La nuova legge sulla privacy della California, la CPRA, è stata approvata: E adesso?

Il 3 novembre 2020, gli elettori della California hanno approvato la Proposizione 24, il California Privacy Rights Act (CPRA), con circa il 56-44%. Questa legge modificherà e sostituirà l’ancora recente California Consumer Privacy Act (CCPA), quando entrerà in vigore il 1 ° gennaio 2023.

La legge si basa sul quadro esistente del CCPA, espande i diritti di privacy dei consumatori per allinearsi più strettamente con il GDPR dell’UE, impone ulteriori obblighi alle imprese, e istituisce la prima agenzia della nazione dedicata alla regolamentazione e applicazione della privacy, la California Privacy Protection Agency (CCPA). Di seguito abbiamo delineato i punti chiave che è necessario conoscere per iniziare a prepararsi per il CPRA.

Come spesso accade con la privacy, prima ci si prepara, più facile è la conformità.

Che cosa è necessario sapere

Date chiave e modifiche immediate

Date operative e di applicazione: Il CPRA nel suo complesso non entrerà in vigore fino al 1° gennaio 2023 e si applicherà solo alle informazioni raccolte a partire dal 1° gennaio 2022. L’applicazione non inizierà fino al 1 luglio 2023. Fino ad allora, il CCPA rimarrà il regime di privacy che governa.

Cambiamenti immediati: Il passaggio della legge avrà alcuni impatti immediati, tra cui:

1. Estensione dell’esenzione per i dipendenti: Le esenzioni per i dipendenti e i dati business-to-business sono estese fino al 1 gennaio 2023.
2. Creazione della California Privacy Protection Agency (CPPA): L’agenzia di vigilanza sulla privacy, la CPPA, entra in vigore immediatamente. Il consiglio di cinque membri della CPPA deve essere nominato entro 90 giorni dalla promulgazione della legge, che avviene 5 giorni dopo che il Segretario di Stato certifica il voto finale.

Provvedimenti chiave

Modifiche alle definizioni: Ci sono diverse modifiche importanti alle definizioni nel CPRA, tra cui:

Nuova sottocategoria di informazioni personali “sensibili”: Il CPRA mantiene le undici categorie di informazioni personali (PI) del CCPA, ma aggiunge la nuova sottocategoria di informazioni personali “sensibili” (PI sensibili). I consumatori avranno ora maggiori diritti quando si tratta di PI sensibili, compreso un nuovo diritto di limitare l’uso e la divulgazione di tali dati. I PI sensibili includono (1) la sicurezza sociale, la patente di guida, il numero di carta d’identità o di passaporto; (2) le informazioni di accesso all’account con password; (3) la posizione geografica precisa di un consumatore; (4) l’origine razziale o etnica, il credo religioso o l’appartenenza sindacale; (5) contenuto della posta, e-mail o testo di un consumatore, a meno che l’azienda non sia il destinatario previsto; (6) informazioni genetiche del consumatore; (7) trattamento delle informazioni biometriche per identificare il consumatore; (8) PI analizzati riguardanti la salute di una persona; e (9) PI analizzati sulla vita sessuale o l’orientamento sessuale di un consumatore.

Nuova definizione di “terza parte”: Il CPRA aggiunge una nuova definizione di terza parte, che è definita in negativo per escludere i fornitori di servizi, gli appaltatori e qualsiasi azienda con cui il consumatore interagisce intenzionalmente e che raccoglie informazioni dal consumatore come parte dell’interazione del consumatore con l’azienda. Queste eccezioni sono particolarmente importanti dato il nuovo diritto ampliato del consumatore di rinunciare alla “condivisione” delle loro informazioni con terze parti (discusso di seguito)..

Nuova definizione di (e parziale limitazione su) “profilazione”: Il CPRA aggiunge una definizione di “profilazione” che significa “qualsiasi forma di trattamento automatizzato” dei PI usato “per analizzare o prevedere aspetti delle preferenze di una persona, la sua situazione economica, le sue prestazioni lavorative, la sua salute, i suoi interessi, il suo comportamento, la sua posizione, la sua affidabilità o i suoi movimenti”. La profilazione può ora essere parzialmente limitata dai consumatori attraverso il diritto di limitare l’uso e la divulgazione dei PI sensibili a specifici “scopi commerciali” (discussi di seguito), che escludono la profilazione a meno che il consumatore non si aspetti ragionevolmente che la profilazione sia necessaria per eseguire i servizi o fornire i beni richiesti. Questo potrebbe avere implicazioni significative per come l’Intelligenza Artificiale può essere usata e spiegata.

Modifiche agli obblighi aziendali

Limita la conservazione dei dati e richiede la divulgazione dei periodi di conservazione: Il CPRA richiede alle aziende di informare i consumatori sulla durata del tempo in cui l’azienda intende conservare ogni categoria di PI, compresi i PI sensibili. Se per qualche motivo non è possibile specificare la durata, l’azienda deve almeno informare i consumatori dei criteri utilizzati per determinare il periodo di conservazione. In nessun caso l’azienda può conservare i PI del consumatore o i PI sensibili più a lungo di quanto sia ragionevolmente necessario per lo scopo divulgato per il quale sono stati raccolti.

Aggiunge il diritto di limitare l’uso e la divulgazione dei PI sensibili: Come notato sopra, con l’aggiunta della sottocategoria dei PI sensibili viene un nuovo diritto del consumatore di limitare l’uso e la divulgazione di questa categoria di informazioni. Questo diritto di limitare l’uso e la divulgazione scatta quando i PI sensibili sono raccolti o trattati allo scopo di dedurre caratteristiche sul consumatore. Il consumatore può limitare l’uso o la divulgazione dei suoi PI sensibili a: (1) ciò che è necessario per eseguire servizi o fornire beni, e (2) alcuni “servizi commerciali” limitati. I PI sensibili che non sono raccolti o trattati allo scopo di “dedurre” caratteristiche sul consumatore saranno trattati come PI e non saranno soggetti a questa limitazione. I PI sensibili devono essere comunicati separatamente nell’informativa sulla privacy e i consumatori devono essere avvisati del loro diritto di limitare l’uso e la divulgazione dei loro PI sensibili e della possibilità di esercitarlo.

Aggiunge il diritto di correggere i PI inesatti: Il CPRA aggiunge un nuovo diritto del consumatore a correggere i PI inesatti. Le aziende saranno ora obbligate ad aggiungere un avviso di questo diritto alle loro informative sulla privacy e a mettere in atto politiche e procedure per rispondere a queste richieste.

Estende i diritti di opt-out dei consumatori alla condivisione dei PI per la pubblicità intercontestuale: Sotto il CCPA, i consumatori hanno il diritto di dirigere le imprese a non vendere i loro PI (noto come il diritto di Opt-Out di vendita). Sotto il CPRA, questo diritto è esteso per permettere ai consumatori di impedire alle imprese di “condividere” le loro informazioni con terzi. “Condivisione” in questo contesto significa un’azienda che condivide, divulga o affitta i PI di un consumatore a terzi per la pubblicità comportamentale incrociata, sia o meno per denaro o altra considerazione di valore, anche quando non viene scambiato denaro. “Pubblicità contestuale incrociata” significa indirizzare la pubblicità a un consumatore sulla base dei PI ottenuti dall’attività del consumatore attraverso aziende, siti web, app o servizi diversi da quello con cui il consumatore interagisce intenzionalmente. Simile al diritto di Opt-Out di vendita nel CCPA, il diritto di opt-out alla condivisione non si estende alla condivisione dei PI con i fornitori di servizi e gli appaltatori.

Estende la disposizione di non discriminazione per includere la non ritorsione: Il CPRA modifica il diritto dei consumatori di non discriminazione per includere un divieto di ritorsione contro un dipendente, un candidato all’impiego o un contraente indipendente per aver esercitato uno dei loro diritti ai sensi della legge.

Aggiunge requisiti contrattuali per tutte le persone che ricevono PI: Il CPRA aggiunge nuovi requisiti contrattuali per tutte le persone che ricevono PI, compresa la vendita e la condivisione, così come i fornitori di servizi e gli appaltatori. Il contratto deve ora:

1. Specificare che le informazioni sono fornite per scopi limitati e specifici;
2. Obbligare la persona che riceve le informazioni a rispettare il CPRA e “fornire lo stesso livello di protezione della privacy richiesto dal” CPRA;
3. Dare all’azienda il diritto di assicurarsi che le informazioni siano trasferite “in un modo coerente con gli obblighi dell’azienda sotto questo titolo”;
4. Obbligare la persona che riceve i PI a notificare l’azienda se non può più soddisfare i suoi obblighi del CPRA;
5. Dare all’azienda il diritto di prendere provvedimenti per fermare e rimediare all’uso non autorizzato dei PI.

Aumento dei diritti dei bambini

Aumenta le multe amministrative per i PI dei bambini: Il CPRA aumenta le multe amministrative per qualsiasi violazione dell’atto che coinvolge il PI di bambini sotto i 16 anni di età fino a un potenziale di 7.500 dollari per violazione. Sotto il CCPA, questa sanzione era riservata solo alle violazioni intenzionali. La multa massima di 2.500 dollari per tutti gli altri atti non intenzionali che coinvolgono persone di 16 anni e più rimane la stessa.

Richiede il consenso opt-in per la condivisione dei PI di bambini sotto i 16 anni: proprio come il CPRA estende il diritto dei consumatori di rinunciare alla vendita di PI per includere il diritto di rinunciare alla condivisione dei PI con terze parti, il requisito del CCPA che un’azienda ottiene il consenso opt-in affermativo per vendere PI di bambini sotto i 16 anni ora si estende anche alla condivisione dei PI dei bambini. Il CPRA richiede anche un processo di regolamentazione per “stabilire specifiche tecniche per un segnale di preferenza di opt-out che permetta al consumatore, o al genitore o tutore del consumatore, di specificare che il consumatore ha meno di 13 anni o almeno 13 anni e meno di 16 anni.”

Nuova agenzia per la privacy watchdog, nuovo processo di regolamentazione, ed esteso diritto di azione privata

Istituisce la nuova Agenzia per la protezione della privacy della California (CPPA): Come notato sopra, il CPRA istituisce una nuova agenzia, la CPPA, “per implementare e far rispettare” il CCPA e il CPRA (quando diventerà operativo). Il CPPA sarà la prima agenzia per la privacy negli Stati Uniti dedicata esclusivamente alla privacy dei dati dei consumatori e avrà un ampio mandato per indagare su possibili violazioni del CPRA, far rispettare il CPRA attraverso azioni amministrative e promulgare regole.

Richiede un nuovo rulemaking sulle assicurazioni: Il CPRA richiede al CPPA di “rivedere l’esistente codice assicurativo della California” per quanto riguarda la privacy dei consumatori, eccetto le disposizioni relative alle tariffe e ai prezzi delle assicurazioni. Il CPPA deve determinare se il Codice delle assicurazioni fornisce una maggiore protezione della privacy rispetto al CPRA e, in caso contrario, il CPPA “adotterà” un regolamento che applichi le maggiori protezioni del CPRA alle compagnie di assicurazione. Il commissario per le assicurazioni, tuttavia, manterrà la giurisdizione sulle tariffe e i prezzi delle assicurazioni.

Richiede una nuova regolamentazione sulla cybersecurity e la privacy: Il CPPA deve emettere regolamenti che richiedano alle aziende “il cui trattamento delle informazioni personali dei consumatori presenta un rischio significativo per la privacy o la sicurezza dei consumatori” di (1) eseguire un audit di cybersecurity su base annuale e (2) presentare una valutazione del rischio al CPPA per quanto riguarda il loro trattamento dei PI.

Estende la portata del diritto privato di azione: Il CPRA estende la portata del diritto di azione privata aggiungendo una causa di azione per l’accesso non autorizzato e l’esfiltrazione, il furto o la divulgazione di un indirizzo e-mail in combinazione con una password o una domanda e risposta di sicurezza che potrebbe consentire l’accesso al contenuto. In precedenza il CCPA riconosceva solo una causa di azione relativa ai PI non criptati o non redatti. Il CPRA chiarisce anche che l’implementazione e il mantenimento di ragionevoli procedure e pratiche di sicurezza dopo la violazione non costituisce una cura.

Conclusione

Il CPRA è ancora un altro esempio del panorama della privacy in rapida evoluzione. Ma alla base di questa volatilità c’è una chiara tendenza verso maggiori obblighi di privacy per le aziende, che quasi certamente continuerà a ritmo sostenuto, sia negli Stati Uniti che in tutto il mondo. In questo ambiente, quelli che si preparano per tempo, e quelli che hanno una solida padronanza della legge e di quali dati hanno, da dove vengono, dove vanno e per quanto tempo li conservano, saranno quelli meglio posizionati per conformarsi.