È viva! Preparati per i regolamenti CPRA e la nuova legislazione sulla privacy dei dati

Pubblicato: 2023-02-23

La legislazione sulla privacy dei dati sta guadagnando slancio: proposte di legge sulla privacy più complete che sono state proposte e approvate a livello statale come mai prima d'ora. Ma nessuno è così ampio come quello che sta arrivando nello stato della California.

Il California Privacy Rights Act (CPRA) è entrato in vigore il 1° gennaio 2023 e l'applicazione inizierà il 1° luglio 2023. Il CPRA rappresenta sia un chiarimento che un ampliamento dell'originale California Consumer Privacy Act (CCPA); insieme, costituiranno le leggi sulla privacy più severe del paese.

Quindi cosa significa questo per la tua attività? Per prima cosa, se la tua strategia di marketing è in pericolo di non conformità e svolgi attività commerciali (comprese le vendite online) nello stato della California, devi spostare la privacy in cima alla tua lista di priorità.

Prima di andare oltre, tieni presente che il contenuto di questo blog deve essere considerato segnalazione e/o opinione, NON consulenza legale. Consulta il tuo ufficio legale su tutte le decisioni relative alla conformità.

Panoramica: CPRA vs. CCPA e altre leggi sulla privacy dei dati entreranno in vigore nel 2023

Probabilmente sei a conoscenza di una raffica di scadenze modificate e di programmi adeguati relativi al CPRA che sono stati annunciati alla fine del 2022, ma non modificano il calendario precedentemente stabilito per l'applicazione. Quindi mettiamoci al lavoro.

Il CPRA era una misura di voto nata perché c'erano aree grigie nel CCPA originale che lasciavano molte domande senza risposta, in particolare sulla definizione di informazioni di identificazione personale (PII) e diversi tipi di raccolta di dati.

Cronologia della legislazione sulla privacy della California: da CCPA a CPRA

Ruota a filo

Le altre leggi statali sulla privacy al di fuori della California che entreranno in vigore nel 2023 sono:

  • Colorado Privacy Act (CPA): in vigore dal 1° luglio 2023
  • Legge del Connecticut relativa alla privacy dei dati personali e al monitoraggio online (CTDPA): in vigore dal 1° luglio 2023
  • Utah Consumer Privacy Act (UCPA): in vigore dal 31 dicembre 2023
  • Virginia Consumer Data Protection Act (CDPA): in vigore dal 1° gennaio 2023

Come il CPRA, tutte queste leggi statali hanno disposizioni per i diritti dei consumatori, nonché le proprie interpretazioni di ciò che costituisce informazioni personali sensibili. Ma è molto importante sapere che sono tutti diversi. Non esiste una soluzione valida per tutti per la conformità alla privacy in tutti gli stati.

È qui che entra in gioco il tuo dipartimento legale. Devi stabilire una comunicazione regolare con il tuo team legale per stare al passo con le nuove regole e normative che potrebbero avere un impatto sulla tua attività quest'anno e in futuro.

I cambiamenti: il CPRA ha modificato i regolamenti relativi alle PII e alla condivisione dei dati

Sebbene il CPRA sia già in vigore, le regole finali basate sui regolamenti modificati non verranno rilasciate fino ad aprile 2023, a seguito di un breve ritardo da parte della California Privacy Protection Agency (CPPA).

Alcuni dei cambiamenti previsti dal CPRA includono il rafforzamento dei limiti sulla condivisione dei dati e la fornitura di indicazioni più chiare su come i professionisti del marketing possono utilizzare ciò che la legge definisce come informazioni personali "potenzialmente sensibili", tra cui:

  • Numero di previdenza sociale o di patente di guida
  • Carta d'identità statale o numero di passaporto
  • Dati di accesso del consumatore
  • Geolocalizzazione
  • Conti finanziari, compresi i numeri di carta di debito/credito insieme a qualsiasi verifica o password legata al conto
  • Gara
  • Etnia
  • Religione
  • Dati genetici
  • Dati biometrici
  • Comunicazioni private
  • Orientamento sessuale
  • Informazioni sulla salute

Uno dei più grandi dibattiti che hanno portato al CPRA è stato il linguaggio ambiguo del requisito "Non vendere" del CCPA. In base alla nuova legge, le aziende ora devono consentire ai consumatori di rinunciare sia alla vendita che alla condivisione delle proprie informazioni con un'opzione obbligatoria "Non vendere o condividere le mie informazioni" sui loro siti web.

Se condividi i dati con una terza parte che non è stata originariamente autorizzata, sei tenuto per legge a consentire agli utenti di rinunciare. Ci sono due parti da considerare:

  • Identità reale: le informazioni di identificazione personale (PII) di un utente che vengono acquisite in loco
  • Identità passiva: cookie e identificatori del browser o qualsiasi cosa che monitori automaticamente gli utenti

Mentre le normative attuali sono in fase di finalizzazione, puoi aspettarti ulteriori normative in futuro. La sezione 1798.185 del CPRA autorizza il CPPA a "sollecitare un'ampia partecipazione pubblica e adottare regolamenti per promuovere gli scopi di questo titolo (il CPRA)". Ciò offre ampio margine per ulteriori regole e restrizioni, che vanno dall'aggiunta di nuove categorie di informazioni personali relative alla riservatezza dei dati alla definizione di nuove procedure relative alla condivisione delle informazioni personali e alla rinuncia alla vendita di dati personali.

Rispetto alle leggi in vigore negli altri quattro stati, la California offre di gran lunga le maggiori tutele legali per la privacy dei dati dei consumatori. Ma ricorda: conformità in California non significa automaticamente conformità altrove.

Diritti alla privacy dei consumatori ai sensi della legislazione di diversi stati

One Trust

Gli effetti: cosa aspettarsi dall'applicazione del CPRA

Sotto il CCPA, l'applicazione è rimasta un grande punto interrogativo, ma ci si aspetta che la California alzi il fuoco con il CPRA. La multa di 1,2 milioni di dollari inflitta a Sephora per aver violato il CCPA nel 2022 dovrebbe servire da colpo di avvertimento per i marchi che pensavano di poter pattinare.

Nel caso in cui non fossi sicuro che la California fosse seria, l'istituzione del CPPA dovrebbe essere un chiaro segno; subentreranno al procuratore generale della California (AG) per supervisionare la conformità, le regole future e le sanzioni per le violazioni della legge. Il CPRA elimina anche il periodo di "cura" di 30 giorni prima di essere sanzionato per una violazione, lasciandolo invece alla discrezione dell'AG e/o del CPPA in base all'intenzione dell'organizzazione (o alla sua mancanza) di infrangere la legge.

Applicazione CPRA vs. CCPA

One Trust

È meno certo come si svolgerà l'applicazione nei quattro stati in cui la legislazione entrerà in vigore per la prima volta; quello che sappiamo è che sia l'applicazione che le sanzioni saranno diverse in ogni stato. Sia in California che altrove, ci saranno conseguenze per le violazioni che possono danneggiare finanziariamente la tua attività e mettere a rischio la tua reputazione presso i tuoi clienti.

Conformità CPRA: come lavorare con il tuo team legale

Ciò che i marchi possono fare ora è agire come se i regolamenti e l'applicazione finali fossero già in atto. Se non sei sicuro di cosa significhi, contatta il tuo team legale e cerca dei modi in cui puoi lavorare insieme per assicurarti che la tua attività sia conforme.

Ci sono un paio di modi in cui puoi iniziare a lavorare con il tuo team legale:

  • Mappa i tuoi silos di dati: anche le organizzazioni con raffinati processi di gestione e archiviazione dei dati potrebbero scoprire che alcuni dati sono isolati all'interno della loro organizzazione. È fondamentale sviluppare una mappa completa che definisca quali dati vengono archiviati, dove vengono archiviati e lo scopo del silo. Idealmente, dovresti cercare di abbattere questi silos, ma il primo passo è capire dove si trovano i dati.
  • Fornire informazioni complete sui casi d'uso: i team legali cercheranno spesso di bloccare completamente i flussi di dati se potrebbero creare rischi per l'organizzazione. In assenza di contesto, ad esempio, i team legali possono consigliare ai propri team di abilitare il trattamento dei dati limitato in un account Google Ads. Ciò si applicherebbe effettivamente a tutti i residenti soggetti alle leggi regionali sui dati, non solo a coloro che hanno esercitato il diritto di opt-out. Sebbene questo approccio possa fornire una protezione legale assoluta, avrà anche un impatto sull'efficacia del marketing (e questo è qualcosa che i marchi dovranno capire per determinare il giusto equilibrio tra questi compromessi). linea di vista in modo che siano in grado di mantenere una politica sulla privacy completa e aggiornata sul tuo sito Web che rifletta la natura di come questi dati vengono utilizzati oggi (molto può cambiare in pochi mesi!)
  • Calcola l'impatto stimato delle misure di conformità: se stai bloccando tutti i tracciamenti per i consumatori in una determinata regione, calcola l'ambito di copertura stimato e fornisci vari scenari di perdita di efficienza. Ad esempio, se hai 100.000 clienti all'anno e il 12% di essi ha sede in California, puoi utilizzare i dati sul costo per acquisizione (CPA) esistenti per mostrare l'impatto del calo dell'efficienza dei media del 10% o del 20% (o più ). Ciò potrebbe accadere perché i CPA aumentano o l'acquisizione di clienti diminuisce. Puoi utilizzare il tuo lavoro per aiutare i tuoi team a comprendere l'entità dell'impatto fiscale durante l'implementazione dell'opt-out universale. Poiché è difficile stimare effettivamente tale impatto in anticipo, questi esempi in scala renderanno più probabile che altri leader dell'organizzazione prestino attenzione e collaborino con te e il tuo team legale per trovare una soluzione praticabile che assicuri che i consumatori siano in grado di esercitare i propri diritti mitigando il rischio fiscale alla linea di fondo del marchio.
  • Discutere il ruolo e l'uso di una piattaforma di gestione del consenso (CMP): il modo in cui i consumatori esercitano i propri diritti di rinunciare alla condivisione dei dati o di farli eliminare è di fondamentale importanza. Non tutte le soluzioni CMP sono uguali. Alcuni, come CookieBot, sono progettati solo per bloccare i cookie (e quindi il tracciamento degli annunci), mentre altri, come OneTrust, sono più completi. Dovrai trovare la soluzione giusta per la tua azienda che mantenga la conformità e il funzionamento del tuo marketing.
  • Allineati al linguaggio che stai utilizzando per educare i consumatori: discuti diversi modi per istruire i consumatori sull'uso dei dati con il tuo team legale. Senza contesto, molti consumatori potrebbero presumere lo scenario peggiore. Ma se fornisci esempi chiari di come stai utilizzando i loro dati e quali limiti hai impostato, potresti scoprire che i consumatori sono più aperti alla condivisione dei propri dati. Non è mai appropriato fornire incentivi per impedire ai consumatori di esercitare i loro diritti, ma il tuo team legale può fornire indicazioni specifiche su ciò che puoi e non puoi dire ai consumatori quando intendono rinunciare.

Ricorda: la conformità non è facoltativa. Anticipa subito le sfide future collaborando con il tuo ufficio legale e trovando il miglior percorso possibile.

Scarica State of the Data 2023: The Path to Profitability Requires Privacy Compliance per conoscere la legislazione in arrivo e i requisiti di conformità che interesseranno la tua attività.

Dati Privacy dei dati Intelligenza digitale