Sei pronto per l'atto sulla privacy dei consumatori in California?

Alcune delle società tecnologiche più note hanno sede in California, uno stato che il 28 giugno 2018 ha approvato il California Consumer Privacy Act del 2018 (CCPA). Il CCPA non entrerà in vigore fino al 1 ° gennaio 2020, ma dovrebbe interessare le imprese in California, negli Stati Uniti e, di fatto, in tutto il mondo. La CCPA inciderà sul modo in cui le aziende possono gestire i dati dei clienti ed è considerata da molti la più severa legge sulla protezione dei dati nella storia degli Stati Uniti.

Se senti un senso un déjà vu, non sei solo. A maggio è entrato in vigore il regolamento generale sulla protezione dei dati (UE) dell'Unione Europea (UE). Il GDPR è stato un argomento caldo qui su PCMag. Mentre la legge è stata emanata attraverso l'Atlantico, la verità è che ha lasciato un segno nelle imprese di tutto il mondo perché si applica a tutti i cittadini dell'UE indipendentemente da dove vivono. Proprio come il GDPR, l'impatto del nuovo CCPA avrà implicazioni di vasta portata oltre la portata del suo stato di origine. Abbiamo parlato con alcuni esperti per saperne di più sul CCPA e alcune delle sue implicazioni attese.

Il CCPA e te: un'introduzione

La CCPA stabilisce il diritto di un consumatore di richiedere alle aziende di divulgare il tipo di dati raccolti su di loro. A meno che tu non stia utilizzando uno strumento come una rete privata virtuale (VPN), è quasi una certezza che innumerevoli aziende raccolgono informazioni su di te ogni volta che sei online. Dire che questo tipo di trasparenza che la CCPA porterà è un grosso problema sarebbe un eufemismo.

John Tsopanis è un Product Manager della privacy presso 1touch.io, una società che aiuta le aziende a comprendere i dati personali che gestiscono. Tsopanis ha trascorso gli ultimi anni a fare consulenza GDPR per le aziende e si sta preparando a fare lo stesso con il CCPA. Tsopanis spiega il CCPA in termini di base.

"Il 1 ° gennaio 2020, un residente in California avrà il diritto legale di chiedere a qualsiasi grande azienda in America: 'Stai elaborando alcune delle mie informazioni?'", Ha detto Tsopanis. "Entro 45 giorni, tale società sarà obbligata a rispondere con un rapporto dettagliato degli ultimi 12 mesi. Dovrà mostrare quali categorie specifiche di informazioni personali hanno su quella persona, con chi le condividono e quali sono le ragioni per elaborarli. Devono fornire tali informazioni ai residenti in California, tutti e 40 milioni, entro il termine ".

Differenze tra GDPR e CCPA

Ci sono alcune differenze sostanziali tra ciò che fa il GDPR e ciò che copre la CCPA. Per i principianti, la CCPA utilizzerà una base di opt-out per il consenso, mentre il GDPR utilizza una base di opt-in. Ciò significa essenzialmente che gli utenti dovranno contattare attivamente le aziende per scoprire quale tipo di informazione viene utilizzata. Inoltre, il GDPR si applica a qualsiasi organizzazione che detenga dati personali su cittadini dell'UE.

Il CCPA, d'altra parte, si applica solo alle società a scopo di lucro che elaborano dati sui residenti in California. L'organizzazione deve fare almeno $ 24 milioni di entrate annuali, detenere i dati di 50.000 persone o fare almeno la metà delle loro entrate nella vendita di dati personali. Quindi, se possiedi un piccolo negozio boutique e l'estensione delle tue operazioni online è una pagina web che elenca gli orari e l'indirizzo del tuo negozio, non dovrai preoccuparti troppo del CCPA. Ma se gestisci un sito Web di e-commerce attraverso un fornitore chiavi in ​​mano o gestisci il tuo sito Web di e-tail attraverso un servizio di web hosting generale, ti consigliamo di prestare attenzione.

Courtney Bowman è associata al dipartimento contenzioso dello studio legale internazionale Proskauer Rose LLP. Bowman spiega perché quel CCPA richiederà alle aziende di riflettere attentamente sul loro utilizzo dei dati ben oltre il 2020. "Tale requisito di 12 mesi significa che le aziende dovranno consultare la loro politica sulla privacy almeno una volta all'anno e provare a capire se qualcosa è cambiato, " lei disse.

"Dovranno monitorare continuamente i dati che vendono o divulgano a terzi in modo che possano adeguare le loro politiche sulla privacy di conseguenza", ha continuato Bowman. "La legge offre inoltre ai consumatori il diritto di accedere o eliminare le loro informazioni personali in alcune situazioni e le aziende dovranno garantire che possano effettivamente attuare rapidamente tale diritto. Ciò richiederà alle aziende di impegnarsi nella mappatura dei dati per capire dove si trovano i loro dati si trova, e anche in collegamento con i loro dipartimenti IT per capire cosa devono fare per assicurarsi che possano adempiere alle loro responsabilità ai sensi della legge."

L'ampio impatto del CCPA

Nei mesi precedenti il ​​GDPR, un tema corrente nella nostra copertura era che, nel nostro mondo globalizzato, il GDPR avrebbe avuto ripercussioni sulle imprese al di fuori dell'Europa. Dopotutto, la maggior parte delle grandi aziende fa affari all'estero e dovrà cambiare le proprie operazioni online a livello globale per conformarsi alla legge. Quando abbiamo parlato con Tsopanis, tuttavia, ha affermato che le società americane devono ancora prestare particolare attenzione al CCPA.

"Quando si tratta di società americane, il GDPR era principalmente focalizzato sulle principali organizzazioni che operavano attraverso i canali. Con, i criteri per le società qualificate sono molto più grandi di un enorme ordine di grandezza", ha affermato Tsopanis. "Ci sono 40 milioni di persone in California; 50.000 non sono nemmeno lo 0, 1 per cento della popolazione. Penso che la scala di esposizione per le società americane sia significativamente più alta di quanto non fosse in precedenza sotto il GDPR."

Tsopanis offre l'esempio del gigante del fast food Wendy's. "Wendy's è la 999esima compagnia più grande della Fortune 1000 e ha un fatturato annuo di $ 1, 2 miliardi, 48 volte superiore alla soglia di applicabilità ai sensi di questa legge. Per lo meno, ci sono aziende da 1.000 miliardi di dollari in America che devono rispettare questa legge e ordini di grandezza significativi superiori a quelli della categoria da $ 25 milioni ".

Potremmo non considerare Wendy un'azienda tecnologica ma raccolgono la loro giusta quota di informazioni sugli utenti. Sono anche un perfetto esempio di come le società di ogni genere saranno influenzate dal CCPA. Quando visiti il ​​loro sito web, ordini cibo tramite i loro sistemi di punti vendita (POS) o usi semplicemente il Wi-Fi nel ristorante Wendy locale, la società sta raccogliendo le tue informazioni e almeno in California che " Tutti saranno soggetti al regolamento CCPA. Se un'azienda così "piccola" come Wendy's sta raccogliendo così tanti dati sugli utenti, è davvero spaventoso pensare a ciò che le grandi aziende stanno raccogliendo. In poche parole, il CCPA avrà enormi implicazioni.

Scoperte di dati importanti

Uno degli effetti più importanti del CCPA è che gli americani saranno finalmente in grado di scoprire le enormi quantità di acquisto e vendita di dati che le aziende stanno facendo. "Questo disegno di legge consentirà al popolo americano di scoprire finalmente la rete di massa di organizzazioni di acquisto e vendita di dati precedentemente precedentemente completamente anonime. Questo porterà a un drammatico cambiamento culturale nel modo in cui viene percepita la privacy dei dati e, in definitiva, a un certo punto porta a una legge federale sulla privacy armonizzata ", ha affermato Tsopanis.

Quando il Cambridge Analytica scoppiò lo scandalo, attirò l'attenzione di milioni di persone, che fossero tecnologi o meno. Ciò ha reso le persone molto preoccupate per chi sta raccogliendo le loro informazioni e cosa ne viene fatto e il CCPA è, in parte, una risposta a questo. Tsopanis sostiene che le rivelazioni risultanti saranno enormi.

"Per ogni giornalista del paese, questa è una manna dal cielo. La California è un'economia di $ 2, 7 trilioni di dollari, la quinta più grande del mondo, ed è basata sui Big Data. Ogni richiesta di accesso da ogni azienda Fortune 1000 rivelerà un'intera rete di società che comprano e vendono dati che saranno sottoposti a un attento esame ", ha spiegato Tsopanis. "Non sappiamo esattamente cosa troveremo quando le persone iniziano a ricevere i loro report sui dati, ma ci saranno sicuramente alcune rivelazioni interessanti."

Solo 18 mesi da preparare

Se abbiamo imparato qualcosa dal GDPR, è che le aziende devono pianificare il prima possibile per essere pronti per la scadenza. Con questo in mente, le aziende americane non hanno molto tempo a disposizione. Il GDPR è stato adottato nell'aprile 2016 e le aziende avevano poco più di due anni interi per adattarsi e conformarsi al regolamento. Poiché la CCPA entrerà in vigore all'inizio del 2020, ciò significa che le aziende più grandi hanno ora solo 18 mesi per prepararsi.

È probabile che tale scadenza faccia stressare anche il professionista più esperto della tecnologia. "La quantità di lavoro che deve essere svolto in 18 mesi è maggiore di quanto era necessario per il GDPR, con meno tempo per farlo e con aziende americane provenienti da un livello di maturità della privacy inferiore all'Europa", avverte Tsopanis.

Per conformarsi, il veterano della sicurezza raccomanda alle aziende di prendersi cura dello sviluppo dei propri processi. "Nei prossimi sei mesi, ciò che le organizzazioni devono fare è sviluppare una sorta di metodo di tracciamento delle informazioni personali all'interno dell'organizzazione", ha affermato Tsopanis. "Hanno bisogno di un modo per accedere facilmente a quali informazioni personali sono state inviate a quali terze parti e in quale momento, quindi devono essere in grado di rintracciarle nei 12 mesi precedenti l'implementazione ed essere pronte a fornire tali informazioni su richiesta quando entra in gioco il regolamento.

"Fondamentalmente richiederà quasi tutte le principali società statunitensi di condurre importanti attività di identificazione dei dati ed essere in grado di automatizzare e rispondere alle richieste di accesso degli interessati da parte dei residenti della California alla data di applicazione", ha continuato Tsopanis. "È anche importante notare che, quando la legge passerà nel 2020, dovranno essere in grado di fornire un rapporto sulle informazioni degli utenti nei 12 mesi precedenti. Ciò significa che le aziende devono monitorare tali dati il ​​1 ° gennaio 2019."

Da un punto di vista legale, Bowman afferma che potrebbero esserci dei cambiamenti prima della scadenza. "Ci aspettiamo che vedremo alcune revisioni della legge prima che entrino in vigore", ha detto. "Poiché è stato redatto abbastanza rapidamente, anche dopo che entrerà in vigore potrebbero esserci alcune aree grigie che rimangono eccezionali in termini di comprensione. Dopo tutto, il GDPR ha impiegato anni per essere redatto e ci sono ancora più parti del GDPR sono ambigui ".