Você está pronto para a lei de privacidade do consumidor da Califórnia?

Algumas das empresas de tecnologia mais conhecidas estão sediadas na Califórnia, um estado que em 28 de junho de 2018 aprovou a Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA). O CCPA não entrará em vigor até 1º de janeiro de 2020, mas espera-se que afete negócios na Califórnia, nos Estados Unidos e, de fato, no mundo inteiro. O CCPA afetará a maneira como as empresas podem manipular os dados dos clientes e é considerado por muitos como a lei de proteção de dados mais rigorosa da história dos EUA.

Se você está sentindo um déjà vu, não está sozinho. Em maio, o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia (UE) entrou em vigor. O GDPR tem sido um tópico importante aqui no PCMag. Embora a lei tenha sido feita no outro lado do Atlântico, a verdade é que deixou marcas nas empresas em todo o mundo porque se aplica a todos os cidadãos da UE, independentemente de onde eles moram. Assim como o RGPD, o impacto do novo CCPA terá implicações de longo alcance além do escopo de seu estado de origem. Conversamos com alguns especialistas para aprender mais sobre o CCPA e algumas de suas implicações esperadas.

O CCPA e você: uma introdução

A CCPA estabelece o direito do consumidor de solicitar que as empresas divulguem que tipo de dados são coletados sobre elas. A menos que você esteja usando uma ferramenta como uma rede virtual privada (VPN), é quase certo que inúmeras empresas estão coletando informações sobre você sempre que estiver online. Dizer que esse tipo de transparência que a CCPA trará é um grande negócio seria um eufemismo.

John Tsopanis é gerente de produtos de privacidade da 1touch.io, uma empresa que ajuda as empresas a entender os dados pessoais que eles manipulam. Tsopanis passou os últimos anos prestando consultoria em GDPR para empresas e está se preparando para fazer o mesmo com o CCPA. Tsopanis explica o CCPA em termos básicos.

"Em 1º de janeiro de 2020, um morador da Califórnia terá o direito legal de perguntar a qualquer grande empresa da América: 'Você está processando alguma das minhas informações?'", Disse Tsopanis. "Em 45 dias, a empresa será obrigada a responder com um relatório detalhando os últimos 12 meses. Ela terá que mostrar quais categorias específicas de informações pessoais eles têm sobre esse indivíduo, com quem estão compartilhando e quais são os motivos. para processá-lo. Eles precisam fornecer essas informações aos residentes da Califórnia - todos os 40 milhões deles - dentro do prazo ".

Diferenças entre GDPR e CCPA

Existem algumas diferenças substanciais entre o que o GDPR faz e o que o CCPA cobre. Para iniciantes, o CCPA utilizará uma base de opt-out para consentimento, enquanto o GDPR usa uma base de opt-in. Isso significa essencialmente que os usuários terão que procurar ativamente as empresas para descobrir sobre que tipo de informação está sendo usada. Além disso, o RGPD se aplica a qualquer organização que detenha dados pessoais de cidadãos da UE.

A CCPA, por outro lado, aplica-se apenas a empresas com fins lucrativos que processam dados de residentes da Califórnia. A organização deve fazer pelo menos US $ 24 milhões em receita anual, manter os dados de 50.000 pessoas ou fazer pelo menos metade de sua receita na venda de dados pessoais. Portanto, se você possui uma pequena loja boutique e a extensão de suas operações on-line é uma página da Web que lista o horário e o endereço da sua loja, não precisará se preocupar muito com a CCPA. Mas se você administra um site de comércio eletrônico por meio de um provedor pronto para uso ou mantém seu próprio site de comércio eletrônico por meio de um serviço geral de hospedagem na Web, preste atenção.

Courtney Bowman é Associada no departamento de contencioso do escritório de advocacia internacional Proskauer Rose LLP. Bowman explica por que a CCPA exigirá que as empresas pensem cuidadosamente sobre o uso de dados muito além de 2020. "Esse requisito de 12 meses significa que as empresas terão que examinar sua política de privacidade pelo menos uma vez por ano e tentar descobrir se alguma coisa mudou., " ela disse.

"Eles terão que monitorar continuamente quais dados estão vendendo ou divulgando a terceiros, para que possam ajustar suas políticas de privacidade de acordo", continuou Bowman. "A lei também concede aos consumidores o direito de acessar ou excluir suas informações pessoais em algumas situações, e as empresas precisarão garantir que eles possam efetivamente efetivar esse direito rapidamente. Isso exigirá que as empresas participem do mapeamento de dados para descobrir onde seus dados está localizado e também faz a ligação com seus departamentos de TI para descobrir o que eles precisam fazer para garantir que possam cumprir suas responsabilidades nos termos da lei ".

O amplo impacto da CCPA

Nos meses que antecederam o RGPD, um tema recorrente em nossa cobertura foi que, em nosso mundo globalizado, o RGPD afetaria negócios fora da Europa. Afinal, a maioria das grandes empresas faz negócios no exterior e terá que mudar suas operações on-line globalmente para cumprir a lei. Quando conversamos com Tsopanis, no entanto, ele disse que as empresas americanas ainda precisam prestar atenção especial à CCPA.

"Quando se trata de empresas americanas, o GDPR estava focado principalmente nas principais organizações que operavam nos canais. Com isso, os critérios para as empresas qualificadas são muito maiores por uma ordem maciça de magnitude", disse Tsopanis. "Existem 40 milhões de pessoas na Califórnia; 50.000 nem sequer são 0, 1% da população. Acho que a escala de exposição para empresas americanas é significativamente maior do que era anteriormente sob o GDPR".

Tsopanis oferece o exemplo da gigante de fast food Wendy's. "A Wendy's é a 999ª maior empresa da Fortune 1000 e possui uma receita anual de US $ 1, 2 bilhão - 48 vezes mais que o limite de aplicabilidade sob esta lei. No mínimo, existem 1.000 bilhões de empresas americanas na América que precisam cumprir esta lei e ordens de magnitude significativas maiores que as da categoria de US $ 25 milhões ".

Podemos não considerar a Wendy uma empresa de tecnologia, mas elas coletam seu quinhão de informações do usuário. Eles também são um exemplo perfeito de como empresas de todos os tipos serão afetadas pela CCPA. Quando você visita o site, solicita comida por meio dos sistemas de ponto de venda (POS) ou simplesmente usa o Wi-Fi no restaurante local de Wendy, a empresa está coletando suas informações e, na Califórnia, pelo menos, isso ' Todos estarão sujeitos ao regulamento da CCPA. Se uma empresa tão "pequena" quanto a Wendy's está coletando tantos dados sobre os usuários, é absolutamente assustador pensar no que as grandes empresas estão coletando. Simplificando, o CCPA terá enormes implicações.

Descobertas importantes de dados

Um dos efeitos mais importantes do CCPA é que os americanos finalmente poderão descobrir as grandes quantidades de compra e venda de dados que as empresas vêm realizando. "Esse projeto permitirá que o povo americano finalmente descubra a rede massiva de organizações de compra e venda de dados que eram anteriormente completamente anônimas. Isso levará a uma dramática mudança cultural na maneira como a privacidade dos dados é percebida e, finalmente, em em algum momento, levaram a uma lei federal de privacidade harmonizada ", afirmou Tsopanis.

Quando o Cambridge Analytica escândalo quebrou, chamou a atenção de milhões de pessoas, fossem elas tecnologistas ou não. Isso deixou as pessoas muito preocupadas com quem está coletando suas informações e o que é feito com elas, e o CCPA é, em parte, uma resposta a isso. Tsopanis argumenta que as revelações resultantes serão enormes.

"Para todos os jornalistas do país, isso é uma dádiva de Deus. A Califórnia é uma economia de US $ 2, 7 trilhões - a quinta maior do mundo - e é construída sobre Big Data. Cada solicitação de acesso de todas as empresas da Fortune 1000 revelará uma rede inteira de empresas de compra e venda de dados que serão objeto de intenso escrutínio ", explicou Tsopanis. "Não sabemos exatamente o que encontraremos quando as pessoas começarem a receber seus relatórios de dados, mas certamente haverá algumas revelações interessantes".

Apenas 18 meses para se preparar

Se aprendemos alguma coisa com o GDPR, é que as empresas precisam planejar o mais cedo possível para estarem prontas para o prazo. Com isso em mente, as empresas americanas não têm muito tempo. O RGPD foi adotado em abril de 2016 e as empresas tinham pouco mais de dois anos completos para adaptar e cumprir o regulamento. Desde que o CCPA entra em vigor no início de 2020, isso significa que empresas maiores agora têm apenas 18 meses para se prepararem.

É provável que esse prazo torne estressado até o profissional de tecnologia mais experiente. "A quantidade de trabalho que precisa ser realizado em 18 meses é maior do que o necessário para o RGPD, com menos tempo para fazê-lo e com as empresas americanas com um nível de maturidade de privacidade menor do que a Europa", alerta Tsopanis.

Para cumprir, o veterano de segurança recomenda que as empresas tomem os devidos cuidados no desenvolvimento de seus processos. "Nos próximos seis meses, o que as organizações precisam fazer é desenvolver algum tipo de método de rastreamento de informações pessoais em toda a organização", disse Tsopanis. "Eles precisam de uma maneira de acessar facilmente quais informações pessoais foram enviadas a terceiros e a que horas e, em seguida, precisam ser capazes de rastrear essas informações ao longo dos 12 meses até a implementação e estar prontas para fornecer essas informações mediante solicitação quando o regulamento entra em jogo.

"Isso exigirá essencialmente que quase todas as grandes empresas americanas realizem atividades importantes de identificação de dados e sejam capazes de automatizar e responder a solicitações de acesso de titulares de dados de residentes da Califórnia na data da execução", continuou Tsopanis. "Também é importante observar que, quando a lei for aprovada em 2020, eles deverão poder fornecer um relatório sobre as informações do usuário nos 12 meses anteriores. Isso significa efetivamente que as empresas precisam rastrear esses dados em 1º de janeiro de 2019."

Do ponto de vista jurídico, Bowman diz que pode haver algumas alterações feitas antes do prazo. "Esperamos ver algumas revisões da lei antes que ela entre em vigor", disse ela. "Como foi redigido com bastante rapidez, mesmo depois de entrar em vigor, pode haver algumas áreas cinzentas que permanecem pendentes em termos de nossa compreensão delas. Afinal, o GDPR levou anos para redigir, e ainda existem várias partes do GDPR. que são ambíguos ".