Ini hidup! Persiapkan Regulasi CPRA & Legislasi Privasi Data Baru
Diterbitkan: 2023-02-23Undang-undang privasi data sedang membangun momentum: undang-undang privasi yang lebih komprehensif yang telah diusulkan dan disahkan di tingkat negara bagian daripada sebelumnya. Tapi tidak ada yang seluas apa yang akan terjadi di negara bagian California.
Undang-Undang Hak Privasi California (CPRA) mulai berlaku 1 Januari 2023, dan penegakan akan dimulai pada 1 Juli 2023. CPRA mewakili klarifikasi dan perluasan dari Undang-Undang Privasi Konsumen California (CCPA) yang asli; bersama-sama, mereka akan membentuk undang-undang privasi paling ketat di negara ini.
Jadi apa artinya bagi bisnis Anda? Pertama, jika strategi pemasaran Anda dalam bahaya ketidakpatuhan dan Anda melakukan bisnis apa pun (termasuk penjualan online) di negara bagian California, Anda perlu memindahkan privasi ke bagian atas daftar prioritas Anda.
Ikhtisar: CPRA vs. CCPA dan undang-undang privasi data lainnya akan berlaku pada tahun 2023
Anda mungkin mengetahui adanya perubahan tenggat waktu dan jadwal yang disesuaikan seputar CPRA yang diumumkan pada akhir tahun 2022, tetapi hal itu tidak mengubah kalender yang ditetapkan sebelumnya untuk penegakan. Jadi mari kita mulai bisnis.
CPRA adalah ukuran pemungutan suara yang muncul karena ada area abu-abu di CCPA asli yang meninggalkan banyak pertanyaan yang tidak terjawab, terutama seputar menentukan informasi identitas pribadi (PII) dan berbagai jenis pengumpulan data.
Wirewheel
Undang-undang privasi negara bagian lain di luar California yang berlaku pada tahun 2023 adalah:
- Colorado Privacy Act (CPA): Efektif 1 Juli 2023
- Connecticut Act Mengenai Privasi Data Pribadi dan Pemantauan Online (CTDPA): Efektif 1 Juli 2023
- Utah Consumer Privacy Act (UCPA): Efektif 31 Desember 2023
- Undang-Undang Perlindungan Data Konsumen Virginia (CDPA): Efektif 1 Januari 2023
Seperti CPRA, semua undang-undang negara bagian ini memiliki ketentuan tentang hak-hak konsumen, serta interpretasi mereka sendiri tentang informasi pribadi yang sensitif. Tetapi sangat penting untuk mengetahui bahwa mereka semua berbeda. Tidak ada solusi satu ukuran untuk semua untuk kepatuhan privasi di seluruh negara bagian.
Di situlah peran departemen hukum Anda. Anda perlu mengatur komunikasi rutin dengan tim hukum Anda untuk tetap mengikuti aturan dan peraturan baru yang dapat memengaruhi bisnis Anda tahun ini dan di masa mendatang.
Perubahan: CPRA mengubah peraturan seputar PII dan berbagi data
Sementara CPRA sudah berlaku, aturan akhir berdasarkan peraturan yang dimodifikasi tidak akan dirilis hingga April 2023 menyusul penundaan singkat oleh Badan Perlindungan Privasi California (CPPA).
Beberapa perubahan di bawah CPRA mencakup penguatan batasan pada berbagi data dan memberikan panduan yang lebih jelas tentang bagaimana pemasar dapat menggunakan apa yang didefinisikan undang-undang sebagai informasi pribadi yang "berpotensi sensitif", termasuk:
- Jaminan sosial atau nomor SIM
- Kartu identitas negara atau nomor paspor
- Detail login konsumen
- Geolokasi
- Akun keuangan, termasuk nomor kartu debit/kredit bersama dengan verifikasi atau kata sandi apa pun yang terkait dengan akun
- Balapan
- Etnisitas
- Agama
- Data genetik
- Data biometrik
- Komunikasi pribadi
- Orientasi seksual
- Informasi kesehatan
Salah satu perdebatan terbesar yang menyebabkan CPRA adalah bahasa ambigu dari persyaratan "Jangan Jual" CCPA. Di bawah undang-undang baru, bisnis sekarang harus membiarkan konsumen memilih untuk tidak menjual dan membagikan informasi mereka dengan opsi wajib "Jangan Jual atau Bagikan Informasi Saya" di situs web mereka.
Jika Anda berbagi data dengan pihak ketiga yang awalnya tidak diotorisasi, Anda diwajibkan oleh undang-undang untuk mengizinkan pengguna menyisih. Ada dua bagian yang perlu dipertimbangkan:
- Identitas asli: informasi pengenal pribadi (PII) pengguna yang ditangkap di tempat
- Identitas pasif: cookie dan pengidentifikasi browser, atau apa pun yang secara otomatis melacak pengguna
Sementara peraturan saat ini sedang diselesaikan, Anda dapat mengharapkan peraturan tambahan di masa mendatang. Bagian 1798.185 dari CPRA memberi wewenang kepada CPPA untuk "meminta partisipasi publik yang luas dan mengadopsi peraturan untuk memajukan tujuan judul ini (CPRA)." Itu menawarkan kelonggaran luas untuk aturan dan batasan tambahan, mulai dari menambahkan kategori baru informasi pribadi terkait privasi data hingga menetapkan prosedur baru terkait berbagi informasi pribadi dan memilih keluar dari penjualan data pribadi.
Dibandingkan dengan undang-undang yang berlaku di empat negara bagian lainnya, California sejauh ini menawarkan perlindungan paling legal untuk privasi data konsumen. Namun ingat: kepatuhan di California tidak secara otomatis berarti kepatuhan di tempat lain.
OneTrust
Efeknya: apa yang diharapkan dari penegakan CPRA
Di bawah CCPA, penegakan tetap menjadi tanda tanya besar, tetapi perkirakan California akan meningkatkan panasnya dengan CPRA. Denda $ 1,2 juta yang diberikan kepada Sephora karena melanggar CCPA pada tahun 2022 seharusnya menjadi peringatan bagi merek-merek yang mengira mereka dapat meluncur.
Jika Anda tidak yakin apakah California serius, pembentukan CPPA harus menjadi tanda yang jelas; mereka akan mengambil alih dari Jaksa Agung California (AG) untuk mengawasi kepatuhan, aturan masa depan, dan hukuman atas pelanggaran hukum. CPRA juga menghilangkan periode "penyembuhan" 30 hari sebelum didenda karena pelanggaran, alih-alih menyerahkannya pada kebijaksanaan Jaksa Agung dan/atau CPPA berdasarkan niat organisasi (atau ketiadaan) untuk melanggar hukum.
OneTrust
Kurang pasti bagaimana penegakan akan dilakukan di empat negara bagian tempat undang-undang diberlakukan untuk pertama kalinya; yang kami tahu adalah bahwa penegakan dan hukuman akan berbeda di setiap negara bagian. Baik di California atau di tempat lain, akan ada konsekuensi atas pelanggaran yang dapat merugikan bisnis Anda secara finansial dan membahayakan reputasi Anda di mata pelanggan.
Kepatuhan CPRA: Cara bekerja dengan tim hukum Anda
Apa yang dapat dilakukan merek sekarang adalah bertindak seolah-olah peraturan dan penegakan final sudah ada. Jika Anda tidak yakin apa artinya, hubungi tim hukum Anda dan cari cara agar Anda dapat bekerja sama untuk memastikan kepatuhan bisnis Anda.
Ada beberapa cara untuk memulai pekerjaan itu dengan tim hukum Anda:
- Petakan silo data Anda: Bahkan organisasi dengan manajemen data yang disempurnakan dan proses penyimpanan mungkin menemukan beberapa data terkurung di dalam organisasi mereka. Sangat penting untuk mengembangkan peta komprehensif yang menentukan data apa yang disimpan, di mana disimpan, dan tujuan silo. Idealnya, Anda ingin memecah silo ini, tetapi langkah pertama adalah mencari tahu di mana datanya.
- Berikan informasi kasus penggunaan yang komprehensif: Tim hukum akan sering berupaya memblokir aliran data sepenuhnya jika mereka dapat menimbulkan risiko bagi organisasi. Jika konteksnya tidak ada, misalnya, tim hukum dapat menyarankan tim mereka untuk mengaktifkan Pemrosesan Data yang Dibatasi di akun Google Ads. Itu akan benar-benar berlaku untuk semua penduduk yang tunduk pada undang-undang data regional, bukan hanya mereka yang telah menggunakan haknya untuk memilih keluar. Meskipun pendekatan ini mungkin memberikan perlindungan hukum yang absolut, pendekatan ini juga akan berdampak pada kemanjuran pemasaran (dan ini adalah sesuatu yang perlu dipahami oleh merek untuk menentukan keseimbangan yang tepat antara pertukaran ini.) Penting juga bagi tim hukum untuk mempertahankan saling berhadapan sehingga mereka dapat mempertahankan kebijakan privasi yang komprehensif dan terkini di situs web Anda yang mencerminkan sifat bagaimana data ini digunakan saat ini (banyak yang dapat berubah hanya dalam beberapa bulan!)
- Hitung estimasi dampak tindakan kepatuhan: Jika Anda memblokir semua pelacakan untuk konsumen di wilayah tertentu, hitung estimasi cakupan cakupan dan sediakan berbagai skenario hilangnya efisiensi. Misalnya, jika Anda memiliki 100.000 pelanggan setiap tahun dan 12% dari mereka berbasis di California, Anda dapat menggunakan data biaya per akuisisi (BPA) yang ada untuk menampilkan dampak penurunan efisiensi media sebesar 10% atau 20% (atau lebih ). Itu mungkin terjadi karena CPA meningkat atau akuisisi pelanggan menurun. Anda dapat menggunakan pekerjaan Anda untuk membantu tim Anda memahami skala dampak fiskal saat menerapkan penolakan universal. Karena sulit untuk benar-benar memperkirakan dampak tersebut di awal, contoh berskala ini akan membuat pemimpin organisasi lain lebih cenderung memperhatikan dan bekerja sama dengan Anda dan tim hukum Anda untuk menemukan solusi yang layak yang memastikan konsumen dapat menggunakan hak mereka sambil memitigasi risiko fiskal ke garis bawah merek.
- Mendiskusikan peran dan penggunaan Consent Management Platform (CMP): Cara konsumen menggunakan hak mereka untuk tidak ikut berbagi data atau menghapus data mereka sangatlah penting. Tidak semua solusi CMP dibuat sama. Beberapa, seperti CookieBot, hanya dirancang untuk memblokir cookie (dan karenanya pelacakan iklan), sementara yang lain, seperti OneTrust, lebih komprehensif. Anda harus menemukan solusi yang tepat untuk bisnis Anda yang membuat Anda tetap patuh dan fungsi pemasaran Anda.
- Selaraskan dengan bahasa yang Anda gunakan untuk mengedukasi konsumen: Diskusikan berbagai cara untuk mengedukasi konsumen tentang penggunaan data dengan tim hukum Anda. Tanpa konteks, banyak konsumen mungkin menganggap skenario terburuk. Namun jika Anda memberikan contoh yang jelas tentang bagaimana Anda menggunakan data mereka dan batasan apa yang telah Anda tetapkan, Anda mungkin menemukan bahwa konsumen lebih terbuka untuk membagikan data mereka. Memberikan insentif untuk menghentikan konsumen menggunakan hak mereka tidak pernah tepat, tetapi tim hukum Anda dapat memberikan panduan khusus tentang apa yang dapat dan tidak dapat Anda katakan kepada konsumen ketika mereka berencana untuk memilih keluar.
Ingat: kepatuhan bukanlah pilihan. Hadapi tantangan masa depan sekarang dengan bekerja sama dengan departemen hukum Anda dan temukan jalan terbaik ke depan.