Hukum Privasi Digital AS

Saat Amerika Serikat bersin, dunia terserang flu. Pernyataan ini khususnya benar dalam dunia teknologi digital. Amerika, bagaimanapun, adalah rumah bagi banyak perusahaan online terkemuka dan paling sukses di dunia (walaupun beberapa orang mungkin berpendapat bahwa China sedang mengambil langkah). Namun, satu area di mana sepupu Eropa kami memimpin adalah privasi digital.

GDPR mengubah cara dunia memandang privasi

Jika Anda mengingat kembali tahun 2018, Anda akan ingat bagaimana Uni Eropa mengguncang seluruh dunia dengan Peraturan Perlindungan Data Umum (GDPR) .

Pada saat itu, GDPR unik karena merupakan peraturan menyeluruh yang dirancang untuk melindungi privasi warga negara Eropa terlepas dari siapa atau di mana mereka berbagi data. Peraturan ini berarti bahwa jika organisasi AS ingin terus beroperasi di Eropa atau dengan warga negara Eropa terlepas dari lokasinya, mereka harus mematuhi GDPR.

Tidak seperti peraturan privasi sebelumnya, GDPR memiliki kekuatan dan bobot Komisi Eropa di belakangnya untuk memungut denda besar atas pelanggaran.

Jutaan dolar dan jam kerja staf yang tak terhitung dihabiskan secara global untuk memastikan kepatuhan. Dalam banyak hal, investasi ini membantu membersihkan sisa-sisa terakhir dari praktik bisnis “Wild West” yang diadopsi dalam sektor bisnis digital yang sudah matang tetapi sebagian besar masih belum diatur. Namun, terlepas dari ini, banyak perusahaan AS yang melanggar GDPR.

Masih merasa GDPR tidak berlaku untuk Anda? Lihat daftar denda terbesar yang dikenakan untuk ketidakpatuhan - bunyinya seperti "Siapa Siapa?" bisnis besar Amerika, dengan Amazon, Meta (Facebook), dan Alphabet (Google) mendominasi sepuluh besar denda paling signifikan.

Perubahan wajah undang-undang privasi AS

Dapat dikatakan bahwa sebelum GDPR, AS pada dasarnya menendang kaleng (CAN-SPAM) di jalan dalam hal privasi.

Dalam banyak hal, GDPR memaksa bisnis AS untuk membersihkan tindakan mereka tanpa memerlukan peraturan AS. Tetapi ini tidak berarti bahwa AS tidak menganggap serius privasi. Saat ini ada beberapa undang-undang privasi yang diberlakukan dan banyak undang-undang lainnya sedang diluncurkan di seluruh AS. Namun, karena cara masing-masing negara bagian membuat undang-undang, undang-undang ini kurang terhubung atau mencakup semuanya dibandingkan GDPR. Untuk bisnis yang beroperasi lintas negara bagian, ini bisa membingungkan.

CCPA/CPR

Undang-Undang Privasi Konsumen California (CCPA) dan Undang-Undang Hak Privasi California (CPRA) berikutnya, yang berlaku mulai 1 Juli 2023, telah digambarkan sebagai hal yang paling dekat dengan GDPR.

CPRA dibangun di atas fondasi yang ditetapkan oleh GDPR, yang meletakkan dasar bagi beberapa peraturan yang tidak termasuk dalam CCPA. Aturan-aturan ini meliputi:

• Minimisasi data: Memastikan pengumpulan data diperlukan untuk memenuhi tujuan tertentu.
• Batasan tujuan: Memastikan data yang dikumpulkan tidak dapat digunakan untuk tujuan baru dan tidak kompatibel.
• Batasan penyimpanan: Memastikan data tidak dapat disimpan lebih lama dari yang diperlukan.

GDPR juga memengaruhi cara CPRA menangani informasi pribadi yang sensitif (SPI), seperti ras atau asal etnis, opini politik, keyakinan agama atau filosofis, orientasi seksual, genetika, dan data terkait kesehatan.

Terlepas dari kesamaannya, ada beberapa perbedaan utama antara GDPR dan CPRA.

GDPR berlaku untuk organisasi mana pun yang mengumpulkan dan memproses data dari warga negara UE, terlepas dari ukuran, lokasi, atau tujuan perusahaan. GDPR juga tidak membedakan antara data pribadi dan bisnis.

Sementara itu, Undang-Undang Hak Privasi California (CPRA) hanya berlaku untuk bisnis yang mengumpulkan dan memproses informasi pribadi penduduk California dan memenuhi satu atau beberapa kriteria berikut:

• Memiliki pendapatan kotor tahunan lebih dari $25 juta;
• Beli, jual, atau bagikan informasi pribadi dari 100.000 atau lebih konsumen atau rumah tangga setiap tahunnya; atau
• Dapatkan 50% atau lebih dari pendapatan tahunan mereka dari menjual informasi pribadi konsumen.

Dibandingkan dengan GDPR, ada banyak ruang bagi bisnis untuk terbang di bawah radar CCPA/CCPR. Ini mungkin mencerminkan sikap yang lebih santai terhadap organisasi di AS yang mengakses dan menyimpan informasi pribadi jika dibandingkan dengan Eropa. Namun, setelah beberapa pelanggaran data profil tinggi yang telah membuat ribuan warga AS tidak nyaman, sikap ini menjadi kurang longgar, dan lebih banyak negara bagian AS yang ikut-ikutan privasi.

Undang-Undang Perlindungan Data Konsumen Virginia (VCPDA)

Undang-Undang Perlindungan Data Konsumen Virginia (VCDPA) adalah undang-undang privasi yang mirip dengan CCPA/CPRA dan GDPR dan mulai berlaku pada 1 Januari 2023.

VCDPA berlaku untuk bisnis yang menjalankan bisnis di Virginia atau menargetkan penduduk Virginia dan memenuhi persyaratan ambang tertentu. Persyaratan ini termasuk memproses data pribadi setidaknya 100.000 konsumen Virginia setiap tahun atau memperoleh lebih dari 50% pendapatan kotor dari penjualan data pribadi dan memproses data pribadi setidaknya 25.000 konsumen Virginia setiap tahun.

Di bawah VCDPA, konsumen Virginia memiliki hak untuk mengetahui data pribadi apa yang dikumpulkan tentang mereka, hak untuk mengakses data mereka, hak untuk memperbaiki ketidakakuratan data tersebut, hak untuk menghapus data mereka dalam keadaan tertentu, dan hak untuk memilih keluar dari penjualan data mereka.

Undang-Undang Privasi Colorado (BPA)

CPA akan berlaku efektif pada 1 Juli 2023.

Mirip dengan CCPA/CPRA dan GDPR, CPA berlaku untuk bisnis yang menjalankan bisnis di Colorado atau menargetkan penduduk Colorado dan memenuhi persyaratan ambang batas tertentu. Persyaratan ini termasuk memproses data pribadi setidaknya 100.000 konsumen Colorado setiap tahun atau memperoleh lebih dari 50% pendapatan kotor dari penjualan data pribadi dan memproses data pribadi setidaknya 25.000 konsumen Colorado setiap tahun.

Sekali lagi, di bawah CPA, konsumen Colorado memiliki hak untuk mengetahui data pribadi apa yang dikumpulkan tentang mereka, hak untuk mengakses data pribadi mereka, hak untuk memperbaiki ketidakakuratan dalam data pribadi mereka, hak untuk menghapus data pribadi mereka dalam keadaan tertentu. , dan hak untuk menolak penjualan data pribadi mereka.

Gerakan yang berkembang untuk privasi yang lebih besar di seluruh AS

Sementara CCPA/CCPR, VCDPA, dan CPA semuanya adalah peraturan lokal, ada gerakan yang berkembang yang mengarah ke semakin banyak negara bagian yang memperkenalkan peraturan privasi yang akan menghubungkan titik-titik dan menciptakan komitmen "nasional" untuk menjaga privasi.

Connecticut, Iowa, dan Utah semuanya memiliki peraturan yang akan diberlakukan dalam dua tahun ke depan. Menurut pelacak Asosiasi Profesional Privasi Internasional (IAPP) , banyak negara bagian lain sedang dalam proses memperkenalkan peraturan.

Namun, ada beberapa undang-undang privasi AS warisan yang melintasi batas negara bagian dan melindungi individu di tingkat federal.

HIPAA – Hukum Federal

Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) adalah undang-undang federal yang diberlakukan pada tahun 1996, mendahului GDPR dan bahkan penggunaan internet yang meluas.

HIPAA dirancang untuk memberikan standar privasi dan keamanan untuk melindungi informasi kesehatan pribadi pasien. Undang-undang menetapkan standar nasional untuk privasi dan keamanan informasi kesehatan yang dilindungi (PHI) dan berlaku untuk rencana kesehatan, penyedia layanan kesehatan, dan lembaga kliring layanan kesehatan yang melakukan transaksi elektronik tertentu.

Di bawah HIPAA, entitas yang tercakup harus menerapkan pengamanan untuk melindungi kerahasiaan, integritas, dan ketersediaan PHI. Perlindungan ini mencakup tindakan administratif, fisik, dan teknis untuk memastikan privasi dan keamanan PHI.

HIPAA juga memberikan hak-hak tertentu kepada individu terkait PHI-nya, termasuk hak untuk mengakses PHI-nya, hak untuk meminta koreksi atas PHI-nya, dan hak untuk mengajukan pengaduan jika merasa hak privasinya telah dilanggar.

Bagaimana reaksi bisnis?

Secara keseluruhan, bisnis bereaksi positif terhadap meningkatnya gelombang peraturan privasi. Mengetahui tren ini tidak akan hilang, banyak perusahaan mengadaptasi layanan mereka untuk membangun privasi ke dalam model bisnis mereka. Kami telah melihat pembaruan Perlindungan Privasi Surat Apple , dan Google menciptakan kembali cara melacak keterlibatan pengguna di GA4, iterasi terbaru dari Google Analytics.

Namun, ini bisa menjadi waktu yang membingungkan bagi usaha kecil dan menengah yang tidak memiliki sumber daya untuk melacak dan mengimbangi tuntutan peraturan privasi. Ini terutama benar ketika data dikumpulkan dan diproses di berbagai platform teknologi. Untuk bisnis tersebut, masuk akal untuk menjaga privasi klien mereka dan masa depan organisasi mereka dengan berbicara kepada seorang ahli yang dapat membantu mereka tetap patuh.

Belajarlah lagi

Untuk mempelajari lebih lanjut tentang bagaimana pakar pemasaran di emfluence dapat membantu bisnis Anda tetap berada di sisi yang benar dari peraturan privasi saat ini dan yang akan datang, hubungi kami hari ini di [email protected] .