Un’analisi della legge sulla privacy della California: implicazioni per editori di app, operatori di telefonia mobile

La maggior parte delle aziende nell’area di raccolta o distribuzione dei dati ha probabilmente già sentito parlare del California Consumer Privacy Act del 2018 ( AB375 ) , una legge che è stata firmata in legge alla fine di giugno e entrerà in vigore il 1 ° gennaio 2020. in sostituzione di un disegno di legge sulla privacy più ampio che era in votazione statale per novembre, il disegno di legge è stato paragonato al Regolamento generale sulla protezione dei dati (GDPR) in Europa.

Tuttavia, contrariamente al GDPR, che è stato realizzato nel corso di quattro anni, il California Consumer Privacy Act (CCPA) ha impiegato solo tre mesi prima che i legislatori redigessero e approvassero, senza il consueto contributo di gruppi industriali o sostenitori della privacy. In effetti, lo stesso CCPA incarica il procuratore generale della California di “sollecitare un’ampia partecipazione pubblica” al fine di avviare regolamenti volti a chiarire alcune parti della legge. Di conseguenza, i significati, le interpretazioni e i requisiti esatti potrebbero cambiare prima dell’attuazione della legge nel 2020.

All’inizio di settembre, il legislatore californiano ha approvato SB 1121 per modificare il CCPA su sollecitazione di ACLU, gruppi di coalizione, adtech e altre grandi aziende tecnologiche che cercano di affrontare errori “tecnici” nella legge come il linguaggio oscuro e si sovrappongono ad altri statuti federali sulla privacy. Tuttavia, alcuni gruppi sulla privacy dei consumatori si sono opposti all’emendamento, citandolo come potenzialmente minante l’intento del CCPA di proteggere la privacy dei consumatori e hanno chiesto di rafforzare ulteriormente il conto nei prossimi mesi.

Con tutte le incertezze che turbinano attorno alla legge e ai suoi emendamenti, così come la loro formulazione contraddittoria, potrebbe essere difficile per gli editori di app e gli operatori di telefonia mobile navigare tra le nuove normative, e tanto meno identificare le migliori pratiche per garantire la conformità.

Come appassionati sostenitori della verità nei dati, apprezziamo la fedeltà della privacy e sosteniamo la definizione di standard responsabili per la condivisione dei dati. Sebbene prevediamo che ci saranno cambiamenti in vista, ecco la nostra analisi della legge e dei suoi emendamenti così come sono attualmente, così come alcune informazioni sulle implicazioni pratiche per le aziende che raccolgono e utilizzano i dati nello stato della California.

In breve, la CCPA richiede alle aziende di essere più trasparenti con i consumatori con sede in California in merito ai dati che stanno raccogliendo, divulgare quali dati sono già stati condivisi, fornire incentivi finanziari per la condivisione dei dati dei consumatori e comunicare chiaramente a tali consumatori il loro diritto di optare dalla condivisione dei loro dati. Sembra semplice, vero? Non così in fretta.

A causa delle sue definizioni sfocate, dei criteri e delle eccezioni (insieme ad alcune preoccupazioni logistiche che solleva in merito alla divulgazione da parte del consumatore), la legge e il suo emendamento presentano sfide intrinseche all’interpretazione e cosa insieme significheranno per le aziende che utilizzano i dati. Individuiamo innanzitutto chi sarà specificamente interessato dalla nuova legislazione, quindi analizziamo i punti chiave da considerare per aiutarti a delineare un’efficace strategia di conformità per la tua attività.

Il disegno di legge delinea due componenti principali che saranno direttamente interessati da questo disegno di legge: società che operano in California e soddisfano determinati criteri e residenti in California. In parole povere, se sei:

… o sei un residente legale dello Stato della California, il CCPA ti influenzerà.

Implicazioni pratiche per le imprese californiane
Anche l’acquisto di un annuncio di Facebook può ragionevolmente essere visto come “acquisto di informazioni personali”, poiché stai utilizzando le informazioni raccolte da qualcun altro per indirizzare il tuo annuncio. E se più di 50.000 persone visualizzano il tuo annuncio, la tua attività è soggetta alla legge. La CCPA si applicherà anche a filiali, entità a marchio congiunto o affiliate se l’attività che soddisfa i criteri di cui sopra possiede più del 50 percento della consociata, anche se la consociata non fa affari in California.

Tuttavia, se sei un non profit, la legge non è destinata ad applicarsi a te. Se hai una piccola app o un sito Web, non monetizzare in alcun modo al di là delle vendite dirette agli utenti e non posizionare annunci pubblicitari che utilizzano dati, potrebbe non essere applicabile neanche a te.

Per quanto riguarda la residenza legale in California, regolamenti come il GDPR si applicano Paese per Paese e sia il cellulare che il Web sono già impostati per riconoscere da quale Paese è registrato un dispositivo dell’utente (o almeno da dove il dispositivo è registrato si sta connettendo). Tuttavia, non esiste un sistema esistente per riconoscere lo stato della residenza legale di un singolo utente e dato il numero di turisti che visitano la California o con seconde residenze nello stato, determinare chi è o non è residente è nella migliore delle ipotesi. Pertanto, per garantire la conformità con la CCPA, qualsiasi azienda che raccoglie dati negli Stati Uniti dovrebbe fare una delle due cose:

  1. Chiedi a ogni persona che utilizza il proprio servizio di rivelare in quale stato vive
  2. Applicare i requisiti di privacy della California a tutti

L’approccio che finisce per essere giusto per la tua azienda dipende molto da ciò che funziona meglio con il tuo attuale flusso di onboarding e UX.

Domande che sorgono
Vale la pena notare che l’attuale definizione della legge di “fare affari in California” è piuttosto vagamente definita. Non specifica se all’azienda è richiesta una presenza fisica all’interno dello stato, se la vendita (“fare affari”) è rivolta a un singolo residente in California o a un singolo utente in California, che potrebbe o meno aver effettivamente acquistato qualcosa . Questa domanda su cosa significhi “fare affari in California” è emersa anche in molti dibattiti sulle imposte statali sulle vendite, quindi la definizione ha certamente subito cambiamenti nel corso degli anni e probabilmente sarà anche un altro obiettivo mobile ai sensi di questa legge.

1) Diritto dei consumatori di chiedere e trasparenza dei dati

Secondo la CCPA – e simile al GDPR – se richiesto da un consumatore, un’azienda che raccoglie e vende dati su residenti in California deve divulgare le categorie e i pezzi specifici di dati personali che raccoglie e vende, le categorie di fonti da cui tali dati vengono raccolti, gli scopi commerciali per la raccolta o la vendita dei dati e le categorie di terzi con cui le informazioni sono condivise. Tuttavia, l’azienda è tenuta a divulgare solo le categorie di tali soggetti terzi, non le entità stesse.

Le aziende devono inoltre fornire una copia dei dati raccolti all’individuo in un formato portatile, facilmente utilizzabile (e condivisibile) entro 45 giorni dalla richiesta, ma sono obbligati a fornirli due volte entro un periodo di 12 mesi. Simile al GDPR, una volta che le informazioni personali sono state raccolte, tali informazioni non possono essere utilizzate per uno scopo diverso senza avvisare anche il consumatore.

Per quanto riguarda ciò che costituisce uno “scopo commerciale” per la raccolta o la vendita di dati, la CCPA lo definisce come un uso “ragionevolmente necessario e proporzionato per raggiungere lo scopo operativo per il quale le informazioni personali sono state raccolte o elaborate”. La legge fornisce numerosi esempi di “Scopi commerciali”, tra cui:

  1. rilevare incidenti di sicurezza
  2. fornitura di servizi pubblicitari o di marketing
  3. elaborazione dei pagamenti

Inoltre, l’informativa sulla privacy di un’azienda deve includere una descrizione dei diritti dei consumatori, inclusi gli scopi aziendali sopra indicati se applicabili, e deve delineare uno o più modi in cui un consumatore può inviare richieste per le informazioni di cui sopra.

In che modo ciò potrebbe influire sulla tua azienda: dovrai essere pronto a consegnare le informazioni su da dove provengono le tue informazioni personali, con chi le stai condividendo (o vendendo) e lo scopo specifico per cui sono state raccolte . Assicurare che la tua azienda abbia un sistema per accedere in modo accurato, esportare facilmente e inviare automaticamente queste informazioni al consumatore sarà il modo migliore per assicurarti che tu sia adatto alla conformità. Oltre a elaborare una politica sulla privacy chiara ed esplicita, i team operativi, di vendita e di marketing dovrebbero anche lavorare con ingegneri e sviluppatori per approfondire la nomenclatura delle categorie / etichette e accompagnare in anticipo la messaggistica per coerenza.

Catture ed eccezioni: la CCPA richiede inoltre che prima che un’azienda raccolga i dati di un consumatore, oltre a rendere il consumatore consapevole delle categorie di informazioni che vengono raccolte (solitamente sotto forma di una schermata di accesso o di un’interfaccia simile), il il consumatore deve inoltre essere informato delle finalità della raccolta dei dati. Se l’app o il sito Web della tua azienda non utilizza microcopie o messaggi chiari per divulgare tali informazioni, ti consigliamo di farlo per evitare di non essere conforme.

Esistono anche eccezioni per i dati che sono stati raccolti per un singolo utilizzo, a condizione che i dati non vengano conservati, trasferiti, identificati o altrimenti collegati. In altre parole, se un consumatore immette le proprie informazioni sul sito Web di una società una sola volta per una singola vendita o transazione, la società non deve divulgare al consumatore le informazioni di cui sopra, anche se richieste.

2) Il diritto dei consumatori di richiedere la cancellazione

Se un’azienda riceve una richiesta verificabile da parte di un consumatore di eliminare i dati personali, deve conformarsi e indirizzare qualsiasi fornitore di servizi a eliminare anche i dati del consumatore dai propri archivi. Tuttavia, ci sono alcune eccezioni: se i dati dei consumatori sono necessari per:

  1. completare una transazione
  2. proteggere da attività dannose, ingannevoli, fraudolente o illegali
  3. identificare o riparare errori all’interno dell’app / sito Web
  4. rispettare la legge, incluso il primo emendamento alla libertà di parola
  5. impegnarsi in ricerche scientifiche, storiche o statistiche pubbliche o sottoposte a revisione paritaria che siano nell’interesse del pubblico (è necessario che vi sia ancora aderenza a tutte le altre leggi etiche e sulla privacy applicabili e il consumatore deve aver fornito il consenso informato)

Se una o più di queste eccezioni si applicano alla tua attività, fornire una dichiarazione al consumatore che identifichi quali eccezioni ti sollevano dall’eliminazione dei loro dati è un buon modo per mantenere la trasparenza ed evitare potenziali controversie. Si consiglia alla tua azienda di disporre di un playbook generale per le richieste dei consumatori (uno che comprenda anche le richieste di cancellazione ai sensi del GDPR è una buona idea), insieme a una serie di risposte pre-redatte al fine di garantire che tutte le richieste vengano gestite in modo coerente.

In che modo ciò potrebbe influire sulla tua azienda: è interessante notare che la tua attività potrebbe effettivamente dover conservare una qualche forma di dati di una persona al fine di conformarsi a questa specifica disposizione della legge. Ad esempio, per garantire il costante rispetto della richiesta di cancellazione, un’impresa di raccolta dati dovrebbe conservare identificatori sufficienti per impedire che la persona possa essere reinserita nel proprio database in un secondo momento – e per fornire prova della cancellazione qualora fosse richiesta da il consumatore, le forze dell’ordine o altri.

Catture ed eccezioni: il disegno di legge identifica anche un’eccezione aggiuntiva e difficile da contestare che molte aziende potrebbero successivamente scegliere di annotare quando affrontano la disposizione sul diritto alla cancellazione: se i dati di un consumatore sono considerati dall’azienda “necessari” per interni utilizzo e tale utilizzo è “ragionevole allineato” con ciò che il consumatore si aspetterebbe dall’azienda, non è richiesta la cancellazione dei dati. Inoltre, la legge non considera le “informazioni personali” nulla che i governi locali, statali o federali pubblicherebbero legalmente, come i documenti giudiziari. Ciò che rimane poco chiaro è se la cancellazione è attaccata alla persona, al dispositivo o alla famiglia.

3) Fornire un avviso chiaro per la rinuncia

I consumatori avranno il diritto, in qualsiasi momento, di rifiutare di vendere i propri dati a terzi. Mentre la definizione specifica di “vendita” è ancora in attesa di chiarimenti da parte del procuratore generale della California, le aziende dovranno sensibilizzare i consumatori, sia attraverso una politica sulla privacy esplicita o altro avviso chiaramente accessibile, che il diritto di scegliere di non vendere i propri dati esiste e che non annullando la sottoscrizione, un consumatore acconsente per impostazione predefinita alla vendita dei propri dati a terzi. Se il consumatore rinuncia, un’impresa deve attendere 12 mesi prima di richiedere l’autorizzazione alla vendita di dati. Il consumatore avrebbe anche l’opportunità in qualsiasi momento dopo di cambiare idea e optare per.

Inoltre, un’azienda non può vendere le informazioni personali di un consumatore di età inferiore a 16 anni a meno che non abbia ricevuto un consenso di “opt-in”. Ciò significa che i consumatori di età compresa tra 13 e 16 anni possono fornire il consenso esplicito necessario direttamente all’azienda. Per i consumatori di età inferiore ai 13 anni, un’azienda deve ottenere l’autorizzazione affermativa da un genitore o tutore prima di vendere le informazioni personali.

In che modo ciò potrebbe influire sulla tua azienda: la CCPA richiede che le aziende descrivano i diritti dei consumatori in una politica sulla privacy o da qualche parte sul sito Web aziendale. La CCPA afferma espressamente che una formulazione simile a “Non vendere le mie informazioni personali” deve essere utilizzata per un collegamento sulla home page di un’azienda e che è disponibile anche la descrizione specifica della California dei diritti alla privacy dei consumatori. Si consiglia inoltre di presentare questa politica al momento della raccolta dei dati in modo che i consumatori possano far sapere immediatamente alla propria azienda se procedere o meno alla vendita dei propri dati.

Catture ed eccezioni: se i dati sono già stati venduti a terzi prima della rinuncia del consumatore, tali dati non sono soggetti a questa disposizione CCPA; è vietata la vendita solo i dati raccolti dall’azienda dopo che un consumatore ha rinunciato.

4) Limiti Freemium e incentivi per la condivisione finanziaria per la condivisione dei dati

La CCPA afferma inoltre che, se un consumatore esercita i propri diritti sulla privacy ai sensi della legge, un’azienda non può negare loro beni o servizi. Tuttavia, l’azienda può addebitare a tale consumatore una tariffa diversa per tali beni o servizi, a seconda del “valore” fornito dai dati del consumatore, che sembra essere a discrezione dell’azienda. La legge delinea semplicemente che le differenze di tasso sono “ragionevolmente correlate al valore” dei dati del consumatore.

In che modo ciò potrebbe influire sulla tua azienda: poiché ciò che è “ragionevolmente correlato al valore” è certamente soggettivo, si tratta di un’area particolarmente grigia all’interno del conto. Identificare valori quantificabili a specifici punti o segmenti di dati in relazione ai punti di prezzo al consumo della tua azienda può essere utile per stabilire quali tipi di livelli ti piacerebbe offrire a coloro che optano per, opt-out o altrimenti eseguono i diritti sulla privacy. Proporre incentivi sulla scia di sconti, punti fedeltà o simili può essere un approccio praticabile per acquisire il consenso dei consumatori per la condivisione e la vendita dei dati. Basta essere consapevoli del fatto che questi incentivi non devono essere “ingiusti, irragionevoli, coercitivi o di natura usurosa”. Ancora una volta, questa è una terminologia soggettiva, ma è meglio progettare un programma di incentivi basato sugli stessi (o simili) punti di valore collocati sui dati del consumatore mentre definisci i livelli dei prezzi.

Catture ed eccezioni: mentre la CCPA consente alle aziende di addebitare tariffe dipendenti dal consenso alla condivisione dei dati dei consumatori, la legge proibisce specificamente alle aziende di suggerire che il consumatore riceverà un prezzo o un livello diverso di qualità dei prodotti o servizi se non condividono o concordano alla vendita dei loro dati. Essere consapevoli di questa clausola è fondamentale, in particolare quando si sta formulando la vostra politica sulla privacy.

Se decidi di offrire incentivi finanziari ai consumatori che accettano di condividere i propri dati, la fattura richiede che informi i tuoi consumatori di tali incentivi nell’ambito della stessa politica sulla privacy che delinea anche il diritto di rinuncia e altre disposizioni all’interno della CCPA. Il consumatore deve scegliere espressamente di stipulare qualsiasi accordo per ricevere incentivi finanziari per la condivisione dei propri dati e ha comunque il diritto di recedere in qualsiasi momento.

La California potrebbe essere stato il primo stato a introdurre una legge sulla privacy dei dati come il CCPA, ma sicuramente non sarà l’ultimo. In che modo questa proposta di legge (e il suo successivo emendamento) potrà porre le basi per la futura legislazione sulla privacy a livello nazionale; quindi è logico che, poiché la sua lingua viene sottoposta a ulteriore valutazione da parte della comunità di raccolta e distribuzione dei dati, è probabile che sorgano ulteriori domande.

Per gli editori di app e i rivenditori di telefonia mobile, il modo migliore per posizionare la tua azienda per conformità (e successo) è sviluppare le migliori pratiche per l’onboarding e il flusso di lavoro, istituire un rigoroso protocollo di verifica dei tuoi partner di terze parti e stabilire strategie proattive di raccolta dei dati che adottino in considerazione delle disposizioni contenute in questo articolo. Mentre il CCPA potrebbe essere l’inizio di una nuova ondata di privacy dei dati dei consumatori, comprendendo la legge e le sue implicazioni, puoi assicurarti che la tua attività non si perda in mare.

(Questo articolo è stato preparato con l’assistenza di Kari Kelly di Kelly Corporate Counsel. Nulla in questo articolo deve essere interpretato come una consulenza legale o una comprensione completa di tutto ciò che è necessario sapere sulla privacy e sulla protezione dei dati. Si consiglia di conservare un avvocato per definire la tua strategia CCPA.)