A novembre, i californiani hanno approvato una misura elettorale, la Proposizione 24, nota anche come California Privacy Rights Act (CPRA), per creare una nuova agenzia per la privacy dei dati dei consumatori. Questo mette la California ancora un altro passo avanti rispetto ad altri stati in termini di produzioni di privacy per i consumatori e requisiti di sicurezza dei dati per le imprese. La California aveva già una legge sulla privacy in vigore, il California Consumer Privacy Act (CCPA), adottato nel 2018. È entrato in vigore nel gennaio 2020, e l’applicazione è iniziata ufficialmente lo scorso luglio.

Il CCPA avrebbe dovuto aiutare a evitare che la California passasse un’iniziativa sulla privacy più rigorosa attraverso il voto. “CCPA è probabilmente una delle principali leggi sulla privacy negli Stati Uniti che protegge i consumatori oggi”, dice Christophe Bertrand, analista di Enterprise Strategy Group, ma originariamente doveva essere più restrittiva. “Era il prodotto di molti negoziati politici che hanno indebolito il prodotto finale.”

Questo non accadrà con la nuova legge. Una volta approvata, può solo essere rafforzata, non indebolita. È passata. Il CPRA è stato approvato dagli elettori 56% a 44%.

Sorprendentemente, non c’è stata molta lobby contro l’iniziativa elettorale da parte delle grandi aziende tecnologiche. “Penso che una parte di esso sia il fuoco di scarico del 2020 e la pandemia e la corsa alle elezioni”, dice Jessica Lee, partner di Loeb & Loeb e co-presidente della pratica di privacy e sicurezza dello studio. “Molte cose stavano accadendo allo stesso tempo. Inoltre, negli ultimi due anni abbiamo avuto un contraccolpo contro le grandi aziende tecnologiche e un sacco di scandali sulla privacy. Quindi, per un’azienda tecnologica di uscire contro una legge sulla privacy, ci sono probabilmente alcune considerazioni di PR e di marchio.”

Inoltre, le più grandi aziende devono già rispettare il Regolamento generale sulla protezione dei dati (GDPR) dell’Europa. “

Il CPRA inasprisce alcuni requisiti, riduce il rischio altrove

Il CPRA inasprisce alcuni requisiti, porta la California più in linea con il GDPR, e crea una nuova agenzia statale, la California Privacy Protection Agency. In precedenza, il procuratore generale dello stato si occupava di questioni di privacy dei consumatori in cima a tutte le altre responsabilità. La privacy dei dati ora ottiene un’agenzia dedicata con un budget di base di 10 milioni di dollari, in più riceverà anche parte delle multe e dei risarcimenti che raccoglie dalle aziende che violano la legge.

La legge entra in vigore il 1° gennaio 2023, dice Lee, e l’applicazione inizierà sei mesi dopo. “Le aziende hanno essenzialmente due anni per prepararsi”, dice.

Questi due anni potrebbero portare cambiamenti che si traducono in ulteriori controlli, sanzioni e attività di applicazione, dice Orson Lucas, principale nei servizi di cybersecurity alla KPMG. Questo potrebbe essere il risultato dell’evoluzione della tecnologia e del panorama aziendale o di altri sviluppi. “Per esempio, se ci sono una serie di violazioni sostanziali tra ora e gennaio 2023”, dice.

Un paio di aspetti del CPRA ridurranno i potenziali rischi e responsabilità delle aziende. In primo luogo, il CCPA si applica alle aziende che servono almeno 50.000 residenti, famiglie o dispositivi della California. Il CPRA aumenta questo a 100.000 e rimuove i “dispositivi” da quella lista, dice Catherine Lyle, capo dei reclami alla Coalition, una società di cyberassicurazione. Le aziende non saranno ritenute responsabili per le violazioni CPRA commesse da terzi se certi accordi sono in atto e il partner commerciale stesso è in conformità con il CPRA, dice. “Potrebbe ridurre la tua potenziale responsabilità.”

L’impatto del CPRA è minimo per le aziende preparate

Per le aziende che sono già in conformità con il CCPA del 2018 e soprattutto con il GDPR dell’Europa, i cambiamenti saranno minori. Questo è il caso di Branch Metrics a, azienda globale di marketing online che conta Airbnb, Target e Yelp tra le sue migliaia di clienti commerciali. L’azienda elabora miliardi di record dei consumatori, mettendosi esattamente nel mirino della legge.

“Una cosa che è bella del CPRA è che, in qualche modo, si allinea più strettamente con il GDPR rispetto al CCPA”, dice il CEO di Branch Metrics Alex Austin. “Quindi, è meno pesante se la tua azienda si è preparata per il GDPR”. Ciò significa che le modifiche incrementali che dovrà fare per conformarsi al CPRA saranno “relativamente minori”, dice. “Aiuta anche il fatto che abbiamo un sacco di tempo per fare qualsiasi cambiamento richiesto”, aggiunge. “La legge non entrerà in vigore fino al 2023, e generalmente riguarda solo i dati che risalgono al 2022, il che significa più di un anno per mettere in ordine la casa.”

In generale, Austin dice, più armonizzazione c’è tra le varie leggi sulla privacy che nascono in tutto il mondo, meglio è. “Per le aziende che operano a livello globale come Branch, qualsiasi allineamento più stretto è una buona cosa.”

Nuovi requisiti di minimizzazione dei dati

Per alcune aziende, i cambiamenti tra il CCPA e il CPRA saranno significativi, dice Dan Frank, leader della privacy e protezione dei dati negli Stati Uniti presso Deloitte. Per esempio, prendiamo la minimizzazione dei dati. Le nuove regole vietano alle aziende di conservare le informazioni personali “più a lungo di quanto sia assolutamente necessario”, dice. Questo è un problema, poiché quando si tratta di cancellare i dati, le aziende lo evitano come la peste, dice. “Alcuni dati sono buoni, più dati sono meglio, tutti i dati sono meglio”. I dati possono essere analizzati da sistemi di machine learning e AI e possono aiutare le aziende a sviluppare nuovi prodotti, servizi e applicazioni.

L’eliminazione dei dati è una questione spinosa. In primo luogo, ci sono i vincoli legali e altri requisiti normativi e di conformità per conservare i dati. Poi c’è il lato tecnico. “Hai tutte queste interdipendenze che esistono tra i sistemi che rendono la cancellazione dei dati spaventosa”, dice. “Non vogliamo rompere nulla”

Quello che la maggior parte delle organizzazioni prevede di fare è di rendere anonimi i dati scaduti, dice Frank. In questo modo, può ancora essere utilizzato per addestrare i sistemi AI e può creare meno problemi di dipendenza. “Vedremo come si svolgerà a lungo termine”, dice. “Se quei dati possono in qualche modo essere attribuiti a un individuo – direttamente o per inferenza – allora non sono più anonimi. È una sfida.”

L’uso della legge della parola “ragionevole” è anche una bandiera rossa. Chi decide cosa è ragionevole? Un forte sistema di governance dei dati può anche aiutare le aziende ad affrontare un altro aspetto della nuova legge – consentire ai consumatori di correggere i dati inesatti su se stessi.

“Questa è una sfida se una società non ha davvero razionalizzato la sua gestione dei dati master e non ha un disco d’oro di quei dati”, dice Angela Saverice-Rohan, Americas privacy leader di Ernst & Young. “Se si cambiano certi dati in un sistema, come si ripercuoterà su tutti gli altri processi?”

Nuovi requisiti di condivisione dei dati

Le aziende dovranno ora anche garantire che tutti i partner commerciali con cui condividono i dati siano conformi al CPRA. Dal momento che parte della legge coinvolge l’avere ragionevoli misure di cybersecurity in atto, i CISO potrebbero aver bisogno di essere coinvolti, dice Saverice-Rohan. “Questo è un lavoro che di solito avviene durante le valutazioni del rischio di sicurezza”, dice.

Un altro grande cambiamento ha a che fare con il modo in cui i consumatori permettono la condivisione delle loro informazioni. Sotto il precedente CCPA, le aziende dovevano offrire ai clienti californiani l’opportunità di rinunciare alla vendita dei loro dati a terzi. Ora, questo include tutti i tipi di condivisione, non solo le vendite, dice Frank della Deloitte. “I consumatori devono essere in grado di rinunciare a particolari usi delle informazioni personali”, dice. “Se lo fanno, devi essere in grado di smettere di usarli, il che, se ci pensi, è un compito piuttosto arduo. Questo rende la governance dei dati così critica. Richiederà una gestione del consenso a grana fine.”

Maggiore esposizione alla responsabilità per le violazioni dei dati

Un’altra differenza è che le aziende avranno ulteriori preoccupazioni sulle violazioni dei dati, dice Frank. Per esempio, la responsabilità della violazione ora copre gli indirizzi e-mail quando vengono utilizzati in combinazione con una domanda di sicurezza. Se una violazione dei dati coinvolge informazioni sui minori, le multe possono essere triplicate. “È meglio sapere quali informazioni hai sui bambini e applicare una maggiore protezione dei dati in caso di compromissione”, dice.

Sia la legge originale CCPA che la nuova CPRA permettono ai singoli consumatori di fare causa alle aziende dopo una violazione dei dati. Ora la gente avrà più motivi potenziali per presentare queste cause, dice. “Forse avete raccolto più informazioni di quanto vi ho permesso”, dice.

Il CPRA espande anche il potenziale per le cause legate alla violazione in un altro modo, secondo Alan Friel, un partner dello studio legale BakerHostetler. Sotto il CCPA, le aziende avevano una finestra di opportunità per risolvere i problemi dopo che i consumatori hanno presentato un reclamo, dice. La legge era un po’ confusa su quali tipi di problemi potevano essere “curati” in questo modo.

Ora, il CPRA chiarisce che il diritto di curare non include la possibilità di evitare sanzioni tappando i buchi di sicurezza dopo che una violazione si è verificata. “Se non si riesce a mantenere un’adeguata sicurezza, e si ha una violazione, e poi si rimedia a ciò che ha causato quella violazione, si è ancora soggetti al diritto di azione privata e ai danni legali”, dice Friel. “Questo è sicuramente qualcosa che sarà accolto con favore dal bar dei querelanti.”

Un altro cambiamento è che i consumatori non devono più dimostrare di essere stati danneggiati da una violazione. “Prima si poteva fare causa, ma si doveva dimostrare il danno”, dice Friel.

BakerHostetler sta attualmente difendendo le aziende contro diverse cause legate alla privacy in California. “Abbiamo avuto molto più successo nel respingere le cause in cui c’era uno standard di danno”, dice Friel. “La maggior parte dei consumatori non può dimostrare un danno monetario effettivo da una violazione dei dati, che è il motivo per cui ottengono il monitoraggio gratuito del credito. Sono le banche e i rivenditori che finiscono per avere i costi di tasca propria – i consumatori, generalmente, non così tanto. Il cambiamento di gioco qui è che il semplice fatto che la violazione si è verificata è un danno sufficiente per poter intentare una causa.”

Aspettatevi più cause legate alla privacy

Le aziende hanno già iniziato a vedere cause legate alla privacy. Il mese scorso, il rivenditore di abbigliamento per bambini Hanna Andersson ha accettato un accordo di 400.000 dollari in risposta a una causa collettiva derivante da una violazione dei dati del 2019. Altre aziende che sono già state citate in giudizio ai sensi del CCPA includono Salesforce, Walmart, il rivenditore di cancelleria online Minted, il Sunshine Behavioral Health Group, TikTok, Zoom, e Houseparty.

Non sono solo i consumatori e i loro avvocati che le aziende dovranno difendersi, dice Saverice-Rohan di Ernst &Young. Anche se il CPRA stesso non sarà applicato fino al 2023, la nuova agenzia dovrebbe andare a lavorare subito, facendo rispettare le leggi esistenti. “A gennaio, la nuova agenzia avrà la capacità di far rispettare il CCPA esistente”, dice. “E cercheranno azioni. L’applicazione non è solo probabile. È imminente – e avverrà nel 2021.”

Le aziende di medie dimensioni saranno particolarmente colpite, prevede Benjamin Wright, avvocato statunitense e istruttore senior al SANS Institute. Per le aziende con meno di 25 milioni di dollari in revisioni annuali, i requisiti sono meno onerosi, dice. “Le aziende giganti possono lanciare eserciti di avvocati e professionisti della conformità alle controversie”. Le aziende di medio livello non hanno i tipi di economie di scala che permetterebbero loro di assumere eserciti di avvocati, dice.

Inoltre, a seconda di quanto sostegno la nuova agenzia ottiene da altri funzionari e legislatori della California, potrebbe non avere le risorse o il talento per andare dietro ai più grandi obiettivi. Questo sta già accadendo in Europa sotto il GDPR, dice Wright, con i regolatori spesso più propensi a portare azioni contro le aziende di piccole e medie dimensioni.

“Le aziende giganti possono combattere per anni in tribunale, sia in Europa che in California”, dice Wright. “Per i regolatori, è molto estenuante e costoso combattere le cause per anni. Un’agenzia debole che combatte una causa per anni contro un avversario potente può soffrire un sacco di turnover del personale.”

Opportunità per le aziende di rispettare il CPRA

Il CPRA non è tutto negativo per le aziende. “Aspettatevi che le aziende intelligenti cerchino di sfruttare questo come un’opportunità per dimostrare la loro conformità e il loro sostegno alla privacy”, dice Steve Durbin, amministratore delegato dell’Information Security Forum.