificative noi adăugiri din CPRA și oferim sugestii pentru a vă pregăti.
Aceste informații nu reprezintă consultanță juridică, iar cititorii ar trebui să se consulte cu avocații lor cu privire la aspectele legate de conformitate.
CPRA intensifică sancțiunile și punerea în aplicare
CCPA a pus aplicarea legii în mâinile procurorului general al Californiei, dar CPRA oferă mai multă putere persoanelor fizice și unei noi agenții de stat. De fapt, legea propusă s-a numit inițial California Privacy Rights and Enforcement Act (CPREA), ceea ce indică noul accent pus pe responsabilitate.
Înființarea unei noi agenții de reglementare
C CPRA creează California Privacy Protection Agency (CPPA), pe care Lexology o numește „prima agenție guvernamentală din SUA axată exclusiv pe protecția vieții private”. CCPA are sarcina de a pune în aplicare legea prin emiterea de amenzi și de a cere companiilor să se supună unor evaluări de risc și audituri pentru politicile lor de manipulare a datelor.
În plus, CCPA va furniza reglementări, reguli și îndrumări suplimentare cu privire la interpretarea CPRA. Potrivit site-ului web al Prop 24, această nouă agenție va avea un buget de 10 milioane de dolari, ceea ce „ar echivala cu aproximativ același număr de personal de aplicare a legii privind protecția vieții private pe care FTC îl are pentru a supraveghea întreaga țară.”
Aceasta ar putea sfârși prin a fi, de fapt, o veste bună pentru întreprinderi, deoarece CPPA va putea oferi îndrumare și claritate cu privire la cerințele CPRA. Limbajul CCPA a fost o sursă de confuzie, iar National Law Review subliniază că CCPA a fost nepopulară din cauza „definițiilor sale prea largi, a limbajului ambiguu și a lipsei generale de claritate”. Această agenție ar putea funcționa la fel ca Information Commissioner’s Office (ICO) din Regatul Unit, care a contribuit la crearea de claritate și a ghidat aplicarea Regulamentului general privind protecția datelor (GDPR).
Extinderea dreptului de acțiune privată
În temeiul CCPA, persoanele fizice aveau mai puțină putere de a trage la răspundere companiile pentru nerespectarea legislației. În conformitate cu CCPA, cetățenii particulari pot întreprinde acțiuni juridice private împotriva unei întreprinderi numai pentru anumite tipuri de încălcări și, adesea, numai după ce au dat o notificare întreprinderii și șansa de a „remedia” problema. Dar noua lege prevede că „Implementarea și menținerea unor proceduri și practici de securitate rezonabile… în urma unei încălcări nu constituie o remediere.”
Cu alte cuvinte, dacă vacile scapă din grajd, întreprinderile trebuie să le pună înapoi înăuntru dacă vor să evite problemele juridice. Simpla punere a unui lacăt la ușă, astfel încât data viitoare să nu mai iasă nimic, nu va fi suficientă.
CPRA urmează exemplul GDPR
PCRA include multe concepte familiare pentru oricine a studiat GDPR. Aceste noi adăugiri urmăresc să ofere indivizilor mai mult control asupra datelor lor personale și să limiteze modul în care întreprinderile le pot utiliza.
O nouă categorie de „informații personale sensibile”
PCRA introduce conceptul de „informații personale sensibile” ca o anumită clasă de date, care este supusă unor standarde mai înalte decât alte informații personale. Acest concept figurează deja în RGPD, deși definiția din CPRA este mai largă.
Informațiile personale sensibile din CPRA pot fi împărțite în două categorii: identificatori direcți și date foarte private. Prima categorie include actele de identitate emise de guvern, informațiile financiare și orice combinație de credențiale de cont care permit accesul la un cont. Cea de-a doua categorie ar cuprinde geolocalizarea precisă, etnia, religia, informațiile genetice și biometrice, orientarea sexuală și conținutul mesajelor de e-mail și al mesajelor text, cu excepția cazului în care aceste mesaje au fost trimise către afacerea în cauză.
PCRA oferă în mod explicit persoanelor fizice o putere mai mare de a limita modul în care companiile utilizează aceste informații. Utilizatorii pot solicita acum ca o întreprindere să utilizeze aceste informații doar în măsura în care este necesar pentru a furniza serviciul sau bunurile „la care se așteaptă în mod rezonabil un consumator mediu” și doar pentru un număr limitat de scopuri descrise în mod specific de lege.
Aceasta, la rândul său, creează o nouă cerință de renunțare pentru întreprinderi, despre care JD Supra speculează că ar putea implica includerea unui „link disponibil pe pagina de pornire a site-ului lor web intitulat Limitarea utilizării informațiilor mele personale sensibile”. Aceasta ar fi o notificare separată de un link care spune: „Nu vindeți sau partajați informațiile mele personale.”
Introducerea „dreptului de corecție”
PCRA oferă consumatorilor dreptul de a solicita ca întreprinderile să corecteze informațiile personale inexacte despre acel consumator. (GDPR se referă la acest drept ca fiind „dreptul de rectificare”.) Întreprinderile sunt obligate să notifice consumatorii cu privire la acest drept, iar în cazul în care cineva solicită o modificare, acestea trebuie să depună „eforturi rezonabile din punct de vedere comercial” pentru a o corecta.
Creșterea restricțiilor pentru păstrarea/eliminarea datelor
PCPA acordă consumatorilor un drept limitat de a solicita ca informațiile lor personale să fie șterse, deși cu mai multe excepții care îl fac semnificativ mai slab decât „dreptul de a fi uitat” din GDPR. CPRA pune în sarcina întreprinderilor (și a părților care le gestionează informațiile) obligația de a șterge singure datele. Legea impune întreprinderilor să păstreze informațiile cu caracter personal doar atât timp cât este necesar pentru a atinge scopurile dezvăluite consumatorului.
În plus, dacă un consumator solicită ștergerea, întreprinderile trebuie să transmită această solicitare furnizorilor de servicii și contractanților, care, la rândul lor, trebuie să își notifice proprii furnizori de servicii și contractanți pentru a crea o obligație comună de ștergere.
Extinderea domeniului de aplicare la „partajarea” datelor
În aproape fiecare caz în care CCPA menționează „vânzarea”, CPRA a modificat-o pentru a spune „vânzarea sau partajarea”. Pentru a fi clar, definiția CCPA a vânzării este deja destul de largă. Cu toate acestea, CPRA urmărește să elimine lacunele pe care companiile le exploatează în scopul „publicității comportamentale inter-contextuale.”
Această modificare ar putea face imposibilă pentru companii precum Facebook și Google să eludeze cerința de renunțare insistând asupra faptului că nu „vând” datele utilizatorilor, ci doar permit agenților de publicitate să utilizeze aceste date pentru marketing direcționat. După cum relatează Datawallet, această mică schimbare ar putea sfârși prin a „schimba complet status quo-ul ecosistemului de publicitate digitală existent.”
Cum ar trebui să se pregătească întreprinderile pentru CPRA
Veștile bune pentru întreprinderi sunt că aplicarea CPRA nu va începe până în iulie 2023. CPRA prelungește, de asemenea, excepțiile CCPA privind datele angajaților până la acea dată.
IAPP speculează că această perioadă de grație ar putea fi menită să dea timp guvernului federal să introducă o legislație națională privind confidențialitatea. Indiferent de motiv, întreprinderile au la dispoziție ceva timp pentru a se pregăti și a pune în aplicare noi politici privind datele.
Întărește politicile de ștergere a datelor
După cum s-a discutat anterior, CPRA cere ca întreprinderile (și părțile externe care lucrează cu ele) să șteargă datele cu caracter personal după ce acestea și-au îndeplinit scopul. Dincolo de respectarea acestui element al legii, ștergerea datelor este pur și simplu o bună practică, deoarece cu cât păstrați mai multe date cu caracter personal, cu atât mai multe aveți de pierdut în cazul unei încălcări. Și, având în vedere accentul pus de noua lege pe punerea în aplicare și dreptul său extins de acțiune privată, fiecare înregistrare compromisă într-o încălcare ar putea duce la sancțiuni serioase.
Înăsprirea politicilor de ștergere necesită în primul rând ca toate datele cu caracter personal să fie contabilizate, nu să plutească în eter. După cum spune IAPP: „În timp ce mulți ofițeri de confidențialitate au implementat zile anuale de ștergere a datelor ca o bună practică, determinarea tuturor angajaților să se conformeze și să șteargă grămezi de date învechite, care nu mai servesc unui scop, a rămas o provocare perpetuă.”
O soluție la această provocare este conectarea tuturor datelor cu caracter personal sub profiluri de utilizator centralizate, accesibile prin intermediul sistemului dvs. de gestionare a identității și accesului (IAM). Faptul de a avea un singur depozit de date despre clienți simplifică respectarea multor aspecte ale legilor californiene privind confidențialitatea datelor, cum ar fi ștergerea datelor personale, efectuarea de corecții și furnizarea de rapoarte consumatorilor la cerere.
Implementați MFA pentru autentificări
CPCRA evidențiază credențialele de autentificare pentru o atenție specială. În primul rând, aceasta include credențialele în categoria „informații personale sensibile”. Și, în timp ce CCPA oferea persoanelor fizice doar dreptul privat la acțiuni în justiție în cazul în care o încălcare le expunea informațiile personale necriptate, CPRA extinde acest drept la încălcările care expun „adresa de e-mail a unui utilizator în combinație cu o parolă sau cu o întrebare de securitate și un răspuns care ar permite accesul la cont”, cu condiția ca încălcarea să fi avut loc ca urmare a nerespectării de către întreprindere a unor practici de securitate rezonabile.
Acest nou limbaj este o încercare clară de a combate epidemia de atacuri de autentificare spartă, cum ar fi „credential stuffing”, în care datele de autentificare expuse devin poarta de acces pentru hoții de identitate.
O modalitate de a îmbunătăți conformitatea este de a cripta parolele stocate. Dar criptarea singură poate fi insuficientă, deoarece standardele de criptare se schimbă și există întotdeauna posibilitatea ca în sistemele dvs. să se ascundă o bază de date veche de parole în text simplu.
De aceea este înțelept să implementați autentificarea cu mai mulți factori (MFA) și să vă asigurați că doar acreditările nu permit în mod automat accesul la cont. MFA va solicita o formă suplimentară de credențiale (cum ar fi o amprentă digitală sau un cod unic) în cazul unei autentificări neobișnuite (cum ar fi faptul că cineva încearcă să se autentifice cu un dispozitiv nou).
Examinați-vă relațiile cu terții
CPCRA pune un accent major pe extinderea obligațiilor privind confidențialitatea datelor la contractori, furnizori de servicii și terți. Aceasta definește în mod specific un contractant ca fiind o persoană căreia o întreprindere îi oferă acces la informații personale prin intermediul unui contract scris. Acest contract interzice contractantului să vândă sau să împărtășească datele cu alte părți sau să le utilizeze în alte scopuri decât cele enumerate în contract.
CPCRA impune, de asemenea, ca orice furnizor de servicii, contractant sau terț care primește date să accepte prin contract să adere la standardele CPRA. IAPP notează că aceste cerințe „amintesc de GDPR și de diversele mecanisme internaționale de transfer de date concepute pentru a extinde protecțiile GDPR și pentru a permite conformitatea transfrontalieră.”
Aceste schimbări fac esențial ca întreprinderile să se informeze cu privire la standardele de confidențialitate a datelor și de securitate cibernetică ale fiecărei părți externe cu care împărtășesc date cu caracter personal. Munca de redactare a contractelor va cădea în sarcina avocaților, dar depinde de profesioniștii în domeniul securității să se asigure că terții își respectă obligațiile contractuale prin practicarea unei bune securități a datelor.
CPRA este o veste mare (dar nu neapărat rea)
Când au apărut primele vești despre „CCPA 2.0”, la scurt timp după adoptarea legii originale, unii lideri de afaceri au fost consternați. Câțiva păreau să aibă impresia că Alastair Mactaggart, liderul mișcării, era personal pe urmele lor. Dar acum că legea a fost adoptată, este timpul ca toți cei interesați să îmbrățișeze obiectivele sale generale.
Noile adăugiri din această lege privind confidențialitatea fac parte dintr-o evoluție amplă a drepturilor consumatorilor. Și în timp ce această lege particulară se aplică doar californienilor, există legi statale care apar pe tot cuprinsul Statelor Unite cu agende similare. Chiar dacă poate fi dificil să se realizeze conformitatea cu acest mozaic național și global de legi, toate acestea necesită aceeași mentalitate de bază. Respectați confidențialitatea, practicați transparența și controlați accesul la datele personale.
Vreți să aflați mai multe despre elementele fundamentale ale confidențialității datelor, securității datelor și conformității legale? Începeți de aici.
Despre Auth0
Auth0 oferă o platformă pentru autentificarea, autorizarea și securizarea accesului pentru aplicații, dispozitive și utilizatori. Echipele de securitate și de aplicații se bazează pe simplitatea, extensibilitatea și expertiza Auth0 pentru a face ca identitatea să funcționeze pentru toată lumea. Protejând miliarde de tranzacții de autentificare în fiecare lună, Auth0 securizează identitățile astfel încât inovatorii să poată inova și permite întreprinderilor globale să ofere experiențe digitale de încredere și superioare clienților lor din întreaga lume.
Pentru mai multe informații, vizitați https://auth0.com sau urmăriți @auth0 pe Twitter.
.