Aggiornamento CCPA 1° trimestre 2020: chiarimento regole, benchmark e notizie CCPA

Pubblicato: 2020-03-04

Il California Consumer Privacy Act (CCPA) è entrato in vigore il 1° gennaio 2020, stabilendo nuovi diritti per i residenti della California in merito all'accesso personale, alle opzioni di cancellazione dei dati e alla condivisione dei dati commerciali. A quasi due mesi dall'inizio del CCPA, ci sono nuovi chiarimenti sulle regole, richieste di ritardi nella fase di applicazione, potenziali nuove leggi sulla privacy che passano attraverso la legislazione della California e alcuni primi benchmark di conformità. L'applicazione inizia il 1 luglio 2020, a meno che i regolamenti definitivi non vengano pubblicati prima. (Link: proposte di regolamento, modifiche pubblicate il 7 febbraio)

Se sei un editore che desidera iniziare a offrire l'opzione di rinuncia ai dati personali richiesta per CCPA, Admiral può aiutarti con una soluzione con un solo tag e facile da installare. Contattaci per saperne di più.

29 gennaio 2020: Cinque associazioni commerciali di annunci richiedono un ritardo rispetto alla scadenza dell'applicazione

I leader del settore pubblicitario hanno inviato una lettera il 29 gennaio al procuratore generale della California Xavier Becerra chiedendo un rinvio dell'applicazione del CCPA per consentire alle aziende il tempo di rivedere e attuare i regolamenti finali.

La richiesta è stata consegnata da 4A (American Association of Advertising Agencies), American Advertising Federation (AAF), Association of National Advertisers (ANA), Interactive Advertising Bureau (IAB) e Network Advertising Initiative (NAI). Ha evidenziato la mancanza di una regolamentazione definitiva, la complessità e gli impatti ad ampio raggio della normativa e il fatto che le regole così come attualmente scritte potrebbero ancora subire modifiche con meno di 6 mesi per la preparazione delle aziende. La lettera richiede un ritardo di 6 mesi dal momento in cui le regole sono state finalizzate dall'ufficio del procuratore generale della California.

7 febbraio 2020: Chiarimenti sul nuovo regolamento CCPA dal procuratore generale della California

All'inizio di febbraio il California Office of the Attorney General (CAG) ha pubblicato un avviso e un aggiornamento delle modifiche alla legge CCPA. Mentre i regolamenti definitivi sono ancora in arrivo, questo avviso fornisce un po' di chiarezza per le imprese effettuate. Alcune delle aree con nuove aggiunte o chiarimenti includono:

Definizione di "Informazioni personali": è stata aggiunta una nuova sezione intitolata "Guida all'interpretazione delle definizioni CCPA". La prima aggiunta a questa nuova sezione riguarda le definizioni di "informazioni personali".

"le informazioni che identificano, si riferiscono, descrivono, possono essere associate o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, a un particolare consumatore o famiglia."
Gli esempi forniti includevano (ma non limitati a) nome, indirizzo postale, indirizzo IP, indirizzo e-mail, numero di previdenza sociale. Hanno anche elencato categorie di dati, inclusi dati di geolocalizzazione, cronologia del browser e cookie, e classificazioni protette come razza o sesso. C'è un ulteriore chiarimento per differenziare i dati che potrebbero essere tecnicamente considerati PI, ma quando l'azienda non può e non collega tali informazioni con altri dati, potrebbe non essere considerata un'informazione personale ai sensi del CCPA.

Chiarimenti sulla richiesta di dati dei consumatori: una modifica alla sezione (999.312) sulla presentazione delle richieste di conoscenza aggiunge che almeno un metodo offerto deve riflettere il modo in cui l'azienda interagisce principalmente con il consumatore.

Esclusione per soddisfare una richiesta di conoscenza: ora esiste un'esclusione quando l'IP e l'uso aziendale rientrano in un particolare insieme di circostanze. Vale a dire che il PI non viene venduto o utilizzato per scopi commerciali, ma semplicemente mantenuto per scopi legali o di conformità e non mantenuto in un formato facilmente accessibile. L'azienda dovrebbe quindi informare i consumatori di questi motivi quando risponde a una richiesta di dati da parte di un consumatore.

Chiarimento per i fornitori di servizi che utilizzano PI: la sezione 999.314 fornisce maggiori dettagli sulle circostanze in cui i fornitori di servizi possono conservare e gestire i dati personali senza essere soggetti alle normative CCPA.

Richieste di rinuncia: sono stati chiariti diversi aspetti di rinuncia, incluso garantire che il processo di rinuncia al CCPA sia "facile da eseguire per i consumatori e che richieda passaggi minimi per consentire al consumatore di rinunciare". Un linguaggio aggiuntivo vieta i metodi che tentano di compromettere la decisione di un consumatore di rinunciare. È stata fornita ulteriore chiarezza sui controlli globali sulla privacy, come le impostazioni del browser, e su come le aziende dovrebbero rispondere alle richieste di opt-out tramite tali controlli.

" I controlli globali sulla privacy abilitati dall'utente, come un plug-in del browser o l'impostazione della privacy, l'impostazione del dispositivo o altro meccanismo, che comunicano o segnalano la scelta del consumatore di rinunciare alla vendita delle proprie informazioni personali sono considerati una richiesta direttamente dal consumatore

Le aziende hanno 15 giorni di tempo per rispondere alle richieste di rinuncia. Ulteriori dettagli vengono aggiunti sulla notifica a terzi della richiesta di rinuncia di un consumatore.

Programma fedeltà vs eliminazione dei dati: il nuovo linguaggio chiarisce che è lecito ai sensi del CCPA per l'azienda negare la richiesta di eliminazione per quanto riguarda le informazioni necessarie per mantenere l'iscrizione e i vantaggi del programma fedeltà.

Modifiche aggiuntive: il nuovo linguaggio del CAG copre aspetti aggiuntivi come: pulsanti Non vendere, notifiche mobili, definizione della famiglia , broker di dati, informativa sulla privacy dei dipendenti e informative sulla privacy.

Adlawaccess ha una revisione più dettagliata delle modifiche, ed ecco le modifiche al CCPA rilasciate il 7 febbraio dall'Ufficio del procuratore generale della California.

Parametri di riferimento per la conformità al CCPA di PWC

PWC, il peso massimo della consulenza, tiene traccia di oltre 1000 leggi e regolamenti sulla privacy, incluso il CCPA. Recentemente hanno analizzato la disponibilità del CCPA sui siti web delle 600 maggiori società quotate in borsa e delle 100 maggiori società private. Alcuni risultati a 6 settimane dall'inizio del regolamento CCPA:

  • Complessivamente il 16% delle aziende monitorate offre un collegamento Non vendere.
  • Il 29% delle attività del mercato consumer valutate aveva un collegamento DNS.
  • Oltre il 25% delle società di telecomunicazioni, media e tecnologia offre il collegamento DNS
  • Delle 600 aziende più grandi, il 40% di esse ha creato un portale per i diritti CCPA.
  • La maggior parte delle aziende di tutti i settori, che disponevano di un portale per i diritti CCPA, limitavano tali diritti ai soli californiani.
  • Il 33% delle aziende valutate disponeva di un portale dei diritti CCPA e diritti estesi a tutti i consumatori.

Continuano le modifiche al Regolamento Privacy a livello nazionale

Oltre all'imminente regolamento finale del CCPA e al periodo di applicazione che inizierà il 1° luglio o prima, lo stesso gruppo che ha spinto per il CCPA sta ora spingendo per un'iniziativa di scrutinio denominata CCPA 2.0. Ufficialmente intitolato The California Privacy Rights Act del 2020 (CPRA), potrebbe essere votato nel 2020 e potrebbe comportare una revisione del CCPA con aggiornamenti significativi, secondo questo articolo di NatLawReview.

Il California Privacy Rights Act amplia l'ambito del CCPA per fornire maggiori protezioni e indicazioni sulle informazioni personali sensibili, il diritto dei consumatori alla correzione dei dati, la protezione aggiuntiva per i minori, le modifiche alla disposizione sulla responsabilità per violazione dei dati e istituisce un'agenzia di contrasto.

La legge della California è semplicemente l'avanguardia dei cambiamenti in arrivo alla conformità alla privacy, poiché Nebraska, New York e una manciata di altri stati stanno proponendo le proprie normative sulla privacy.

Gli aggiornamenti di cui sopra sono tutti referenziati nella Megalist delle risorse CCPA e nelle liste di controllo. Se stai cercando un elenco di controllo CCPA o informazioni su strumenti o software di conformità CCPA, consulta il post sulle risorse CCPA.

Aggiornamento giugno 2020: il California Privacy Rights Act (CPRA), l'espansione pianificata sul CCPA, è prevista per il voto in California a novembre. Ulteriori informazioni su come CPRA differisce da CCPA.

Offri oggi la disattivazione dei dati ai residenti in California


Come parte della nostra soluzione a un tag, Admiral offre agli editori l'accesso al nostro modulo di disattivazione CCPA. Il modulo è progettato per offrire agli editori:

  • Rilevamento: ID visitatori del sito provenienti da CA IP
  • Fornire a quei visitatori un'interfaccia utente per disattivare la vendita di dati
  • L'accesso all'interfaccia utente/API di Admiral è compatibile con il framework di IAB per la comunicazione delle informazioni sull'opt-out ai fornitori a valle

Per ulteriori informazioni su come abilitare il modulo di disattivazione CCPA di Admiral, contattaci e uno specialista del prodotto ti contatterà per iniziare.