Taula de continguts:
- El CCPA i tu: una introducció
- Diferències entre GDPR i CCPA
- Ampli impacte de la CCPA
- Descobriments de dades importants
- Només 18 mesos per preparar-se
Vídeo: Teoria del Consumidor (Setembre 2024)
Algunes de les empreses tecnològiques més conegudes tenen la seu a Califòrnia, un estat que el 28 de juny de 2018 va aprovar la Llei de privadesa de consum de Califòrnia de 2018 (CCPA). El CCPA no entrarà en vigor fins a l’1 de gener del 2020, però s’espera que afecti empreses a tota Califòrnia, als Estats Units i, de fet, a tot el món. El CCPA tindrà un impacte sobre la forma en què les empreses puguin gestionar les dades dels clients i per a molts la considera la llei més estricta de protecció de dades de la història dels Estats Units.
Si teniu sentit que ja teniu sentit, no esteu sols. Al maig, va entrar en vigor el Reglament general de protecció de dades de la Unió Europea (GDPR). El GDPR ha estat un tema temàtic aquí a PCMag. Si bé la llei es va transmetre a l'Atlàntic, la veritat és que és una marca a les empreses de tot el món perquè s'aplica a tots els ciutadans de la UE, independentment del lloc on visquin. Igual que el GDPR, l’impacte del nou CCPA tindrà implicacions de gran abast fora de l’àmbit del seu estat d’origen. Hem parlat amb uns quants experts per obtenir més informació sobre el CCPA i algunes de les seves implicacions esperades.
El CCPA i tu: una introducció
El CCPA estableix el dret del consumidor a sol·licitar que les empreses divulguin quina mena de dades es recopilen sobre elles. A no ser que utilitzeu una eina com una xarxa privada virtual (VPN), és pràcticament la seguretat que moltes empreses recopilen informació sobre vosaltres cada vegada que esteu connectats. Dir que aquesta mena de transparència que aportarà el CCPA és un fet important.
John Tsopanis és un administrador de productes de privadesa de 1touch.io, una empresa que ajuda a les empreses a comprendre les dades personals que gestionen. Tsopanis ha passat els últims anys fent consultoria GDPR per a empreses i s’està preparant per fer el mateix amb el CCPA. Tsopanis explica la CCPA en termes bàsics.
"L'1 de gener de 2020, un resident de Califòrnia tindrà dret legal a preguntar a qualsevol gran empresa d'Amèrica: 'Estàs processant alguna informació meva?'", Va dir Tsopanis. "Dins els 45 dies, aquesta empresa tindrà l'obligació de respondre amb un informe detallant els darrers 12 mesos. Haurà de mostrar quines categories específiques d'informació personal disposen d'aquest individu, amb qui ho comparteixen i quins són els motius. Han de donar aquesta informació als residents de Califòrnia, els 40 milions d'ells, dins del termini ".
Diferències entre GDPR i CCPA
Hi ha algunes diferències substancials entre el que fa el GDPR i el que cobreix el CCPA. Per començar, el CCPA utilitzarà una base de desactivació del consentiment, mentre que el GDPR utilitza una base de desactivació. Això significa essencialment que els usuaris hauran d’adreçar-se activament a les empreses per esbrinar quina informació s’utilitza. Addicionalment, el GDPR s'aplica a qualsevol organització que posseeixi dades personals sobre ciutadans de la UE.
El CCPA, en canvi, només s'aplica a empreses amb ànim de lucre que processin dades sobre residents a Califòrnia. L’organització ha de fer almenys 24 milions de dòlars en ingressos anuals, tenir les dades de 50.000 persones o bé, almenys, la meitat dels seus ingressos en la venda de dades personals. Així, si teniu una petita botiga de botigues i l’amplitud de les vostres operacions en línia és una pàgina web que enumera els horaris i l’adreça de la vostra botiga, no haureu de preocupar-vos massa pel CCPA. Però si utilitzeu un lloc web de comerç electrònic mitjançant un proveïdor de mà en mà o si manteniu el vostre lloc web de cua electrònica mitjançant un servei general d’allotjament web, aleshores voldreu parar atenció.
Courtney Bowman és soci del departament de litigios del despatx d’advocats internacional Proskauer Rose LLP. Bowman explica per què la CCPA exigirà a les empreses que pensin detingudament sobre el seu ús de dades molt més enllà del 2020. "Aquest requisit de 12 mesos significa que les empreses hauran de mirar la seva política de privadesa almenys un cop a l'any i intentar esbrinar si alguna cosa ha canviat., " ella va dir.
"Han de controlar contínuament quines dades venen o divulguen a tercers perquè puguin ajustar les seves polítiques de privacitat en conseqüència", va continuar Bowman. "La llei també proporciona als consumidors el dret a accedir o eliminar la informació personal en algunes situacions, i les empreses hauran de vetllar per garantir efectivament aquest dret de forma ràpida. Això requerirà que les empreses participin en el mapatge de dades per esbrinar on es troben les seves dades està situat i també es relacionarà amb els seus departaments informàtics per esbrinar què han de fer per assegurar-se que poden complir les seves responsabilitats en virtut de la llei."
Ampli impacte de la CCPA
En els mesos anteriors a GDPR, un tema que es va desenvolupar en la nostra cobertura va ser que, en el nostre món globalitzat, el GDPR afectaria empreses més enllà d'Europa. Al cap i a la fi, la majoria de les grans empreses fan negocis a l'estranger i hauran de canviar les seves operacions en línia a nivell mundial per complir la llei. Quan parlem amb Tsopanis, però, va dir que les empreses nord-americanes encara necessiten tenir un avís especial sobre el CCPA.
"Quan es tracta d'empreses nord-americanes, el GDPR es va centrar principalment en grans organitzacions que operaven a través dels canals. Amb això, els criteris per a les empreses que es classifiquen són molt més grans per un ordre de magnitud massiu", va dir Tsopanis. "A Califòrnia hi ha 40 milions de persones; 50.000 no són ni tan sols el 0, 1 per cent de la població. Crec que l'escala d'exposició per a les empreses nord-americanes és significativament superior a la que hi havia abans a la GDPR".
Tsopanis ofereix l'exemple de gegant de menjar ràpid Wendy's. "Wendy's és la 999a empresa més gran del Fortune 1000 i té un ingrés anual d'1.2 bilions de dòlars, 48 vegades superior al llindar d'aplicabilitat d'aquesta llei. Almenys, hi ha 1.000 empreses de mil milions de dòlars a Amèrica que han de complir aquesta llei i unes ordres de magnitud significatives superiors a la de 25 milions de dòlars."
És possible que no considerem una empresa de tecnologia de Wendy però recullen una bona part de la informació dels usuaris. També són un exemple perfecte de com les empreses de tot tipus seran afectades pel CCPA. Quan visiteu el seu lloc web, sol·liciteu menjar a través dels sistemes de venda de punts de venda (POS) o, fins i tot, només utilitzeu la connexió Wi-Fi al restaurant local de Wendy, la companyia recopila la vostra informació i, almenys, a Califòrnia, això. Tots estaran subjectes a la regulació CCPA. Si una empresa tan petita com Wendy està recopilant tantes dades sobre usuaris, és francament espantós pensar què és el que estan recollint les corporacions més grans. En poques paraules, el CCPA tindrà enormes implicacions.
Descobriments de dades importants
Un dels efectes més importants del CCPA és que els nord-americans podran descobrir les grans quantitats de compra de dades i venda de dades que les empreses han realitzat. "Aquest projecte de llei permetrà al poble nord-americà finalment descobrir la xarxa massiva d'organitzacions de compra i venda de dades anteriorment han estat completament anònimes. Això comportarà un canvi cultural dramàtic en la percepció de la privadesa de les dades i, en definitiva, a algun punt, va conduir a una llei federal de privadesa harmonitzada ", va dir Tsopanis.
Quan el
"Per a tots els periodistes del país, aquest és un déu. Califòrnia és una economia de 2, 7 bilions de dòlars –el cinquè més gran del món– i està basada en Big Data. Totes les peticions d'accés de totes les empreses de Fortune 1000 revelaran tota una xarxa. de les empreses de compra i venda de dades que seran sotmeses a un intens escrutini ", va explicar Tsopanis. "No sabem exactament què trobarem quan els usuaris comencin a obtenir els seus informes de dades, però segurament hi ha algunes revelacions interessants."
Només 18 mesos per preparar-se
Si hem après alguna cosa de GDPR, és que les empreses han de planificar el més aviat possible per estar a punt per a la data límit. Amb això, les empreses nord-americanes no tenen molt de temps. El GDPR es va adoptar l'abril de 2016, i les empreses van tenir una mica més de dos anys complets per adaptar-se i complir el reglament. Com que el CCPA va entrar en vigor a principis del 2020, això vol dir que les empreses més grans tenen només 18 mesos per preparar-se.
És probable que aquest termini es posi de manifest fins i tot al professional de la tecnologia més experimentat. "La quantitat de treball que cal fer en 18 mesos és superior a la necessària per a GDPR, amb menys temps per fer-ho i amb empreses nord-americanes que provenen d'un nivell de maduresa de la privadesa inferior a Europa", adverteix Tsopanis.
Per complir, el veterà de seguretat recomana a les empreses tenir una cura adequada en el desenvolupament dels seus processos. "En els propers sis mesos, el que han de fer les organitzacions és desenvolupar algun tipus de mètode de seguiment d'informació personal a tota l'organització", va dir Tsopanis. "Necessiten una forma d'accedir fàcilment a quina informació personal es va enviar a quin tercer i a quina hora, i necessiten fer un seguiment d'això durant els dotze mesos fins a la seva implementació i estar a punt per proporcionar-los aquesta informació quan ho sol·liciti. el reglament entra en joc.
"Es requereix essencialment que gairebé totes les companyies importants dels Estats Units realitzin activitats importants d'identificació de dades i ser capaços d'automatitzar i respondre a les sol·licituds d'accés de les persones de la Califòrnia a la data d'aplicació", va continuar Tsopanis. "També és important tenir en compte que, quan s'aprovi la llei el 2020, han de poder proporcionar un informe sobre la informació dels usuaris durant els dotze mesos anteriors. Això significa que les empreses han de fer un seguiment d'aquestes dades l'1 de gener de 2019."
Des d’una perspectiva legal, Bowman assegura que hi podria haver alguns canvis abans del termini. "Es preveu que anem a veure algunes revisions de la llei abans que entri en vigor", va dir. "Com que es va redactar bastant ràpidament, fins i tot després que entri en vigor, pot haver-hi algunes zones grises que es mantenen pendents pel que fa a la nostra comprensió. Al capdavall, el GDPR va trigar anys a redactar-se i encara hi ha diverses parts del GDPR que són ambigus."
