La sfârșitul lunii iunie 2018, California a adoptat AB 375, o lege privind confidențialitatea consumatorilor care ar putea avea mai multe repercusiuni asupra companiilor americane decât Regulamentul general privind protecția datelor (GDPR) al Uniunii Europene, care a intrat în vigoare în mai 2018. Legea californiană nu are unele dintre cele mai oneroase cerințe ale GDPR, cum ar fi fereastra îngustă de 72 de ore în care o companie trebuie să raporteze o încălcare. În alte privințe, însă, merge chiar mai departe.
CCPA are o viziune mai largă decât GDPR asupra a ceea ce constituie date private. Provocarea pentru securitate, prin urmare, este de a localiza și securiza acele date private.
- Ce este CCPA?
- Ce companii sunt afectate de CCPA?
- Când trebuie să se conformeze compania mea la CCPA?
- Ce se întâmplă dacă compania mea nu se conformează la CCPA?
- Ce date acoperă CCPA?
- Care sunt principalele dispoziții privind confidențialitatea din CCPA?
- Ce înseamnă CCPA pentru securitate?
- O lucrare în curs de desfășurare
Ce este CCPA?
California Consumer Privacy Act (CCPA) este o lege care permite oricărui consumator din California să ceară să vadă toate informațiile pe care o companie le-a salvat despre el, precum și o listă completă a tuturor părților terțe cu care sunt partajate datele respective. În plus, legea californiană le permite consumatorilor să dea în judecată companiile în cazul în care liniile directoare privind confidențialitatea sunt încălcate, chiar dacă nu există nicio încălcare.
Ce companii sunt afectate de CCPA?
Toate companiile care deservesc rezidenții din California și care au venituri anuale de cel puțin 25 de milioane de dolari trebuie să se conformeze legii. În plus, companiile de orice mărime care au date cu caracter personal despre cel puțin 50.000 de persoane sau care colectează mai mult de jumătate din veniturile lor din vânzarea de date cu caracter personal, intră, de asemenea, sub incidența legii. Companiile nu trebuie să aibă sediul în California sau să aibă o prezență fizică acolo pentru a intra sub incidența legii. Ele nici măcar nu trebuie să aibă sediul în Statele Unite.
Un amendament adus în aprilie exceptează „instituțiile de asigurări, agenții și organizațiile de sprijin”, deoarece acestea fac deja obiectul unor reglementări similare în temeiul Insurance Information and Privacy Protection Act (IIPPA) din California.
Când trebuie să se conformeze compania mea la CCPA?
Legea a intrat în vigoare la 1 ianuarie 2020, dar punerea în aplicare a început la 1 iulie.
Ce se întâmplă dacă compania mea nu se conformează la CCPA?
Companiile au la dispoziție 30 de zile pentru a se conforma legii odată ce autoritățile de reglementare le notifică despre o încălcare. În cazul în care problema nu este rezolvată, există o amendă de până la 7.500 de dolari pentru fiecare înregistrare. „Dacă vă gândiți la numărul de înregistrări afectate într-o încălcare, acesta crește într-adevăr foarte repede”, spune Debra Farber, director senior pentru strategia de confidențialitate la BigID. Având în vedere că proiectul de lege a fost alcătuit și adoptat în doar o săptămână, acesta va suferi probabil unele modificări, adaugă ea. „Lucruri precum cuantumul amenzilor sunt susceptibile de a se schimba.”
Există, de asemenea, un alt potențial risc financiar, spune Farber. „Proiectul de lege prevede dreptul unei persoane de a da în judecată, pentru prima dată „, spune ea. „Și permite procese colective pentru despăgubiri.”
Încă o dată, există o fereastră de 30 de zile care începe atunci când consumatorii notifică în scris o companie că ei cred că drepturile lor de confidențialitate au fost încălcate. „Dacă nu se remediază, iar procurorul general refuză să intenteze o acțiune în justiție, atunci pot intenta un proces colectiv”, spune Farber. „Și nu este vorba doar în jurul breșelor.”
De exemplu, legea specifică faptul că firmele trebuie să aibă un subsol de pagină clar vizibil pe site-urile web care să le ofere consumatorilor opțiunea de a renunța la partajarea datelor. Dacă acel subsol lipsește, consumatorii pot da în judecată. De asemenea, ei pot da în judecată dacă nu pot afla cum au fost colectate informațiile lor sau dacă nu pot obține copii ale acestor informații. „Poate fi vorba de orice”, spune Farber.
Legea prevede sancțiuni specifice în cazul în care are loc un acces neautorizat, fie printr-o încălcare, exfiltrare, furt sau „divulgare ca urmare a încălcării de către întreprindere a obligației de a pune în aplicare și de a menține proceduri și practici de securitate rezonabile.” În forma actuală, AB 375 permite sancțiuni cuprinse între 100 și 750 de dolari per consumator per incident sau daune reale, oricare dintre acestea este mai mare.
„Adăugați toate celelalte costuri legate de încălcare – răspuns IT, criminalistică și recuperare, juridic, notificare și așa mai departe – și acest lucru ar putea împinge o încălcare în domeniul unei amenințări existențiale pentru multe întreprinderi”, spune Chris Prevost, șef al arhitecturii soluțiilor de securitate în timp de execuție la Imperva.
În general, dacă o companie a luat măsurile necesare pentru a se conforma cu GDPR, atunci este aproape gata pentru California Consumer Privacy Act. Cel puțin, este mai aproape decât dacă nu este pregătită pentru GDPR, spune Eric Dieterich, liderul practicii de confidențialitate a datelor la Focal Point Data Risk, LLC. „Unele multinaționale au făcut schimbări pentru piețele lor europene, dar poate că nu le-au implementat pentru activitățile cu sediul în SUA, așa că ar putea exista o modificare a domeniului de aplicare”, spune el.
Ce date acoperă CCPA?
Legea californiană are o abordare mai largă a ceea ce constituie date sensibile decât GDPR. De exemplu, sunt acoperite informațiile olfactive, precum și istoricul de navigare și înregistrările privind interacțiunile unui vizitator cu un site web sau o aplicație. Iată ce consideră AB 375 drept „informații personale”:
- Identificatori precum un nume real, un pseudonim, o adresă poștală, un identificator personal unic, un identificator online, o adresă IP, o adresă de e-mail, un nume de cont, un număr de securitate socială, un număr de permis de conducere, un număr de pașaport, sau alți identificatori similari
- Caracteristici ale clasificărilor protejate în conformitate cu legislația californiană sau federală
- Informații comerciale, inclusiv înregistrări de bunuri personale, produse sau servicii achiziționate, obținute sau avute în vedere, sau alte istorici sau tendințe de cumpărare sau de consum
- Informații biometrice
- Informații privind activitatea pe internet sau în alte rețele electronice, inclusiv, dar fără a se limita la acestea, istoricul de navigare, istoricul de căutare și informații privind interacțiunea unui consumator cu un site web, o aplicație sau o reclamă
- Date de geolocalizare
- Informații audio, electronice, vizuale, termice, olfactive sau informații similare
- Informații profesionale sau legate de ocuparea unui loc de muncă
- Informații privind educația, definite ca informații care nu sunt informații de identificare personală (PII) accesibile publicului, astfel cum sunt definite în Legea privind drepturile educaționale și confidențialitatea familiei (20 U.S.C. secțiunea 1232g, 34 C.F.R. Part 99)
- Inferențe extrase din oricare dintre informațiile identificate în această subdiviziune pentru a crea un profil despre un consumator care să reflecte preferințele, caracteristicile, tendințele psihologice, preferințele, predispozițiile, comportamentul, atitudinile, inteligența, abilitățile și aptitudinile consumatorului
Un amendament, AB 874, care așteaptă în prezent semnătura guvernatorului, ar excepta de la clasificarea ca PII a informațiilor despre consumator disponibile publicului, dezidentificate și agregate. Informațiile disponibile în mod public sunt definite ca fiind date disponibile și păstrate din registrele guvernamentale.
CCCPA a acoperit inițial atât datele angajaților, cât și pe cele ale consumatorilor. Cu toate acestea, un amendament adoptat în aprilie exceptează datele angajaților de la reglementare. Un alt amendament, AB 25, exceptează parțial informațiile personale colectate de la solicitanții de locuri de muncă, proprietari, directori, funcționari, personal medical și contractori. Această scutire ar urma să expire la 1 ianuarie 2021. AB 25 era în așteptarea semnăturii guvernatorului în momentul redactării acestui articol.
Care sunt principalele dispoziții privind confidențialitatea din CCPA?
Compania trebuie să permită consumatorilor să aleagă să nu le fie partajate datele cu terți. Acest lucru înseamnă că, de acum înainte, companiile vor trebui să fie capabile să separe datele pe care le colectează în funcție de opțiunile de confidențialitate ale utilizatorilor.
În plus, deși o companie nu poate refuza utilizatorilor servicii egale, aceasta poate oferi stimulente utilizatorilor care furnizează informații personale. „Această prevedere ar putea face obiectul unor modificări, dar, așa cum este enunțată astăzi, îți oferă posibilitatea de a oferi reduceri persoanelor care sunt dispuse ca datele lor să fie partajate sau vândute unor terțe părți”, spune Dieterich. „În mod tradițional, sistemele nu sunt concepute astfel încât structura prețurilor să se schimbe în funcție de opțiunile privind confidențialitatea. Acesta este un concept nou care are implicații foarte tehnice.”
O altă diferență majoră față de GDPR este că legea californiană permite clienților un acces mult mai mare la înregistrările lor, spune Subra Ramesh, SVP of products la Dataguise. Un consumator din California are dreptul să afle ce informații colectează o companie despre el. Majoritatea companiilor vor avea probleme în a aduna aceste informații. „În primul rând, cantitatea de date pe care le colectează este deja masivă și continuă să crească, de multe ori în valoare de sute sau mii de terabytes, iar organizațiile la nivel de întreprindere procesează petabytes de date”, spune el.
Aceste date sunt conținute în mai multe platforme de stocare, în diferite timpuri de fișier. „Cele mai multe instrumente de căutare a fișierelor nu au capacitatea de a căuta în toate ecosistemele moderne de depozite de fișiere atât de răspândite în prezent”, spune Aaron Ganek, CEO al Cloudtenna. „Gestionarea fișierelor cross-silo este o provocare majoră. Este dificil să înțelegi contextul pentru fiecare fișier dacă acestea sunt împrăștiate în cadrul unor depozite diferite.” În plus, problemele de conformitate sunt asociate cu punerea laolaltă a datelor, spune el. „Instrumentele corporatiste vechi se luptă să respecte permisiunile disparate și modelele de securitate, încălcând chiar legile și reglementările pe care sunt folosite pentru a le satisface.”
Apoi mai este și limita de timp. „După cererea de acces, o companie are la dispoziție 45 de zile pentru a le furniza un raport cuprinzător cu privire la tipul de informații pe care le deține, dacă au fost vândute și cui, iar dacă au fost vândute unor terți în ultimele 12 luni, trebuie să ofere numele și adresele terților cărora le sunt vândute datele”, spune John Tsopanis, manager de produs pentru confidențialitate la 1touch.io. „Nu puteți face acest lucru în Europa.”
Din moment ce regula se referă la ultimele 12 luni de înregistrări, companiile trebuie să înceapă să se conformeze la șase luni de acum încolo, spune el. Apoi, la 1 ianuarie 2020, fiecare companie trebuie să dezvăluie fiecare altă companie căreia îi vinde date. „Va schimba pentru totdeauna peisajul de confidențialitate din America”, spune Tsopanis.
Ce înseamnă CCPA pentru securitate?
AB 375 este ușoară în ceea ce privește cerințele în materie de securitate și de răspuns la încălcări, în comparație cu GDPR. După cum s-a spus mai devreme, legea definește sancțiuni pentru companiile care expun datele consumatorilor din cauza unei breșe sau a unui eșec de securitate. Aceasta permite, de asemenea, instanțelor să ofere „măsuri asiguratorii sau declarative” sau „orice alte măsuri pe care instanța le consideră adecvate.”
În conformitate cu AB 375, întreprinderile nu sunt obligate să raporteze încălcările, iar consumatorii trebuie să depună plângeri înainte ca amenzile să fie posibile. Cel mai bun mod de acțiune pentru securitate, prin urmare, este să știți ce date definește AB 375 ca fiind date private și să luați măsuri pentru a le securiza. Din nou, orice organizație care respectă GDPR probabil că nu trebuie să ia măsuri suplimentare pentru a se conforma cu AB 375 în ceea ce privește securizarea datelor.
Exigențele AB 375 în ceea ce privește urmărirea, accesarea și stocarea datelor înseamnă că echipele de securitate vor trebui să lucreze îndeaproape cu administratorii de baze de date, spune Terry Ray, vicepreședinte senior și fellow la Imperva, un furnizor de securitate cibernetică. Orice instrumente selectate pentru a ajuta la abordarea AB 375 nu numai că vor trebui să aibă o vizibilitate completă asupra datelor stocate în întregul mediu corporativ eterogen, ci și să asigure că accesul la aceste date este securizat în mod corespunzător. „În cele din urmă, va fi nevoie ca aceste instrumente să coopereze cu noul portal al consumatorului, împărtășind datele specifice ale consumatorului cu consumatorul verificabil care le solicită”, spune el.
Dacă datele sunt stocate la furnizorii de cloud, problema devine și mai gravă. De exemplu, angajații ar putea înființa un cont de partajare a fișierelor pentru a ține evidența contactelor de marketing sau de vânzări. „Nu este surprinzător faptul că marile companii de tehnologie, precum Google și Facebook, s-au opus proiectului de lege”, spune Kevin Bocek, vicepreședinte al strategiei de securitate și informații despre amenințări la Venafi. „Controlul confidențialității și al informațiilor personale care circulă între mașini este incredibil de dificil și reprezintă o provocare majoră pentru toate afacerile.”
O lucrare în curs de desfășurare
Proiectul de lege a fost alcătuit în doar șapte zile, deoarece legiuitorii au vrut să evite o inițiativă de vot pentru a adopta o lege și mai strictă, căreia i s-au opus multe companii de tehnologie. „În momentul de față, multe dintre prevederi și definiții intră în conflict unele cu altele”, spune Andy Dale, consilier general și vicepreședinte pentru confidențialitate globală la SessionM.
Un domeniu problematic este dacă o companie poate percepe consumatorilor prețuri diferite în funcție de setările lor de confidențialitate. De exemplu, multe companii au o opțiune prin care un consumator poate trece la un nivel plătit în care nu vede nicio reclamă. Aici, legea, așa cum este redactată în prezent, este puțin contradictorie.
„Dacă consumatorul își exercită drepturile prevăzute de regulament, întreprinderile nu pot oferi consumatorului un nivel sau o calitate diferită a produsului, bunurilor sau serviciilor”, spune Pravin Kothari, CEO al CipherCloud. „Pe de altă parte, conform regulamentului, întreprinderilor nu le este interzis să perceapă de la un consumator un preț sau o rată diferită sau să furnizeze consumatorului un nivel diferit sau o calitate diferită a bunurilor sau serviciilor, dacă această diferență este legată în mod rezonabil de valoarea furnizată consumatorului de către datele consumatorului.”
Se pare că California încearcă să definească un cadru în care consumatorii pot fi plătiți pentru partajarea datelor lor, spune Kothari. „În acest domeniu, legislația este un pic vizionară”, spune el. „Vom vedea în practică cum va funcționa de fapt.”
Mai multe despre CCPA:
- 9 întrebări despre CCPA la care fiecare CISO ar trebui să fie pregătit să răspundă
- CCCPA este o oportunitate de a face ordine în casa dvs. de securitate a datelor
- Ce înseamnă „securitate rezonabilă”? Și cum să îndepliniți cerința
- Să fim serioși în ceea ce privește protecția datelor consumatorilor
- Cum impactul proprietății datelor de către cetățeni asupra afacerilor în viitor