Noua lege a Californiei privind protecția vieții private, CPRA, a fost aprobată: Ce se întâmplă acum?

La 3 noiembrie 2020, alegătorii californieni au adoptat propunerea 24, California Privacy Rights Act (CPRA), cu aproximativ 56-44%. Această lege va modifica și va înlocui încă recentul California Consumer Privacy Act (CCPA), odată ce va intra în vigoare la 1 ianuarie 2023.

Legea se bazează pe cadrul existent al CCPA, extinde drepturile de confidențialitate ale consumatorilor pentru a se alinia mai îndeaproape cu GDPR al UE, impune obligații suplimentare întreprinderilor și înființează prima agenție din țară dedicată reglementării și aplicării legii privind confidențialitatea, California Privacy Protection Agency (CCPA). Mai jos am subliniat punctele cheie pe care trebuie să le cunoașteți pentru a începe să vă pregătiți pentru CPRA.

Cum se întâmplă adesea în cazul confidențialității, cu cât pregătirea este mai timpurie, cu atât mai ușor este să vă conformați.

CE TREBUIE SĂ ȘTIȚI

Date cheie și schimbări imediate

Date operaționale și de aplicare: CPRA în ansamblul său nu va intra în vigoare până la 1 ianuarie 2023 și se va aplica numai informațiilor colectate la sau după 1 ianuarie 2022. Punerea în aplicare nu va începe până la 1 iulie 2023. Până atunci, CCPA va rămâne regimul de guvernare în materie de confidențialitate.

Schimbări imediate: Adoptarea legii va avea unele efecte imediate, printre care:

1. Extinderea scutirii pentru angajați: Scutirile pentru datele angajaților și pentru datele de la întreprindere la întreprindere sunt prelungite până la 1 ianuarie 2023.

Crearea Agenției pentru protecția vieții private din California (CPPA): Agenția de supraveghere a vieții private, CPPA, intră în vigoare imediat. Consiliul de administrație al CPPA, format din cinci membri, trebuie să fie numit în termen de 90 de zile de la promulgarea legii, care are loc la 5 zile după ce secretarul de stat certifică votul final.

DISPOZIȚII PRINCIPALE

Modificări definitorii: Există mai multe modificări importante ale definițiilor din CPRA, inclusiv:

Nouă subcategorie de informații personale „sensibile”: CPRA menține cele unsprezece categorii de informații cu caracter personal (IP) din CCPA, dar adaugă o nouă subcategorie de informații personale „sensibile” (IP sensibile). Consumatorii vor avea acum drepturi sporite atunci când sunt implicate IP sensibile, inclusiv un nou drept de a limita utilizarea și divulgarea acestor date. Printre IP sensibile se numără: (1) numărul de asigurare socială, al permisului de conducere, al cărții de identitate de stat sau al pașaportului; (2) informațiile de conectare la un cont cu o parolă; (3) locația geografică exactă a unui consumator; (4) originea rasială sau etnică, convingerile religioase sau apartenența la un sindicat; (5) conținutul corespondenței, e-mailului sau mesajului text al unui consumator, cu excepția cazului în care întreprinderea este destinatarul vizat; (6) informațiile genetice ale consumatorului; (7) prelucrarea informațiilor biometrice pentru identificarea consumatorului; (8) IP analizate cu privire la sănătatea unei persoane; și (9) IP analizate cu privire la viața sexuală sau orientarea sexuală a unui consumator.

Nouă definiție a „terțului”: CPRA adaugă o nouă definiție a terțului, care este definită în partea negativă pentru a exclude furnizorii de servicii, contractorii și orice întreprindere cu care consumatorul interacționează în mod intenționat și care colectează informații de la consumator ca parte a interacțiunii consumatorului cu întreprinderea respectivă. Aceste excepții sunt deosebit de importante având în vedere dreptul recent extins al consumatorilor de a renunța la „partajarea” informațiilor lor cu terți (discutat mai jos)…

Nouă definiție a (și limitare parțială a) „profilării”: CPRA adaugă o definiție a „creării de profiluri”, care înseamnă „orice formă de prelucrare automatizată” a PI utilizată „pentru a analiza sau a prezice aspecte ale preferințelor, situației economice, performanțelor profesionale, sănătății, intereselor, comportamentului, locației, fiabilității sau mișcărilor unei persoane.” Crearea de profiluri poate fi acum parțial limitată de către consumatori prin dreptul de a limita utilizarea și divulgarea PI sensibile la anumite „scopuri comerciale” (discutate mai jos), care exclud crearea de profiluri, cu excepția cazului în care consumatorul se așteaptă în mod rezonabil ca crearea de profiluri să fie necesară pentru a efectua serviciile sau a furniza bunurile solicitate. Acest lucru ar putea avea implicații semnificative pentru modul în care inteligența artificială poate fi utilizată și explicată.

Modificări ale obligațiilor comerciale

Limită păstrarea datelor și impune divulgarea perioadelor de păstrare: CPRA impune întreprinderilor să informeze consumatorii cu privire la perioada de timp în care întreprinderea intenționează să păstreze fiecare categorie de PI, inclusiv PI sensibile. În cazul în care, din anumite motive, specificarea duratei nu este posibilă, întreprinderea trebuie cel puțin să informeze consumatorii cu privire la criteriile utilizate pentru a determina perioada de păstrare. În niciun caz, întreprinderea nu poate păstra IP sau IP sensibilă a consumatorului mai mult decât este necesar în mod rezonabil pentru scopul dezvăluit pentru care a fost colectată.

Adăugă un drept de a limita utilizarea și divulgarea IP sensibilă: După cum s-a menționat mai sus, odată cu adăugarea subcategoriei PI Sensibile vine un nou drept al consumatorului de a limita utilizarea și divulgarea acestei categorii de informații. Acest drept de a limita utilizarea și divulgarea este declanșat în cazul în care IP sensibile sunt colectate sau prelucrate în scopul de a deduce caracteristici despre consumator. Consumatorul poate limita utilizarea sau divulgarea IP sensibile la: (1) ceea ce este necesar pentru a efectua servicii sau a furniza bunuri și (2) anumite „servicii comerciale” limitate. IP sensibile care nu sunt colectate sau prelucrate în scopul de a „deduce” caracteristici despre consumator vor fi tratate ca IP și nu vor face obiectul acestei limitări. PI sensibilă trebuie să fie dezvăluită separat în notificarea privind confidențialitatea, iar consumatorii trebuie să fie informați cu privire la dreptul lor de a opta pentru limitarea utilizării și dezvăluirii PI sensibile și trebuie să aibă posibilitatea de a-și exercita acest drept.

Adăugă un drept de a corecta PI inexacte: CPRA adaugă un nou drept al consumatorului de a corecta PI inexacte. Întreprinderile vor fi acum obligate să adauge o notificare cu privire la acest drept la informațiile privind politica lor de confidențialitate și să pună în aplicare politici și proceduri pentru a răspunde la aceste cereri.

Extinde drepturile de renunțare ale consumatorilor la schimbul de PI pentru publicitatea contextuală încrucișată: În conformitate cu CCPA, consumatorii au dreptul de a solicita întreprinderilor să nu le vândă IP-urile lor (cunoscut sub numele de dreptul de oprire de la vânzare). În conformitate cu CPRA, acest drept este extins pentru a permite consumatorilor să împiedice întreprinderile să „împartă” informațiile lor cu terțe părți. „Împărtășirea”, în acest context, înseamnă că o întreprindere împarte, divulgă sau închiriază IP ale unui consumator unei terțe părți pentru publicitate comportamentală contextuală încrucișată, fie în schimbul unor sume de bani sau al altor considerații valoroase, inclusiv în cazul în care nu se face niciun schimb de bani. „Publicitate transcontextuală” înseamnă direcționarea publicității către un consumator pe baza IP obținute din activitatea consumatorului în cadrul unor întreprinderi, site-uri web, aplicații sau servicii, altele decât cele cu care consumatorul interacționează în mod intenționat. Similar cu dreptul de a renunța la vânzare din CCPA, dreptul de a renunța la partajare nu se extinde la partajarea PI cu furnizorii de servicii și contractanții.

Extinde dispoziția privind nediscriminarea pentru a include neretalarea: CPRA modifică dreptul consumatorilor la nediscriminare pentru a include o interdicție privind represaliile împotriva unui angajat, solicitant de angajare sau contractant independent pentru exercitarea oricăruia dintre drepturile lor în temeiul legii.

Adăugă cerințe contractuale pentru toate persoanele care primesc PI: CPRA adaugă noi cerințe contractuale pentru toate persoanele care primesc PI, inclusiv vânzarea și partajarea, precum și pentru furnizorii de servicii și contractanții. Contractul trebuie acum:

1. Specifica faptul că informațiile sunt furnizate în scopuri limitate și specificate;
2. Obliga persoana care primește informațiile să se conformeze CPRA și „să asigure același nivel de protecție a vieții private ca și cel cerut de” CPRA;
3. Oferă întreprinderii dreptul de a se asigura că informațiile sunt transferate „într-o manieră conformă cu obligațiile întreprinderii în temeiul prezentului titlu”;
4. Obligă persoana care primește IP să notifice întreprinderea dacă aceasta nu mai poate îndeplini obligațiile care îi revin în temeiul CPRA;
5. Oferă întreprinderii dreptul de a lua măsuri pentru a opri și remedia utilizarea neautorizată a IP.

Creșterea drepturilor copiilor

Creșterea amenzilor administrative pentru PI ale copiilor: CPRA mărește amenzile administrative pentru orice încălcare a legii care implică PI ale copiilor cu vârsta sub 16 ani până la un potențial de 7.500 de dolari pentru fiecare încălcare. În temeiul CCPA, această sancțiune era rezervată doar pentru încălcări intenționate. Amenda maximă de 2 500 de dolari pentru toate celelalte acte neintenționate care implică persoane cu vârsta de 16 ani sau mai mult rămâne neschimbată.

Exige consimțământul de tip „opt-in” pentru partajarea PI ale copiilor sub 16 ani: La fel cum CPRA extinde dreptul consumatorilor de a renunța la vânzarea de PI pentru a include dreptul de a renunța la partajarea PI cu terțe părți, cerința CCPA ca o întreprindere să obțină consimțământul afirmativ de tip „opt-in” pentru a vinde PI ale copiilor sub 16 ani se extinde acum și la partajarea PI ale copiilor. CPRA solicită, de asemenea, o reglementare pentru „stabilirea specificațiilor tehnice pentru un semnal de preferință de renunțare care să permită consumatorului sau părintelui sau tutorelui consumatorului să precizeze că acesta are mai puțin de 13 ani sau cel puțin 13 ani și mai puțin de 16 ani.”

O nouă agenție de supraveghere a confidențialității, o nouă reglementare și un drept de acțiune privată extins

Înființează noua California Privacy Protection Agency (CPPA): După cum s-a menționat mai sus, CPRA înființează o nouă agenție, CPPA, „pentru a pune în aplicare și a aplica” CCPA și CPRA (atunci când va deveni operațională). CPPA va fi prima agenție de protecție a vieții private din Statele Unite dedicată exclusiv confidențialității datelor consumatorilor și va avea un mandat amplu de a investiga posibilele încălcări ale CPRA, de a pune în aplicare CPRA prin acțiuni administrative și de a promulga norme.

Recomandă o nouă reglementare privind asigurările: CPRA impune CPPA să „revizuiască actualul Cod de asigurări din California” în ceea ce privește confidențialitatea consumatorilor, cu excepția dispozițiilor referitoare la tarifele și prețurile de asigurare. CPPA trebuie să stabilească dacă Codul asigurărilor oferă o protecție mai mare a vieții private decât CPRA și, în caz contrar, CPPA „trebuie” să adopte un regulament care să aplice protecția mai mare a CPRA companiilor de asigurări. Cu toate acestea, comisarul pentru asigurări își păstrează jurisdicția asupra tarifelor și prețurilor de asigurare.

Solicită o nouă reglementare privind securitatea cibernetică și confidențialitatea: CPPA trebuie să emită reglementări care să impună întreprinderilor „a căror prelucrare a informațiilor personale ale consumatorilor prezintă un risc semnificativ pentru confidențialitatea sau securitatea consumatorilor” să (1) efectueze anual un audit de securitate cibernetică și (2) să prezinte CPPA o evaluare a riscurilor în ceea ce privește prelucrarea de către acestea a PI.

Extinde domeniul de aplicare a dreptului privat la acțiune: CPRA extinde domeniul de aplicare a dreptului privat la acțiune prin adăugarea unei cauze de acțiune pentru accesul neautorizat și exfiltrarea, furtul sau divulgarea neautorizată a unei adrese de e-mail în combinație cu o parolă sau o întrebare și un răspuns de securitate care ar putea permite accesul la conținut. Anterior, CCPA recunoștea doar o cauză de acțiune referitoare la IP necriptate sau nedecriptate. CPRA clarifică, de asemenea, faptul că punerea în aplicare și menținerea unor proceduri și practici de securitate rezonabile în urma încălcării nu constituie o remediere.

Concluzie

CPCRA este încă un exemplu al evoluției rapide a peisajului de confidențialitate. Dar, la baza volatilității se află o tendință clară către obligații sporite în materie de confidențialitate pentru companii, care aproape sigur va continua în ritm accelerat, atât în Statele Unite, cât și în întreaga lume. În acest mediu, cei care se pregătesc din timp și cei care au un control ferm asupra legii și asupra datelor pe care le dețin, de unde provin, unde se duc și cât timp le păstrează, vor fi cei care vor fi cel mai bine poziționați pentru a se conforma.

.