Requisitos da CCPA sobre direitos de dados mais fortes para os consumidores estão mantendo os profissionais de privacidade ocupados. Mas muitas empresas podem não ter um momento para recuperar o fôlego antes da próxima rodada de leis de privacidade de dados da Califórnia, a Lei de Direitos de Privacidade da Califórnia (CPRA, também conhecida como CCPA Versão 2.0), que expande ainda mais a proteção de dados para os consumidores — e as regulamentações para as empresas.
Por que as novas regulamentações de privacidade da Califórnia… já existem?
Alguns acham que o CCPA não foi longe o suficiente. Especificamente, o grupo que originou o CCPA — Californianos pela Privacidade do Consumidor — parecia sofrer de remorso do vendedor após a aprovação do CCPA.
“Algumas das maiores empresas do mundo priorizaram ativa e explicitamente o enfraquecimento do CCPA”, diz Alastair Mactaggart, chefe dos Californianos pela Privacidade do Consumidor.
Além disso, "as ferramentas tecnológicas evoluíram de maneiras que exploram os dados do consumidor com consequências potencialmente perigosas. Acredito que usar os dados do consumidor dessa forma não é apenas imoral, mas também ameaça nossa democracia", afirma.
Novas proteções sob a Lei de Direitos de Privacidade da Califórnia (CPRA)
Com o CCPA aparentemente enfraquecido, o grupo apresentou a nova iniciativa de votação da Lei de Direitos de Privacidade da Califórnia para a eleição de novembro.
O O CPRA é essencialmente uma emenda ao CCPA e propõe legislação que fortalecerá certas disposições da lei original, bem como introduzirá algumas novas proteções. Algumas delas incluem:
- estabelecer uma autoridade reguladora de privacidade estadual dedicada para lidar com a aplicação
- ampliando o escopo dos dados regulamentados
- instituindo novos direitos de dados do consumidor que regem o processamento e o compartilhamento de dados
- alterando a responsabilidade por violação
- criando requisitos para minimização de dados
Em suma, o CPRA apresenta um novo conjunto de requisitos que obrigará as empresas a conhecer seus dados e alavancar a inteligência de dados para sustentar programas de privacidade responsivos, flexíveis e abrangentes.
Novas definições e disposições sob CPRA
Aplicação sob a Agência de Proteção à Privacidade da Califórnia
A CPRA criaria a Agência de Proteção à Privacidade da Califórnia, a primeira agência nos EUA com autoridade para elaborar normas exclusivamente dedicadas à privacidade.
A agência assumiria a O papel do Procurador-Geral da Califórnia na execução, e agora poder perseguir empresas sem dar a elas um período de 30 dias para mitigar suas violações.
Por onde começar: Ser capaz de, de forma rápida e eficaz, reagir aos requisitos regulamentares, atender a todos os consumidores solicitações de dados em escala e relatórios de atividades.
Definindo Informações Pessoais Sensíveis (SPI)
“Informações pessoais sensíveis” (SPI) é um novo termo que existiria sob o CPRA.
Além das informações pessoais (IP)O SPI inclui informações como números de previdência social, números de carteira de motorista, carteiras de identidade estaduais, informações de passaporte, geolocalização precisa, credenciais do usuário, informações financeiras e de saúde, dados de "vida sexual" ou orientação sexual, dados biométricos e genéticos, origem racial ou étnica, crenças religiosas ou filosóficas ou filiação sindical — bem como conteúdo de correspondências, e-mails e mensagens SMS.
Por onde começar: Encontre e identifique automaticamente todo o seu SPI onde quer que ele esteja — no local, na nuvem e híbrido — em todas as fontes de dados, em escala de petabytes.
O Direito à Correção
A primeira das novas disposições revolucionárias de direitos do consumidor do CPRA é o "direito de correção", que estipula que as empresas devem oferecer aos consumidores a capacidade de atualizar e corrigir informações imprecisas que uma empresa possa ter sobre elas.
Por onde começar: Descobrir e inventariar todos os dados pessoais e sensíveis pertencentes a uma identidade — diretos e inferidos — para uma imagem completa de quais dados do consumidor você está coletando.
Direito de limitar o uso e a divulgação de informações pessoais sensíveis
A segunda disposição significativa relacionada aos direitos de dados oferece aos consumidores a capacidade de limitar a finalidade da coleta e processamento de SPI somente às finalidades necessárias para fornecer bens ou serviços solicitados.
Por onde começar: Adicione contexto aos seus dados com recursos avançados classificação e correlação que permite descobrir relacionamentos, inferir novos atributos e visualizar dados de acordo com sua finalidade de uso.
O Direito de Saber
O CPRA ampliou o âmbito da A disposição do “direito de saber” do CCPA para incluir especificamente informações pessoais que são coletadas, vendidas ou compartilhadas. As empresas precisam divulgar antecipadamente quais categorias de informações são coletadas e compartilhadas com um prestador de serviços ou contratado terceirizado.
Por onde começar: Inventário SPI, fluxos de dados de documentos e automatizar os processos de cumprimento do “direito de saber” para um programa de gerenciamento de privacidade mais forte.
O Direito de Apagar
A CPRA esclarece o “direito de exclusão” da CCPA para exigir que terceiros, prestadores de serviços e contratados cumpram uma solicitação de exclusão válida.
Por onde começar: Determinar quais dados devem ser excluídos e onde eles estão localizados e garantir validação contínua de exclusão por meio de consultas automatizadas.
Não vender
A infame ordem de "não vender" informações pessoais também está mais forte. Agora, ela inclui a possibilidade de optar por não compartilhar informações — não apenas vendê-las — para fins de publicidade comportamental.
Por onde começar: Rastreie e documente o gerenciamento de preferências, consentimento e todo o compartilhamento de dados de terceiros.
Minimização e retenção de dados
Além do escopo ampliado das informações regulamentadas, a lei proposta inclui requisitos de minimização e retenção de dados. As empresas teriam que divulgar por quanto tempo mantêm seus dados e garantir que esse prazo seja apenas o "razoavelmente necessário".
Por onde começar: Defina e aplique regras de retenção de dados com fluxos de trabalho automatizados e descubra dados duplicados, derivados e semelhantes para governança compatível com a privacidade e relatórios eficazes.
Responsabilidade por violação de dados
A CPRA altera a disposição de responsabilidade por violação de dados da CCPA para incluir violações que resultem no comprometimento do endereço de e-mail de um consumidor em combinação com uma senha ou pergunta de segurança. Isso está em conformidade com uma número crescente de estados, como Lei SHIELD de Nova York, que estão incluindo credenciais de usuários como dados dignos de notificação de violação. Por onde começar: Descubra e correlacione informações pessoais, como endereços de e-mail, com senhas para melhor protegê-las contra possíveis violações. Identifique usuários potencialmente afetados por violações de dados conhecidas para uma resposta proativa a incidentes.
Desafios de conformidade com o CPRA e como o BigID pode ajudar
O CPRA apresenta uma série de desafios práticos para conformidade.
A primeira é a necessidade de descoberta mais profundaAs abordagens tradicionais de descoberta de dados não identificam consistentemente os dados que agora estão em escopo, especialmente com o SPI recém-definido. Os novos direitos de dados da legislação proposta criam uma necessidade mais profunda para as empresas compreenderem as informações pessoais em contexto para que possam processar o SPI adequadamente, facilitar a recusa de venda e compartilhamento e ter a capacidade de impor limitações ao uso desses dados.
A expansão da responsabilidade por violação proposta pela lei para incluir combinações de e-mail e senha também coloca mais dados em risco. Isso exige que as empresas sejam capazes de vincular e classificar dados automaticamente e entender como os identificadores estão relacionados entre si com base em medidas como proximidade.
Os novos requisitos de minimização e retenção com base numa finalidade divulgada criam a necessidade de identificar dados duplicados e redundantes, o que se estende no espaço de governança de dados.
Com o BigID, as empresas podem superar esses desafios:
- Conhecendo seus dados: combinar a identificação de PI e a classificação de dados sensíveis
- Entendendo de quem são os dados: criação de perfil de identidade e indexação de dados que abrange PI e SPI — incluindo geolocalização
- Minimizar dados duplicados ou sensíveis: permitir a minimização de dados com identificação duplicada e aplicar regras de retenção para SPI com base em uma finalidade divulgada
- Gerenciando risco de dados: descobrir, classificar e mapear credenciais de usuários para aplicar controles para redução de risco de violação
- Garantindo que eles estejam compartilhando os dados corretos: rastrear e relatar o compartilhamento com terceiros
- Relatando de quem são os dados que eles possuem: habilitar fluxos de trabalho de correção e validar se a geolocalização está sendo capturada
Embora ainda não haja certeza de que o CPRA se tornará oficial, o Secretário de Estado da Califórnia declarou recentemente que o CPRA teve votos suficientes para se qualificar para a votação das eleições gerais. Tudo o que a lei proposta precisa é de um número suficiente de californianos que digam "sim" a ela em novembro próximo.
Se isso acontecer, as empresas focadas na conformidade com a CCPA — e aquelas que ainda não o fizeram — podem ter que se atualizar. Antecipando-se à constante a evolução do cenário de conformidade nunca é uma má ideia.
Autor
