Il California Privacy Rights Act (CPRA): come preparare la tua attività

Pubblicato: 2022-07-14

Sei residente in California? Se lo sei, allora la CPRA è qualcosa di cui dovresti preoccuparti. Soprattutto se vuoi aprire un'attività lì e raccogliere informazioni sensibili dai tuoi consumatori.

Come il GDPR, il CPRA è stato creato per stabilire standard per gli Stati Uniti ed evitare incomprensioni e usi impropri dei dati personali dei consumatori. Inoltre, anche se il CPRA non sarà esecutivo fino all'inizio del 2023, qualsiasi tipo di dato raccolto dopo il 1° gennaio 2022 è soggetto al CPRA.

Ci sono molte cose da imparare sulla CPRA e abbiamo molto altro da dirti. Quindi non andare da nessuna parte perché, in questo articolo, discuteremo intensamente del CPRA.

Come preparare la tua attività per la CPRA

Conformità al CPRA

Le aziende che operano in California o raccolgono informazioni personali da residenti in California, indipendentemente dal fatto che siano per scopi di marketing o meno, sono soggette a CPRA se:

  • Riesce ad avere un fatturato superiore a $ 25 milioni all'anno
  • Riesce a realizzare oltre il 50% delle entrate dalla vendita e dalla condivisione delle informazioni personali dei residenti in California
  • Acquista, condivide e vende le informazioni personali di oltre 100.000 famiglie californiane

Una modifica significativa apportata dal CCPA al CPRA consiste nell'eliminare l'obbligo di utilizzare le informazioni personali solo per scopi di marketing. Quindi ora, anche se l'azienda non trae profitto dalle informazioni personali dei consumatori, sei comunque tenuto a rispettare la legge.

La conformità al CPRA è piuttosto interessante perché se sei una piccola o media impresa, potresti non dover rispettare il CPRA ma piuttosto il CCPA. Inizialmente, devi identificare se la tua azienda deve rispettare il CCPA o il CPRA. Molti pensano che siano entrambi uguali, ma la verità è che presentano alcune differenze fondamentali. In confronto, il CPRA allenta molte restrizioni del CCPA, mentre alcune piccole e medie imprese non rientrano nella conformità del CPRA. Tuttavia, allo stesso tempo, rafforza anche molte debolezze del CCPA.

Nota: se sei interessato a conoscere la CPRA, puoi leggere di più sul sito Web di Osano .

Quali sono le differenze tra CCPA e CPRA?

Il CPRA è considerato un emendamento del CCPA offrendo un approccio GDPR, ampliando i diritti individuali e molto altro. Ecco le due principali differenze tra i due:

  • Rispettare il CCPA significa acquistare, vendere o ricevere azioni per scopi di marketing aziendale. È applicabile anche se acquisti, vendi o ricevi azioni dalle informazioni personali di circa 50.000 consumatori e famiglie. Tuttavia, il CPRA richiede più di 100.000 consumatori e famiglie.
  • Rispettare il CCPA significa ricevere almeno il 50% delle entrate annuali dalla vendita delle informazioni personali dei consumatori. Con il CPRA, deriva dalla vendita e dalla condivisione di informazioni personali. È necessario disporre di un certificato SSL quando si condividono informazioni personali con il sito Web. Pertanto, è importante acquistare certificati SSL da provider SSL rinomati come ClickSSL che offrono lo stesso livello di crittografia certificati SSL autenticati.

Il CPRA includeva anche la creazione della Californian Privacy Protection Agency (CaIPPA), un'agenzia dedicata alla privacy governata da cinque membri del consiglio. Questi membri devono essere esperti di privacy, diritti dei consumatori e tecnologia. In caso contrario, non sono in grado di qualificarsi. Inoltre, possono durare non più di otto anni all'interno dell'agenzia per la privacy.

Modifiche

A seguito del CCPA, le persone possono richiedere l'accesso ai propri dati personali solo per un anno da quando sono stati archiviati e raccolti. Tuttavia, con la CPRA, hai il diritto ogni volta che lo desideri.

Inoltre, quando il CCPA definisce “vendere”, non significa proprio condividere. D'altra parte, il CPRA include "Vendi" e "Condividi". Inoltre, il CPRA chiarisce il diritto di impedire (opt-out) alle aziende di condividere e vendere le proprie informazioni personali ad altre parti.

Infine, non dimentichiamo che sia il CCPA che il CPRA consentono alle aziende di essere citate in giudizio. I consumatori possono farlo se un'azienda espone informazioni sensibili senza autorizzazione e causa violazioni dei dati che rivelano password e nomi utente.

Quali sono le novità del CPRA e in che modo influisce sulla tua attività?

Sono state apportate nuove modifiche sia al CPRA che al CCPA al fine di includere nuovi diritti che le imprese sono obbligate a rispettare. Perchè così? Secondo SalesForce, circa il 46% dei consumatori ritiene di non avere abbastanza controllo sui propri dati privati. Purtroppo, solo il 10% pensa di avere abbastanza controllo sui propri dati personali.

Tuttavia, le aziende che violano queste leggi dovranno affrontare enormi multe di migliaia di dollari e essere citate in giudizio per violazioni intenzionali di dati privati.

Ora, chiariamo alcune cose importanti qui. In primo luogo, quando sei un'azienda, ai sensi del CPRA, sei obbligato a spiegare perché stai raccogliendo informazioni personali e con chi le condividi. Tuttavia, ai sensi del CCPA, hai il diritto di chiedere perché i tuoi dati personali vengono raccolti. Inoltre, le persone hanno il diritto di informare le aziende di informazioni inesatte o se è necessario apportare modifiche.

In base al CPRA, i consumatori hanno più diritti. Ciò include la conoscenza di dove vengono utilizzate le loro informazioni e come correggere le informazioni imprecise che potrebbero vedere.

Ecco alcune cose che la tua azienda può applicare per adattarsi a queste normative:

  • Definisci lo scopo del motivo per cui stai raccogliendo i dati
  • Applicare misure di sicurezza al fine di proteggere le informazioni personali
  • Mostra un elenco di entità con cui i dati vengono condivisi e perché la tua azienda li condivide con loro raccogliendo informazioni personali
  • Fornisci tutte le fonti di informazioni che la tua azienda sta utilizzando e raccogliendo
  • Continua ad aggiornare le tue informazioni sulla privacy e dimostra che la tua attività è sempre conforme alle ultime leggi. Non dimenticare di fornire gli aggiornamenti tramite e-mail, sito Web, telefono e social media.
  • Implementare procedure che garantiscano l'elaborazione e la revisione dei dati per verificarne l'autenticità. Inoltre, aggiungi una funzione di "opt-out" in modo che gli utenti possano interrompere la condivisione delle proprie informazioni personali se lo desiderano.

Una nuova categoria di dati protetti

Il CPRA ha introdotto l'idea di informazioni personali sensibili (SPI). Ciò costringe le aziende che raccolgono questo tipo di informazioni a fornire una protezione dei dati più solida. La SPI include il seguente tipo di informazioni personali:

  • Dati sanitari
  • Dati genetici
  • Dati religiosi
  • Origine etnica
  • Geolocalizzazione
  • Dati relativi all'orientamento sessuale di una persona
  • Carte d'identità, patenti di guida, numeri di previdenza sociale e altro ancora
  • Origine etnica e razziale

Il CPRA pone restrizioni su una nuova categoria di dati. Aggiunge inoltre nuovi requisiti per le aziende che raccolgono SPI, inclusi scopo e divulgazione aggiornati, requisiti di opt-out e altro ancora.

Minimizzazione dei dati e limitazioni di archiviazione

Le aziende sono tenute a ridurre al minimo o limitare la conservazione, l'uso e la condivisione delle informazioni personali ove possibile. Nel complesso, il CPRA impedisce alle aziende di conservare le informazioni personali più a lungo del necessario. Inoltre, le aziende devono informare il CPRA dei propri periodi di conservazione per ogni dato personale raccolto.

Allora, cosa devi fare per questo? Innanzitutto, la tua azienda dovrebbe indicare per quanto tempo conserverà i dati personali e se sarà più lungo del necessario. Questo dovrebbe essere annotato nelle politiche dell'azienda, inclusa la cancellazione dei dati, e garantire che tutte le leggi siano seguite.

Non sono ammesse ritorsioni

È importante sapere che il CPRA non accetta discriminazioni nei confronti dei consumatori che rinunciano alle loro informazioni. Ciò include quanto segue:

  • Negare i tipi di beni e servizi al consumatore
  • Fornire un diverso livello o qualità di beni e servizi al consumatore
  • Addebito di prezzi diversi per i tuoi beni o servizi, inclusi sconti o altri vantaggi
  • Andare contro un membro del team, un candidato che ha fatto domanda per la tua azienda o anche un appaltatore indipendente per aver condannato i diritti di opt-out

Utilizza strumenti rispettosi della privacy per il tuo marketing

Quando investi grandi budget in marketing e pubblicità, devi assicurarti che i tuoi investimenti stiano effettivamente ripagando. Per fare ciò hai bisogno di una piattaforma di analisi di marketing che raccoglierà dati da tutti i tuoi canali di marketing e ti fornirà report preziosi per prendere ulteriori decisioni basate sui dati.

RedTrack è la tua soluzione rispettosa della privacy (conforme a GDPR, CCPA, CCPR, ecc.), ma fornisce comunque risultati analizzando i tuoi sforzi di marketing e mostrandoti i numeri reali delle tue prestazioni.

Prendi in considerazione l'utilizzo di una piattaforma di gestione del consenso (CMP)

Le CMP sono un modo eccellente per aiutare la tua azienda a gestire legalmente tutti i documenti aziendali e il consenso degli utenti prima che i dati vengano raccolti, archiviati o persino condivisi. Ti assicurano di rimanere conforme alle leggi sulla privacy e ti informano anche ogni volta che vengono apportate modifiche. Inoltre, le CMP possono gestire le richieste di informazioni sui dati e monitorare tutti i fornitori di terze parti.

Ecco alcune CMP che puoi considerare di utilizzare per rimanere aggiornato con le leggi sulla privacy e gestire le richieste di dati:

  • OneTrust
  • Quantcast
  • TrustArc
  • Cookiebot
  • Picco della Corona

Avvolgendolo

Questo è tutto per questo articolo. Queste sono le nuove modifiche che sono state apportate al CPRA. Tuttavia, non pensare che questi saranno gli unici mai realizzati, il CPRA cambia continuamente!

L'obiettivo generale del CPRA è garantire che i consumatori abbiano un controllo sufficiente sui propri dati e non si sentano insicuri in merito alle violazioni dei dati o alla perdita del controllo sui propri dati personali. Dopotutto, i dati appartengono ai consumatori e possono decidere come vengono utilizzati i loro dati.