Il CCPA, California Consumer Privacy Act, è legalmente applicabile dal 1° luglio dello scorso anno. Si tratta della prima legge significativa sulla privacy negli Stati Uniti relativa al controllo dei dati personali da parte dei consumatori. E, anche se non è passato nemmeno un anno dall'inizio dell'applicazione ufficiale del CCPA, i californiani hanno già votato per l'atto successivo, chiamato California Privacy Rights Act (CPRA).
Quindi, perché queste modifiche al CPPA sono significative e in cosa il CPRA differisce dal CCPA? Ancora più importante, come influiranno le modifiche al CPPA sull'applicazione della privacy dei dati? In questa pagina discuteremo tutte le nuove modifiche per determinare come il CPRA modificherà il CPPA.
Cos'è la nuova legge sulla privacy della California (CPRA)?
Nel novembre 2020, il nuovo California Privacy Rights Act è stato approvato con il 56% dei voti favorevoli contro il 44%. Sebbene la legislazione CCPA esistente dovesse aiutare lo stato a promulgare una legge sulla privacy più rigorosa, la nuova legge introduce norme più severe, simili a quelle del GDPR rispetto al CPPA esistente.
Lo scopo principale delle nuove regolamentazioni previste dal CPRA è rafforzare i requisiti di privacy e ridurre i rischi complessivi in altri punti previsti dalla legge precedente. La nuova legislazione entrerà in vigore il 1° gennaio 2023, e l'applicazione legale inizierà sei mesi dopo. Questo significa che le aziende hanno due anni per prepararsi a questa nuova normativa.
CPRA vs. CPPA. Qual è la differenza?
Esiste un malinteso comune tra il pubblico secondo cui il CPRA sia una legge completamente diversa, ma non è così. La principale differenza tra la versione vecchia e quella nuova è una protezione più forte per i consumatori e domande di conformità CPRA più precise per le aziende. Tenendo presente ciò, questa nuova legislazione rappresenta un'espansione della legge esistente. Per conformarsi al CPRA, le aziende avranno più responsabilità rispetto al CPPA.
Il CPRA è spesso considerato il CCPA 2.0. Tuttavia, leggendo le regole e le linee guida, noterai anche che questa legislazione presenta molte somiglianze con il Regolamento generale sulla protezione dei dati (GDPR). Comprende elementi simili alle linee guida per la conformità GDPR, anche se i requisiti e le definizioni del CPRA sono un po' più ampie.
Al di là delle differenze, una somiglianza cruciale tra i due da tenere presente è che la conformità non è limitata solo allo stato della California. Si estende a livello mondiale e copre ogni residente californiano, indipendentemente dalla sua posizione al momento. Se il tuo sito web non blocca i residenti californiani dall'accedervi, sarà necessario rispettare le normative.
Applicazione del CPRA e sanzioni
Un cambiamento significativo introdotto dal CPRA è la creazione della California Privacy Protection Agency (CalPPA), un'organizzazione indipendente istituita per monitorare il rispetto delle normative. La missione principale della CalPPA è garantire che aziende e consumatori siano ben informati sui loro diritti e obblighi stabiliti dalle disposizioni del CPRA.
La CalPPA sostituirà l'ufficio del procuratore generale come principale organismo di regolamentazione che controlla l'applicazione delle regole CPRA. Per quanto riguarda le sanzioni, saranno triplicate per le violazioni che riguardano minori sotto i 16 anni (pena aumentata a $7.500). Inoltre, il diritto privato d'azione dei consumatori sarà ampliato per coprire le violazioni degli indirizzi e-mail in combinazione con password e domande di sicurezza che consentono l'accesso all'account.
Pur sembrando complesso per i proprietari di aziende, le imprese che si sono già preparate per la legge precedente risentiranno minimamente dell'impatto delle nuove regole CPRA.
Le aziende già conformi ai requisiti precedenti, in particolare al GDPR, non dovranno apportare cambiamenti significativi. Al contrario, le aziende che non hanno ancora implementato modifiche avranno un percorso arduo davanti a loro.
La modifica più significativa che le aziende dovranno affrontare riguarda la minimizzazione delle informazioni personali. Secondo il CPRA, le aziende dovranno soddisfare requisiti di condivisione dei dati più severi. Dovranno offrire ai clienti californiani la possibilità di rinunciare alla vendita delle loro informazioni personali a terzi. Questa politica rigorosa comporterà anche costi aggiuntivi per la raccolta dei dati da parte delle aziende.
Suggerimenti per diventare conformi al CPRA
Quando sono state annunciate le modifiche al CCPA, molte aziende erano preoccupate per i significativi cambiamenti percepiti nei requisiti di conformità. Sebbene la nuova legislazione apporti grandi cambiamenti, questi non sono necessariamente negativi.
Le aziende che hanno già adottato i passaggi necessari per conformarsi al CCPA sono in una posizione eccellente per soddisfare i requisiti CPRA. Ecco alcuni suggerimenti per garantire la conformità al CPRA:
- Identifica tutti i dati personali sensibili - Le nuove regole CPRA introducono il termine “informazioni personali sensibili”. Si tratta di un termine ampio che copre quasi tutti i dati personali identificabili, inclusi dati genetici e biometrici.
- Rafforza le politiche di eliminazione - L'emendamento richiede alle aziende di eliminare i dati personali degli utenti dopo che hanno servito il loro scopo. Oltre a garantire la conformità CPRA, cancellare regolarmente i dati protegge l'azienda, poiché meno dati possiedi, meno rischi corri in caso di violazione della sicurezza.
- Rivedi i contratti con terze parti - La nuova legislazione enfatizza fortemente gli obblighi di privacy nei confronti di fornitori, appaltatori e altre terze parti. Richiede che tutte le vendite, condivisioni e divulgazioni di informazioni personali siano fatte in base a un contratto.
- Verifica nuove eccezioni - La legge aggiunge esenzioni parziali che non erano incluse nella normativa precedente, come quelle per dati domestici, record educativi e test specifici.
- Implementa la 2FA - Le regole CPRA sottolineano le credenziali di accesso. Implementare l'autenticazione multifattoriale assicura che le credenziali di login non forniscano automaticamente accesso ai dati personali degli utenti.
Preparati al CPRA con Hideez
Nonostante le preoccupazioni sulla complessità del CPRA, offre un meccanismo affidabile per mantenere il controllo e proteggere le informazioni sensibili degli utenti. Hideez può aiutarti a rispettare le normative CPRA.
I nostri esperti di sicurezza informatica hanno sviluppato una soluzione completa di autenticazione per le aziende che garantisce maggiore sicurezza delle informazioni e conformità alle policy interne ed esterne in ogni settore.
Le chiavi di sicurezza Hideez Key 3 e Hideez Key 4 possono semplificare il processo di MFA e fornire login senza password per i dipendenti. Con la pressione di un pulsante, possono inserire automaticamente password monouso senza bisogno di estrarre il telefono, eseguire app o inserire password manualmente. Inoltre, una Hideez Key può memorizzare fino a 1.000 password, bloccare/sbloccare PC con un sensore di prossimità e aprire porte con RFID, offrendo una soluzione all-in-one.
Per ulteriori informazioni sulle nostre soluzioni aziendali, contattaci o pianifica una demo gratuita.