Undang-Undang Privasi dan Perlindungan Data Amerika: Apa yang perlu diketahui merek?
Diterbitkan: 2022-09-13Sebuah RUU besar yang melindungi hak privasi konsumen di seluruh 50 negara bagian telah keluar dari komite DPR AS, menandai pertama kalinya RUU seperti itu telah maju sejauh ini.
Undang-Undang Perlindungan Data dan Privasi Amerika (ADPPA) memiliki jalan panjang sebelum menjadi undang-undang, tetapi merek harus menyadari ketentuannya dan potensi dampaknya terhadap bisnis.
Tren privasi data pelanggan: Membangun kepercayaan, pascapandemi
Pelajari tentang tiga tren data pelanggan utama saat bisnis pulih setelah pandemi dan mengapa CDP sangat penting untuk membangun kepercayaan.
Apa itu Undang-Undang Privasi dan Perlindungan Data Amerika?
ADPPA menetapkan persyaratan tentang bagaimana perusahaan dan organisasi, termasuk organisasi nirlaba, harus menangani data pribadi, termasuk informasi yang mengidentifikasi seseorang atau dapat dikaitkan secara wajar dengan individu.
RUU itu akan memengaruhi sebagian besar entitas pengumpul data. Ini juga berlaku untuk entitas yang memproses apa yang disebut "data tertutup" dan tunduk pada Federal Trade Commission Act (FTC Act). Setiap bisnis atau nirlaba yang mengumpulkan, memproses, atau mentransfer data yang dapat dikaitkan secara wajar dengan individu, kemungkinan besar mereka akan terikat pada hukum. Itu tidak akan berlaku untuk entitas pemerintah.
ADPPA membatasi penggunaan bisnis atas data pengenal pribadi. Ini sebagian besar melarang organisasi mengumpulkan, memproses, atau mentransfer data pribadi di luar apa yang secara wajar diperlukan untuk menyediakan layanan yang diminta oleh individu.
Namun, RUU tersebut mencakup 17 pengecualian yang diizinkan, yang mencakup kegiatan seperti kebutuhan untuk mengautentikasi pengguna dan mencegah penipuan.
Pialang data akan menghadapi lebih banyak kewajiban di bawah ADPPA, termasuk mendaftar ke FTC, yang akan membuat dan memelihara registri online yang dapat dicari yang berisi nama-nama entitas ini. Juga akan ada registri "Jangan Kumpulkan" yang memungkinkan pengguna meminta pialang data menghapus informasi mereka dalam waktu 30 hari.
Bagaimana masa depan privasi data konsumen?
Merek perlu menemukan cara untuk tetap berada di depan gelombang undang-undang yang sedang berlangsung, aturan baru, dan persyaratan kepatuhan. Itu termasuk tiga gerakan ini:
Perlindungan privasi konsumen dan keamanan data
Pendukung privasi telah lama berusaha memberi konsumen lebih banyak visibilitas dan kontrol atas informasi pribadi mereka. Di bawah Undang-Undang Privasi dan Perlindungan Data Amerika yang diusulkan, bisnis harus mengizinkan pengguna untuk mengakses, memperbaiki, dan menghapus data pribadi mereka.
Bisnis perlu memiliki mekanisme untuk menanggapi semua permintaan pengguna untuk melihat dan menyesuaikan data apa pun yang dimiliki organisasi tentang mereka.
Dengan ADPPA, anggota parlemen bertujuan untuk mengurangi jumlah pelanggaran data dengan mewajibkan keamanan data. Hanya dalam paruh pertama tahun ini, ada hampir 2.000 pelanggaran data, banyak yang melibatkan informasi pengenal pribadi, atau PII.
Bisnis yang tidak dapat menunjukkan bahwa mereka telah melakukan yang terbaik untuk melindungi data pelanggan pada akhirnya dapat menghadapi denda dan hukuman yang berat, meskipun penegakannya belum sepenuhnya berhasil (RUU tersebut mencakup klausul yang mengatakan bahwa FTC perlu mendirikan biro privasi untuk menangani ini).
Perusahaan dengan lebih dari 15 karyawan juga perlu memiliki petugas privasi dan petugas keamanan data.
Kepatuhan data: Panduan utama untuk persetujuan, privasi, dan praktik terbaik
Kepatuhan data mencakup standar dan peraturan yang berlaku untuk memastikan data aman, terlindungi dari pencurian data, penyalahgunaan, dan kehilangan. Berikut adalah panduan untuk memulai.
Ketentuan ADPPA tambahan
Seperti yang dirancang, undang-undang privasi data akan mengharuskan bisnis transparan dalam apa yang mereka lakukan dengan data konsumen dan bagaimana mereka melindunginya. Kebutuhan untuk mengungkapkan secara publik kebijakan privasi mereka “dengan cara yang jelas, mencolok, tidak menyesatkan, dan mudah diakses.
Kebijakan perlu merinci jenis data yang dikumpulkan organisasi serta bagaimana dan kapan mengumpulkan, memproses, dan mentransfernya.
ADPPA membatasi atau melarang banyak bentuk iklan bertarget, terutama untuk anak di bawah umur . Beberapa orang mengatakan ini akan memberlakukan pembatasan yang paling ketat di Amerika Serikat dan, mungkin, di dunia.
Bisnis harus sangat berhati-hati untuk menghindari menekan anak di bawah umur untuk mengungkapkan data pribadi yang tidak perlu atau untuk mengarahkan pemasaran atau iklan langsung kepada mereka.
Konsumen dapat menuntut bisnis atas dugaan pelanggaran privasi. Mulai dua tahun setelah pengesahan ADPPA, pengguna dapat menuntut pemulihan seperti ganti rugi, ganti rugi, dan biaya pengacara yang wajar jika mereka yakin organisasi salah menangani data pribadi mereka.
Denda GDPR meroket karena regulator menindak pelanggaran privasi
Denda GDPR melonjak pada kuartal ketiga, menyoroti meningkatnya risiko yang dihadapi bisnis saat regulator Eropa meneliti praktik privasi data.
Undang-undang privasi data federal: Tidak ada taruhan pasti
Terlepas dari keinginan bipartisan untuk melakukan sesuatu tentang privasi data dan dukungan konsumen untuk ketentuan RUU tersebut, hambatan yang cukup besar untuk pengesahan RUU tersebut tetap ada.
Misalnya, anggota parlemen dari negara bagian dengan aturan privasi yang ada, termasuk Connecticut, Colorado, Utah, Vermont, dan California, telah menyatakan keprihatinan bahwa ADPPA dapat mengalahkan perlindungan yang telah mereka berlakukan untuk warganya. Legislator California, khususnya, khawatir hal itu akan merusak Undang-Undang Privasi Konsumen California (CCPA) 2018 mereka yang penting serta inisiatif lain yang mulai berlaku tahun depan.
Setelah penyisiran penegakan bisnis online, Jaksa Agung California Rob Bonta mengumumkan penyelesaian $ 1,2 juta dengan Sephora pada bulan Agustus karena diduga gagal memberi tahu konsumen bahwa itu menjual data mereka, karena gagal memproses permintaan pengguna untuk memilih keluar dari praktik semacam itu, dan untuk gagal mengatasi pelanggarannya dengan cukup cepat. Pengecer lain menerima pemberitahuan bahwa mereka harus memperbaiki pelanggaran CCPA mereka.
Sementara amandemen ADPPA mencoba untuk menenangkan anggota parlemen California dengan bahasa yang secara khusus menyebut CCPA tetap berlaku, beberapa masih melihat undang-undang negara bagian itu terancam dan menentang undang-undang federal.
Apa itu CPRA? Undang-Undang Hak Privasi California: Dasar-dasar dan Ikhtisar
Karena CPRA dan web yang mengutamakan privasi terus mendapatkan daya tarik, organisasi perlu beradaptasi. Pelanggan menuntut transparansi tentang pengumpulan dan penggunaan informasi pribadi mereka. Perencanaan sekarang menghemat denda dan sakit kepala di masa depan.
Tidak mengherankan, pialang data menentangnya, dan Kamar Dagang AS menyebutnya "tidak bisa dijalankan."
Terlepas dari pertempuran ini, ada rasa optimisme di Capitol Hill bahwa ADPPA akan menemukan dukungan yang cukup untuk lolos. Setelah negosiasi yang intens, RUU itu muncul relatif tanpa cedera dari Komite Energi dan Perdagangan DPR. Namun, dengan pemilihan paruh waktu yang akan datang pada bulan November, mungkin anggota parlemen akan lebih memilih untuk membiarkan Kongres berikutnya memutuskan masa depan ADPPA.
Bahkan jika tidak diratifikasi, momentum di balik ADPPA menunjukkan bahwa akan ada undang-undang privasi data federal, dan bisnis harus siap dan mampu merespons.