În noiembrie, californienii au aprobat o măsură electorală, Propunerea 24, cunoscută și sub numele de California Privacy Rights Act (CPRA), pentru a crea o nouă agenție de confidențialitate a datelor consumatorilor. Aceasta plasează California cu încă un pas înaintea altor state în ceea ce privește producțiile de confidențialitate pentru consumatori – și cerințele de securitate a datelor pentru întreprinderi. California dispunea deja de o lege privind confidențialitatea, California Consumer Privacy Act (CCPA), adoptată în 2018. Aceasta a intrat în vigoare în ianuarie 2020, iar punerea în aplicare a început în mod oficial în luna iulie a anului trecut.

CCCPA ar fi trebuit să ajute la împiedicarea Californiei de a adopta o inițiativă mai strictă privind confidențialitatea prin vot. „CCPA este probabil una dintre cele mai importante legi de confidențialitate din SUA care protejează consumatorii în prezent”, spune Christophe Bertrand, analist la Enterprise Strategy Group, dar inițial trebuia să fie mai restrictivă. „A fost produsul multor negocieri politice care au slăbit produsul final.”

Nu se va întâmpla așa ceva cu noua lege. Odată adoptată, aceasta poate fi doar întărită, nu slăbită. Ea a trecut. CPRA a fost aprobată de alegători cu 56% la 44%.

În mod surprinzător, nu a existat mult lobby împotriva inițiativei de vot din partea marilor companii de tehnologie. „Cred că o parte din aceasta este focul de gunoi al anului 2020 și pandemia și perioada premergătoare alegerilor”, spune Jessica Lee, partener la Loeb & Loeb și copreședinte al practicii de confidențialitate și securitate a firmei. „O mulțime de lucruri se întâmplau în același timp. De asemenea, în ultimii doi ani am avut o reacție negativă împotriva marilor companii de tehnologie și o mulțime de scandaluri legate de confidențialitate. Așadar, pentru ca o companie de tehnologie să se pronunțe împotriva unui proiect de lege privind confidențialitatea, probabil că există unele considerente de PR și de brand.”

În plus, cele mai mari companii trebuie deja să se conformeze Regulamentului general privind protecția datelor (GDPR) din Europa. „Nu este ca și cum ar fi o propunere care să strivească afacerile pentru multe dintre marile companii”, spune ea.

CPRA înăsprește unele cerințe, reduce riscul în alte părți

PCRA înăsprește unele cerințe, aliniază California mai mult la GDPR și creează o nouă agenție de stat – California Privacy Protection Agency. Anterior, procurorul general al statului se ocupa de problemele legate de confidențialitatea consumatorilor pe lângă toate celelalte responsabilități ale acestora. Confidențialitatea datelor primește acum o agenție dedicată, cu un buget de bază de 10 milioane de dolari, plus că va primi și o parte din amenzile și înțelegerile pe care le colectează de la companiile care încalcă legea.

Legea intră în vigoare la 1 ianuarie 2023, spune Lee, iar punerea în aplicare va începe șase luni mai târziu. „Companiile au, în esență, doi ani pentru a se pregăti”, spune ea.

Cei doi ani ar putea aduce schimbări care să ducă la controale suplimentare, sancțiuni și activități de aplicare a legii, spune Orson Lucas, director în domeniul serviciilor de securitate cibernetică la KPMG. Acest lucru ar putea fi rezultatul evoluției în peisajul tehnologic și de afaceri sau al altor evoluții. „De exemplu, dacă există o serie de încălcări substanțiale între acum și ianuarie 2023”, spune el.

Câteva aspecte ale CPRA vor reduce riscurile și responsabilitățile potențiale ale companiilor. În primul rând, CCPA se aplică companiilor care deservesc cel puțin 50.000 de rezidenți, gospodării sau dispozitive din California. CPRA mărește această cifră la 100.000 și elimină „dispozitivele” din această listă, spune Catherine Lyle, șefa departamentului de reclamații de la Coalition, o companie de asigurări cibernetice. Întreprinderile nu vor fi trase la răspundere pentru încălcările CPRA comise de terțe părți dacă există anumite acorduri și dacă partenerul de afaceri însuși respectă CPRA, spune ea. „Ar putea reduce potențiala dvs. răspundere.”

Impactul CPRA este minim pentru companiile pregătite

Pentru companiile care sunt deja în conformitate cu CCPA din 2018 – și mai ales cu GDPR din Europa – schimbările vor fi minore. Acesta este cazul Branch Metrics a, companie globală de marketing online care numără Airbnb, Target și Yelp printre miile sale de clienți de afaceri. Compania procesează miliarde de înregistrări ale consumatorilor, ceea ce o plasează direct în vizorul legii.

„Un lucru care este plăcut la CPRA este că, într-un fel, se aliniază mai bine cu GDPR decât o face CCPA”, spune directorul executiv al Branch Metrics, Alex Austin. „Așadar, este mai puțin greu dacă compania dvs. s-a pregătit pentru GDPR.” Asta înseamnă că schimbările incrementale pe care va trebui să le facă pentru a se conforma cu CPRA vor fi „relativ minore”, spune el. „De asemenea, ajută și faptul că avem mult timp la dispoziție pentru a face toate modificările necesare”, adaugă el. „Legea nu intră în vigoare până în 2023 și, în general, afectează doar datele care se întorc până în 2022, ceea ce înseamnă mai mult de un an pentru a vă pune casa în ordine.”

În general, spune Austin, cu cât mai multă armonizare între diferitele legi privind confidențialitatea care apar în întreaga lume, cu atât mai bine. „Pentru companiile care operează la nivel global, precum Branch, orice astfel de aliniere mai strânsă este un lucru bun.”

Noi cerințe de minimizare a datelor

Pentru unele companii, schimbările dintre CCPA și CPRA vor fi semnificative, spune Dan Frank, lider în domeniul confidențialității și protecției datelor în SUA la Deloitte. De exemplu, luați ca exemplu minimizarea datelor. Noile reguli interzic întreprinderilor să păstreze informațiile personale „mai mult timp decât este absolut necesar”, spune el. Aceasta este o problemă, deoarece atunci când vine vorba de ștergerea datelor, companiile o evită ca pe o ciumă, spune el. „Unele date sunt bune, mai multe date sunt mai bune, toate datele sunt cele mai bune”. Datele pot fi analizate de sistemele de învățare automată și de inteligență artificială și pot ajuta companiile să dezvolte noi produse, servicii și aplicații.

Eliminarea datelor este o problemă spinoasă. În primul rând, există rețineri legale și alte cerințe de reglementare și de conformitate pentru a păstra datele. Apoi, există și partea tehnică. „Aveți toate aceste interdependențe care există între sisteme și care fac ca ștergerea datelor să fie înfricoșătoare”, spune el. „Nu vrem să stricăm nimic.”

Ceea ce intenționează să facă majoritatea organizațiilor este să anonimizeze datele expirate, spune Frank. În acest fel, ele pot fi folosite în continuare pentru a antrena sistemele de inteligență artificială și pot crea mai puține probleme de dependență. „Vom vedea cum va funcționa acest lucru pe termen lung”, spune el. „Dacă acele date pot fi atribuite în vreun fel unei persoane – direct sau prin inferență – atunci nu mai sunt anonime. Este o provocare.”

Utilizarea de către lege a cuvântului „rezonabil” este, de asemenea, un semnal de alarmă. Cine decide ce este rezonabil? Un sistem puternic de guvernanță a datelor poate ajuta, de asemenea, companiile să abordeze un alt aspect al noii legi – permițând consumatorilor să corecteze datele inexacte despre ei înșiși.

„Aceasta este o provocare dacă o companie nu și-a eficientizat cu adevărat gestionarea datelor de bază și nu are o evidență de aur a acestor date”, spune Angela Saverice-Rohan, lider în domeniul confidențialității în America la Ernst & Young. „Dacă schimbați anumite date într-un sistem, cum va avea acest lucru un impact asupra tuturor celorlalte procese?”

Noi cerințe privind schimbul de date

Compania va trebui acum să se asigure, de asemenea, că orice partener de afaceri cu care face schimb de date respectă, de asemenea, CPRA. Având în vedere că o parte din lege implică existența unor măsuri rezonabile de securitate cibernetică, este posibil ca cei de la CISO să fie nevoiți să se implice, spune Saverice-Rohan. „Aceasta este o activitate care se desfășoară de obicei în timpul evaluărilor riscurilor de securitate”, spune ea.

O altă mare schimbare are legătură cu modul în care consumatorii permit ca informațiile lor să fie partajate. În conformitate cu CCPA anterioară, companiile trebuiau să le ofere clienților din California posibilitatea de a refuza ca datele lor să fie vândute unor terțe părți. Acum, acest lucru include toate tipurile de partajare, nu doar vânzările, spune Frank de la Deloitte. „Consumatorii trebuie să aibă posibilitatea de a renunța la anumite utilizări ale informațiilor personale”, spune el. „Dacă fac acest lucru, trebuie să poți să nu le mai folosești, ceea ce, dacă te gândești bine, este o sarcină destul de dificilă. Acest lucru face ca guvernanța datelor să fie atât de critică. Va fi nevoie de o gestionare fină a consimțământului.”

Expunere mai mare la răspundere în cazul încălcărilor de date

O altă diferență este că societățile vor avea preocupări suplimentare cu privire la încălcările de date, spune Frank. De exemplu, răspunderea pentru încălcarea securității acoperă acum adresele de e-mail atunci când sunt folosite în combinație cu o întrebare de securitate. În cazul în care o încălcare a datelor implică informații despre minori, amenzile pot fi triplate. „Ar fi bine să știți ce informații aveți despre copii și să aplicați protecții sporite ale datelor în caz de compromitere”, spune el.

Atât legea originală CCPA, cât și noua CPRA permit consumatorilor individuali să dea în judecată companiile după o încălcare a datelor. Acum, oamenii vor avea mai multe motive potențiale pentru a intenta aceste procese, spune el. „Poate că ai colectat mai multe informații decât ți-am permis”, spune el.

PCRA extinde, de asemenea, potențialul pentru procese legate de încălcarea securității într-un alt mod, potrivit lui Alan Friel, partener la firma de avocatură BakerHostetler. În cadrul CCPA, companiile aveau o fereastră de oportunitate pentru a remedia problemele după ce consumatorii depuneau o plângere, spune el. Legea era puțin confuză în ceea ce privește exact ce fel de probleme puteau fi „remediate” în acest mod.

Acum, CPRA clarifică faptul că dreptul de a remedia nu include capacitatea de a evita sancțiunile prin astuparea lacunelor de securitate după ce a avut loc o încălcare. „Dacă nu reușiți să mențineți o securitate adecvată și aveți o breșă, iar apoi remediați ceea ce a cauzat acea breșă, sunteți în continuare supus dreptului de acțiune privată și despăgubirilor legale”, spune Friel. „Acesta va fi cu siguranță un lucru care va fi bine primit de baroul reclamanților.”

O altă schimbare este că consumatorii nu mai trebuie să demonstreze că au fost prejudiciați de o încălcare. „Puteai să dai în judecată înainte, dar trebuia să demonstrezi un prejudiciu”, spune Friel.

BakerHostetler apără în prezent companii împotriva mai multor procese legate de confidențialitate în California. „Am avut mult mai mult succes în respingerea proceselor în care a existat un standard de prejudiciu”, spune Friel. „Majoritatea consumatorilor nu pot demonstra un prejudiciu monetar real în urma unei încălcări a securității datelor, motiv pentru care primesc monitorizare gratuită a creditului. Băncile și comercianții cu amănuntul sunt cei care sfârșesc prin a suporta costurile de buzunar – consumatorii, în general, nu atât de mult. Ceea ce schimbă jocul aici este faptul că simplul fapt că a avut loc încălcarea datelor este un prejudiciu suficient pentru a avea dreptul de a intenta un proces.”

Așteptați-vă la mai multe procese legate de confidențialitate

Companii au început deja să vadă procese legate de confidențialitate. Luna trecută, retailerul de îmbrăcăminte pentru copii Hanna Andersson a fost de acord cu o înțelegere de 400.000 de dolari ca răspuns la un proces de acțiune colectivă provenit dintr-o încălcare a datelor din 2019. Alte companii care au fost deja date în judecată în temeiul CCPA includ Salesforce, Walmart, retailerul online de papetărie Minted, Sunshine Behavioral Health Group, TikTok, Zoom și Houseparty.

Nu sunt doar consumatorii și avocații lor împotriva cărora companiile vor trebui să se apere, spune Saverice-Rohan de la Ernst & Young. Chiar dacă CPRA în sine nu va fi pusă în aplicare până în 2023, se așteaptă ca noua agenție să se apuce imediat de treabă, aplicând legile existente. „În ianuarie, noua agenție va avea capacitatea de a pune în aplicare CCPA existentă”, spune ea. „Și vor căuta acțiuni. Punerea în aplicare nu este doar probabilă. Este iminentă – și se va întâmpla în 2021.”

Companiile de dimensiuni medii vor fi deosebit de afectate, prezice Benjamin Wright, avocat american și instructor senior la SANS Institute. Pentru companiile cu mai puțin de 25 de milioane de dolari în revizii anuale, cerințele sunt mai puțin oneroase, spune el. „Companiile gigant pot arunca armate de avocați și profesioniști în domeniul conformității în cazul litigiilor”. Companiile de nivel mediu nu au genul de economii de scară care le-ar permite să angajeze armate de avocați, spune el.

În plus, în funcție de cât de mult sprijin primește noua agenție din partea celorlalți oficiali și legislatori din California, s-ar putea să nu aibă resursele sau talentul necesar pentru a urmări cele mai mari ținte. Acest lucru se întâmplă deja în Europa în cadrul GDPR, spune Wright, autoritățile de reglementare fiind adesea mai predispuse să inițieze acțiuni împotriva companiilor mici și mijlocii.

„Companiile gigant se pot lupta ani de zile în instanță, fie că este vorba de Europa sau de California”, spune Wright. „Pentru autoritățile de reglementare, este foarte obositor și costisitor să se lupte cu procese timp de ani de zile. O agenție slabă care se luptă ani de zile într-un proces împotriva unui adversar puternic poate suferi o mare fluctuație de personal.”

Oportunități pentru companiile care se conformează CPRA

CPRA nu este numai rău pentru companii. „Așteptați-vă ca firmele inteligente să încerce să profite de acest lucru ca de o oportunitate pentru a-și demonstra conformitatea și sprijinul pentru confidențialitate”, spune Steve Durbin, director general la Information Security Forum.

.