Alla fine di giugno, 2018, la California ha approvato AB 375, un consumer privacy act che potrebbe avere più ripercussioni sulle aziende statunitensi rispetto al Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea entrato in vigore a maggio 2018. La legge della California non ha alcuni dei requisiti più onerosi del GDPR, come la stretta finestra di 72 ore in cui un’azienda deve segnalare una violazione. Per altri aspetti, tuttavia, va ancora più lontano.
CCPA ha una visione più ampia rispetto al GDPR di ciò che costituisce dati privati., La sfida per la sicurezza, quindi, è individuare e proteggere i dati privati.
Che cos’è il CCPA?
Il California Consumer Privacy Act (CCPA) è una legge che consente a qualsiasi consumatore californiano di richiedere di visualizzare tutte le informazioni che un’azienda ha salvato su di esse, nonché un elenco completo di tutte le terze parti con cui i dati sono condivisi. Inoltre, la legge della California consente ai consumatori di citare in giudizio le aziende se le linee guida sulla privacy sono violati, anche se non v’è alcuna violazione.,
Quali aziende influisce sul CCPA?
Tutte le aziende che servono residenti in California e hanno almeno revenue 25 milioni di fatturato annuo devono rispettare la legge. Inoltre, le aziende di qualsiasi dimensione che hanno dati personali su almeno 50.000 persone o che raccolgono più della metà dei loro ricavi dalla vendita di dati personali, rientrano anche sotto la legge. Le aziende non devono essere basate in California o avere una presenza fisica lì per cadere sotto la legge. Non hanno nemmeno bisogno di essere basati negli Stati Uniti.,
Un emendamento fatto in aprile esenta “istituzioni assicurative, agenti e organizzazioni di supporto” in quanto sono già soggetti a regolamenti simili ai sensi dell’Insurance Information and Privacy Protection Act (IIPPA) della California.
Quando la mia azienda deve rispettare il CCPA?
La legge è entrata in vigore il 1 ° gennaio 2020, ma l’applicazione è iniziata il 1 ° luglio.
Cosa succede se la mia azienda non è conforme al CCPA?
Le aziende hanno 30 giorni per conformarsi alla legge una volta che i regolatori li informano di una violazione., Se il problema non viene risolto, c’è una multa fino a $7.500 per record. “Se pensi a quanti record sono interessati da una violazione, aumenta davvero molto rapidamente”, afferma Debra Farber, Senior director per la strategia sulla privacy di BigID. Dal momento che il disegno di legge è stato messo insieme e approvato in appena una settimana, probabilmente vedrà alcuni emendamenti, aggiunge. “Cose come le belle quantità sono suscettibili di cambiare.”
C’è anche un altro potenziale rischio finanziario, dice Farber. “Il disegno di legge prevede il diritto di un individuo di citare in giudizio , per la prima volta” dice. “E consente azioni legali collettive per danni.,”
Ancora una volta, c’è una finestra di 30 giorni che inizia quando i consumatori danno comunicazione scritta a una società che credono che i loro diritti alla privacy siano stati violati. “Se non è guarito, e il procuratore generale rifiuta di perseguire, allora possono portare una class action”, dice Farber. “E non è solo intorno violazioni.”
Ad esempio, la legge specifica che le aziende devono avere un piè di pagina chiaramente visibile sui siti web che offrono ai consumatori la possibilità di rinunciare alla condivisione dei dati. Se quel piè di pagina manca, i consumatori possono citare in giudizio., Possono anche citare in giudizio se non riescono a scoprire come sono state raccolte le loro informazioni o ottenere copie di tali informazioni. “Può essere intorno a qualsiasi cosa”, dice Farber.
La legge assegna sanzioni specifiche in caso di accesso non autorizzato, sia attraverso una violazione, esfiltrazione, furto o “divulgazione a seguito della violazione del dovere di implementare e mantenere procedure e pratiche di sicurezza ragionevoli”, come attualmente scritto, AB 375 consente sanzioni da $100 a $750 per consumatore per incidente, o danni effettivi, a seconda di quale sia maggiore.,
“Aggiungi tutti gli altri costi correlati alla violazione-risposta IT, analisi forense e recupero, legale, notifica e così via-e questo potrebbe spingere una violazione nel regno di una minaccia esistenziale per molte aziende”, afferma Chris Prevost, Head of runtime security solutions architecture di Imperva.
In generale, se una società ha preso le misure necessarie per conformarsi al GDPR, allora è la maggior parte del modo lì per il California Consumer Privacy Act. Almeno, è più vicino che se non è pronto per GDPR, afferma Eric Dieterich, leader della pratica sulla privacy dei dati presso Focal Point Data Risk, LLC., “Alcune multinazionali hanno apportato modifiche per i loro mercati europei, ma forse non lo hanno distribuito alle attività con sede negli Stati Uniti, quindi potrebbe esserci un cambiamento di portata”, dice.
Quali dati copre il CCPA?
La legge della California adotta un approccio più ampio a ciò che costituisce dati sensibili rispetto al GDPR. Ad esempio, vengono trattate le informazioni olfattive, nonché la cronologia di navigazione e le registrazioni delle interazioni di un visitatore con un sito Web o un’applicazione.,ometric informazione;
Un emendamento, AB 874, attualmente in attesa la firma del governatore sarebbe esente pubblicamente disponibili, resi anonimi e aggregati di informazione dei consumatori vengano classificati come dati personali., Le informazioni disponibili al pubblico sono definite come dati disponibili e mantenuti dai registri governativi.
Il CCPA originariamente riguardava i dati dei dipendenti e dei consumatori. Un emendamento approvato nel mese di aprile, tuttavia, esenta i dati dei dipendenti dal regolamento. Un altro emendamento, AB 25, esenta parzialmente le informazioni personali raccolte da candidati, proprietari, direttori, funzionari, personale medico e appaltatori. Questa esenzione scadrà il 1 ° gennaio 2021. AB 25 era in attesa della firma del governatore in questo scritto.
Quali sono le principali disposizioni sulla privacy nel CCPA?,
Le aziende devono consentire ai consumatori di scegliere di non condividere i propri dati con terze parti. Ciò significa che le aziende dovranno ora essere in grado di separare i dati che raccolgono in base alle scelte di privacy degli utenti.
Inoltre, mentre una società non può rifiutare agli utenti un servizio uguale, può offrire incentivi agli utenti che forniscono informazioni personali. “Questa disposizione potrebbe essere soggetta a modifiche, ma come affermato oggi, ti dà la possibilità di offrire sconti a persone che sono disposte a condividere i loro dati o venduti a terzi”, afferma Dieterich., “Tradizionalmente, i sistemi non sono progettati in modo che la struttura dei prezzi potrebbe cambiare a seconda delle scelte di privacy. Questo è un nuovo concetto che ha implicazioni molto tecniche.”
Un’altra grande differenza con GDPR è che la legge della California consente ai clienti un accesso molto maggiore ai loro record, dice Subra Ramesh, SVP di prodotti a Dataguise. Un consumatore della California ha il diritto di scoprire quali informazioni una società raccoglie su di loro. La maggior parte delle aziende stanno per avere problemi tirando che le informazioni insieme., “Innanzitutto, la quantità di dati che raccolgono è già massiccia e continua a crescere, spesso da centinaia a migliaia di terabyte, e con le organizzazioni di livello enterprise che elaborano petabyte di dati”, afferma.
Che i dati sono contenuti in più piattaforme di archiviazione, in tempi di file diversi. ” La maggior parte degli strumenti di ricerca di file non ha la capacità di cercare nei moderni ecosistemi di repository di file così diffusi oggi”, afferma Aaron Ganek, CEO di Cloudtenna. “La gestione dei file cross-silo è una sfida importante., È difficile capire il contesto per ogni file se sono sparsi all’interno di repository diversi.”Inoltre, i problemi di conformità sono associati alla raccolta dei dati, afferma. “Gli strumenti aziendali legacy faticano a osservare le diverse autorizzazioni e modelli di sicurezza, violando le leggi e i regolamenti che vengono utilizzati per soddisfare.”
Poi c’è il limite di tempo., “Dopo la richiesta di accesso, una società ha 45 giorni di tempo per fornire una relazione completa sul tipo di informazioni, è stato venduto e a chi, e se è stato venduto a terzi nel corso degli ultimi 12 mesi, è necessario fornire i nomi e gli indirizzi dei terzi, i dati vengono venduti,” dice John Tsopanis, privacy product manager presso 1touch.io. “Non si può fare che in Europa.”
Dal momento che la regola copre i precedenti 12 mesi di record, le aziende devono iniziare a rispettare sei mesi da oggi, dice., Quindi, a gennaio 1, 2020, ogni azienda deve rivelare ogni altra azienda a cui vende dati. “Cambierà per sempre il panorama della privacy in America”, dice Tsopanis.
Cosa significa il CCPA per la sicurezza?
AB 375 è leggero sui requisiti relativi alla sicurezza e alla risposta alle violazioni rispetto al GDPR. Come affermato in precedenza, la legge definisce sanzioni per le aziende che espongono i dati dei consumatori a causa di una violazione o di un intervallo di sicurezza. Consente inoltre ai tribunali di offrire “sollievo ingiuntivo o dichiarativo” o ” qualsiasi altro sollievo che la corte ritenga corretto.,”
Le aziende non sono tenute a segnalare violazioni ai sensi di AB 375 e i consumatori devono presentare reclami prima che siano possibili multe. La migliore linea d’azione per la sicurezza, quindi, è sapere quali dati AB 375 definisce come dati privati e adottare misure per proteggerli. Anche in questo caso, qualsiasi organizzazione conforme al GDPR probabilmente non ha bisogno di intraprendere ulteriori azioni per conformarsi a AB 375 in termini di protezione dei dati.,
I requisiti di AB 375 relativi al monitoraggio, all’accesso e alla memorizzazione dei dati significano che i team di sicurezza dovranno lavorare a stretto contatto con gli amministratori di database, afferma Terry Ray, Senior Vice President e fellow di Imperva, un fornitore di sicurezza informatica. Tutti gli strumenti selezionati per aiutare a gestire AB 375 non solo dovranno avere piena visibilità sui dati archiviati in tutto l’ambiente aziendale eterogeneo, ma anche garantire che l’accesso a questi dati sia adeguatamente protetto., “Infine, avranno bisogno di questi strumenti per cooperare con il nuovo portale dei consumatori condividendo dati specifici dei consumatori con il consumatore verificabile che lo richiede”, afferma.
Se i dati vengono memorizzati con i fornitori di cloud, il problema peggiora. Ad esempio, i dipendenti potrebbero impostare un account di condivisione file per tenere traccia dei contatti di marketing o di vendita. “Non sorprende che le grandi aziende tecnologiche come Google e Facebook si siano opposte al disegno di legge”, afferma Kevin Bocek, VP di security strategy e threat intelligence di Venafi., “Controllare la privacy e le informazioni personali che fluiscono tra le macchine è incredibilmente difficile e una sfida importante per tutte le aziende.”
A work in progress
Il disegno di legge è stato messo insieme in soli sette giorni perché i legislatori volevano evitare un’iniziativa elettorale per approvare una legge ancora più severa che è stata osteggiata da molte aziende tecnologiche. “Al momento, molte delle disposizioni e delle definizioni sono in conflitto tra loro”, afferma Andy Dale, General counsel e VP of Global privacy di SessionM.,
Un’area problematica è se un’azienda può addebitare ai consumatori prezzi diversi in base alle loro impostazioni di privacy. Ad esempio, molte aziende hanno un’opzione in cui un consumatore può passare a un livello a pagamento in cui non vede alcun annuncio. Qui, la legge come attualmente scritta è un po ‘ contraddittoria.
“Se il consumatore esercita i suoi diritti ai sensi del regolamento, le aziende non possono fornire un diverso livello o qualità di prodotto, beni o servizi al consumatore”, afferma Pravin Kothari, CEO di CipherCloud., “D’altra parte, secondo il regolamento, alle imprese non è vietato addebitare a un consumatore un prezzo o un tasso diverso, o fornire un diverso livello o qualità di beni o servizi al consumatore, se tale differenza è ragionevolmente correlata al valore fornito al consumatore dai dati del consumatore.”
Sembra che la California sta cercando di definire un quadro in cui i consumatori possono essere pagati per condividere i loro dati, Kothari dice. “In questo settore la legislazione è un po ‘visionaria”, dice. “Vedremo in pratica come funziona effettivamente.,”
Altro su CCPA:
- 9 Domande CCPA ogni CISO dovrebbe essere pronto a rispondere
- Il CCPA è un’opportunità per ottenere la vostra casa di sicurezza dei dati in ordine
- Che cosa è “sicurezza ragionevole”? E come soddisfare il requisito
- Prendi sul serio la protezione dei dati dei consumatori
- Come la proprietà dei dati da parte dei cittadini influisce sul business in futuro