Lucruri cheie pe care fiecare brand ar trebui să le știe despre CCPA

Publicat: 2019-12-21

În 2018, punerea în aplicare a Regulamentului european general privind protecția datelor (GDPR) a remodelat peisajul confidențialității datelor pentru companiile din Europa și din întreaga lume și a făcut ca confidențialitatea și securitatea datelor consumatorilor să fie un subiect esențial pentru oricine îi pasă de implicarea clienților.

Având în vedere că Legea privind confidențialitatea consumatorilor din California (CCPA) este programată să înceapă punerea în aplicare la 1 ianuarie 2020, revoluția confidențialității demarată de GDPR a ajuns acasă pentru companiile americane. Această nouă legislație este un subiect important și poate fi înfricoșător pentru mărci, în special pentru cele care nu și-au început munca pentru a se conforma. Deși Braze nu poate oferi consiliere juridică clienților noștri sau nimănui altcineva, vă putem prezenta câteva dintre principalele lucruri la care trebuie să vă gândiți când vine vorba de CCPA și de confidențialitatea datelor în general. Citiți mai departe pentru a fi la curent:

Cele elementare

Ce este CCPA?

CCPA reprezintă Legea privind confidențialitatea consumatorilor din California, adoptată inițial de guvernul statului California în iunie 2018. Legea creează noi protecție a vieții private și a consumatorilor pentru persoanele care locuiesc în California. Punerea în aplicare a CCPA va începe la 1 ianuarie 2020.

De ce a trecut California CCPA?

În 2018, în urma unei serii de incidente privind confidențialitatea datelor – inclusiv scandalul Cambridge Analytica – un grup de advocacy numit „Californians for Consumer Privacy” a propus o inițiativă de vot de stat care ar fi instituit o nouă lege extrem de strictă privind confidențialitatea consumatorilor dacă ar fi fost adoptată de alegători.

Pentru a preveni acest efort, legislativul din California a introdus și adoptat CCPA, determinând californienii pentru confidențialitatea consumatorilor să-și retragă inițiativa. În timp ce CCPA este considerată a deschide noi drumuri când vine vorba de drepturile de confidențialitate a datelor consumatorilor în Statele Unite, are cerințe mai puțin stricte decât inițiativa propusă.

Ce drepturi au rezidenții din California în temeiul CCPA?

Conform CCPA, rezidenții din California au dreptul de a ști cine colectează informațiile lor personale (PI) și ce se face cu acele informații și au dreptul de a accesa informațiile, de a le șterge, de a renunța la „vânzare”. ” a informațiilor lor personale și să-și exercite toate aceste drepturi fără discriminare – adică nu li se pot refuza beneficiile sau drepturile pe care le sunt acordate persoanelor care nu renunță.

CCPA se aplică organizațiilor care au sediul în afara Californiei?

Legea se aplică oricărei organizații care desfășoară afaceri în California cu venituri de 25 milioane USD sau mai mult, precum și întreprinderilor care colectează date de la 50.000 sau mai mulți rezidenți din California sau obțin cel puțin 50% din veniturile lor din „vânzarea” informațiilor personale. Aceasta include probabil majoritatea companiilor cu sediul în stat, precum și multe organizații din SUA și internaționale cu audiențe care includ rezidenți din California.

CCPA și date

Ce date sunt reglementate de CCPA?

CCPA acoperă numai colectarea, vânzarea și dezvăluirea „informațiilor personale” în legătură cu un scop de afaceri. Cu toate acestea, deoarece a fost adoptată cu scopul de a viza cantitățile mari de date gestionate de companiile de social media, brokerii de date și agenții de publicitate comportamentali online, are o serie de cerințe stricte care îi conferă un impact larg.

Conform CCPA, PI include tot ceea ce poate identifica o persoană - nume, adresă, e-mail, număr de cont bancar, data nașterii, informații biometrice, amprentă etc. - precum și date despre gospodărie, informații audio, termice și olfactive. Ca atare, definiția PI conform CCPA face ca aceasta să fie una dintre cele mai largi legi din lume legate de drepturile de confidențialitate.

Ce informații trebuie să dezvăluie mărcile clienților conform CCPA?

CCPA include cerințe detaliate de divulgare care trebuie actualizate în fiecare an; companiile trebuie să dezvăluie PI pe care le-au colectat, „vândut” și dezvăluit în scop comercial în ultimele 12 luni și să se asigure că rezidenții din California au drepturi de divulgare, acces și renunțare atunci când vine vorba de informațiile lor personale. Organizațiile trebuie, de asemenea, să explice categoriile de PI pe care le colectează și care este scopul culegerii respectivelor informații - și trebuie să facă acest lucru la punctul de colectare, fie că este un site web, un eveniment sau altceva.

Cum definește CCPA „vânzarea”?

CCPA definește „vânzarea” în mod foarte larg, acoperind activități pe care puțini oameni le-ar asocia cu vânzarea de date. Conform CCPA, vânzarea nu se referă doar la transferul de informații personale în schimbul banilor – legea consideră, de asemenea, că vânzarea include „închirierea, eliberarea, dezvăluirea, diseminarea, punerea la dispoziție, transferul sau comunicarea în alt mod oral, în scris, sau prin mijloace electronice sau prin alte mijloace, informațiile personale ale unui consumator de către companie către o altă afacere sau o terță parte pentru o contrapartidă monetară sau de altă natură valoroasă .”

Deoarece legea nu definește „altă considerație valoroasă” și pentru că definiția „vânzării” include schimbul de date, multe mărci care nu vând date (în sensul vernacular al cuvântului) pot fi obligate să acționeze ca deși o fac pentru a se conforma legii. „Altă considerație valoroasă” înseamnă orice valoare, așa că dacă datele personale sunt partajate cu o terță parte și există vreo valoare în a face acest lucru pentru oricare dintre părți, aceasta este potențial o „vânzare” conform CCPA – și acesta este unul dintre motive pentru care CCPA este considerată a fi printre cele mai largi legi privind confidențialitatea din lume.

Există cerințe speciale pentru mărcile care sunt considerate a „vând” informații personale în temeiul CCPA?

Dacă o companie „vinde” un PI al unui rezident din California în conformitate cu CCPA, acea organizație trebuie să includă un link proeminent „Nu vinde informațiile mele personale” pe site-ul său web, care va permite persoanelor să renunțe la „vânzarea” informațiilor personale. informație. Mărcile care nu fac acest lucru riscă amenzi potențiale și alte pedepse.

CCPA are reguli cu privire la colectarea de informații de la minori?

CCPA permite adulților să renunțe la colectarea datelor și interzice companiilor să solicite din nou permisiunea de a-și colecta datele timp de cel puțin 12 luni de la această renunțare. Cu toate acestea, pentru copiii sub 16 ani, regulile sunt mult mai stricte și necesită o înscriere pentru colectarea informațiilor lor personale. Iar pentru copiii sub 12 ani, niciun PI nu poate fi colectat fără acordul părinților (de exemplu, părintele sau alt tutore trebuie să se înscrie pentru copil).

CCPA se aplică datelor colectate înainte de adoptarea legii?

Dacă o companie care face obiectul CCPA colectează informații personale, atunci compania respectivă trebuie să respecte cerințele CCPA, chiar dacă datele au fost colectate înainte de data de 1 ianuarie 2020 pentru aplicarea CCPA. Acest lucru înseamnă că un consumator care are reședința în California își poate exercita toate drepturile cu privire la informațiile sale personale — de exemplu, acel consumator poate cere mărcii dvs. să șteargă datele pe care le-ați colectat despre el în urmă cu cinci ani, iar conform CCPA marca dvs. ar fi obligată să face acest lucru.

Aplicarea CCPA

Când este termenul limită de executare pentru CCPA?

Deși CCPA a fost adoptată inițial în iunie 2018, organizațiilor li s-a dat până la 1 ianuarie 2020 înainte ca acestea să fie obligate să respecte legea.

Care sunt sancțiunile pentru nerespectarea CCPA?

Procurorul general al Californiei este autorizat să amendeze organizațiile cu până la 2.500 USD pentru încălcarea CCPA; cu toate acestea, aceste organizații vor avea la dispoziție 30 de zile pentru a răspunde la o notificare de neconformitate și nu vor fi amendate dacă abordează problema în acel interval de timp. Un lucru cheie de înțeles - aceste amenzi sunt pentru fiecare încălcare individuală, așa că dacă 100 de persoane sunt afectate de încălcare, amenda potențială ar fi de 250.000 USD, mai degrabă decât 2.500 USD. În plus, dacă neconformitatea este considerată intenționată, amenzile pot ajunge la 7.500 USD per încălcare, crescând și mai mult potențialul de impact financiar semnificativ pentru mărci.

CCPA permite, de asemenea, rezidenților individuali din California să depună plângeri împotriva organizațiilor pe care le consideră că încalcă legea, cu posibile plăți de până la 750 USD de persoană.

În plus, există un drept privat de acțiune în temeiul CCPA, ceea ce înseamnă că o persoană poate introduce o acțiune în justiție, dacă persoana respectivă consideră că o companie nu a respectat cerințele de securitate ale CCPA și a existat o încălcare a datelor cu privire la PI a acelei persoane. Acest drept individual la acțiune poate duce la procese de acțiune colectivă, o posibilitate deosebit de îngrijorătoare în mediul litigios din California, unde, teoretic, există o serie de avocați ai reclamantului care așteaptă cu nerăbdare oportunitatea de a depune aceste tipuri de procese și de a recupera premii uriașe pe în numele unor mari clase de reclamanţi. Premiile pot depăși prejudiciul efectiv suferit, făcând această posibilitate deosebit de înfricoșătoare pentru companiile supuse CCPA. În plus, reglementările propuse în curs de revizuire iau în considerare implementarea unui drept privat de acțiune pentru toate încălcările CCPA, în loc să le permită doar acolo unde a existat o încălcare a cerințelor de securitate ale statutului.

De unde ar trebui să înceapă organizațiile când vine vorba de conformitatea cu CCPA?

Organizațiile ar trebui să se asigure că includ dezvăluirile adecvate pe site-ul lor web și în toate punctele de colectare a informațiilor personale de la rezidenții din California. Ar trebui să poată îndeplini toate solicitările CCPA și, dacă se consideră că „vând” informații personale ale rezidenților CA, ar trebui să includă în mod vizibil un buton „Nu-mi vinde datele” pe site-ul lor web.

Organizațiile care sunt deja conforme cu GDPR sunt pe cale de a se conforma CCPA, dar cerințele celor două legi nu sunt identice, iar companiile sunt încurajate să solicite sfatul consilierilor lor de încredere pentru a se asigura că au făcut tot ce este necesar pentru a se asigura că sunt în conformitate cu cerințele CCPA înainte de 1 ianuarie 2020.

CCPA și GDPR

Cum diferă CCPA și GDPR?

Regulamentul general privind protecția datelor (GDPR) al Uniunii Europene a fost adoptat în 2016 și a fost inspirat de convingerea implicită în mare parte din Europa că persoanele de acolo dețin un drept fundamental de a-și controla propriile date personale. CCPA, pe de altă parte, a rezultat din convingerea că statul California a rămas în urmă în ceea ce privește protejarea confidențialității rezidenților lor și protejarea acestora de utilizarea greșită a PI (inclusiv furtul de identitate, frauda financiară, daune reputației, hărțuire etc.) .

Având în vedere aceste diferențe, în timp ce GDPR s-a concentrat în primul rând pe asigurarea deținerii și controlului datelor cu caracter personal de către fiecare persoană afectată, CCPA s-a concentrat pe vizarea capacității companiilor online de a efectua tranzacții care implică cantități mari de informații personale fără cunoștința și consimțământul rezidenților din California. Cu alte cuvinte, GDPR se aplică tuturor activităților implicate în prelucrarea datelor cu caracter personal, inclusiv stocarea, accesarea și transferul de date. Cu toate acestea, CCPA se aplică numai colectării, „vânzării” și dezvăluirii de informații personale în scop de afaceri.

În ce moduri se completează CCPA și GDPR?

Atât CCPA, cât și GDPR cer organizațiilor care colectează informații personale de la persoane să dezvăluie ce vor face cu acele informații personale, iar ambele legi oferă o serie de drepturi similare terților cu privire la propriile lor informații personale. În plus, ambele legi impun consimțământul, transparența și controlul persoanelor asupra propriilor informații personale, iar ambele legi impun amenzi pentru nerespectarea cerințelor acestora.

Se preconizează că diferențele dintre mediile de reglementare dintre UE și California vor avea un impact asupra aplicării CCPA și, respectiv, GDPR?

Deoarece California este un mediu mult mai litigios decât Uniunea Europeană și se așteaptă că autoritățile de reglementare din California vor încerca să aplice cu strictețe legea începând cu noul an, este probabil să vedem mai multe organizații amendate pentru că nu respectă CCPA decât am făcut atunci când a început aplicarea GDPR. Având în vedere acest lucru, organizațiile care aleg să aștepte și să vadă decât să urmărească în mod agresiv conformarea cu CCPA își asumă probabil un risc serios.