E viu! Pregătiți-vă pentru reglementările CPRA și pentru noua legislație privind confidențialitatea datelor

Publicat: 2023-02-23

Legislația privind confidențialitatea datelor creează un impuls: proiecte de lege privind confidențialitatea mai cuprinzătoare care au fost propuse și adoptate la nivel de stat decât oricând. Dar niciuna nu este la fel de vastă ca ceea ce urmează în statul California.

Legea privind drepturile de confidențialitate din California (CPRA) a intrat în vigoare la 1 ianuarie 2023, iar aplicarea va începe la 1 iulie 2023. CPRA reprezintă atât o clarificare, cât și o extindere a Actului inițial de confidențialitate a consumatorilor din California (CCPA); împreună, vor constitui cele mai stricte legi privind confidențialitatea din țară.

Deci, ce înseamnă asta pentru afacerea ta? În primul rând, dacă strategia dvs. de marketing este în pericol de neconformitate și faceți orice afacere (inclusiv vânzări online) în statul California, trebuie să mutați confidențialitatea în partea de sus a listei dvs. de priorități.

Înainte de a merge mai departe, vă rugăm să rețineți că conținutul de pe acest blog ar trebui să fie considerat raportare și/sau opinie, NU consultanță juridică. Consultați-vă departamentul juridic cu privire la toate deciziile privind conformitatea.

Prezentare generală: CPRA vs. CCPA și alte legi privind confidențialitatea datelor care intră în vigoare în 2023

Probabil că sunteți conștient de o serie de termene-limită schimbate și de programe ajustate în jurul CPRA care au fost anunțate la sfârșitul anului 2022, dar acestea nu schimbă calendarul stabilit anterior pentru aplicare. Deci, să trecem la treabă.

CPRA a fost o măsură de vot care a luat ființă deoarece au existat zone gri în CCPA inițial care au lăsat multe întrebări fără răspuns, în special în ceea ce privește definirea informațiilor de identificare personală (PII) și diferite tipuri de colectare de date.

Cronologia legislației de confidențialitate din California: CCPA la CPRA

Roată de sârmă

Celelalte legi de stat privind confidențialitatea din afara Californiei care intră în vigoare în 2023 sunt:

  • Legea privind confidențialitatea din Colorado (CPA): În vigoare de la 1 iulie 2023
  • Actul din Connecticut privind confidențialitatea datelor cu caracter personal și monitorizarea online (CTDPA): În vigoare de la 1 iulie 2023
  • Legea privind confidențialitatea consumatorilor din Utah (UCPA): În vigoare la 31 decembrie 2023
  • Legea privind protecția datelor consumatorilor din Virginia (CDPA): În vigoare de la 1 ianuarie 2023

La fel ca CPRA, toate aceste legi de stat au prevederi pentru drepturile consumatorilor, precum și propriile lor interpretări cu privire la ceea ce constituie informații personale sensibile. Dar este foarte important să știi că toate sunt diferite. Nu există o soluție unică pentru respectarea confidențialității în toate statele.

Aici intervine departamentul dvs. juridic. Trebuie să stabiliți o comunicare regulată cu echipa dvs. juridică pentru a fi în fața noilor reguli și reglementări care vă pot afecta afacerea în acest an și în viitor.

Modificările: CPRA a modificat reglementările privind IPI și partajarea datelor

Deși CPRA este deja în vigoare, regulile finale bazate pe reglementările modificate nu vor fi lansate decât în ​​aprilie 2023, după o scurtă întârziere a Agenției pentru Protecția Confidențialității din California (CPPA).

Unele dintre modificările din CPRA includ consolidarea limitelor privind partajarea datelor și furnizarea de îndrumări mai clare cu privire la modul în care agenții de marketing pot folosi ceea ce legea definește ca informații personale „potențial sensibile”, inclusiv:

  • Numărul de asigurări sociale sau permis de conducere
  • Cartea de identitate de stat sau numărul pașaportului
  • Detaliile de conectare ale consumatorului
  • Geolocalizare
  • Conturi financiare, inclusiv numere de card de debit/credit, împreună cu orice verificare sau parolă asociată contului
  • Rasă
  • Etnie
  • Religie
  • Date genetice
  • Date biometrice
  • Comunicații private
  • Orientare sexuală
  • Informație despre sănătate

Una dintre cele mai mari dezbateri care au condus la CPRA a fost limbajul ambiguu al cerinței CCPA „Nu vinde”. Conform noii legi, companiile trebuie să permită consumatorilor să renunțe atât la vânzarea, cât și la partajarea informațiilor lor, cu opțiunea obligatorie „Nu vinde sau nu distribui informațiile mele” pe site-urile lor web.

Dacă partajați date cu o terță parte care nu a fost inițial autorizată, sunteți obligat prin lege să permiteți utilizatorilor să renunțe. Există două părți de luat în considerare:

  • Identitate reală: informațiile de identificare personală (PII) ale unui utilizator care sunt capturate la fața locului
  • Identitate pasivă: cookie-uri și identificatori de browser sau orice lucru care urmărește automat utilizatorii

În timp ce reglementările actuale sunt în curs de finalizare, vă puteți aștepta la reglementări suplimentare în viitor. Secțiunea 1798.185 din CPRA autorizează CPPA să „solicite o participare largă a publicului și să adopte reglementări pentru a promova scopurile acestui titlu (CPRA).” Aceasta oferă o marjă largă pentru reguli și restricții suplimentare, de la adăugarea de noi categorii de informații personale legate de confidențialitatea datelor până la stabilirea de noi proceduri legate de partajarea informațiilor personale și renunțarea la vânzarea datelor cu caracter personal.

În comparație cu legile care intră în vigoare în celelalte patru state, California oferă de departe cele mai multe protecții legale pentru confidențialitatea datelor consumatorilor. Dar amintiți-vă: conformitatea în California nu înseamnă automat conformare în altă parte.

Drepturile la confidențialitate ale consumatorilor conform legislației diferitelor state

OneTrust

Efecte: la ce să vă așteptați de la aplicarea CPRA

În conformitate cu CCPA, aplicarea a rămas un mare semn de întrebare, dar se așteaptă ca California să ridice căldura cu CPRA. Amenda de 1,2 milioane de dolari acordată Sephora pentru încălcarea CCPA în 2022 ar trebui să servească drept o lovitură de avertizare pentru mărcile care au crezut că ar putea trece.

În cazul în care nu erai sigur dacă California a fost serioasă, înființarea CPPA ar trebui să fie un semn clar; ei vor prelua de la Procurorul General din California (AG) pentru a supraveghea conformitatea, regulile viitoare și sancțiunile pentru încălcarea legii. CPRA elimină, de asemenea, perioada de „vindecare” de 30 de zile înainte de a fi amendată pentru o încălcare, lăsând-o la latitudinea AG și/sau CPPA pe baza intenției organizației (sau a lipsei acesteia) de a încălca legea.

Aplicarea CPRA vs. CCPA

OneTrust

Este mai puțin sigur cum se va desfășura aplicarea în cele patru state în care legislația intră în vigoare pentru prima dată; ceea ce știm este că atât aplicarea, cât și sancțiunile vor fi diferite în fiecare stat. Fie în California, fie în altă parte, vor exista consecințe pentru încălcări care vă pot afecta financiar afacerea și vă pot pune în pericol reputația în rândul clienților.

Conformitatea CPRA: Cum să lucrezi cu echipa ta juridică

Ceea ce pot face brandurile acum este să se comporte ca și cum reglementările finale și aplicarea ar fi deja în vigoare. Dacă nu sunteți sigur ce înseamnă asta, luați legătura cu echipa dvs. juridică și căutați modalități în care puteți colabora pentru a vă asigura că afacerea dvs. este conformă.

Există câteva moduri prin care puteți începe lucrul cu echipa dvs. juridică:

  • Hartați silozurile de date: chiar și organizațiile cu procese rafinate de gestionare și stocare a datelor pot descoperi că unele date sunt izolate în cadrul organizației lor. Este esențial să dezvoltați o hartă cuprinzătoare care să definească ce date sunt stocate, unde sunt stocate și scopul silozului. În mod ideal, ați căuta să spargeți aceste silozuri, dar primul pas este să aflați unde sunt datele.
  • Furnizați informații complete despre cazurile de utilizare: echipele juridice vor căuta adesea să blocheze complet fluxurile de date dacă ar putea crea riscuri pentru organizație. În absența contextului, de exemplu, echipele juridice pot sfătui echipele lor să activeze Procesarea restricționată a datelor într-un cont Google Ads. Acest lucru s-ar aplica de fapt tuturor rezidenților care fac obiectul legilor regionale privind datele, nu doar celor care și-au exercitat dreptul de a renunța. Deși această abordare ar putea oferi protecție legală absolută, va avea un impact și asupra eficacității marketingului (și acesta este ceva pe care mărcile vor trebui să-l înțeleagă pentru a determina echilibrul corect între aceste compromisuri). De asemenea, este esențial pentru echipele juridice să mențină un linia vizuală, astfel încât aceștia să poată menține o politică de confidențialitate cuprinzătoare și actualizată pe site-ul dvs. web, care reflectă natura modului în care aceste date sunt utilizate astăzi (se pot schimba multe în doar câteva luni!)
  • Calculați impactul estimat al măsurilor de conformitate: dacă blocați toată urmărirea pentru consumatorii dintr-o anumită regiune, calculați aria de acoperire estimată și furnizați diferite scenarii de pierdere a eficienței. De exemplu, dacă aveți 100.000 de clienți anual și 12% dintre aceștia au sediul în California, puteți utiliza datele existente privind cost-pe-achiziție (CPA) pentru a prezenta impactul scăderii eficienței media cu 10% sau 20% (sau mai mult). ). Acest lucru s-ar putea întâmpla deoarece sumele CPA cresc sau scad achiziția de clienți. Vă puteți folosi munca pentru a vă ajuta echipele să înțeleagă amploarea impactului fiscal atunci când implementați renunțări universale. Deoarece este dificil să estimați efectiv acel impact în avans, aceste exemple la scară vor face ca alți lideri de organizație să fie mai susceptibili de a acorda atenție și de a lucra cu dvs. și echipa dvs. juridică pentru a găsi o soluție viabilă care să asigure consumatorilor posibilitatea de a-și exercita drepturile, atenuând în același timp riscul fiscal. la linia de jos a mărcii.
  • Discutați despre rolul și utilizarea unei platforme de gestionare a consimțământului (CMP): modul în care consumatorii își exercită drepturile de a renunța la partajarea datelor sau de a le elimina datele este extrem de important. Nu toate soluțiile CMP sunt create egale. Unele, cum ar fi CookieBot, sunt concepute doar pentru a bloca cookie-urile (și, prin urmare, urmărirea anunțurilor), în timp ce altele, precum OneTrust, sunt mai cuprinzătoare. Va trebui să găsiți soluția potrivită pentru afacerea dvs., care să vă mențină în conformitate și funcționarea dvs. de marketing.
  • Aliniați-vă la limbajul pe care îl utilizați pentru a educa consumatorii: discutați cu echipa dvs. juridică diferite moduri de a educa consumatorii despre utilizarea datelor. Fără context, mulți consumatori ar putea presupune cel mai rău scenariu. Dar dacă oferiți exemple clare despre cum le folosiți datele și ce limite le-ați stabilit, este posibil să descoperiți că consumatorii sunt mai deschiși să-și partajeze datele. Nu este niciodată adecvat să oferiți stimulente pentru a împiedica consumatorii să-și exercite drepturile, dar echipa dvs. juridică poate oferi îndrumări specifice despre ce puteți și ce nu le puteți spune consumatorilor atunci când intenționează să renunțe.

Rețineți: conformitatea nu este opțională. Treceți înaintea provocărilor viitoare acum, făcând echipă cu departamentul dumneavoastră juridic și găsind cea mai bună cale posibilă.

Descărcați Starea datelor 2023: Calea către profitabilitate necesită respectarea confidențialității pentru a afla despre legislația viitoare și cerințele de conformitate care vă vor afecta afacerea.

Confidențialitatea datelor Digital Intelligence