Ameesh Divatia è co-fondatore & CEO di Baffle, Inc, con una comprovata esperienza nella trasformazione di idee innovative in aziende di successo.
L’approvazione della California Privacy Rights Act (CPRA) il 3 novembre si basa sul California Consumer Privacy Act (CCPA). Il regolamento sulla privacy dell’UE, GDPR, è il gold standard in termini di leggi sulla privacy dei dati, e il CPRA si avvicina a quello standard riflettendo il crescente desiderio della società per la privacy dei dati. Inoltre, il CPRA dà ai consumatori un controllo e un accesso ancora maggiore ai dati personali raccolti dalle aziende rispetto a quanto fatto dal CCPA.
Per le entità coperte, questo può sembrare un “uno-due pugni” normativo perché il CCPA è stato appena firmato in legge a gennaio, con l’applicazione che inizia a luglio. La buona notizia per le imprese è che CPRA non entrerà in vigore fino al 2023, il che dà alle imprese il tempo di istituire l’infrastruttura necessaria per conformarsi. Mentre il CPRA ha molte sfaccettature che devono essere esaminate, come spiegato da IAPP in maggio, credo che ci siano tre aree della nuova legge che portano sfide significative in relazione alla protezione dei dati:
– Creazione della California Privacy Protection Agency (CalPPA).
– Creazione della categoria delle informazioni personali sensibili.
– Espansione dei diritti dei consumatori e conformità del controllore dei dati.
Creazione della CalPPA
Con la CPRA, la responsabilità dell’applicazione passa dal procuratore generale alla neonata CalPPA. L’agenzia sarà composta da un consiglio di cinque membri che proteggerà i diritti alla privacy delle persone, promuoverà la consapevolezza pubblica e fornirà una guida ai consumatori e alle imprese ai sensi della legge. Avrà anche il potere di attuare e far rispettare la legge e imporre multe per le violazioni.
Con questo spostamento di responsabilità a un’agenzia dedicata esclusivamente al CPRA, credo che il processo di applicazione sarà probabilmente molto più rigoroso e ben definito. Di conseguenza, le organizzazioni dovranno essere ancora più dedite ad assicurarsi di implementare l’infrastruttura appropriata per conformarsi alla legge il primo giorno.
Informazioni personali sensibili
Il CPRA ha ampliato i formati dei dati protetti per includere una nuova classificazione: informazioni personali sensibili. Secondo IAPP, queste informazioni includono dettagli come la geolocalizzazione precisa di un consumatore, la razza, l’etnia, la religione, l’orientamento sessuale, l’appartenenza sindacale, le comunicazioni personali, i dati genetici e le informazioni biometriche o sanitarie.
La protezione delle informazioni personali sensibili può essere impegnativa su due fronti. In primo luogo, aumenta esponenzialmente la quantità di dati che devono essere protetti, il che richiederà una maggiore vigilanza nel campo dell’identificazione dei dati. La seconda sfida è più sfumata in quanto le informazioni personali sensibili non seguono i formati tradizionali di identificazione – come i numeri di previdenza sociale, i numeri delle carte di credito e di debito e gli indirizzi. Questo significa che le entità coperte potrebbero dover impiegare tecniche avanzate di identificazione e protezione dei dati con cui molte organizzazioni non hanno attualmente familiarità.
Diritti del consumatore e conformità del raccoglitore di dati ampliati
Il CPRA ora richiede alle entità coperte di comunicare con i consumatori per quanto tempo intendono conservare i dati dei consumatori. Inoltre, la legge limita ufficialmente per quanto tempo le imprese possono conservare i dati. Aderire a questo aspetto del CPRA richiederà alle aziende di migliorare ulteriormente i protocolli per il monitoraggio e l’aggiornamento dei registri di conservazione per garantire che stiano comunicando queste informazioni ai consumatori in modo conforme.
Il CPRA richiederà anche ai fornitori di servizi, appaltatori e terze parti che lavorano con le aziende coperte di aderire alla nuova legislazione, facendoli effettivamente aderire ai requisiti del CPRA indipendentemente dal fatto che essi stessi siano soggetti ad esso direttamente. Queste organizzazioni non possono usare i dati che ricevono per qualsiasi scopo diverso da quello originariamente concordato. Non possono vendere quelle informazioni, e probabilmente dovranno implementare pratiche di privacy più rigide e complete di quelle che potrebbero altrimenti impiegare.
Come le organizzazioni dovrebbero prepararsi al CPRA
Sebbene diventare conformi al CPRA richiederà un grande sforzo per la maggior parte delle entità coperte, avranno due anni per prepararsi, il che dovrebbe dare loro il tempo di mettere ordine in casa. Considerate i seguenti suggerimenti per assicurare la preparazione per il CPRA nel 2023:
– Controllate ora le politiche di identificazione, protezione e conservazione dei dati. Prendete nota di qualsiasi incoerenza delle politiche attuali rispetto al contesto del CPRA e iniziate a fare gli aggiustamenti appropriati. Con tutta probabilità, le organizzazioni avranno recentemente fatto questo passo per la conformità CCPA, quindi fare il salto alla conformità CPRA dovrebbe essere più facile questa volta. Qualsiasi organizzazione che ha perseguito la conformità GDPR avrà già un vantaggio per la conformità CPRA.
– Iniziare le discussioni con i fornitori di servizi, appaltatori e terze parti. Ora che i partner saranno ritenuti responsabili dei dati che le entità coperte condividono con loro, dovrebbero comprendere meglio i passi per proteggerli. E l’esame dei potenziali partner vi richiederà di indagare su come intendono soddisfare i requisiti del CPRA. Creare questionari di conformità per queste entità per rendere il processo più facile da gestire.
– Richiedere soluzioni CPRA-ready. Ci sono probabilmente molte soluzioni utilizzate dalle organizzazioni che dovranno essere riviste per aderire più facilmente al CPRA – ad esempio, sicurezza del cloud, gestione dei dati, privacy dei dati e strumenti di condivisione dei dati. Siate proattivi nel condividere le vostre preoccupazioni con i fornitori se ciò che offrono non vi aiuterà a mantenere efficacemente la conformità CPRA.
La legislazione sulla privacy dei dati dei consumatori sta prendendo piede in tutte le aree geografiche e i settori, e la CPRA ne è l’ultimo esempio. Aumentando ora gli investimenti negli aspetti difficili, le entità coperte possono essere pronte a mantenere la conformità quando la legge entra in vigore ed essere più agili quando devono affrontare le future leggi sulla privacy.
Forbes Technology Council è una comunità su invito per CIO, CTO e dirigenti tecnologici di livello mondiale. Sono qualificato?
Seguitemi su Twitter o LinkedIn. Controlla il mio sito web.