Um novo conjunto de regulamentações modificadas para a Lei de Privacidade do Consumidor da Califórnia (CCPA) está disponível: embora a primeira lei de privacidade dos EUA não seja aplicável pelo gabinete do Procurador-Geral até 1º de julho de 2020, essas regulamentações suplementares à lei são orientações essenciais para as empresas sobre conformidade e procedimentos para que os consumidores exerçam seus direitos recém-adquiridos.
Assim como ocorreu com o primeiro conjunto de regulamentações propostas, divulgado em outubro do ano passado, as novas regulamentações introduzem, em primeira instância, impactos operacionais específicos. De forma ainda mais abrangente, essas atualizações obrigam as empresas abrangidas a formular uma estratégia de conformidade com a privacidade sustentável, replicável e demonstrável.
Temos visto diversas empresas optando por uma abordagem "CCPA light" com base na estratégia de que assim não precisarão lidar com um grande volume de solicitações de acesso a dados pessoais (DSARs). No entanto, essas atualizações recentes apontam para a necessidade de ambas as abordagens. conhecimento profundo de dados empresariais e a capacidade de vincular automaticamente o conhecimento dos dados aos requisitos de relatórios e categorização para reduzir o trabalho manual e gerenciar o risco de conformidade.
Na BigID, identificamos cinco elementos impactantes das regulamentações que questionam a estratégia por trás da abordagem de conformidade "CCPA light" e apontam para os benefícios a longo prazo de uma abordagem orientada por dados que pode ser facilmente integrada ao gerenciamento de fluxo de trabalho:
1. Esclarecimento da definição de Informação Pessoal (IP)
O que significaOs dados são considerados informações pessoais dependendo se a empresa mantém informações de maneira que "identifiquem, se relacionem, descrevam, sejam razoavelmente capazes de serem associadas ou possam ser razoavelmente vinculadas, direta ou indiretamente, a um consumidor ou domicílio específico... Por exemplo, se uma empresa coleta os endereços IP dos visitantes de seu site, mas não vincula o endereço IP a nenhum consumidor ou domicílio específico, e não pudesse razoavelmente vincular o endereço IP a um consumidor ou domicílio específico, então o endereço IP não seria considerado 'informação pessoal'."
Impacto: Determinar quais tipos de dados e atributos são abrangidos pela lei é um pilar fundamental dos programas de conformidade.O exemplo da linguagem e do endereço IP parece articular que, se um atributo de dados não estiver diretamente associado a um consumidor e não houver um método razoável para associar esse atributo a um consumidor, então ele não constituiria Informação Pessoal. Embora a linguagem seja ambígua, as empresas ainda precisam saber definitivamente se um atributo de dados é vinculável para constituir Informação Pessoal. A única maneira de fazer essa avaliação é por meio de... mapeamento, classificação e aplicação de aprendizado de máquina em dados Para compreender o contexto do processamento de dados.
2. Obrigações de manutenção de registros (geral)
O que significaAs empresas devem manter um registro das solicitações de acesso a dados pessoais (DSAR) por um período mínimo de 24 meses. Esses registros podem ser mantidos em formato de ticket ou log, desde que incluam a data da solicitação, a natureza da solicitação, a forma como a solicitação foi feita, a data da resposta da empresa, a natureza da resposta e o motivo da recusa da solicitação, caso esta tenha sido negada. Essas informações só podem ser usadas para cumprir o processo de conformidade com a CCPA. A empresa deve manter medidas de segurança técnicas/administrativas adequadas para a manutenção desses registros.
ImpactoAs regulamentações do Procurador-Geral estabelecem requisitos de documentação que não existiam na versão original da lei. As empresas agora devem ser capazes de manter registros de cada solicitação de acesso a dados pessoais (DSAR, na sigla em inglês) – e não apenas respondê-las. Para organizações que realizam o atendimento manual das DSARs, essa regulamentação introduz custos adicionais com a documentação. A criação e a manutenção dessa documentação representam um custo direto adicional aos programas de privacidade, especialmente se o coleta de dados e entrada de dados DSAR Os processos são elementos díspares com processos inconsistentes.
3. Obrigações de manutenção de registros (específicas para grandes empresas)
O que significaUma empresa que anualmente compra, recebe, vende ou compartilha (para fins comerciais) os dados pessoais de 4 milhões ou mais consumidores em um ano civil deve fornecer as seguintes métricas em sua Política de Privacidade: (1) número de solicitações recebidas/atendidas/negadas, (2) número de solicitações para excluir essa empresa recebidas/atendidas/negadas, (3) número de solicitações de exclusão recebidas/atendidas/negadas e (4) número médio ou mediano de dias que a empresa levou para responder substancialmente a essas solicitações.
ImpactoEmpresas que processam dados de mais de quatro milhões de consumidores precisarão levar em conta não apenas quais dados estão incluídos em uma solicitação individual de acesso a dados pessoais (DSAR, na sigla em inglês), mas também como gerenciam os direitos de dados de forma mais ampla. A coleta dessas métricas resultará não apenas em custos adicionais, mas também em maior complexidade na ausência de um programa de privacidade bem estruturado que integre fluxos de trabalho e inventário de dados.
4. Proibições do DSAR (“Pedido de Acesso à Informação”)
O que significaEm resposta a uma solicitação de acesso a informações pessoais (DSAR) de um consumidor, a empresa não pode divulgar o número do Seguro Social, o número da carteira de motorista ou outro número de identificação emitido pelo governo, o número da conta bancária, qualquer número de seguro saúde ou identificação médica, a senha de uma conta, perguntas e respostas de segurança ou dados biométricos exclusivos gerados a partir de medições ou análises técnicas de características humanas.
ImpactoEmbora as empresas precisem informar seus consumidores de que possuem essas informações, elas não podem revelar o atributo de dados real em texto simples. Em vez disso, devem considerar métodos alternativos, como mascarar campos e atributos de dados específicos. Qualquer ferramenta de geração de relatórios eficaz deve permitir que os clientes configurem o mascaramento para cada etapa do ciclo de vida da solicitação.
5. Esclarecimento da definição de “domicílio”:
O que significaA definição de domicílio é esclarecida para significar uma pessoa ou grupo de pessoas que: (1) residem no mesmo endereço, (2) compartilham um dispositivo comum ou o mesmo serviço fornecido por uma empresa e (3) são identificados pela empresa como compartilhando a mesma conta de grupo ou identificador único.
ImpactoDispositivos domésticos conectados da IoT, como Alexa, Ring, Roomba, smart TVs e carros conectados, geram enormes quantidades de dados. Esses dados da IoT são normalmente transportados dentro das empresas usando tecnologias de streaming de dados. As empresas precisam ser capazes de descobrir e classificar dados em movimento, correlacionando-os com a "família" original. Além disso, devem conseguir identificar quais indivíduos residem na mesma casa.
A direção que o gabinete do Procurador-Geral está tomando é clara: maior responsabilização pelo processamento e coleta de dados e exigências mais rigorosas para demonstrar que as empresas abrangidas levam esses requisitos a sério. Essas atualizações não apenas trazem maior clareza, mas também apontam para níveis crescentes de complexidade na implementação daquela que é a primeira lei abrangente de privacidade nos EUA, com outras no horizonte.
Muitos dos nossos clientes investiram em descoberta de dados e automação da conformidade com a privacidade para consolidar e proteger a confiança na marca. A integração da descoberta e classificação de dados pessoais com a gestão avançada de direitos de dados oferece o benefício adicional de garantir eficiência, automação e precisão para atender às crescentes exigências regulatórias de privacidade. Conhecer seus dados facilita uma resposta ágil às mudanças nos requisitos de relatórios. Veja como a BigID pode ajudar com uma demonstração personalizada 1:1..
Autor
