Um novo conjunto de regulamentações modificadas para a Lei de Privacidade do Consumidor da Califórnia (CCPA) está aqui: embora a primeira lei de privacidade dos EUA não seja aplicável pelo gabinete do procurador-geral até 1º de julho de 2020, essas regulamentações complementares à lei são orientações essenciais para empresas sobre conformidade e procedimentos para os consumidores exercerem seus novos direitos.
Assim como o primeiro conjunto de regulamentações propostas, lançado em outubro do ano passado, as novas regulamentações introduzem impactos operacionais específicos em primeira instância. De forma ainda mais ampla, essas atualizações obrigam as empresas abrangidas a formular uma estratégia de conformidade com a privacidade sustentável, replicável e demonstrável.
Temos visto muitas empresas optando por uma abordagem “CCPA light” com base na estratégia de não precisarem lidar com um grande volume de DSARs. Essas atualizações mais recentes, no entanto, apontam para a necessidade de ambos conhecimento profundo de dados empresariais e a capacidade de vincular automaticamente o conhecimento de dados aos requisitos de relatórios e categorização para reduzir a sobrecarga manual e gerenciar o risco de conformidade.
Na BigID, identificamos cinco elementos impactantes das regulamentações que questionam a estratégia por trás da abordagem de conformidade “leve do CCPA” e apontam os benefícios de longo prazo da abordagem orientada por dados que pode ser facilmente integrada ao gerenciamento do fluxo de trabalho:
1. Esclarecimento sobre a definição de Informações Pessoais (IP)
O que isso significa: Os dados são considerados PI dependendo se a empresa mantém informações de uma maneira que “identifique, relacione, descreva, seja razoavelmente capaz de ser associada ou possa ser razoavelmente vinculada, direta ou indiretamente, a um consumidor ou domicílio específico... Por exemplo, se uma empresa coleta os endereços IP dos visitantes de seu site, mas não vincula o endereço IP a nenhum consumidor ou domicílio específico, e não poderia vincular razoavelmente o endereço IP a um consumidor ou domicílio específico, então o endereço IP não seria 'informação pessoal'.”
Impacto: Determinar quais tipos de dados e atributos são abrangidos pela lei é um pilar fundamental dos programas de conformidadeO exemplo de linguagem e endereço IP parece articular que, se um atributo de dados não estiver diretamente associado a um consumidor e não houver um método razoável para associá-lo a um consumidor, ele não constituiria PI. Embora a linguagem seja ambígua, as empresas ainda precisam saber definitivamente se um atributo de dados é vinculável para constituir PI. A única maneira de fazer essa avaliação é por mapeamento de dados, classificação e aplicação de aprendizado de máquina para entender o contexto do processamento de dados.
2. Obrigações de manutenção de registros (geral)
O que isso significa: As empresas devem manter um registro das solicitações de DSAR por, no mínimo, 24 meses. Esses registros podem ser mantidos em formato de tíquete ou log, desde que incluam a data da solicitação, a natureza da solicitação, a forma como a solicitação foi feita, a data da resposta da empresa, a natureza da resposta e o fundamento para a recusa da solicitação, caso seja negada. Essas informações só podem ser usadas para cumprir o processo de conformidade com a CCPA. A empresa deve manter medidas de segurança técnicas/administrativas adequadas para manter esses registros.
Impacto: Os regulamentos do AG estabelecem requisitos de documentação que não existiam anteriormente na versão original da lei. As empresas agora devem ser capazes de manter registros de solicitações individuais de DSAR – e não apenas respondê-las. Para organizações que realizam o preenchimento manual de DSARs, este regulamento introduz custos adicionais com documentação. A criação e manutenção desta documentação acrescenta outro custo direto aos programas de privacidade, especialmente se coleta de dados e captação de DSAR processo são elementos díspares com processos inconsistentes.
3. Obrigações de manutenção de registros (específicas para grandes empresas)
O que isso significa:Uma empresa que anualmente compra, recebe, vende ou compartilha (para fins comerciais) as informações pessoais de 4 milhões ou mais consumidores em um ano civil deve fornecer as seguintes métricas em sua Política de Privacidade: (1) número de solicitações recebidas/atendidas/negadas, (2) número de solicitações para excluir que a empresa recebeu/atendeu/negada, (3) número de solicitações de cancelamento recebidas/atendidas e negadas e (4) número médio ou mediana de dias que a empresa levou para responder substancialmente a essas solicitações.
Impacto: Empresas que processam dados de mais de quatro milhões de consumidores precisarão levar em conta não apenas quais dados estão incluídos em um DSAR individual, mas também como gerenciam os direitos de dados de forma mais ampla. A compilação dessas métricas resultará não apenas em custos adicionais, mas também em maior complexidade na ausência de um programa de privacidade bem estruturado que integre fluxos de trabalho e inventário de dados.
4. Proibições de “Solicitação de Conhecimento” do DSAR
O que isso significa:Em resposta à solicitação de DSAR de um consumidor para obter informações, a resposta da empresa não pode divulgar o número do Seguro Social, número da carteira de motorista ou outro número de identificação emitido pelo governo, número da conta financeira, qualquer número de seguro saúde ou identificação médica, uma senha de conta ou perguntas e respostas de segurança, ou dados biométricos exclusivos gerados a partir de medições ou análises técnicas de características humanas.
Impacto: Embora as empresas precisem notificar seus consumidores de que possuem essas informações, elas não podem revelar o atributo de dados real em texto simples. Em vez disso, devem considerar métodos alternativos, como mascarar campos de dados e atributos específicos. Qualquer ferramenta de relatório eficaz deve permitir que os clientes configurem o mascaramento para cada estágio do ciclo de vida da solicitação
5. Esclarecimento da definição de “família”:
O que isso significa:A definição de domicílio é esclarecida para significar uma pessoa ou grupo de pessoas que: (1) residem no mesmo endereço, (2) compartilham um dispositivo comum ou o mesmo serviço fornecido por uma empresa e (3) são identificadas pela empresa como compartilhando a mesma conta de grupo ou identificador exclusivo.
ImpactoDispositivos domésticos de IoT conectados, como Alexa, Ring, Roomba, TVs inteligentes e carros conectados, geram enormes volumes de dados. Esses dados de IoT são normalmente transportados dentro das empresas por meio de tecnologias de streaming de dados. As empresas devem ser capazes de descobrir e classificar dados em movimento e, em seguida, correlacioná-los com a "família" original. Além disso, elas devem ser capazes de delinear quais indivíduos residem na mesma família.
A direção que o gabinete do Procurador-Geral está tomando é clara: maior responsabilização pelo processamento e coleta de dados, e requisitos mais rigorosos para demonstrar que as empresas abrangidas levam esses requisitos a sério. Essas atualizações não só trazem maior clareza, como também apontam para níveis crescentes de complexidade na implementação daquela que é a primeira lei abrangente de privacidade nos EUA, com mais novidades a caminho.
Muitos de nossos clientes investiram em descoberta de dados e automação de conformidade com a privacidade para sustentar e proteger a confiança da marca – e integrar a descoberta e classificação de dados pessoais com o gerenciamento avançado de direitos de dados tem o benefício adicional de garantir eficiência, automação e precisão para atender às crescentes exigências regulatórias de privacidade. Conhecer seus dados facilita uma resposta ágil às mudanças nos requisitos de relatórios: veja como o BigID ajuda com uma demonstração personalizada 1:1.