Cose chiave che ogni marchio dovrebbe sapere sul CCPA

Nel 2018, l'applicazione del Regolamento generale sulla protezione dei dati (GDPR) europeo ha rimodellato il panorama della privacy dei dati per le aziende in tutta Europa e nel mondo e ha reso la privacy e la sicurezza dei dati dei consumatori un argomento essenziale per chiunque abbia a cuore il coinvolgimento dei clienti.

Con l'entrata in vigore del California Consumer Privacy Act (CCPA) prevista per il 1° gennaio 2020, la rivoluzione sulla privacy avviata dal GDPR è tornata a casa per le aziende americane. Questa nuova legislazione è un argomento importante e può essere spaventoso per i marchi, specialmente quelli che non hanno iniziato il lavoro per diventare conformi. Sebbene Braze non possa fornire consulenza legale ai nostri clienti oa chiunque altro, possiamo guidarti attraverso alcune delle cose principali a cui devi pensare quando si tratta di CCPA e privacy dei dati in generale. Continua a leggere per aggiornarti:

Le basi

Cos'è il CCPA?

CCPA sta per California Consumer Privacy Act, originariamente approvato dal governo statale della California nel giugno 2018. La legge crea nuove tutele della privacy e dei consumatori per le persone che risiedono in California. L'applicazione del CCPA inizierà il 1 gennaio 2020.

Perché la California ha approvato il CCPA?

Nel 2018, a seguito di una serie di incidenti sulla privacy dei dati, incluso lo scandalo Cambridge Analytica, un gruppo di difesa chiamato "Californians for Consumer Privacy" ha proposto un'iniziativa di voto statale che avrebbe istituito una nuova legge estremamente rigorosa sulla privacy dei consumatori se approvata dagli elettori.

Per prevenire questo sforzo, il legislatore della California ha introdotto e approvato il CCPA, portando i californiani per la privacy dei consumatori a ritirare la loro iniziativa. Sebbene il CCPA sia considerato un nuovo terreno per quanto riguarda i diritti alla privacy dei dati dei consumatori negli Stati Uniti, presenta requisiti meno severi rispetto all'iniziativa proposta.

Quali diritti hanno i residenti in California ai sensi del CCPA?

Ai sensi del CCPA, i residenti della California hanno il diritto di sapere chi sta raccogliendo le loro informazioni personali (PI) e cosa viene fatto con tali informazioni, e hanno il diritto di accedere alle informazioni, di cancellarle, di rinunciare alla "vendita ” delle loro informazioni personali e di esercitare tutti questi diritti senza discriminazioni, ovvero non possono essere negati loro benefici o diritti che vengono concessi alle persone che non rinunciano.

Il CCPA si applica alle organizzazioni con sede al di fuori della California?

La legge si applica a qualsiasi organizzazione che svolga affari in California con entrate pari o superiori a 25 milioni di dollari, nonché alle aziende che raccolgono dati da 50.000 o più residenti in California o ricavano almeno il 50% dei loro ricavi dalla "vendita" di informazioni personali. Ciò probabilmente include la maggior parte delle aziende con sede nello stato, nonché molte organizzazioni statunitensi e internazionali con un pubblico che include residenti in California.

CCPA e dati

Quali dati sono regolamentati dal CCPA?

Il CCPA copre solo la raccolta, la vendita e la divulgazione di "informazioni personali" in relazione a uno scopo commerciale. Tuttavia, poiché è stato approvato con l'obiettivo di prendere di mira le grandi quantità di dati gestiti da società di social media, broker di dati e inserzionisti comportamentali online, ha una serie di requisiti rigorosi che gli conferiscono un impatto di vasta portata.

Ai sensi del CCPA, PI include tutto ciò che può identificare un individuo (nome, indirizzo, e-mail, numero di conto bancario, data di nascita, informazioni biometriche, impronte digitali, ecc.), nonché dati familiari, informazioni audio, termiche e olfattive. In quanto tale, la definizione di PI ai sensi del CCPA rende probabilmente questa una delle leggi più ampie al mondo relative ai diritti alla privacy.

Quali informazioni devono rivelare i marchi ai clienti ai sensi del CCPA?

Il CCPA include requisiti di informativa dettagliati che devono essere aggiornati ogni anno; le aziende devono divulgare le PI che hanno raccolto, "venduto" e divulgato per scopi commerciali negli ultimi 12 mesi e garantire che i residenti della California abbiano diritti di divulgazione, accesso e rinuncia quando si tratta delle loro informazioni personali. Le organizzazioni sono inoltre tenute a spiegare le categorie di PI che raccolgono e qual è lo scopo della raccolta di tali informazioni, e devono farlo al momento della raccolta, che si tratti di un sito Web, un evento o qualcos'altro.

In che modo il CCPA definisce "vendita"?

CCPA definisce "vendita" in modo molto ampio, coprendo attività che poche persone assocerebbero alla vendita di dati. Ai sensi del CCPA, la vendita non si riferisce solo al trasferimento di informazioni personali in cambio di denaro: la legge considera anche la vendita come includere "l'affitto, il rilascio, la divulgazione, la diffusione, la messa a disposizione, il trasferimento o la comunicazione in altro modo oralmente, per iscritto, o con mezzi elettronici o di altro tipo, le informazioni personali di un consumatore dall'azienda a un'altra azienda oa una terza parte a titolo di corrispettivo monetario o di altro valore ."

Poiché la legge non definisce "altre considerazioni di valore" e poiché la definizione di "vendita" include la condivisione di dati, a molti marchi che non vendono dati (nel senso vernacolare del termine) potrebbe essere richiesto di agire come sebbene lo facciano per rispettare la legge. Per "altra considerazione preziosa" si intende qualsiasi valore, quindi se i dati personali sono condivisi con una terza parte e ciò ha un valore per una delle parti, si tratta potenzialmente di una "vendita" ai sensi del CCPA, e questo è uno dei ragioni per cui il CCPA è considerato tra le più ampie leggi sulla privacy al mondo.

Esistono requisiti speciali per i marchi ritenuti "vendere" informazioni personali ai sensi del CCPA?

Se un'azienda sta "vendendo" un PI residente in California ai sensi del CCPA, tale organizzazione è tenuta a includere un link in evidenza "Non vendere le mie informazioni personali" sul proprio sito Web che consentirà alle persone di rinunciare alla "vendita" dei propri dati personali informazione. I marchi che non lo fanno rischiano potenziali multe e altre punizioni.

Il CCPA ha regole sulla raccolta di informazioni dai minori?

Il CCPA consente agli adulti di rinunciare alla raccolta dei dati e impedisce alle aziende di chiedere nuovamente il permesso di raccogliere i propri dati per almeno 12 mesi dopo tale rinuncia. Tuttavia, per i minori di 16 anni, le regole sono significativamente più rigorose e richiedono un consenso per la raccolta delle loro informazioni personali. E per i bambini di età inferiore ai 12 anni, nessuna PI può essere raccolta senza il consenso dei genitori (ad esempio, il genitore o altro tutore deve acconsentire al bambino).

Il CCPA si applica ai dati raccolti prima dell'approvazione della legge?

Se una società soggetta al CCPA raccoglie informazioni personali, tale società deve rispettare i requisiti del CCPA, anche se i dati sono stati raccolti prima della data del 1 gennaio 2020 per l'applicazione del CCPA. Ciò significa che un consumatore residente in California può esercitare tutti i suoi diritti in relazione alle proprie informazioni personali, ad esempio, quel consumatore può chiedere al tuo marchio di eliminare i dati che hai raccolto su di lui cinque anni fa e, ai sensi del CCPA, il tuo marchio sarebbe obbligato a fare così.

Applicazione del CCPA

Quando è il termine di esecuzione per CCPA?

Sebbene il CCPA sia stato originariamente approvato nel giugno 2018, alle organizzazioni è stato concesso fino al 1 gennaio 2020 prima che fosse loro richiesto di conformarsi alla legge.

Quali sono le sanzioni per il mancato rispetto del CCPA?

Il procuratore generale della California è autorizzato a multare le organizzazioni fino a $ 2.500 per una violazione del CCPA; tuttavia, queste organizzazioni avranno 30 giorni di tempo per rispondere a una notifica di non conformità e non saranno multate se risolvono il problema durante tale lasso di tempo. Una cosa fondamentale da capire: queste multe sono per ogni singola violazione, quindi se 100 persone sono interessate dalla violazione, la potenziale multa sarebbe di $ 250.000, anziché $ 2.500. Inoltre, se la non conformità risulta intenzionale, le multe possono arrivare fino a $ 7.500 per violazione, aumentando ulteriormente il potenziale di impatto finanziario significativo per i marchi.

Il CCPA consente inoltre ai singoli residenti della California di presentare reclami contro organizzazioni che ritengono violino la legge, con potenziali pagamenti fino a $ 750 a persona.

Inoltre, esiste un diritto privato di azione ai sensi del CCPA, il che significa che un individuo può intentare un'azione legale, se l'individuo ritiene che un'azienda non abbia rispettato i requisiti di sicurezza del CCPA e si sia verificata una violazione dei dati rispetto al PI di quella persona. Questo diritto individuale di azione può portare a azioni collettive, una possibilità particolarmente preoccupante nell'ambiente contenzioso della California, dove ci sono teoricamente un certo numero di avvocati di querelanti che aspettano con impazienza l'opportunità di intentare questo tipo di azioni legali e recuperare enormi premi su per conto di grandi classi di attori. I premi possono eccedere gli effettivi danni subiti, rendendo tale possibilità particolarmente spaventosa per le aziende soggette al CCPA. Inoltre, i regolamenti proposti in corso di revisione stanno valutando l'attuazione di un diritto privato di azione per tutte le violazioni del CCPA, invece di consentirle solo laddove vi sia stata una violazione dei requisiti di sicurezza dello statuto.

Da dove dovrebbero iniziare le organizzazioni quando si tratta di conformità al CCPA?

Le organizzazioni dovrebbero assicurarsi di includere le divulgazioni appropriate sul proprio sito Web e in tutti i punti della raccolta di informazioni personali dai residenti della California. Dovrebbero essere in grado di soddisfare tutte le richieste CCPA e se si ritiene che stiano "vendendo" informazioni personali dei residenti di CA, dovrebbero includere in evidenza un pulsante "Non vendere i miei dati" sul loro sito web.

Le organizzazioni che sono già conformi al GDPR sono sulla buona strada per la conformità al CCPA, ma i requisiti delle due leggi non sono identici e le aziende sono incoraggiate a chiedere consiglio ai loro consulenti di fiducia per assicurarsi di aver fatto tutto il necessario per garantire che sono conformi ai requisiti del CCPA prima del 1 gennaio 2020.

CCPA e GDPR

In che cosa differiscono CCPA e GDPR?

Il regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea è stato approvato nel 2016 e si ispira alla convinzione implicita in gran parte dell'Europa che le persone abbiano il diritto fondamentale di controllare i propri dati personali. CCPA, d'altra parte, derivava dalla convinzione che lo stato della California fosse rimasto indietro nel proteggere la privacy dei propri residenti e salvaguardarli dall'uso improprio delle PI (inclusi furto di identità, frode finanziaria, danno reputazionale, molestie, ecc.) .

Date queste differenze, mentre il GDPR si è concentrato principalmente sulla garanzia della proprietà e del controllo dei dati personali da parte di ciascun individuo interessato, il CCPA si è concentrato sulla capacità delle società online di effettuare transazioni che coinvolgono grandi quantità di informazioni personali all'insaputa e al consenso dei residenti della California. In altre parole, il GDPR si applica a tutte le attività coinvolte nel trattamento dei dati personali, inclusi l'archiviazione, l'accesso e il trasferimento dei dati. Il CCPA, tuttavia, si applica solo alla raccolta, alla "vendita" e alla divulgazione di informazioni personali per scopi commerciali.

In che modo CCPA e GDPR si completano a vicenda?

Sia il CCPA che il GDPR richiedono alle organizzazioni che raccolgono informazioni personali dagli individui di rivelare cosa faranno con tali informazioni personali ed entrambe le leggi forniscono una serie di diritti simili a terzi rispetto alle proprie informazioni personali. Inoltre, entrambe le leggi richiedono il consenso, la trasparenza e il controllo da parte degli individui sulle proprie informazioni personali ed entrambe le leggi impongono sanzioni per il mancato rispetto dei loro requisiti.

Si prevede che le differenze negli ambienti normativi tra l'UE e la California influiranno sull'applicazione del CCPA e del GDPR, rispettivamente?

Poiché la California è un ambiente significativamente più contenzioso rispetto all'Unione Europea e l'aspettativa che le autorità di regolamentazione in California cercheranno di applicare rigorosamente la legge a partire dal nuovo anno, è probabile che vedremo più organizzazioni multate per non aver rispettato il CCPA rispetto a quando è iniziata l'applicazione del GDPR. Detto questo, le organizzazioni che scelgono di aspettare e vedere piuttosto che perseguire in modo aggressivo la conformità al CCPA corrono probabilmente un serio rischio.