Ce este California Privacy Rights Act (CPRA)?

Publicat: 2020-06-25

Înainte ca Legea privind confidențialitatea consumatorului din California (CCPA) să înceapă chiar faza de aplicare, susținătorii confidențialității au propus deja înăsprirea acesteia cu sancțiuni mai stricte. Legea privind drepturile de confidențialitate și aplicarea legii din California din 2020 a fost depusă pentru a crea o inițiativă de vot la nivel de stat în toamnă.

Actualizare 28 septembrie 2021 - Agenția de protecție a confidențialității din California solicită comentarii cu privire la CPRA, în special cele 8 puncte acoperite în acest articol CPRA.

 >>> Viitorul webinar IAB despre un set de instrumente pentru conformitatea și pregătirea CPRA. Setul de instrumente CPRA include o listă de verificare a elementelor de acțiune, limbajul contractual CPRA și multe altele.

Ce este CPRA?

CPRA (California Privacy Rights Act) este o extindere a CCPA (California Consumer Privacy Act) implementată la 1 ianuarie 2020. CPRA urmărește să protejeze mai multe tipuri de informații privind confidențialitatea, să ofere drepturi suplimentare consumatorilor, să înființeze o entitate de supraveghere și să detalieze drepturile. specifice minorilor.

Același grup care a promovat agenda CCPA, Californians for Consumer Privacy, a depus peste 900.000 de semnături pentru a califica CPRA pentru votul din noiembrie 2020.

Ce este CCPA?

CCPA acordă consumatorilor din California drepturi specifice cu privire la colectarea, utilizarea, stocarea și vânzarea datelor cu caracter personal de către companii. Este cel mai strict set de reglementări privind confidențialitatea de până acum în Statele Unite. Aplicarea CCPA de către California AG a început la 1 iulie 2020. Acesta acordă utilizatorilor online aceste șase drepturi cheie:

  • Dreptul de a ști ce informații personale sunt colectate
  • Dreptul de a ști dacă (și cum) informațiile lor personale sunt partajate sau vândute
  • Dreptul de a renunța la vânzarea informațiilor personale
  • Dreptul de a accesa informațiile lor
  • Dreptul de a avea informațiile personale șterse (cu excepții)
  • Dreptul de a nu fi discriminat pentru exercitarea drepturilor lor

Conform legii, o vânzare nu se limitează la tranzacții strict financiare. CCPA acordă consumatorilor drepturi pentru orice date care sunt utilizate pentru ceea ce numește o considerație valoroasă. California AG a hotărât că include elemente precum schimbul de date pentru direcționare sau livrarea anunțurilor.

Conform CCPA, informațiile personale depășesc elemente precum numele unui utilizator, adresa, numărul de telefon sau datele biometrice, cum ar fi amprentele digitale. Include, de asemenea, module cookie și istoric de navigare, adrese IP, ID-uri de anunțuri mobile (MAIDS), date de localizare geografică, identificatori de dispozitiv sau alte interacțiuni cu anunțuri, site-uri web sau aplicații.

Pentru mai multe informații despre CCPA, vizitați Megalista resurselor, listelor de verificare și îndrumărilor CCPA.

Cum este CPRA diferit de CCPA?

CPRA conține șase extinderi cheie ale CCPA, mergând mai departe atât în ​​ceea ce privește drepturile consumatorilor, cât și limitările de afaceri:

  • CPRA stabilește o nouă categorie de informații personale sensibile (SPI)
  • Adaugă limitări privind urmărirea
  • Stabilește drepturi de recurs legale mai largi pentru consumatori
  • Adaugă protecții specifice pentru minori
  • Oferă consumatorilor un „drept de corectare” pentru datele personale
  • Înființează Agenția pentru Protecția Confidențialității din California

Drepturi suplimentare ale consumatorilor conform CPRA

Noua categorie de informații personale sensibile (SPI)

  • Cod numeric personal
  • Permise de conducere
  • Pașapoarte
  • Religie
  • Rasă
  • Calitatea de membru al Uniunii
  • Comunicare personala
  • Date genetice și alte informații despre sănătate
  • Informații despre viața sexuală sau orientarea sexuală

Limitări privind urmărirea

CPRA întărește, de asemenea, limbajul despre geolocalizare. Le-ar oferi consumatorilor posibilitatea de a împiedica companiile să urmărească locația geografică a consumatorului pentru majoritatea scopurilor – inclusiv publicitate – pe o rază de aproximativ 250 de acri.

Drepturi legale mai largi

De asemenea, oferă consumatorilor drepturi legale mai largi. Pe lângă sancțiunile impuse de stat, ar oferi consumatorilor dreptul de a da în judecată întreprinderile pentru încălcări neglijente de date fără a fi nevoie să dovedească pierderea financiară reală. În conformitate cu CPRA, dacă o companie este neglijentă în a vă proteja în mod proactiv SPI-ul sau elemente precum parola de e-mail, este posibil să puteți da în judecată.

Protecții suplimentare pentru minori

CCPA interzice vânzarea oricăror date cu caracter personal ale oricărei persoane sub vârsta de 17 ani fără consimțământul expres. Pentru copiii sub 13 ani, este nevoie de acordul părinților. În conformitate cu Legea privind drepturile de confidențialitate din California, site-urile trebuie să solicite vârsta utilizatorului, necesită consimțământul pentru a fi opt-in (în loc de opt-out) și triplează amenzile pentru încălcări.

Dreptul de corectare

CCPA permite consumatorului să solicite ștergerea datelor cu caracter personal și să renunțe la a permite companiilor să vândă date cu caracter personal, dar nu permite corecții. CPRA ar permite consumatorilor să solicite corecții ale datelor stocate dacă acestea sunt inexacte.

Agenția de protecție a confidențialității din California

Un chiriaș cheie al CPRA este înființarea Agenției pentru Protecția Confidențialității din California pentru a supraveghea confidențialitatea și a acționa ca un avocat al consumatorilor. Inițiativa votului solicită 10 milioane de dolari din Fondul general al statului. „Această finanțare”, propune inițiativa, „ar echivala cu aproximativ același număr de personal de aplicare a confidențialității pe care îl are FTC (Comisia Federală pentru Comerț) pentru a supraveghea întreaga țară”.

Cui se aplică CPRA?

Organizațiile nu trebuie să fie situate în California pentru a fi afectate. Atât CCPA, cât și CPRA s-ar aplica companiilor care fac afaceri cu rezidenții din California.

Care sunt datele cheie pentru CPRA?

Presupunând că inițiativa trece procesul de verificare a semnăturii, CPRA va fi la un buletin de vot la nivel de stat pe 3 noiembrie 2020. Poate fi adoptată în lege de o majoritate simplă a alegătorilor din California.

Dacă sunt adoptate, mai multe prevederi intră în vigoare imediat, inclusiv formarea și finanțarea Agenției pentru Protecția Confidențialității din California. Acestea includ următoarele secțiuni:

  • 1798.145(m) și (n)
  • 1798.160
  • 1798.185
  • 1798.199.10-.40
  • 1798.199.95

Puteți citi detaliile aici.

Majoritatea legii nu va intra în vigoare până la 1 ianuarie 2023.

Alte date cheie

  • 1 iulie 2021: data de începere a procesului de reglementare
  • 1 ianuarie 2022: începe un proces de „respectare” de 12 luni. Deși CPRA nu va intra pe deplin în vigoare până la 1 ianuarie 2023, s-ar aplica informațiilor personale colectate începând cu ianuarie 2022, cu unele excepții, cum ar fi dreptul de acces și corectare.
  • 1 iulie 2022: Data limită pentru adoptarea reglementărilor
  • 1 ianuarie 2023: Data intrării în vigoare și expirarea unor scutiri

Ideea din spatele acestei cronologie complexe este de a oferi legislatorilor și administratorilor timp pentru a finaliza liniile directoare. De asemenea, oferă organizațiilor timp să se conformeze.

Chiar și după aprobarea CCPA inițială, acesta a fost modificat de mai multe ori și anumite părți au fost modificate, cum ar fi ceea ce se califică drept „informații personale”. Legea privind confidențialitatea consumatorilor din California (CCPA) a fost semnată în lege pe 28 iunie 2018. Companiile au avut până în ianuarie 2020 să se conformeze și au acordat o „perioadă de grație” de 6 luni înainte de a fi puse în aplicare. Începând cu 1 iulie 2020, aplicarea ar putea începe.

Un proces similar va fi adoptat de CPRA.

Ce trebuie să știe editorii despre CRPA?

La fel ca și în cazul CCPA, CPRA va lua măsuri semnificative pentru a se conforma. Informațiile personale vor putea fi stocate și utilizate numai în scopurile specifice și limitate permise în conformitate cu Actele. Acesta va extinde ceea ce sunt considerate informații personale și va solicita notificări explicite pentru livrarea de publicitate, dacă editorii aleg să vândă informațiile sau să le folosească pentru a viza sau livra publicitate digitală.

Lista de verificare pentru conformitatea cu CCPA va trebui modificată pentru a include reglementările îmbunătățite dacă CPRA devine lege. Chiar dacă va fi adoptată, vor exista linii directoare și detalii care vor fi incluse în viitoarele reglementări care nu sunt disponibile astăzi.

Ca platformă de gestionare a consimțământului (CMP), Admiral monitorizează reglementările privind consimțământul privind confidențialitatea care afectează editorii online din SUA și din lume. Pentru întrebări despre CMP, accesați Întrebări frecvente: Gestionarea consimțământului.

Vin mai multe legi privind protecția datelor

Pe măsură ce știrile despre încălcări ale datelor, utilizarea greșită a datelor consumatorilor și confidențialitatea continuă să devină preocupări publice, a crescut profilul confidențialității datelor pentru consumatori. 84% dintre persoanele care au participat la un studiu realizat de Cisco au declarat că doresc mai mult control asupra datelor și asupra utilizării acestora.

Pentru editori, acesta este doar începutul. O duzină de state au introdus recent legislație privind protecția datelor și confidențialitatea, inclusiv Illinois, Maine, Massachusetts, Nevada, New Jersey și Pennsylvania. Există, de asemenea, un impuls pentru crearea unor reglementări naționale privind protecția datelor și formarea unei Agenții pentru Protecția Datelor.

Respectarea CPRA, CCPA și GDPR

A rămâne la curent cu toate reglementările privind confidențialitatea și nuanțele GDPR, CCPA și potențiala trecere a CPRA poate fi un coșmar pentru editori. De aceea, atât de mulți editori au apelat la ajutorul extern de la Admiral pentru a-și gestiona confidențialitatea și consimțământul vizitatorilor. Una dintre primele platforme de gestionare a conținutului (CMP) conform IAB din industrie, Admiral identifică automat vizitatorii site-ului care provin de la IP-uri din California, oferă vizitatorilor o interfață cu utilizatorul pentru a renunța la vânzările de date și este compatibil cu cadrul IAB pentru trimiterea informațiilor de renunțare către furnizorii din aval.

Admiral poate fi instalat cu o singură etichetă simplă și permite editorilor să înceapă să gestioneze confidențialitatea vizitatorilor și setările de consimțământ cu cinci minute de înregistrare.

Contactați Amiralul pentru o demonstrație astăzi.