Che cos'è la Proposition 24 e in che modo influisce sulle aziende?

Forse saprai che la scorsa settimana si è tenuto un importante sondaggio, esatto, hai indovinato: gli elettori della California hanno preso la decisione di approvare la Proposition 24, nota più formalmente come California Privacy Rights and Enforcement Act.

Qui a Impact, siamo attenti osservatori del panorama della protezione dei dati e della litania degli atti sulla privacy dei dati emersi negli ultimi anni.

Per le aziende, questi atti sollevano interrogativi sulla conformità e sui costi associati al suo mantenimento. Dato che la California costituisce una popolazione così ampia, le leggi sulla privacy dei dati che interessano lo stato hanno spesso un effetto a catena in tutto il paese e molte PMI con clienti CA devono prepararsi, proprio come le aziende americane hanno dovuto prepararsi al GDPR.

Che cos'è la proposta 24?

Lo scopo della Proposition 24 è quello di ampliare e modificare il precedente disegno di legge CCPA approvato nel 2018.

Cerca di farlo dando ai consumatori un maggiore controllo sui propri dati e richiedendo a più aziende di proteggere questi dati.

Il CCPA ha introdotto il diritto dei californiani di richiedere quali informazioni le società raccolgono da loro, un opt-out e il diritto di cancellare le informazioni se lo si desidera.

La Prop 24 fa un ulteriore passo avanti, prevedendo protezioni aggiuntive per le informazioni personali sensibili, ampliando le opzioni di opt-out disponibili per gli utenti per includere la condivisione dei dati (uno dei modi in cui le grandi aziende tecnologiche generano entrate pubblicitarie) e richiedendo alle aziende di fornire più meccanismi per l'accesso dei consumatori , correggere ed eliminare le loro informazioni.

Il disegno di legge crea anche una nuova agenzia dedicata, la California Privacy Protection Agency, che assumerà le responsabilità dell'azione penale dal procuratore generale della California, la prima mossa del genere negli Stati Uniti.

Gli oppositori sono preoccupati per le concessioni fatte alle imprese che significavano che il conto potrebbe essere anticipato, in particolare l'espansione dei sistemi di "pagamento per la privacy", in base ai quali le imprese possono offrire sconti a coloro che sono disposti a condividere le informazioni, creando in effetti un sistema a più livelli in cui coloro che possono permettersi un prezzo più alto riceveranno una protezione della privacy più forte per i propri dati.

Gli attivisti sostengono che ciò influenzerà in modo sproporzionato i residenti con redditi più bassi.

Perché la Proposizione 24 è importante?

Le aziende in tutto il paese hanno tenuto d'occhio leggi come la Proposition 24, principalmente per interesse di ciò che potrebbe accadere tra qualche anno.

Fatture come CCPA, o più recentemente SHIELD Act di New York, hanno cambiato il discorso sulla privacy dei dati e su cosa ci si aspetta dalle aziende che possiedono i dati dei clienti.

Laddove prima le aziende guardavano dall'altra parte dell'Atlantico agli effetti che il GDPR ha avuto sulla privacy dei dati, ora tutti gli occhi sono puntati su stati come New York e la California, due stati che insieme costituiscono un quinto della popolazione degli Stati Uniti.

Indipendentemente da dove ha sede un'azienda, se ha un cliente in California, deve rispettare il CCPA o rischiare di essere soggetta a sanzioni.

Il punto è che queste leggi stanno agendo come una sorta di campanello d'allarme per altri stati, e in effetti ce ne sono molti che si stanno preparando per progetti di legge simili, la Florida ne è un esempio.

Al posto di una legge federale per la privacy dei dati, che è ancora nella fase iniziale del comitato; molto lontano dal fatto che diventi qualcosa di simile a una legge: gli stati si stanno assumendo la responsabilità di redigere una legislazione.

Sebbene le leggi sulla privacy dei dati siano ancora carenti in termini di pervasività e portata, il numero di esse è raddoppiato dal 2016, un'indicazione di quanto siano diventate un argomento di rilievo.

Almeno 25 stati hanno emanato una sorta di protezione dei consumatori, anche se vale la pena notare che la maggior parte sono nella migliore delle ipotesi di base e considerate deboli per quanto riguarda la privacy dei dati. Al momento sono piccoli passi e c'è ancora molta strada da fare, ma lo slancio sta crescendo.

Ma cosa significa questo in realtà per le PMI?

Ciò significa per le PMI che dovrebbero prendere in seria considerazione di ottenere la loro conformità in ordine ora, perché prima o poi dovranno rispettare una legge o un'altra sulla privacy dei dati.

Le aziende statunitensi sono cadute in violazione delle leggi GDPR in tutto il mondo e hanno dovuto affrontare pesanti sanzioni: oltre 400 milioni di dollari sono stati riscossi contro le aziende con sede negli Stati Uniti secondo un rapporto pubblicato lo scorso anno.

Proprio come ora sono responsabili dei dati appartenenti ai cittadini dell'UE, lo stesso vale ora per le imprese con cittadini con sede in California o New York.

In breve, le aziende violano queste normative di conformità semplicemente non prestando attenzione e trovarsi dalla parte sbagliata di una sanzione di conformità è un disastro; non solo a causa di pesanti multe, ma soprattutto per il drastico danno reputazionale che una violazione dei dati può avere su una PMI.

PMI e conformità

L'elefante nella stanza con tutto questo è il semplice fatto che molte PMI stanno camminando sul filo del rasoio quando si tratta di conformità.

La sicurezza dei dati è uno dei principali fattori motivanti negli investimenti tecnologici aziendali, secondo solo alle soluzioni cloud e alla spesa per le infrastrutture.

La sicurezza dei dati aziendali tra le PMI è carente, con due terzi di loro che hanno subito una violazione dei dati negli ultimi 12 mesi.

Inoltre, i consumatori stanno diventando molto più esigenti su come vengono gestiti i loro dati. L'aspettativa da leggi come CCPA e SHIELD è che le informazioni sui clienti siano protette secondo uno standard accettabile, e questa aspettativa è sempre più condivisa e in effetti guidata anche dai consumatori.

Infatti, l'84% di loro afferma che porterebbe la propria attività altrove se si sentisse a disagio con gli standard di protezione dei dati di un'organizzazione con cui ha a che fare.

Il 90% dei leader aziendali riconosce che la fiducia dei clienti è un vantaggio competitivo del futuro, ma meno della metà dei leader aziendali considera la privacy e la sicurezza una priorità assoluta per le aziende.

Linea di fondo

Solo il 47% dei Chief Compliance Officer afferma che la propria organizzazione dispone di un sistema di reporting a livello aziendale integrato con il monitoraggio della conformità tra funzioni e unità aziendali.

In un'epoca in cui la privacy dei dati è più importante che mai, esiste un numero considerevole di PMI semplicemente impreparate a ciò che accadrà.

Abbiamo una legislazione nuova ed emergente come la Prop 24 che sta diventando legge, un crescente desiderio da parte dei consumatori di assumere una maggiore proprietà dei propri dati e le aziende che sono prese di mira e vittime di criminali informatici e hacker.

Il risultato finale è che le PMI devono anticipare il gioco guardando avanti ai tipi di legislazione a venire e capire che prima o poi dovranno assicurarsi di disporre delle giuste protezioni per la sicurezza dei dati per essere assicurate possono essere conformi.

Solo il 69% dei CCO afferma che la propria organizzazione sfrutta la tecnologia per supportare le proprie iniziative di conformità. Leggi come il CCPA continueranno ad essere emanate negli stati degli Stati Uniti e le aziende esperte si stanno già assicurando che i loro programmi sulla privacy dei dati siano preparati per il futuro.

La soluzione di sicurezza informatica di Impact Networking copre tutte le tue basi: attraverso la nostra valutazione del rischio possiamo determinare dove si trovano i tuoi punti deboli e affrontarli in modo appropriato attraverso soluzioni tecnologiche all'avanguardia con la supervisione di un Virtual Chief Information Officer dedicato dal nostro Security Operations Center per assicurarci la tua azienda è pienamente conforme alle leggi e ai regolamenti pertinenti.