Requisitos da CCPA relacionados a direitos de dados mais rigorosos As exigências para os consumidores estão mantendo os profissionais de privacidade bastante ocupados. Mas muitas empresas podem não ter um momento de descanso antes que a próxima rodada de leis de privacidade de dados da Califórnia, a Lei de Direitos de Privacidade da Califórnia (CPRA, também conhecida como CCPA versão 2.0), expanda ainda mais a proteção de dados para os consumidores — e as regulamentações para as empresas.
Por que novas regulamentações de privacidade na Califórnia... tão cedo?
Alguns consideram que a CCPA não foi longe o suficiente. Especificamente, o grupo que originaram a CCPA — os Californianos pela Privacidade do Consumidor — pareceu sofrer de remorso do vendedor após a aprovação da CCPA.
“Algumas das maiores empresas do mundo priorizaram, de forma ativa e explícita, o enfraquecimento da CCPA.” diz Alastair Mactaggart, o chefe da organização Californians for Consumer Privacy.
Além disso, “as ferramentas tecnológicas evoluíram de maneiras que exploram os dados do consumidor com consequências potencialmente perigosas. Acredito que usar os dados do consumidor dessa forma não é apenas imoral, mas também ameaça nossa democracia”, afirma ele.
Novas proteções ao abrigo da Lei de Direitos de Privacidade da Califórnia (CPRA)
Com a CCPA aparentemente enfraquecida, o grupo apresentou a nova iniciativa eleitoral da Lei de Direitos de Privacidade da Califórnia para as eleições de novembro.
O A CPRA é essencialmente uma emenda à CCPA. e propõe legislação que fortalecerá certas disposições da lei original, além de introduzir novas proteções. Algumas delas incluem:
- estabelecer uma autoridade reguladora estadual dedicada à privacidade para lidar com a fiscalização.
- ampliar o escopo dos dados regulamentados
- instituindo novos direitos do consumidor em relação aos dados que regem o processamento e o compartilhamento de dados.
- alteração da responsabilidade por violação
- criação de requisitos para minimização de dados
Em resumo, a CPRA apresenta um novo conjunto de requisitos que obrigarão as empresas a Conhecer seus dados e aproveitar a inteligência de dados para sustentar programas de privacidade responsivos, flexíveis e abrangentes.
Novas definições e disposições ao abrigo da CPRA
Fiscalização sob a Agência de Proteção à Privacidade da Califórnia
A CPRA criaria a Agência de Proteção à Privacidade da Califórnia, a primeira agência nos EUA com autoridade regulamentar dedicada exclusivamente à privacidade.
A agência assumiria o controle do O papel do Procurador-Geral da Califórnia na aplicação da lei.E agora poderão processar as empresas sem lhes dar um prazo de 30 dias para sanar as irregularidades.
Por onde começar: Ser capaz de ser rápido e eficaz reagir aos requisitos regulamentares, atender a todas as necessidades do consumidor solicitações de dados em grande escala e relatórios de atividade.
Definição de Informações Pessoais Sensíveis (IPS)
“Informações pessoais sensíveis” (SPI, na sigla em inglês) é um novo termo que existiria sob a CPRA.
Além das informações pessoais (IP)A SPI inclui informações como números de segurança social, números de carteira de motorista, carteiras de identidade estaduais, informações de passaporte, geolocalização precisa, credenciais de usuário, informações financeiras e de saúde, dados sobre "vida sexual" ou orientação sexual, dados biométricos e genéticos, origem racial ou étnica, crenças religiosas ou filosóficas ou filiação sindical — bem como o conteúdo de correspondências, e-mails e mensagens SMS.
Por onde começar: Encontrar e identificar automaticamente todas as suas informações de segurança (SPI), onde quer que estejam — localmente, na nuvem e em ambientes híbridos — em todas as fontes de dados, em escala de petabytes.
O Direito à Correção
A primeira das novas disposições revolucionárias da CPRA sobre direitos do consumidor é o “direito à retificação”, que estipula que as empresas devem oferecer aos consumidores a possibilidade de atualizar e corrigir informações imprecisas que a empresa possa ter sobre eles.
Por onde começar: Descubra e faça um inventário. Todos os dados sensíveis e pessoais pertencentes a uma identidade — diretos e inferidos — para uma visão completa dos dados do consumidor que você está coletando.
Direito de limitar o uso e a divulgação de informações pessoais sensíveis
A segunda disposição importante relacionada aos direitos de dados oferece aos consumidores a possibilidade de limitar a finalidade da coleta e do processamento de informações pessoais sensíveis apenas aos fins necessários para fornecer os bens ou serviços solicitados.
Por onde começar: Adicione contexto aos seus dados com recursos avançados. classificação e correlação Isso permite descobrir relações, inferir novos atributos e visualizar dados de acordo com sua finalidade de uso.
O Direito de Saber
A CPRA ampliou o escopo do Disposição do “direito de saber” da CCPA Isso inclui especificamente as informações pessoais que são coletadas, vendidas ou compartilhadas. As empresas precisam divulgar antecipadamente quais categorias de informações são coletadas e compartilhadas com um prestador de serviços ou contratado terceirizado.
Por onde começar: Inventário SPI, fluxos de dados de documentos e Automatizar os processos de cumprimento do “direito de saber” para um programa de gestão de privacidade mais robusto.
O Direito de Apagar
A CPRA esclarece o "direito de exclusão" da CCPA, exigindo que terceiros, prestadores de serviços e contratados atendam a uma solicitação de exclusão válida.
Por onde começar: Determine quais dados devem ser excluídos e onde eles estão localizados, e Garantir a validação contínua da exclusão por meio de consultas automatizadas..
Não vender
A infame diretriz de "não vender" informações pessoais também foi reforçada. Agora, ela inclui a possibilidade de optar por não compartilhar informações — e não apenas vendê-las — para fins de publicidade comportamental.
Por onde começar: Rastrear e documentar a gestão de preferências, o consentimento e todo o compartilhamento de dados com terceiros.
Minimização de dados e retenção de dados
Além da ampliação do escopo das informações regulamentadas, a lei proposta inclui requisitos de minimização e retenção de dados. As empresas teriam que divulgar por quanto tempo mantêm os dados e garantir que esse período seja apenas o "razoavelmente necessário".
Por onde começar: Defina e aplique regras de retenção de dados com fluxos de trabalho automatizados e descubra dados duplicados, derivados e semelhantes para uma governança em conformidade com a privacidade e relatórios eficazes.
Responsabilidade por violação de dados
A CPRA altera a disposição da CCPA sobre responsabilidade por violação de dados para incluir violações que resultem na exposição do endereço de e-mail de um consumidor em combinação com uma senha ou pergunta de segurança. Isso está em consonância com uma número crescente de estados, como Lei SHIELD de Nova York, que incluem credenciais de usuário como dados que merecem notificação de violação de dados.
Por onde começar?Descubra e correlacione informações pessoais, como endereços de e-mail e senhas, para melhor protegê-las contra possíveis violações. Identifique usuários potencialmente afetados por violações de dados conhecidas para uma resposta proativa a incidentes.
Desafios de conformidade com a CPRA e como a BigID pode ajudar
A CPRA apresenta uma série de desafios práticos para o cumprimento das normas.
A primeira é a necessidade de descoberta mais profundaAs abordagens tradicionais para a descoberta de dados não identificam de forma consistente os dados que agora estão em âmbito de aplicação, especialmente com a nova definição de Informações Pessoais Sensíveis (IPS). Os novos direitos de dados propostos pela legislação criam uma necessidade ainda maior para que as empresas compreendam as informações pessoais em contexto, de modo a processá-las adequadamente, facilitar a opção de não venda e compartilhamento e ter a capacidade de impor limitações ao uso desses dados.
A ampliação da responsabilidade por violação de dados, proposta pela lei, para incluir combinações de e-mail e senha. também coloca mais dados em risco.Isso exige que as empresas sejam capazes de vincular e classificar dados automaticamente, e de entender como os identificadores estão relacionados entre si com base em medidas como proximidade.
Os novos requisitos de minimização e retenção baseados em uma finalidade divulgada criam a necessidade de identificar dados duplicados e redundantes, o que amplia a necessidade de retenção. no espaço de governança de dados.
Com o BigID, as empresas podem se antecipar a esses desafios por meio de:
- Conhecendo seus dados: combinar a identificação de PI e a classificação de dados sensíveis
- Entender a quem pertencem os dados.: Criação de perfis de identidade e indexação de dados que abrangem informações pessoais e informações pessoais sensíveis — incluindo geolocalização.
- Minimizar dados duplicados ou sensíveis: Permitir a minimização de dados com identificação duplicada e aplicar regras de retenção para informações pessoais sensíveis (SPI) com base em uma finalidade divulgada.
- Gerenciando o risco de dados: Descobrir, classificar e mapear credenciais de usuários para aplicar controles de redução de risco de violação.
- Garantir que estejam compartilhando os dados corretos: rastrear e compartilhar relatórios com terceiros
- Relatar de quem são os dados que eles possuem.: Habilitar fluxos de trabalho de correção e validar se a geolocalização está sendo capturada.
Embora ainda não haja certeza de que a CPRA se tornará oficial, o Secretário de Estado da Califórnia declarou recentemente que a CPRA obteve votos suficientes para ser incluída na cédula eleitoral das eleições gerais. Tudo o que a proposta de lei precisa é de votos suficientes dos californianos em novembro.
Se isso acontecer, as empresas focadas na conformidade com a CCPA — e aquelas que não estão — podem ter que correr atrás do prejuízo. É preciso estar à frente das constantes mudanças. A evolução do cenário de conformidade nunca é uma má ideia..
Autor
