Ameesh Divatia este co-fondator & CEO al Baffle, Inc., cu o experiență dovedită în transformarea ideilor inovatoare în afaceri de succes.
Aprobarea de către California a Legii privind drepturile de confidențialitate din California (CPRA) la 3 noiembrie se bazează pe Legea privind confidențialitatea consumatorilor din California (CCPA). Regulamentul UE privind confidențialitatea, GDPR, este standardul de aur în ceea ce privește legile privind confidențialitatea datelor, iar CPRA se apropie de acest standard prin faptul că reflectă dorința crescută a societății pentru confidențialitatea datelor. În plus, CPRA oferă consumatorilor un control și mai mare asupra datelor cu caracter personal colectate de companii și un acces la acestea decât ceea ce a făcut CCPA.
Pentru entitățile acoperite, acest lucru poate fi resimțit ca un „pumn dublu” de reglementare, deoarece CCPA tocmai a fost promulgată în ianuarie, iar punerea în aplicare a legii a început în iulie. Vestea bună pentru întreprinderi este că CPRA nu va intra în vigoare până în 2023, ceea ce le dă timp întreprinderilor să instituie infrastructura necesară pentru a se conforma. În timp ce CPRA are multe fațete care trebuie examinate, așa cum a explicat IAPP în luna mai, cred că există trei domenii ale noii legi care aduc provocări semnificative în ceea ce privește protecția datelor:
– Crearea Agenției pentru protecția vieții private din California (CalPPA).
– Crearea categoriei de informații sensibile cu caracter personal.
– Extinderea drepturilor consumatorilor și a conformității operatorilor de date.
Crearea CalPPA
În temeiul CPRA, responsabilitatea aplicării legii trece de la procurorul general la nou înființata CalPPA. Agenția va fi formată dintr-un consiliu format din cinci membri care va proteja drepturile de confidențialitate ale oamenilor, va promova sensibilizarea publicului și va oferi îndrumări consumatorilor și întreprinderilor în temeiul legii. Aceștia vor fi, de asemenea, împuterniciți să pună în aplicare și să aplice legea și să aplice amenzi pentru încălcări.
Cu această mutare a responsabilității către o agenție dedicată exclusiv CPRA, cred că procesul de aplicare a legii va fi probabil mult mai riguros și mai bine definit. Ca urmare, organizațiile vor trebui să fie și mai dedicate pentru a se asigura că implementează infrastructura adecvată pentru a se conforma legii din prima zi.
Informații personale sensibile
CPRA a extins formatele de date protejate pentru a include o nouă clasificare: informații personale sensibile. Potrivit IAPP, aceste informații includ detalii precum geolocalizarea precisă a unui consumator, rasa, etnia, religia, orientarea sexuală, apartenența la un sindicat, comunicările personale, datele genetice și informațiile biometrice sau de sănătate.
Protejarea informațiilor personale sensibile poate fi o provocare pe două fronturi. În primul rând, crește exponențial cantitatea de date care trebuie protejate, ceea ce va necesita mai multă vigilență în domeniul identificării datelor. A doua provocare este mai nuanțată, în sensul că informațiile personale sensibile nu respectă formatele tradiționale de identificare – cum ar fi numerele de securitate socială, numerele cardurilor de credit și de debit și adresele. Acest lucru înseamnă că este posibil ca entitățile vizate să fie nevoite să utilizeze tehnici avansate de identificare și protecție a datelor cu care multe organizații nu sunt familiarizate în prezent.
Drepturi extinse ale consumatorilor și conformitatea cu colectorii de date
CPCRA impune acum entităților vizate să comunice cu consumatorii cu privire la perioada de timp în care intenționează să păstreze datele consumatorilor. În plus, legea limitează în mod oficial perioada în care întreprinderile pot păstra datele. Aderarea la această fațetă a CPRA va necesita ca întreprinderile să îmbunătățească în continuare protocoalele de monitorizare și actualizare a înregistrărilor de păstrare pentru a se asigura că comunică aceste informații consumatorilor într-un mod conform.
CPRA va solicita, de asemenea, furnizorilor de servicii, contractanților și terților care lucrează cu întreprinderile acoperite să adere la noua legislație, făcându-i efectiv să adere la cerințele CPRA, indiferent dacă ei înșiși sunt supuși direct acesteia. Aceste organizații nu pot utiliza datele pe care le primesc în alte scopuri decât cele convenite inițial. Ele nu pot vinde aceste informații și probabil că vor trebui să implementeze practici de confidențialitate mai rigide și mai cuprinzătoare decât cele pe care le-ar putea folosi în mod normal.
Cum ar trebui să se pregătească organizațiile pentru CPRA
În timp ce respectarea CPRA va necesita mult efort pentru majoritatea entităților acoperite, acestea vor avea la dispoziție doi ani pentru a se pregăti, ceea ce ar trebui să le dea timp să își facă ordine în casă. Luați în considerare următoarele sugestii pentru a asigura pregătirea pentru CPRA în 2023:
– Auditați acum politicile de identificare, protecție și păstrare a datelor. Luați act de orice neconcordanțe pe care politicile actuale le au pe fondul CPRA și începeți să faceți ajustările corespunzătoare. Cel mai probabil, organizațiile vor fi făcut recent acest pas pentru conformitatea cu CCPA, așa că saltul către conformitatea cu CPRA ar trebui să fie mai ușor de această dată. Orice organizație care a urmărit conformitatea cu GDPR va avea deja un avans pentru conformitatea CPRA.
– Începeți discuțiile cu furnizorii de servicii, contractanții și terții. Acum că partenerii vor fi considerați responsabili pentru datele pe care entitățile acoperite le împărtășesc cu ei, aceștia ar trebui să înțeleagă mai bine pașii pentru a le proteja. Iar verificarea potențialilor parteneri vă va cere să faceți cercetări cu privire la modul în care aceștia intenționează să respecte cerințele CPRA. Creați chestionare de conformitate pentru aceste entități pentru a face procesul mai ușor de gestionat.
– Solicitați soluții pregătite pentru CPRA. Există probabil multe soluții pe care organizațiile le utilizează și care vor trebui să fie revizuite pentru a adera mai ușor la CPRA – de exemplu, instrumente de securitate în cloud, de gestionare a datelor, de confidențialitate a datelor și de partajare a datelor. Fiți proactivi în ceea ce privește împărtășirea preocupărilor dvs. cu furnizorii, dacă ceea ce oferă aceștia nu vă va ajuta să mențineți în mod eficient conformitatea cu CPRA.
Legislația privind confidențialitatea datelor de consum câștigă avânt în toate zonele geografice și industriile, iar CPRA servește drept cel mai recent exemplu. Prin accelerarea investițiilor în aspectele dificile acum, entitățile acoperite pot fi pregătite să mențină conformitatea atunci când legea intră în vigoare și să fie mai agile atunci când trebuie să abordeze viitoarele legi privind confidențialitatea.
Forbes Technology Council este o comunitate pe bază de invitație doar pentru CIO, CTO și directori de tehnologie de clasă mondială. Mă calific?
Urmăriți-mă pe Twitter sau LinkedIn. Consultați site-ul meu web.