Conformità CCPA per l'e-commerce
Pubblicato: 2019-11-20Il California Consumer Privacy Act arriverà a gennaio 2020: ecco una breve guida alla conformità per le società di e-commerce
Per le aziende di e-commerce, la conformità al CCPA dovrebbe essere in cima al tuo radar per il 2020. Come il regolamento generale sulla protezione dei dati (meglio noto come GDPR) in Europa, farà un'enorme differenza nel modo in cui comunichi con i tuoi clienti. Questo articolo illustra le nozioni di base sul significato della nuova legge e su come preparare la tua attività ad essa.
Disclaimer: questo post non costituisce una consulenza legale: cerca un consulente legale professionale per assicurarti che le tue attività siano conformi!
Cos'è il CCPA?
Il 28 giugno 2018 il governatore della California ha firmato il disegno di legge 375 dell'Assemblea. Il California Consumer Privacy Act, noto anche come CCPA, entrerà in vigore il 1° gennaio 2020.
Il CCPA si concentra sui diritti alla protezione dei dati per i consumatori, tuttavia, non si applica solo alle aziende con sede fisica in California. Il CCPA tutela i diritti dei consumatori californiani, indipendentemente dai confini statali. Quindi, indipendentemente da dove ha sede la tua attività, se hai clienti in California devi considerare l'impatto delle nuove regole.
Rivenditori e CCPA: implicazioni e requisiti chiave
Cosa significa davvero la conformità al CCPA per l'e-commerce? Ecco le basi di ciò che delinea la legge:
- Quando un residente in California richiede quali dati personali vengono archiviati da un'azienda competente, l'azienda avrà fino a 45 giorni per rispondere. La risposta deve includere un record completo per essere considerata conforme al CCPA.
- Un consumatore della California potrà scegliere di non condividere o archiviare i propri dati personali con un'azienda che fornisce i dati a terzi.
- Un consumatore della California ha il diritto di sapere quali dati sono stati acquistati, con chi sono stati condivisi e da quale azienda sono stati acquistati.
- Qualsiasi residente in California può richiedere la cancellazione di tutte le informazioni personali memorizzate.
- Per i residenti in California di età inferiore a 16 anni, le aziende sono tenute a fornire una funzione di "opt-in".
- Per i residenti in California di età inferiore a 13 anni, un genitore o tutore deve acconsentire.
- I consumatori della California non possono essere penalizzati da un'azienda per aver esercitato i propri diritti in conformità con il CCPA.
- Le aziende sono tenute a offrire ai consumatori della California opzioni di rinuncia facili da vedere, come un pulsante "Non vendere le mie informazioni", sul loro sito web.
Determinare se il CCPA si applica a te
Il CCPA si applica alle aziende che soddisfano determinati criteri. Ciò comprende:
- Qualsiasi attività che vende a residenti in California e genera più di $ 25 milioni di entrate ogni anno
- Qualsiasi azienda che riceve o condivide le informazioni personali di più di 50.000 californiani
- Qualsiasi azienda che tragga almeno la metà (50%) delle sue entrate annuali dalla vendita delle informazioni personali dei residenti in California
Per la maggior parte, ciò significa che le piccole imprese sono attualmente esentate dal dover affrontare la conformità al CCPA. Sebbene ciò possa cambiare in futuro, le aziende più grandi sono attualmente le uniche aziende che devono prepararsi per la data di inizio del CCPA.
CCPA vs GDPR
Il CCPA è molto simile al Regolamento generale sulla protezione dei dati (GDPR) approvato dall'Unione Europea nel 2018. La buona notizia è che le aziende considerate conformi al GDPR non dovranno cambiare molto per soddisfare i requisiti di conformità al CCPA.
Il CCPA è leggermente più rigoroso grazie alla sua definizione più ampia di informazioni personali. Tuttavia, ci sono molte opzioni disponibili per aiutare un'azienda a implementare i requisiti di conformità prima del periodo di gennaio 2020.
Conseguenze del mancato rispetto
Il procuratore generale e il sistema giudiziario della California sono pronti a eseguire diverse conseguenze per le imprese non conformi.
- Le violazioni involontarie possono comportare sanzioni fino a $ 2.500 ciascuna.
- Le violazioni intenzionali garantiranno ciascuna una multa di $ 7.500.
- Le multe sono valutate per persona o account.
Le multe si sommano rapidamente. Spesso, se una violazione è presente con un consumatore, è presente con altri.
Per stimare potenziali danni finanziari, potresti moltiplicare il numero dei tuoi consumatori della California per $ 7.500. Ad esempio: se hai 25 clienti in California. Quei 25 clienti moltiplicati per $ 7.500 significano che potresti dover affrontare fino a $ 187.500 di multe in base alla scoperta della violazione di un singolo consumatore.
Queste sanzioni possono sembrare spaventose, quindi cosa devi fare per evitarle?
Passi chiave per la preparazione alla conformità al CCPA
Ecco i passaggi chiave per i rivenditori che si preparano alla conformità al CCPA.
Audit dei processi di raccolta e gestione dei dati
È essenziale una valutazione approfondita del modo in cui la tua azienda raccoglie e gestisce le informazioni personali.
Approfondire dove memorizzi i dati dei tuoi consumatori e come li utilizzi è essenziale per evitare che violazioni intenzionali e non intenzionali costino migliaia di multe alla tua azienda.
Dovresti anche esaminare i dati che raccogli da siti di terze parti; i fornitori di terze parti dovrebbero fornire un certificato di conformità CCPA su richiesta per garantire che i dati ricevuti non comportino danni alla tua azienda in una causa.
Pianifica le richieste dei consumatori
In base al CCPA, hai fino a 45 giorni per rispondere alle richieste di dati personali da parte dei consumatori della California. È necessario disporre di un piano in atto per affrontare rapidamente queste richieste. Ciò può includere l'assunzione di personale per affrontare queste questioni in modo efficiente e nel rispetto dei requisiti di legge. Saranno inoltre richiesti strumenti di estrazione dei dati, formattazione della risposta e una conoscenza approfondita della legge.
Prepararsi per le normative future
Molti esperti ritengono che GDPR e CCPA siano solo l'inizio della battaglia sui diritti dei dati. La California è semplicemente il primo stato a prendere abbastanza sul serio i diritti sui dati dei consumatori da emanare la legislazione. È molto probabile che le normative future vengano ulteriormente coinvolte in un numero maggiore di stati con i diritti sui dati dei consumatori.
Prepararsi per l'impatto
È difficile sapere esattamente cosa aspettarsi quando arriverà il CCPA, ma ci sono alcune previsioni che possiamo fare sulla base del GDPR.
Prima di tutto, è probabile che il tuo database di posta elettronica subisca un colpo. Ecco quanto dei loro marketer di database indirizzabili hanno perso quando il GDPR è entrato in vigore nel 2018:
Tuttavia, c'è un lato positivo qui. Il recupero da queste perdite è stato in realtà piuttosto rapido. Un anno dopo l'entrata in vigore delle normative, i database sono riusciti a recuperare il 93% dei livelli precedenti al GDPR.
Come è successo così in fretta? Ecco un'altra lezione che possiamo trarre per la conformità al CCPA. Le seguenti sono state le migliori strategie utilizzate dalle aziende per recuperare i loro database: un saluto per chi guarda al 2020:
Il 1° gennaio segnerà un nuovo spartiacque per le normative sulla privacy negli Stati Uniti: qualsiasi preparazione che farai ora pagherà dividendi a breve termine e ti preparerà bene per le evoluzioni della privacy dei dati che devono ancora venire.