Ameesh Divatia é co-fundadora & CEO da Baffle, Inc., com um historial comprovado de transformar ideias inovadoras em negócios de sucesso.

Big data wave

getty

California’s passage of the California Privacy Rights Act (CPRA) on November 3 builds upon the California Consumer Privacy Act (CCPA). O regulamento de privacidade da UE, GDPR, é o padrão ouro em termos de leis de privacidade de dados, e a CPRA se aproxima desse padrão ao refletir o maior desejo da sociedade pela privacidade de dados. Além disso, a CPRA dá aos consumidores um controle ainda maior e acesso aos dados pessoais coletados pelas empresas do que o que a CCPA fez.

Para entidades cobertas, isso pode parecer um “soco duplo” regulatório porque a CCPA acabou de ser assinada em janeiro, com a fiscalização começando em julho. A boa notícia para as empresas é que o CPRA não entrará em vigor até 2023, o que dá às empresas tempo para instituir a infra-estrutura necessária para cumprir. Embora o CPRA tenha muitas facetas que devem ser examinadas, como explicado pelo IAPP em maio, acredito que há três áreas da nova lei que trazem desafios significativos no que diz respeito à proteção de dados:

– Criação da Agência de Proteção de Privacidade da Califórnia (CalPPA).

– Criação da categoria de informação pessoal sensível.

– Expansão dos direitos do consumidor e conformidade do controlador de dados.

-Criação do CalPPA

– Segundo o CPRA, a responsabilidade da aplicação da lei se afasta do procurador geral para o recém formado CalPPA. A agência será composta por um conselho de cinco membros que protegerão os direitos de privacidade das pessoas, promoverão a conscientização pública e darão orientação aos consumidores e empresas sob o ato. Com esta mudança de responsabilidade para uma agência exclusivamente dedicada ao CPRA, acredito que o processo de aplicação será provavelmente muito mais rigoroso e bem definido. Como resultado, as organizações terão que ser ainda mais dedicadas a garantir que elas implementem a infra-estrutura apropriada para cumprir a lei no primeiro dia.

Informações pessoais sensíveis

CPRA expandiu os formatos de dados protegidos para incluir uma nova classificação: informações pessoais sensíveis. De acordo com o IAPP, esta informação inclui detalhes como a geolocalização precisa do consumidor, raça, etnia, religião, orientação sexual, afiliação a sindicatos, comunicações pessoais, dados genéticos e informações biométricas ou de saúde.

Proteger informações pessoais sensíveis pode ser um desafio em duas frentes. Primeiro, ela aumenta exponencialmente a quantidade de dados que devem ser protegidos, o que exigirá mais vigilância no domínio da identificação dos dados. O segundo desafio é mais matizado na medida em que as informações pessoais sensíveis não seguem os formatos tradicionais de identificação – tais como números de Segurança Social, números de cartões de crédito e débito e endereços. Isso significa que as entidades cobertas podem ter que empregar técnicas avançadas de identificação e proteção de dados que muitas organizações não estão atualmente familiarizadas.

Expanded Consumer Rights And Data Collector Compliance

O CPRA agora exige que as entidades cobertas comuniquem com os consumidores sobre quanto tempo eles planejam reter os dados dos consumidores. Além disso, a lei limita oficialmente quanto tempo as empresas podem reter os dados. A adesão a essa faceta do CPRA exigirá que as empresas melhorem ainda mais os protocolos de monitoramento e atualização dos registros de retenção para garantir que elas estejam comunicando essas informações aos consumidores de forma compatível.

CPRA também exigirá que os prestadores de serviços, contratados e terceiros que trabalham com as empresas cobertas adiram à nova legislação, tornando-as efetivamente aderentes aos requisitos do CPRA, independentemente de elas próprias estarem sujeitas diretamente a ela. Estas organizações não podem utilizar os dados que recebem para nenhum outro fim que não seja o originalmente acordado. Elas não podem vender essa informação, e provavelmente precisarão implementar práticas de privacidade mais rígidas e abrangentes do que elas poderiam empregar.

Como as organizações devem se preparar para o CPRA

Embora se tornarem compatíveis com o CPRA, exigirão muito esforço para a maioria das entidades cobertas, elas terão dois anos para se preparar, o que deve dar-lhes tempo para colocar suas casas em ordem. Considere as seguintes sugestões para garantir a prontidão do CPRA em 2023:

– Auditoria das políticas de identificação, proteção e retenção de dados agora. Tome nota de quaisquer inconsistências que as políticas atuais tenham contra o pano de fundo do CPRA e comece a fazer os ajustes apropriados. É muito provável que as organizações tenham dado recentemente este passo para a conformidade com o CCPA, portanto, desta vez deve ser mais fácil dar o salto para a conformidade com o CPRA. Qualquer organização que tenha perseguido a conformidade com a GDPR já terá um avanço para a conformidade com CPRA.

– Iniciar discussões com prestadores de serviços, empreiteiros e terceiros. Agora que os parceiros serão considerados responsáveis pelos dados que as entidades cobertas compartilham com eles, eles devem entender melhor os passos para protegê-los. E a verificação de potenciais parceiros exigirá que você faça perguntas sobre como eles planejam atender aos requisitos da CPRA. Crie questionários de conformidade para essas entidades para facilitar o processo de gerenciamento.

– Solicite soluções prontas para CPRA. Provavelmente, há muitas soluções que as organizações utilizam que precisarão ser revisadas para aderir mais facilmente ao CPRA – por exemplo, segurança na nuvem, gerenciamento de dados, privacidade de dados e ferramentas de compartilhamento de dados. Seja proativo quanto ao compartilhamento de suas preocupações com os provedores se o que eles oferecem não o ajudará a manter a conformidade com o CPRA de forma eficaz.

A legislação de privacidade de dados do consumidor está ganhando força em todas as geografias e setores, e o CPRA serve como o exemplo mais recente. Ao aumentar os investimentos nos aspectos desafiadores agora, as entidades cobertas podem estar prontas para manter a conformidade quando a lei entrar em vigor e ser mais ágeis quando precisarem lidar com futuras leis de privacidade.

Forbes Technology Council é uma comunidade somente por convite para CIOs, CTOs e executivos de tecnologia de classe mundial. Eu me qualifico?

Siga-me no Twitter ou no LinkedIn. Confira o meu site.

Loading …

By: adminPosted on

Deixe uma resposta

O seu endereço de email não será publicado.