A Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA) é a primeira lei do gênero nos EUA que concede maiores direitos de privacidade aos consumidores que residem no estado (Detalhes de Lista de verificação de conformidade com o CCPA aqui). Tomando emprestados muitos dos princípios fundamentais do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia, a Lei consagra direitos significativos para os consumidores, concedendo-lhes um controlo sem precedentes sobre os seus dados. informações pessoais.
Com entrada em vigor prevista para menos de nove meses, em 1º de janeiro de 2020, a Lei obriga as empresas a entender como ela impactará a forma como coletam e processam as informações pessoais dos consumidores. Devido às disposições abrangentes da Lei, existe confusão em relação a muitos dos detalhes, com grande parte dela enraizada em uma disposição fundamental: o que constitui informação pessoal (IP) e como isso difere de informações de identificação pessoal (PII).
Entender a diferença entre os dois é fundamental para se preparar para atender aos requisitos da CCPA, além de regulamentações estaduais e federais propostas semelhantes, que provavelmente adotarão uma visão semelhante em relação às informações pessoais. As empresas que não compreenderem a distinção estarão sob risco significativamente maior de multas e possíveis ações civis coletivas.
O que são informações pessoais versus informações de identificação pessoal?

O ponto de partida para entender a diferença entre PI e PII está na definição de Informações Pessoais de acordo com o CCPA:
“Informações pessoais” conforme definido na seção 1798.140 do CCPA
(o) (1) “Informações pessoais” significa informações que identificam, se relacionam com, descrevem, são capazes de ser associadas com, ou poderiam razoavelmente ser vinculadas, direta ou indiretamente, a um determinado consumidor ou domicílio.
As principais conclusões aqui são “capaz de ser associado a, ou que possa ser razoavelmente vinculado, direta ou indiretamente, a um consumidor ou a uma família.” Esta definição cria o potencial para uma interpretação jurídica extremamente ampla sobre o que constitui informação pessoal, sustentando que informação pessoal é qualquer dado que possa ser vinculado a um indivíduo ou domicílio na Califórnia. Isso vai muito além de dados obviamente associados a uma identidade, como nome, data de nascimento ou número de previdência social, que são tradicionalmente considerados PII. Em última análise, são essas informações "indiretas" – como preferências de produtos ou dados de geolocalização – que são relevantes, visto que é muito mais difícil identificá-las e conectá-las a uma pessoa do que informações de identificação pessoal bem estruturadas.
À medida que as empresas aumentam os pontos de contato em mais canais com seus clientes, elas coletam petabytes de dados sobre indivíduos em um ritmo alucinante. Dados pessoais de todos os tipos, desde altamente identificáveis até indiretos, estão sendo coletados em uma variedade de aplicativos e armazenamentos de dados, criando uma dispersão de dados pessoais. Como esse enorme volume de dados reside em uma combinação de armazenamentos de dados estruturados e não estruturados no data center e na nuvem, é difícil para as organizações terem uma visão precisa de quem são os dados que realmente possuem, onde eles residem e como estão sendo usados. A ampla definição da CCPA sobre o que constitui informações pessoais pertencentes a um titular de dados cria talvez o maior desafio para as organizações em conformidade desde o primeiro dia e em continuar a cumprir à medida que o volume e a complexidade dos dados aumentam ao longo do tempo. A necessidade de proteger os direitos dos titulares de dados em escala exige uma abordagem diferente para descobrir e correlacionar dados do que a que as empresas têm usado tradicionalmente.
Descoberta de dados PI desenvolvida especificamente para CCPA
Proteger os direitos de dados pessoais sob a CCPA significa ter que prestar contas dos dados de cada indivíduo, incluindo informações pessoais e informações pessoais identificáveis. Mas, tradicionalmente, baseado em classificação Ferramentas de descoberta de dados não conseguem correlacionar ou associar dados a um indivíduo. Elas podem dizer que tipo de dados você possui, mas não de quem são os dados. As ferramentas tradicionais de descoberta de dados dependem de classificadores baseados em expressões regulares para encontrar tipos de dados bem estruturados, como informações de cartões de pagamento com dezesseis dígitos. Elas não foram projetadas para identificar dados pessoais com base em sua conexão com uma identidade. Como resultado, essas ferramentas não têm a capacidade de ir além dos tipos bem formados de PII clássicas, tornando-as inadequadas e obsoletas para a descoberta e classificação. PI sob CCPA.
A plataforma de privacidade de dados da BigID foi desenvolvida especificamente para a descoberta avançada de PI e PII em dados estruturados e não estruturados, Big Data e nuvem, residindo no data center e na nuvem. A BigID adota uma abordagem moderna para a descoberta de dados, aproveitando o poder do aprendizado de máquina para encontrar PI difíceis de encontrar. A abordagem da BigID oferece às empresas uma vantagem para enfrentar o desafio específico de descobrir e correlacionar todas as informações pessoais, conforme definido pela CCPA.
• Descobrir PI e PII usando “inteligência de identidade” baseada em ML para medir a identificabilidade dos dados e conectar como cada atributo PI está conectado a outros dados relacionados à mesma identidade em toda a empresa
• Correlacionar informações pessoais a um indivíduo por meio da indexação de dados por pessoa para preservar e proteger os direitos do titular dos dados
• Procurando informações pessoais em todas as fontes de dados empresariais
• Identificação de PI em escala de petabytes
Esteja preparado
Se aprendemos alguma coisa com o GDPR, é que as empresas precisam se preparar o mais cedo possível para estarem prontas para o prazo. Com isso em mente, aqui estão as considerações mais importantes a serem priorizadas:
1. Certifique-se de que sua equipe tenha um entendimento compartilhado da definição de informações pessoais de acordo com o CCPA
2. Ampliar a governança de dados para incluir informações pessoais, não apenas informações pessoais. As organizações devem mapear seus acervos de dados, identificar todas as informações pessoais em comparação com o padrão atual de atributos identificáveis direta ou indiretamente e inventariar dados por pessoa e estado de residência.
3. Gerenciar o consentimento e monitorar o processamento de forma eficaz. Para comprovar a conformidade e construir confiança com os consumidores, as empresas devem examinar os controles para gerenciar os usos posteriores de PI, com a capacidade de monitorar e garantir que o consentimento e os usos de PI sejam apropriados.
Para saber mais sobre como o BigID pode ajudar você a se preparar para o CCPA, visite BigID.com/demo