quais as empresas que o CCPA afecta?todas as empresas que servem os residentes da Califórnia e têm pelo menos $ 25 milhões em receita anual devem cumprir a lei. Além disso, as empresas de qualquer tamanho que tenham dados pessoais de pelo menos 50.000 pessoas ou que coletem mais de metade de suas receitas da venda de dados pessoais, também são abrangidas pela lei. As empresas não têm de estar sediadas na Califórnia ou ter uma presença física lá para serem abrangidas pela lei. Nem sequer têm de estar nos Estados Unidos.,uma alteração feita em abril isenta as “instituições de seguros, agentes e organizações de apoio”, uma vez que já estão sujeitas a regulamentos semelhantes ao abrigo da Lei de proteção de informações de seguros e Privacidade da Califórnia (IPPA).
quando é que a minha empresa precisa de cumprir o CCPA?a lei entrou em vigor em 1 de janeiro de 2020, mas a execução começou em 1 de julho.
o que acontece se a minha empresa não estiver em conformidade com o CCPA?
as empresas têm 30 dias para cumprir a lei, uma vez que os reguladores notificá-los de uma violação., Se o problema não for resolvido, há uma multa de até US $7.500 por registro. “Se você pensar em quantos registros são afetados em uma brecha, isso realmente aumenta muito rapidamente”, diz Debra Farber, diretora sênior de estratégia de privacidade da BigID. Uma vez que o projeto de lei foi elaborado e aprovado em apenas uma semana, ele provavelmente vai ver algumas emendas, ela acrescenta. “Coisas como as quantias finas são susceptíveis de mudar.há também outro risco financeiro potencial, diz Farber. “A lei prevê o direito de um indivíduo processar, pela primeira vez”, diz ela. “E permite acções judiciais por danos.,”
novamente, há uma janela de 30 dias que começa quando os consumidores dão aviso por escrito a uma empresa que eles acreditam que seus direitos de Privacidade foram violados. “Se não estiver curado, e o procurador-geral se recusar a processar, então eles podem trazer um processo de ação coletiva”, diz Farber. “E não é só perto de brechas.”
por exemplo, a lei especifica que as empresas devem ter um rodapé claramente visível em sites que oferecem aos consumidores a opção de optar por não compartilhar dados. Se esse pé estiver desaparecido, os consumidores podem processar., Eles também podem processar se não puderem descobrir como suas informações foram coletadas ou obter cópias dessas informações. “Pode estar perto de qualquer coisa”, diz Farber.
A lei atribui as penalidades específicas devem acesso não autorizado ocorrer, seja por meio de uma violação, a evasão, roubo, ou “revelação como um resultado da violação do dever de implementar e manter segurança razoável de procedimentos e práticas”, Como escrita, AB 375 permite a multas de r $100 a us $750 por consumidor por incidente, ou danos reais, o que for maior.,
“adicione em todos os outros custos relacionados com a violação — resposta Informática, forenses e recuperação, legal, notificação, e assim por diante — e isso poderia empurrar uma quebra no reino de uma ameaça existencial para muitas empresas”, diz Chris Prevost, chefe da arquitetura de soluções de segurança em tempo de execução na Imperva.
em geral, se uma empresa tomou as medidas necessárias para cumprir com o GDPR, então é a maior parte do caminho para a Lei de Privacidade do Consumidor da Califórnia. Pelo menos, é mais perto do que se não estiver pronto para o GDPR, diz Eric Dieterich, líder de práticas de privacidade de dados no Focal Point Data Risk, LLC., “Algumas multinacionais fizeram mudanças para os seus mercados europeus, mas talvez não o tenham feito para atividades baseadas nos EUA, então pode haver uma mudança de escopo”, diz ele.
que dados cobre a CCPA?
a lei da Califórnia tem uma abordagem mais ampla para o que constitui dados sensíveis do que o GDPR. Por exemplo, informações olfativas são cobertas, bem como o histórico de navegação e registros de interações de um visitante com um site ou aplicação.,ometric informações
Internet ou outros meios eletrônicos de atividade de rede de informações, incluindo, mas não limitado a, histórico de navegação, histórico de pesquisa e informações a respeito de um consumidor a interação com um site, aplicativo ou publicidade
a Geolocalização de dados
Áudio, eletrônica, visual, térmico, olfativo ou similar informações
Profissional ou de emprego relacionadas com a informação
de informações sobre o Ensino, definido como a informação que não está disponível publicamente informações pessoalmente identificáveis (PII), como definido no Family Educational Rights and Privacy Act (20 U.,S. C. secção 1232g, 34 C. F. R. Parte 99)
conclusões tiradas a partir de qualquer das informações referidas nesta subdivisão, criar um perfil de cerca de um consumidor refletindo o consumidor, preferências, características psicológicas, tendências, preferências, predisposições, comportamento, atitudes, inteligência, habilidades e aptidões
Uma emenda, AB 874, que aguarda a assinatura do governador isenta publicamente disponíveis, deidentified e agregação de informação do consumidor de ser classificado como IIP., A informação disponível ao público é definida como dados disponíveis e mantidos a partir de registos governamentais.
O CCPA originalmente abrangia os dados do empregado, bem como os dados do consumidor. No entanto, uma alteração aprovada em abril isenta os dados dos trabalhadores do regulamento. Outra emenda, AB 25, isenta parcialmente as informações pessoais coletadas de candidatos a emprego, proprietários, diretores, oficiais, pessoal médico e empreiteiros. Esta isenção expiraria em 1 de janeiro de 2021. O AB 25 estava à espera da assinatura do Governador nesta escrita.
quais são as principais disposições em matéria de privacidade no CCPA?,as empresas devem permitir que os consumidores optem por não partilhar os seus dados com terceiros. Isso significa que as empresas terão agora de ser capazes de separar os dados que recolhem de acordo com as escolhas de privacidade dos utilizadores.além disso, embora uma empresa não possa recusar aos utilizadores serviços iguais, pode oferecer incentivos aos utilizadores que fornecem informações pessoais. “Esta disposição pode estar sujeita a alterações, mas, como se afirma hoje, dá-Lhe a capacidade de oferecer descontos a pessoas que estão dispostas a ter os seus dados partilhados ou vendidos a terceiros”, diz Dieterich., “Tradicionalmente, os sistemas não são projetados para que sua estrutura de preços possa mudar dependendo de suas escolhas de Privacidade. Esse é um novo conceito que tem implicações muito técnicas.”
outra grande diferença com o GDPR é que a lei da Califórnia permite aos clientes um acesso muito maior a seus registros, diz Subra Ramesh, SVP de produtos na Dataguise. Um consumidor da Califórnia tem o direito de descobrir que informação uma empresa recolhe sobre eles. A maioria das empresas vai ter dificuldade em reunir essa informação., “Em primeiro lugar, a quantidade de dados que coletam já é enorme e continua a crescer, muitas vezes no valor de centenas a milhares de terabytes, e com organizações de nível empresarial processando petabytes de dados”, diz ele.
que os dados estão contidos em múltiplas plataformas de armazenamento, em diferentes tempos de arquivo. “A maioria das ferramentas de busca de arquivos não tem a capacidade de procurar nos ecossistemas modernos de repositório de arquivos tão prevalentes hoje”, diz Aaron Ganek, CEO da Cloudtenna. “A gestão de ficheiros Cross-silo é um grande desafio., É difícil entender o contexto para cada arquivo se eles estão espalhados dentro de repositórios diferentes.”Além disso, os problemas de conformidade estão associados com a recolha de dados, diz ele. “Ferramentas Legacy enterprise lutam para observar as diferentes permissões e modelos de segurança, violando as leis e regulamentos que estão sendo usados para satisfazer.”
então há o limite de tempo., “Após a solicitação de acesso, a empresa tem 45 dias para fornecer-lhes um relatório detalhado sobre o tipo de informação que eles têm, ela foi vendida, e a quem, e se foi vendido a terceiros nos últimos 12 meses, deve-se dar os nomes e endereços dos terceiros os dados é vendido”, diz João Tsopanis privacidade, gerente de produto da 1touch.io. “Você não pode fazer isso na Europa.”uma vez que a regra abrange os 12 meses anteriores de registros, as empresas têm que começar a cumprir seis meses a partir de agora, diz ele., Depois, no dia 1 de janeiro de 2020, todas as empresas têm de divulgar todas as outras empresas a quem vendem dados. “Isso vai mudar a paisagem de Privacidade na América para sempre”, diz Tsopanis.
o que significa a CCPA para a segurança?
AB 375 é leve em relação aos requisitos em matéria de segurança e de resposta a situações de ruptura, quando comparado com o GDPR. Como referido anteriormente, a lei define sanções para as empresas que expõem os dados do consumidor devido a uma quebra ou caducidade de segurança. Ele também permite que os tribunais ofereçam ” injunctive ou declaratory relief,” ou “qualquer outra relief que o tribunal considere adequada.,”
As empresas não são obrigadas a comunicar infracções ao abrigo do AB 375, e os consumidores devem apresentar queixas antes de serem possíveis multas. O melhor caminho para a segurança, então, é saber que dados AB 375 define como dados privados e tomar medidas para garanti-los. Mais uma vez, qualquer organização que cumpra o GDPR provavelmente não precisa de tomar mais medidas para cumprir o AB 375 em termos de segurança dos dados.,os requisitos AB 375 em torno de rastreamento, acesso e armazenamento de dados significam que as equipes de segurança terão de trabalhar em estreita colaboração com os administradores de banco de dados, diz Terry Ray, vice-presidente sênior e companheiro da Imperva, um vendedor de cibersegurança. Quaisquer ferramentas selecionadas para ajudar a lidar com AB 375 não só terá de ter plena visibilidade nos dados armazenados em todo o ambiente empresarial heterógeno, mas também garantir que o acesso a esses dados é devidamente seguro., “Por último, eles precisarão dessas ferramentas para cooperar com o novo portal do consumidor, compartilhando dados específicos do consumidor com o consumidor verificável que o solicita”, diz ele.
Se os dados são armazenados com provedores de nuvem, o problema apenas piora. Por exemplo, os funcionários podem configurar uma conta de compartilhamento de arquivos para manter o controle de contatos de marketing ou vendas. “Não é surpreendente que grandes empresas de tecnologia como o Google e o Facebook se oponham ao Projeto de lei”, diz Kevin Bocek, vice-presidente da estratégia de segurança e da inteligência de ameaças da Venafi., “Controlar a privacidade e as informações pessoais que fluem entre máquinas é incrivelmente difícil, e um grande desafio para todas as empresas.”
a work in progress
The bill was put together in just seven days because legislators wanted to avoid a ballot initiative to pass an even stricter law that was opposed by many tech companies. “Neste momento, muitas das disposições e definições entram em conflito umas com as outras”, diz Andy Dale, conselheiro geral e vice-presidente da Global privacy at SessionM.,
uma área problemática é se uma empresa pode cobrar aos consumidores preços diferentes com base nas suas definições de Privacidade. Por exemplo, muitas empresas têm uma opção onde um consumidor pode atualizar para um nível pago, onde eles não vêem nenhum anúncio. Aqui, a lei como está escrita é um pouco contraditória.”se o consumidor exercer os seus direitos ao abrigo do regulamento, as empresas não podem fornecer ao consumidor um nível ou uma qualidade diferentes de Produto, bens ou serviços”, diz Pravin Kothari, CEO da Cifhercloud., “Por outro lado, de acordo com o regulamento, as empresas não estão proibidas de cobrar a um consumidor um preço ou taxa diferente, ou de fornecer um nível ou qualidade diferentes de bens ou serviços ao consumidor, se essa diferença estiver razoavelmente relacionada com o valor fornecido ao consumidor pelos dados do consumidor.”
parece que a Califórnia está tentando definir um quadro onde os consumidores podem ser pagos para compartilhar seus dados, diz Kothari. “Nesta área, a legislação é um pouco visionária”, diz ele. “Veremos na prática como isso realmente funciona.,”
Mais sobre CCPA:
- 9 CCPA perguntas cada CISO deve estar preparado para responder
- O CCPA é uma oportunidade para obter os seus dados de segurança de casa a fim
- o Que é “razoável segurança”? E como cumprir o requisito de levar a sério a protecção dos dados dos consumidores