A fine giugno 2018, la California ha approvato AB 375, una legge sulla privacy dei consumatori che potrebbe avere più ripercussioni sulle aziende statunitensi rispetto al Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea, entrato in vigore a maggio 2018. La legge della California non ha alcuni dei requisiti più onerosi del GDPR, come la stretta finestra di 72 ore in cui un’azienda deve segnalare una violazione. In altri aspetti, tuttavia, va ancora più lontano.
CCPA ha una visione più ampia del GDPR di ciò che costituisce dati privati. La sfida per la sicurezza, quindi, è quella di individuare e proteggere quei dati privati.
- Cos’è il CCPA?
- Quali aziende sono interessate dalla CCPA?
- Quando la mia azienda deve conformarsi al CCPA?
- Cosa succede se la mia azienda non è conforme al CCPA?
- Quali dati copre il CCPA?
- Quali sono le disposizioni chiave sulla privacy nel CCPA?
- Cosa significa il CCPA per la sicurezza?
- Un lavoro in corso
Cos’è il CCPA?
Il California Consumer Privacy Act (CCPA) è una legge che permette a qualsiasi consumatore della California di chiedere di vedere tutte le informazioni che una società ha salvato su di loro, così come una lista completa di tutte le terze parti con cui i dati sono condivisi. Inoltre, la legge californiana permette ai consumatori di citare in giudizio le aziende se le linee guida sulla privacy vengono violate, anche se non c’è violazione.
Quali aziende sono interessate dalla CCPA?
Tutte le aziende che servono i residenti in California e hanno almeno 25 milioni di dollari di entrate annuali devono rispettare la legge. Inoltre, le aziende di qualsiasi dimensione che hanno dati personali su almeno 50.000 persone o che raccolgono più della metà delle loro entrate dalla vendita di dati personali, rientrano nella legge. Le aziende non devono essere basate in California o avere una presenza fisica lì per cadere sotto la legge. Non devono nemmeno avere sede negli Stati Uniti.
Un emendamento apportato in aprile esenta “le istituzioni assicurative, gli agenti e le organizzazioni di supporto” in quanto sono già soggetti a regolamenti simili sotto l’Insurance Information and Privacy Protection Act (IIPPA) della California.
Quando la mia azienda deve conformarsi al CCPA?
La legge è entrata in vigore il 1° gennaio 2020, ma l’applicazione è iniziata il 1° luglio.
Cosa succede se la mia azienda non è conforme al CCPA?
Le aziende hanno 30 giorni per conformarsi alla legge una volta che i regolatori notificano loro una violazione. Se il problema non viene risolto, c’è una multa fino a 7.500 dollari per record. “Se si pensa a quanti record sono colpiti in una violazione, aumenta davvero molto rapidamente”, dice Debra Farber, direttore senior per la strategia della privacy a BigID. Dal momento che il disegno di legge è stato messo insieme e passato in appena una settimana, probabilmente vedrà alcuni emendamenti, aggiunge. “Cose come gli importi delle multe probabilmente cambieranno.”
C’è anche un altro potenziale rischio finanziario, dice Farber. “Il disegno di legge prevede il diritto di citare in giudizio un individuo, per la prima volta”, dice. “Inoltre, c’è una finestra di 30 giorni che inizia quando i consumatori notificano per iscritto a una società che credono che i loro diritti alla privacy siano stati violati. “Se non viene curato, e il procuratore generale rifiuta di perseguire, allora possono portare una causa collettiva”, dice Farber. “E non si tratta solo di violazioni”.
Per esempio, la legge specifica che le aziende devono avere un piè di pagina ben visibile sui siti web che offre ai consumatori la possibilità di rinunciare alla condivisione dei dati. Se questo piè di pagina manca, i consumatori possono fare causa. Possono anche fare causa se non possono scoprire come le loro informazioni sono state raccolte o ottenere copie di quelle informazioni. “
La legge assegna sanzioni specifiche in caso di accesso non autorizzato, sia attraverso una violazione, esfiltrazione, furto, o “divulgazione come risultato della violazione del dovere dell’azienda di implementare e mantenere procedure e pratiche di sicurezza ragionevoli”, come attualmente scritto, AB 375 consente sanzioni da $ 100 a $ 750 per consumatore per incidente, o danni effettivi, qualunque sia maggiore.
“Aggiungete tutti gli altri costi relativi alla violazione – risposta IT, forense e recupero, legale, notifica e così via – e questo potrebbe spingere una violazione nel regno di una minaccia esistenziale per molte aziende”, dice Chris Prevost, capo dell’architettura delle soluzioni di sicurezza runtime di Imperva.
In generale, se una società ha preso le misure necessarie per conformarsi al GDPR, allora è la maggior parte della strada per il California Consumer Privacy Act. Almeno, è più vicina che se non è pronta per il GDPR, dice Eric Dieterich, data privacy practice leader di Focal Point Data Risk, LLC. “Alcune multinazionali hanno fatto dei cambiamenti per i loro mercati europei, ma forse non li hanno introdotti nelle attività basate negli Stati Uniti, quindi potrebbe esserci un cambiamento di scopo”, dice.
Quali dati copre il CCPA?
La legge della California ha un approccio più ampio a ciò che costituisce dati sensibili rispetto al GDPR. Per esempio, le informazioni olfattive sono coperte, così come la cronologia di navigazione e le registrazioni delle interazioni di un visitatore con un sito web o un’applicazione. Ecco cosa AB 375 considera “informazioni personali”:
- Identificatori come un vero nome, alias, indirizzo postale, identificatore personale unico, identificatore online indirizzo IP, indirizzo email, nome dell’account, numero di previdenza sociale, numero di patente, numero di passaporto, o altri identificatori simili
- Caratteristiche di classificazioni protette ai sensi delle leggi della California o federali
- Informazioni commerciali compresi i record di proprietà personale, prodotti o servizi acquistati, ottenuti o considerati, o altre storie di acquisto o consumo o tendenze
- Informazioni biometriche
- Internet o altre informazioni di attività di rete elettronica, tra cui, ma non solo, la cronologia di navigazione, la cronologia delle ricerche e le informazioni riguardanti l’interazione di un consumatore con un sito web, un’applicazione o una pubblicità
- Dati di geolocalizzazione
- Informazioni audio, elettroniche, visive, termiche, olfattive o simili
- Informazioni professionali o relative all’impiego
- Informazioni sull’istruzione, definite come informazioni che non sono informazioni di identificazione personale (PII) disponibili al pubblico come definito nel Family Educational Rights and Privacy Act (20 U.S.C. sezione 1232g, 34 C.F.R. Part 99)
- Inferenze tratte da una qualsiasi delle informazioni identificate in questa suddivisione per creare un profilo su un consumatore che rifletta le preferenze, le caratteristiche, le tendenze psicologiche, le preferenze, le predisposizioni, il comportamento, le attitudini, l’intelligenza, le capacità e le attitudini del consumatore
Un emendamento, AB 874, attualmente in attesa della firma del governatore, esenterebbe le informazioni dei consumatori pubblicamente disponibili, deidentificate e aggregate dall’essere classificate come PII. Le informazioni pubblicamente disponibili sono definite come dati disponibili e mantenuti da registri governativi.
Il CCPA originariamente copriva sia i dati dei dipendenti che quelli dei consumatori. Un emendamento passato in aprile, tuttavia, esenta i dati dei dipendenti dal regolamento. Un altro emendamento, AB 25, esenta parzialmente le informazioni personali raccolte da candidati al lavoro, proprietari, direttori, funzionari, personale medico e appaltatori. Questa esenzione scadrebbe il 1° gennaio 2021. L’AB 25 era in attesa della firma del governatore al momento di scrivere.
Quali sono le disposizioni chiave sulla privacy nel CCPA?
Le aziende devono consentire ai consumatori di scegliere di non avere i loro dati condivisi con terze parti. Ciò significa che le aziende dovranno ora essere in grado di separare i dati che raccolgono in base alle scelte di privacy degli utenti.
Inoltre, mentre una società non può rifiutare agli utenti un servizio uguale, può offrire incentivi agli utenti che forniscono informazioni personali. “Questa disposizione potrebbe essere soggetta a modifiche, ma come dichiarato oggi, dà la possibilità di offrire sconti alle persone che sono disposte ad avere i loro dati condivisi o venduti a terzi”, dice Dieterich. “Tradizionalmente, i sistemi non sono progettati in modo che la struttura dei prezzi possa cambiare a seconda delle scelte sulla privacy. Questo è un nuovo concetto che ha implicazioni molto tecniche.”
Un’altra grande differenza con il GDPR è che la legge della California consente ai clienti un accesso molto maggiore ai loro record, dice Subra Ramesh, SVP dei prodotti presso Dataguise. Un consumatore californiano ha il diritto di scoprire quali informazioni una società raccoglie su di lui. La maggior parte delle aziende avrà difficoltà a mettere insieme queste informazioni. “In primo luogo, la quantità di dati che raccolgono è già enorme e continua a crescere, spesso in centinaia o migliaia di terabyte, e con organizzazioni di livello enterprise che elaborano petabyte di dati”, dice.
Questi dati sono contenuti in più piattaforme di archiviazione, in diversi tempi di file. “La maggior parte degli strumenti di ricerca di file non hanno la capacità di cercare tra i moderni ecosistemi di repository di file così prevalenti oggi”, dice Aaron Ganek, CEO di Cloudtenna. “La gestione dei file cross-silo è una grande sfida. È difficile capire il contesto di ogni file se sono sparsi in diversi repository”. Inoltre, i problemi di conformità sono associati alla raccolta dei dati, dice. “Gli strumenti aziendali legacy lottano per osservare le autorizzazioni disparate e i modelli di sicurezza, violando le stesse leggi e regolamenti che vengono utilizzati per soddisfare.”
Poi c’è il limite di tempo. “Dopo la richiesta di accesso, un’azienda ha 45 giorni per fornire loro un rapporto completo su che tipo di informazioni hanno, se sono state vendute e a chi, e se sono state vendute a terzi negli ultimi 12 mesi, deve dare i nomi e gli indirizzi dei terzi a cui i dati sono stati venduti”, dice John Tsopanis, product manager della privacy di 1touch.io. “Poiché la regola copre i precedenti 12 mesi di registrazioni, le aziende devono iniziare a conformarsi tra sei mesi, dice. Poi, il 1° gennaio 2020, ogni azienda deve rivelare ogni altra azienda a cui vende dati. “Cambierà per sempre il panorama della privacy in America”, dice Tsopanis.
Cosa significa il CCPA per la sicurezza?
La legge 375 è leggera sui requisiti di sicurezza e di risposta alla violazione rispetto al GDPR. Come detto in precedenza, la legge definisce le sanzioni per le aziende che espongono i dati dei consumatori a causa di una violazione o di una mancanza di sicurezza. Permette anche ai tribunali di offrire “sollievo ingiuntivo o dichiarativo”, o “qualsiasi altro sollievo che il tribunale ritenga opportuno.”
Le aziende non sono tenute a segnalare le violazioni sotto AB 375, e i consumatori devono presentare reclami prima che le multe siano possibili. La migliore linea d’azione per la sicurezza, quindi, è sapere quali dati AB 375 definisce come dati privati e prendere provvedimenti per proteggerli. Anche in questo caso, qualsiasi organizzazione che rispetta il GDPR probabilmente non ha bisogno di intraprendere ulteriori azioni per rispettare l’AB 375 in termini di sicurezza dei dati.
I requisiti dell’AB 375 intorno al monitoraggio, l’accesso e l’archiviazione dei dati significano che i team di sicurezza dovranno lavorare a stretto contatto con gli amministratori di database, dice Terry Ray, vice presidente senior e collega di Imperva, un fornitore di cybersecurity. Qualsiasi strumento selezionato per aiutare a gestire l’AB 375 non solo dovrà avere piena visibilità sui dati memorizzati nell’intero ambiente aziendale eterogeneo, ma anche garantire che l’accesso a questi dati sia adeguatamente protetto. “Infine, avranno bisogno di questi strumenti per cooperare con il nuovo portale del consumatore, condividendo i dati specifici del consumatore con il consumatore verificabile che li richiede”, dice.
Se i dati sono memorizzati con i fornitori di cloud, il problema diventa solo peggiore. Per esempio, i dipendenti potrebbero impostare un account di condivisione di file per tenere traccia dei contatti di marketing o di vendita. “Non è sorprendente che le grandi aziende tecnologiche come Google e Facebook si siano opposte al disegno di legge”, dice Kevin Bocek, VP di strategia di sicurezza e threat intelligence di Venafi. “
Un lavoro in corso
Il disegno di legge è stato messo insieme in soli sette giorni perché i legislatori volevano evitare un’iniziativa elettorale per passare una legge ancora più severa che è stata osteggiata da molte aziende tecnologiche. “In questo momento, molte delle disposizioni e definizioni sono in conflitto tra loro”, dice Andy Dale, consigliere generale e VP della privacy globale di SessionM.
Un’area problematica è se una società può far pagare ai consumatori prezzi diversi in base alle loro impostazioni di privacy. Per esempio, molte aziende hanno un’opzione in cui un consumatore può passare a un livello a pagamento in cui non vede alcun annuncio. Qui, la legge come attualmente scritta è un po’ contraddittoria.
“Se il consumatore esercita i suoi diritti ai sensi del regolamento, le aziende non possono fornire un diverso livello o qualità di prodotto, beni o servizi al consumatore”, dice Pravin Kothari, CEO di CipherCloud. “Dall’altro lato della medaglia, secondo il regolamento, alle aziende non è vietato far pagare al consumatore un prezzo o una tariffa diversa, o fornire un diverso livello o qualità di beni o servizi al consumatore, se tale differenza è ragionevolmente collegata al valore fornito al consumatore dai dati del consumatore.”
Sembra che la California stia cercando di definire un quadro in cui i consumatori possono essere pagati per condividere i loro dati, dice Kothari. “In questo settore la legislazione è un po’ visionaria”, dice. “
Più su CCPA:
- 9 domande CCPA a cui ogni CISO dovrebbe essere preparato a rispondere
- Il CCPA è un’opportunità per mettere ordine nella sicurezza dei dati
- Cos’è una “sicurezza ragionevole”? E come soddisfare il requisito
- Prendere sul serio la protezione dei dati dei consumatori
- Come la proprietà dei dati da parte dei cittadini ha un impatto sul business in futuro