O que é a Proposição 24 e como ela afeta as empresas?

Você deve estar ciente de que na semana passada foi realizada uma importante pesquisa - isso mesmo, você adivinhou: os eleitores da Califórnia tomaram a decisão de aprovar a Proposição 24, conhecida mais formalmente como Lei de Direitos e Execução de Privacidade da Califórnia.

Aqui na Impact, somos observadores atentos do cenário de proteção de dados e da lista de atos de privacidade de dados que surgiram nos últimos anos.

Para as empresas, esses atos levantam questões sobre conformidade e os custos associados à sua manutenção. Dado que a Califórnia constitui uma população tão grande, as leis de privacidade de dados que afetam o estado geralmente têm um efeito indireto em todo o país, e muitas SMBs com clientes da CA precisam se preparar, assim como as empresas americanas tiveram que se preparar para o GDPR.

O que é a Proposta 24?

O objetivo da Proposição 24 é expandir e alterar o projeto de lei anterior da CCPA que foi aprovado em 2018.

Ele procura fazer isso dando aos consumidores mais controle sobre seus dados e exigindo que mais empresas protejam esses dados.

A CCPA introduziu o direito dos californianos de exigir quais informações as empresas estão coletando deles, um opt-out e o direito de excluir as informações, se desejado.

A Prop 24 vai um passo além, estabelecendo proteções adicionais para informações pessoais confidenciais, expandindo os opt-outs disponíveis para os usuários para incluir o compartilhamento de dados (uma das maneiras pelas quais as grandes empresas de tecnologia geram receita publicitária) e exigindo que as empresas forneçam mais mecanismos para os consumidores acessarem , corrija e exclua suas informações.

O projeto de lei também cria uma nova agência dedicada, a Agência de Proteção à Privacidade da Califórnia, que assumirá as responsabilidades de acusação do Procurador-Geral da Califórnia – o primeiro movimento desse tipo nos EUA.

Os opositores estão preocupados com as concessões feitas às empresas que significam que o projeto de lei pode ser antecipado, notadamente a expansão dos esquemas de “pagamento por privacidade”, pelos quais as empresas podem oferecer descontos para aqueles que desejam compartilhar informações – criando um sistema hierárquico no qual aqueles que podem pagar um preço mais alto receberão proteções de privacidade mais fortes para seus dados.

Os ativistas argumentam que isso afetará desproporcionalmente os moradores de baixa renda.

Por que a proposição 24 é importante?

Empresas de todo o país estão de olho em leis como a Proposição 24, principalmente pelo interesse do que pode estar acontecendo daqui a alguns anos.

Projetos de lei como o CCPA, ou mais recentemente o SHIELD Act de Nova York, mudaram a conversa sobre privacidade de dados – e o que se espera de empresas que possuem dados de clientes.

Onde antes as empresas olhavam do outro lado do Atlântico para os efeitos que o GDPR teve na privacidade de dados, agora todos os olhos estão em estados como Nova York e Califórnia – dois estados que juntos representam um quinto da população dos EUA.

Independentemente de onde uma empresa está sediada, se ela tiver um cliente na Califórnia, ela deve cumprir a CCPA ou corre o risco de estar sujeita a penalidades.

A questão é que essas leis estão agindo como uma espécie de guia para outros estados e, de fato, há muitos que estão se preparando para projetos semelhantes, sendo a Flórida um exemplo.

Em vez de uma lei federal para privacidade de dados – que ainda está no estágio inicial do comitê; muito longe de se tornar algo parecido com a lei - os estados estão assumindo a responsabilidade de redigir legislação.

Embora as leis de privacidade de dados ainda careçam de abrangência e escala, o número delas dobrou desde 2016 – uma indicação de quão proeminentes se tornaram um tópico.

Pelo menos 25 estados promulgaram algum tipo de proteção ao consumidor – embora valha a pena notar que a maioria é básica na melhor das hipóteses e considerada fraca no que diz respeito à privacidade de dados. No momento, são passos de bebê e há um longo caminho a percorrer, mas o impulso está crescendo.

Mas o que isso realmente significa para as PMEs?

O que isso significa para as pequenas e médias empresas é que elas devem considerar fortemente que sua conformidade esteja em ordem agora, porque mais cedo ou mais tarde elas terão que cumprir uma ou outra lei de privacidade de dados.

As empresas dos EUA entraram em conflito com as leis do GDPR e enfrentaram penalidades severas – mais de US $ 400 milhões foram cobrados contra empresas sediadas nos EUA, de acordo com um relatório publicado no ano passado.

Assim como eles agora são responsáveis ​​pelos dados pertencentes aos cidadãos da UE, o mesmo agora vale para empresas com cidadãos da Califórnia ou de Nova York.

Em suma, as empresas infringem esses regulamentos de conformidade simplesmente por não prestarem atenção, e estar no lado errado de uma penalidade de conformidade é um desastre; não apenas por causa de multas pesadas, mas, mais importante, pelos danos drásticos à reputação que uma violação de dados pode causar em uma SMB.

PMEs e Conformidade

O elefante na sala com tudo isso é o simples fato de que muitas SMBs estão andando na corda bamba quando se trata de conformidade.

A segurança de dados é um dos principais fatores motivadores no investimento em tecnologia de negócios, perdendo apenas para soluções em nuvem e gastos com infraestrutura.

A segurança de dados de negócios entre as PMEs está faltando, com dois terços delas sofrendo uma violação de dados nos últimos 12 meses.

Além disso, os consumidores estão se tornando muito mais exigentes sobre como seus dados são tratados. A expectativa de leis como CCPA e SHIELD é que as informações do cliente sejam protegidas em um padrão aceitável, e essa expectativa é cada vez mais compartilhada e, de fato, impulsionada também pelos consumidores.

Na verdade, 84% deles dizem que levariam seus negócios para outro lugar se se sentissem desconfortáveis ​​com os padrões de proteção de dados de uma organização com a qual lidam.

90% dos líderes empresariais reconhecem que a confiança do cliente é uma vantagem competitiva do futuro, mas menos da metade dos líderes empresariais consideram a privacidade e a segurança uma prioridade para as empresas.

Resultado final

Apenas 47% dos Diretores de Conformidade dizem que sua organização possui um sistema de relatórios em toda a empresa integrado ao monitoramento de conformidade em todas as funções e unidades de negócios.

Em uma época em que a privacidade dos dados é mais importante do que nunca, há um número considerável de pequenas e médias empresas que simplesmente não estão preparadas para o que está por vir.

Temos uma legislação nova e emergente, como a Prop 24, que está sendo sancionada, um desejo crescente dos consumidores de ter mais propriedade de seus dados e empresas que estão sendo alvos e vítimas de cibercriminosos e hackers.

O resultado final é que as pequenas e médias empresas devem estar à frente do jogo, analisando os tipos de legislação que estão por vir e entendendo que, mais cedo ou mais tarde, elas terão que garantir que tenham as proteções de segurança de dados corretas. eles podem estar em conformidade.

Apenas 69% dos CCOs dizem que sua organização aproveita a tecnologia para apoiar suas iniciativas de conformidade. Leis como a CCPA continuarão a ser promulgadas em estados dos EUA, e empresas experientes já estão certificando-se de que seus programas de privacidade de dados estejam preparados para o futuro.

A solução de segurança cibernética da Impact Networking cobre todas as suas bases - por meio de nossa avaliação de risco, podemos determinar onde estão seus pontos fracos e abordá-los adequadamente por meio de soluções de tecnologia de ponta com supervisão de um Diretor de Informações Virtual dedicado de nosso Centro de Operações de Segurança para garantir sua empresa está em total conformidade com as leis e regulamentos relevantes.