Che cos'è il California Privacy Rights Act (CPRA)?

Pubblicato: 2020-06-25

Prima ancora che il California Consumer Privacy Act (CCPA) iniziasse la fase di applicazione, i sostenitori della privacy avevano già proposto di renderlo più severo con sanzioni più severe. Il California Privacy Rights and Enforcement Act del 2020 è stato depositato per creare un'iniziativa di voto in tutto lo stato in autunno.

Aggiornamento del 28 settembre 2021 - La California Privacy Protection Agency sta cercando commenti sul CPRA, in particolare sugli 8 punti trattati in questo articolo sul CPRA.

 >>> Prossimo webinar IAB su un toolkit per la conformità e la preparazione CPRA. Il CPRA Toolkit include un elenco di controllo delle azioni, il linguaggio contrattuale CPRA e altro ancora.

Cos'è la CPRA?

Il CPRA (California Privacy Rights Act) è un'espansione del CCPA (California Consumer Privacy Act) implementato il 1 gennaio 2020. Il CPRA cerca di proteggere più tipi di informazioni sulla privacy, fornire diritti aggiuntivi per i consumatori, istituire un'entità di supervisione e dettagliare i diritti specifico per i minori.

Lo stesso gruppo che ha spinto l'ordine del giorno sul CCPA, Californians for Consumer Privacy, ha presentato più di 900.000 firme per qualificare il CPRA per il ballottaggio di novembre 2020.

Cos'è il CCPA?

Il CCPA garantisce ai consumatori della California diritti specifici in merito alla raccolta, all'uso, all'archiviazione e alla vendita dei dati personali da parte delle aziende. È il più rigoroso insieme di normative sulla privacy fino ad oggi negli Stati Uniti. L'applicazione del CCPA da parte della California AG è iniziata il 1° luglio 2020. Concede agli utenti online questi sei diritti chiave:

  • Il diritto di sapere quali informazioni personali vengono raccolte
  • Il diritto di sapere se (e come) le loro informazioni personali vengono condivise o vendute
  • Il diritto di rinunciare alla vendita di informazioni personali
  • Il diritto di accedere alle proprie informazioni
  • Il diritto alla cancellazione delle proprie informazioni personali (con eccezioni)
  • Il diritto a non essere discriminati per l'esercizio dei propri diritti

Ai sensi della legge, una vendita non si limita alle transazioni strettamente finanziarie. Il CCPA garantisce ai consumatori i diritti per tutti i dati utilizzati per ciò che definisce una considerazione preziosa. La California AG ha stabilito che include elementi come lo scambio di dati per il targeting o la pubblicazione di annunci.

In base al CCPA, le informazioni personali vanno ben oltre elementi come il nome, l'indirizzo, il numero di telefono di un utente oi dati biometrici come le impronte digitali. Include anche cookie e cronologia di navigazione, indirizzi IP, ID di annunci mobili (MADS), dati di geolocalizzazione, identificatori di dispositivi o altre interazioni con annunci, siti Web o app.

Per ulteriori informazioni sul CCPA, visitare il Megalist of CCPA Resources, Checklists, and Guidance.

In che modo la CPRA è diversa dal CCPA?

CPRA contiene sei espansioni chiave sul CCPA, andando oltre sia nei diritti dei consumatori che nei limiti delle imprese:

  • CPRA stabilisce una nuova categoria di informazioni personali sensibili (SPI)
  • Aggiunge limitazioni al tracciamento
  • Istitutori più ampi diritti di ricorso legale per i consumatori
  • Aggiunge protezioni specifiche per i minori
  • Fornisce ai consumatori un "diritto di rettifica" per i dati personali
  • Istituisce la California Privacy Protection Agency

Ulteriori diritti dei consumatori ai sensi del CPRA

Nuova categoria di informazioni personali sensibili (SPI)

  • Numero di Social Security
  • Patenti di guida
  • Passaporti
  • Religione
  • Gara
  • Adesione al sindacato
  • Comunicazione personale
  • Dati genetici e altre informazioni sulla salute
  • Informazioni sulla vita sessuale o sull'orientamento sessuale

Limitazioni al monitoraggio

Il CPRA rafforza anche il linguaggio sulla geolocalizzazione. Darebbe ai consumatori la possibilità di impedire alle aziende di tracciare la geolocalizzazione di un consumatore per la maggior parte degli scopi, compresa la pubblicità, entro un raggio di circa 250 acri.

Diritti legali più ampi

Dà inoltre più ampi diritti legali ai consumatori. Oltre alle sanzioni imposte dallo stato, darebbe ai consumatori il diritto di citare in giudizio le aziende per violazione negligente dei dati senza dover dimostrare un'effettiva perdita finanziaria. Ai sensi del CPRA, se un'azienda è negligente nel proteggere in modo proattivo il tuo SPI o elementi come la tua password e-mail, potresti essere in grado di citare in giudizio.

Ulteriori tutele per i minori

Il CCPA vieta la vendita di qualsiasi dato personale di chiunque abbia meno di 17 anni senza il consenso espresso. Per i minori di 13 anni è richiesto il consenso dei genitori. Ai sensi del California Privacy Rights Act, i siti sono tenuti a chiedere l'età dell'utente, richiedono il consenso per essere acconsentiti (anziché opt-out) e triplicano le multe per le violazioni.

Diritto di correzione

Il CCPA consente al consumatore di richiedere la cancellazione dei dati personali e di rinunciare a consentire alle aziende di vendere dati personali, ma non consente correzioni. Il CPRA consentirebbe ai consumatori di richiedere correzioni ai dati memorizzati se sono imprecisi.

L'Agenzia per la protezione della privacy della California

Un inquilino chiave del CPRA è l'istituzione della California Privacy Protection Agency per supervisionare la privacy e agire come difensore dei consumatori. L'iniziativa elettorale richiede 10 milioni di dollari dal Fondo generale dello stato. "Questo finanziamento", propone l'iniziativa, "equivarrebbe all'incirca allo stesso numero di addetti alle forze dell'ordine della privacy che la FTC (Federal Trade Commission) ha per sorvegliare l'intero paese".

A chi si applica il CPRA?

Non è necessario che le organizzazioni si trovino in California per essere interessate. Sia CCPA che CPRA si applicherebbero alle società che fanno affari con residenti in California.

Quali sono le date chiave per CPRA?

Supponendo che l'iniziativa superi il processo di verifica della firma, il 3 novembre 2020 la CPRA sarà votata in tutto lo stato. Può essere approvata dalla maggioranza semplice degli elettori della California.

Se approvate, diverse disposizioni entrano in vigore immediatamente, inclusa la formazione e il finanziamento della California Privacy Protection Agency. Questi includono le seguenti sezioni:

  • 1798.145(m) e (n)
  • 1798.160
  • 1798.185
  • 1798.199.10-.40
  • 1798.199.95

Puoi leggere le specifiche qui.

La maggior parte della legge non entrerà in vigore fino al 1 gennaio 2023.

Altre date chiave

  • 1 luglio 2021: la data di inizio del processo di regolamentazione
  • 1 gennaio 2022: inizia un processo di “sguardo indietro” di 12 mesi. Sebbene la CPRA non entrerà in vigore completamente fino al 1 gennaio 2023, si applicherebbe alle informazioni personali raccolte a partire da gennaio 2022 con alcune eccezioni, come il diritto di accesso e di rettifica.
  • 1 luglio 2022: il termine ultimo per l'adozione dei regolamenti
  • 1 gennaio 2023: decorrenza e scadenza di alcune esenzioni

L'idea alla base di questa complessa sequenza temporale è di dare a legislatori e amministratori il tempo di finalizzare le linee guida. Dà anche alle organizzazioni il tempo di conformarsi.

Anche dopo l'approvazione del CCPA originale, è stato modificato più volte e parti specifiche sono state modificate, come quelle qualificate come "informazioni personali". Il California Consumer Privacy Act (CCPA) è stato convertito in legge il 28 giugno 2018. Le aziende hanno avuto tempo fino a gennaio 2020 per conformarsi e hanno concesso un "periodo di grazia" di 6 mesi prima di essere applicato. A partire dal 1 luglio 2020, l'applicazione potrebbe iniziare.

Un processo simile sarà adottato dal CPRA.

Cosa devono sapere gli editori sulla CRPA?

Proprio come con il CCPA, il CPRA adotterà misure significative per conformarsi. Le informazioni personali potranno essere archiviate e utilizzate solo per gli scopi specifici e limitati consentiti dalla legge. Amplierà quelle che sono considerate informazioni personali e richiederà avvisi espliciti per la consegna della pubblicità se gli editori scelgono di vendere le informazioni o utilizzarle per indirizzare o fornire pubblicità digitale.

L'elenco di controllo per la conformità al CCPA dovrà essere modificato per includere i regolamenti rafforzati se il CPRA diventa legge. Anche se sarà approvato, ci saranno linee guida e dettagli che saranno inclusi nella futura regolamentazione che oggi non sono disponibili.

In qualità di piattaforma di gestione del consenso (CMP), Admiral monitora le normative sul consenso alla privacy che interessano gli editori online negli Stati Uniti e nel mondo. Per domande sulle CMP, visita FAQ: Gestione del consenso.

Altre leggi sulla protezione dei dati stanno arrivando

Poiché le notizie su violazioni dei dati, uso improprio dei dati dei consumatori e privacy continuano a diventare preoccupazioni pubbliche, ha sollevato il profilo della privacy dei dati per i consumatori. L'84% delle persone che hanno preso parte a uno studio di Cisco ha dichiarato di volere un maggiore controllo sui dati e sul loro utilizzo.

Per gli editori, questo è solo l'inizio. Una dozzina di stati ha recentemente introdotto una legislazione sulla protezione dei dati e sulla privacy, tra cui Illinois, Maine, Massachusetts, Nevada, New Jersey e Pennsylvania. C'è anche una spinta per creare regolamenti nazionali sulla protezione dei dati e la formazione di un'Agenzia per la protezione dei dati.

Conforme a CPRA, CCPA e GDPR

Rimanere aggiornati su tutte le normative sulla privacy e le sfumature di GDPR, CCPA e il potenziale passaggio di CPRA può essere un incubo per gli editori. Ecco perché così tanti editori si sono rivolti all'aiuto esterno di Admiral per gestire la privacy e il consenso dei visitatori. Una delle prime piattaforme di gestione dei contenuti (CMP) conforme a IAB del settore, Admiral identifica automaticamente i visitatori del sito provenienti da IP della California, fornisce ai visitatori un'interfaccia utente per annullare la vendita di dati ed è compatibile con il framework IAB per l'invio di informazioni di disattivazione a fornitori a valle.

Admiral può essere installato con un semplice tag e consente agli editori di iniziare a gestire la privacy dei visitatori e le impostazioni del consenso con cinque minuti di registrazione.

Contatta Admiral per una demo oggi.