Întrebări frecvente: Ce este Virginia Consumer Data Protection Act (VCDPA)?

Confidențialitatea datelor continuă să fie un subiect din ce în ce mai relevant pentru vremurile noastre.

Legea privind protecția datelor pentru consumatori din Virginia (CDPA sau VCDPA din Virginia) a fost recent adoptată de ambele camere ale legislativului din Virginia, impunând noi restricții cu privire la colectarea, dezvăluirea și utilizarea informațiilor de identificare personală (PII) ale rezidenților din Virginia de către corporații neexonate.

Întrebări VCDPA la care s-a răspuns în această întrebare frecventă:

• Ce restricții sunt în noul VCDPA?
• Ce protecții pentru consumatori sunt oferite de VCDPA?
• Cine va aplica VCDPA?
• Cui se aplică VCDPA?
• Când a devenit efectiv VCDPA?
• Ce trebuie să știe editorii despre VCDPA?

Ce restricții sunt în noul VCDPA?

• Să onoreze solicitările specifice, verificabile ale consumatorilor din Virginia de a dezvălui, corecta sau șterge informații personale;
• Că le permit consumatorilor din Virginia să renunțe la prelucrarea datelor cu caracter personal în scopuri specifice (și, în plus, ca datele sensibile să nu fie prelucrate fără o înscriere clară);
• Că firmele efectuează evaluări de protecție a acțiunilor lor de prelucrare a datelor (precum și alte acțiuni de prelucrare a datelor cu caracter personal „care prezintă un risc crescut de prejudiciu pentru consumatori”);
• Firmele să mențină și să publice notificări și dezvăluiri de confidențialitate adecvate (și să le respecte); și
• Că firmele și procesatorii lor de date includ clauze legale specifice în acordurile lor de utilizare.

Pentru a asigura siguranța informațiilor personale ale clienților în lumina noului VCDPA, procesatorii de date trebuie acum să adere la câteva reglementări suplimentare, în principal legate de evaluările privind protecția datelor, solicitările consumatorilor și notificările de încălcare a securității.

Cititorii pot examina textul integral al VCDPA aici .

Unii observatori au făcut paralele între California Consumer Privacy Act (CCPA, care a intrat în vigoare în 2020) – prima măsură semnificativă de confidențialitate a datelor din Statele Unite – și recenta VCDPA, care a fost aprobată mai bine de doi ani și jumătate. mai tarziu. (Rețineți că CCPA a fost în sine modificată și extinsă prin Legea privind drepturile de confidențialitate din California [CPRA] la 1 ianuarie 2023.)

Alții, totuși, susțin că Regulamentul general privind protecția datelor (GDPR) mult mai robust al UE este mai analog cu VCDPA.

Dar VCDPA este, de asemenea, în mod distinct propriul său set de măsuri. Deși VCDPA impune anumite restricții privind direcționarea de la întreprindere la consumator (B2C), se întâmplă să existe și o serie de modalități de a ocoli aceste restricții.

De asemenea, deși unele dintre aceste restricții ar putea avea un efect asupra eforturilor de marketing B2C ale firmelor, se pare că țintirea unui Virginian într-un context business-to-business (B2B) sau business-to-government (B2G) este încă un joc corect, așa că atâta timp cât acest lucru este relevant pentru funcția de muncă a țintei și nu încalcă nicio lege. Dar dacă doriți să contactați un Virginian în timp ce el sau ea se relaxează cu familia (și telefonul) pe canapea după o zi lungă, poate doriți să reduceți publicitatea vizată.

Ce protecții pentru consumatori sunt oferite de VCDPA?

VCDPA acordă consumatorilor drepturi specifice cu privire la datele lor private. Aceste protecții conform Legii includ:

1. Dreptul de a vedea, accesa și confirma datele personale
2. Dreptul de a șterge datele personale
3. Dreptul de a corecta inexactitățile datelor cu caracter personal
4. Dreptul la portabilitatea datelor (adică acces simplificat, portabil la toate datele cu caracter personal deținute de o companie)
5. Dreptul de a renunța la prelucrarea oricăror date cu caracter personal în scopuri de publicitate vizată
6. Dreptul de a renunța la vânzarea datelor cu caracter personal
7. Dreptul de a renunța la profilare pe baza datelor personale
8. Dreptul de a nu fi discriminat pentru exercitarea oricăruia dintre drepturile de mai sus

Conform VCDPA, pentru a fi în conformitate, companiile trebuie să furnizeze consumatorilor informații despre drepturile lor, precum și un mecanism de exercitare a acestor drepturi. Legea codifică, de asemenea, diverse obligații de date cu caracter personal pentru întreprinderi. Când vine vorba de colectarea și utilizarea datelor personale sensibile, cum ar fi date precise de localizare geografică, date despre trăsăturile protejate ale utilizatorilor și date genetice sau biometrice, de exemplu, firmele care trebuie să respecte Legea trebuie să obțină mai întâi consimțământul.

VCDPA este similar cu CCPA prin faptul că VCDPA impune contracte speciale între companii și furnizorii de servicii pe care îi folosesc pentru a procesa date în numele lor. Aceste contracte trebuie să respecte cerințele Legii și să definească obligațiile furnizorilor de servicii cu privire la datele personale pe care le prelucrează.

În plus, VCDPA impune ca întreprinderile să păstreze informațiile personale pentru o perioadă de cel mult perioada necesară pentru un anumit scop și pentru o perioadă nu mai mare decât perioada necesară pentru atingerea scopului declarat. Aceste concepte sunt cunoscute ca limitare a scopului și, respectiv, minimizarea datelor.

VCDPA prevede, de asemenea, ca întreprinderile să aibă și să mențină politici adecvate de securitate a datelor pentru a proteja confidențialitatea, integritatea și disponibilitatea informațiilor despre clienți.

Măsurile de securitate a datelor ale unei firme sunt probabil adecvate dacă aderă la standardul recunoscut al industriei, luând în considerare dimensiunea și complexitatea organizației și datele personale pe care le gestionează; cu toate acestea, nu este încă clar cum vor fi implementate aceste criterii de rezonabilitate.

În cele din urmă, VCDPA, ca și Regulamentul general privind protecția datelor (GDPR) al Uniunii Europene, obligă organizațiile să efectueze și să documenteze o evaluare a protecției datelor înainte de a procesa date sensibile sau de a se angaja în anumite activități cu date personale, cum ar fi publicitate direcționată, vânzare sau profilare.

Cine va aplica VCDPA?

Procurorul general din Virginia va fi responsabil pentru aplicarea VCDPA și, deși există o perioadă de grație de 30 de zile pentru a remedia orice încălcare, continuarea încălcării legii dincolo de acest punct poate duce la o sancțiune civilă de până la 7.500 USD per incident. Este important de remarcat faptul că Legea nu oferă consumatorilor individuali un drept privat la acțiune în justiție, așa cum o face CCPA.

În ceea ce privește această ultimă avertizare, pentru a se califica ca consumator în conformitate cu VCDPA, un rezident din Virginia trebuie să fie o persoană fizică „care acționează numai într-un context individual sau gospodăresc”. (Contrastați acest lucru cu CCPA, care nu limitează definiția sa de „consumator” la „persoane fizice sau gospodării.”) VCDPA clarifică, de asemenea, că nu se oferă garanții celor care „acţionează într-un context comercial sau de angajare”.

Cui se aplică VCDPA?

La fel ca CCPA, VCDPA se poate aplica companiilor care nu au sediul în Virginia, dar care totuși desfășoară afaceri în stat. Această lege obligă companiile care (1) desfășoară afaceri în Virginia sau comercializează către rezidenții din Virginia; și (2) fie: (a) procesează sau controlează datele personale ale a 100.000 sau mai mulți rezidenți din Virginia; sau (b) procesează sau controlează datele cu caracter personal ale a 25.000 sau mai mulți rezidenți din Virginia și obțin mai mult de 50% din veniturile brute din vânzarea datelor cu caracter personal sunt supuse VCDPA.

Când a devenit efectiv VCDPA?

VCDPA a intrat în vigoare la 1 ianuarie 2023, așa că companiile trebuie să-l respecte în prezent.

La 2 martie 2021, Virginia a devenit al doilea stat după California care a implementat o legislație cuprinzătoare privind confidențialitatea datelor, adăugând la ceea ce devine un stat la nivel național. mozaic de reglementări privind confidențialitatea datelor. (Statele Nevada și Maine au adoptat, de asemenea, legi privind confidențialitatea datelor, deși nu sunt considerate „cuprinzătoare”, așa cum sunt definite de Asociația Internațională a Profesioniştilor în Confidențialitate [IAPP].)

Ce trebuie să știe editorii despre VCDPA?

Companiile ar trebui să își evalueze operațiunile de prelucrare a datelor cu caracter personal, măsurile de securitate a datelor, politicile de confidențialitate și contractele cu furnizorii de servicii cât mai curând posibil pentru a se proteja de aplicarea VCDPA. Vă sugerăm, de asemenea, să luați în considerare imaginea de ansamblu atunci când vine vorba de a răspunde cererilor consumatorilor de a asigura respectarea drepturilor în temeiul CCPA sau VCDPA.

Admiral, o platformă CMP (Consent Management Platform), urmărește legile privind consimțământul privind confidențialitatea care au un impact asupra editorilor online din Statele Unite și din întreaga lume. Este recomandat să citiți Întrebări frecvente CMP dacă aveți întrebări sau nelămuriri.

În plus față de mandatele de reglementare, colectarea consimțământului vizitatorilor poate stabili un segment valoros de vizitatori pentru a comercializa și a furnizat CPM-uri mai mari pentru unii editori.

Vor exista în curând legi mai stricte privind confidențialitatea datelor

Atenția publicului a fost atrasă asupra confidențialității datelor, pe măsură ce poveștile de încălcări ale datelor, utilizarea necorespunzătoare a datelor clienților și confidențialitatea devin tot mai frecvente. Conform rezultatelor unui sondaj Cisco, 84% dintre respondenți doresc acum mai mult cuvânt de spus despre datele lor și despre modul în care sunt utilizate.

84% dintre respondenți doresc acum mai mult cuvânt de spus despre datele lor și despre modul în care sunt utilizate. - Sondaj Cisco

Acesta este vârful aisbergului pentru companiile de editare. Illinois, Maine, Massachusetts, Nevada, New Jersey și Pennsylvania sunt doar câteva dintre statele care au adoptat recent legile privind protecția datelor și confidențialitatea.

Există, de asemenea, un efort în curs de a stabili o agenție federală de protecție a datelor și reguli naționale de protecție a datelor. În așteptare, Laboratorul tehnic al IAB a creat Platforma generală de confidențialitate, un protocol de conformitate standardizat. Platforma de gestionare a consimțământului Admiral este compatibilă cu GPP și este construită pentru flexibilitate între state și jurisdicții.

Respectarea VCDPA, CPRA, CCPA și GDPR

Pentru editori, poate fi un coșmar să încerce să țină pasul cu toată legislația privind confidențialitatea și cu complexitățile GDPR, CCPA, CPRA și VCDPA. Pentru a gestiona mai bine confidențialitatea și consimțământul vizitatorilor, mulți editori au solicitat asistență de la Admiral.

Admiral este unul dintre primii CMP care se conformează cu metodologia Biroului de Publicitate Interactivă (IAB) pentru transmiterea informațiilor de renunțare către furnizorii din aval, identificând automat vizitele site-ului de la adresele IP din Virginia și oferind vizitatorilor o interfață cu utilizatorul pentru a renunța. vânzări de date.

Admiral's CMP este cea mai bună soluție de gestionare a consimțământului de confidențialitate pentru editorii media. Programați o demonstrație astăzi.