Legile SUA privind confidențialitatea digitală

Publicat: 2023-04-25

Când Statele Unite strănută, lumea răcește. Această afirmație este valabilă în special în lumea tehnologiei digitale. La urma urmei, America găzduiește multe dintre companiile online de top și cele mai de succes din lume (deși unii ar putea susține că China se îndreaptă pe călcâie). Cu toate acestea, un domeniu în care verii noștri europeni conduc acuzația este confidențialitatea digitală.

GDPR a schimbat modul în care lumea vede confidențialitatea

Dacă vă întoarceți în 2018, vă veți aminti cum Uniunea Europeană a zguduit întreaga lume cu Regulamentul general privind protecția datelor (GDPR) .

La acea vreme, GDPR era unic, deoarece era o reglementare atotcuprinzătoare, menită să protejeze confidențialitatea cetățenilor europeni, indiferent de cine sau de unde își partajau datele. Această reglementare însemna că, dacă organizațiile din SUA doreau să continue să opereze în Europa sau cu cetățeni europeni, indiferent de locația lor, trebuiau să respecte GDPR.

Spre deosebire de reglementările anterioare privind confidențialitatea, GDPR a avut dinți și greutatea Comisiei Europene în spatele său pentru a percepe amenzi uriașe pentru încălcări.

Milioane de dolari și nenumărate ore de personal au fost cheltuite la nivel global pentru a asigura conformitatea. În multe privințe, această investiție a ajutat la curățarea ultimelor rămășițe ale practicilor de afaceri „Wild West” adoptate într-un sector de afaceri digital în curs de maturizare, dar încă în mare parte nereglementat. Cu toate acestea, în ciuda acestui fapt, nenumărate firme din SUA au încălcat GDPR.

Încă nu crezi că GDPR se aplică în cazul tău? Consultați această listă cu cele mai mari amenzi aplicate pentru nerespectare - se citește ca „Cine este cine?” dintre marile afaceri americane, Amazon, Meta (Facebook) și Alphabet (Google) dominând primele zece dintre cele mai semnificative amenzi.

Fața în schimbare a legilor SUA privind confidențialitatea

S-ar putea argumenta că, înainte de GDPR, SUA dădeau în esență bidonul (CAN-SPAM) în termeni de confidențialitate.

În multe feluri, GDPR a forțat companiile din SUA să își curățeze actele fără a fi nevoie de reglementări americane. Dar asta nu înseamnă că SUA nu ia în serios confidențialitatea. În prezent, există mai multe legi privind confidențialitatea și multe altele sunt implementate în SUA. Cu toate acestea, datorită modului în care statele individuale creează legislație, aceste legi sunt mai puțin conectate sau cuprinzătoare decât GDPR. Pentru companiile care operează peste linia de stat, acest lucru poate fi confuz.

CCPA/CPRA

Legea privind confidențialitatea consumatorilor din California (CCPA) și Legea privind drepturile de confidențialitate din California (CPRA) ulterioară, care devine aplicabilă la 1 iulie 2023, au fost descrise ca fiind cel mai apropiat lucru de GDPR.

CPRA se bazează pe fundația stabilită de GDPR, care a pus bazele mai multor reguli care nu sunt incluse în CCPA. Aceste reguli includ:

  • Minimizarea datelor: Asigurarea că colectarea datelor este necesară pentru a îndeplini un scop specific.
  • Limitarea scopului: Asigurarea că datele colectate nu pot fi utilizate în scopuri noi și incompatibile.
  • Limitarea stocării: Asigurarea că datele nu pot fi stocate mai mult decât este necesar.

GDPR a influențat, de asemenea, modul în care CPRA gestionează informațiile personale sensibile (SPI), cum ar fi rasa sau originea etnică, opiniile politice, convingerile religioase sau filozofice, orientarea sexuală, genetica și datele legate de sănătate.

În ciuda asemănărilor, există câteva diferențe cheie între GDPR și CPRA.

GDPR se aplică oricărei organizații care colectează și prelucrează date de la cetățenii UE, indiferent de dimensiunea companiei, locația sau scopul. De asemenea, GDPR nu face diferența între datele personale și cele de afaceri.

Între timp, California Privacy Rights Act (CPRA) se aplică numai companiilor care colectează și procesează informații personale ale rezidenților din California și îndeplinesc unul sau mai multe dintre următoarele criterii:

  • Să aibă un venit anual brut de peste 25 milioane USD;
  • Cumpărați, vindeți sau partajați informațiile personale ale a 100.000 sau mai mulți consumatori sau gospodării anual; sau
  • Obține 50% sau mai mult din veniturile lor anuale din vânzarea informațiilor personale ale consumatorilor.

În comparație cu GDPR, există mult spațiu pentru ca întreprinderile să zboare sub radarul CCPA/CCPR. Acest lucru reflectă probabil o atitudine mai relaxată față de organizațiile din SUA care accesează și stochează informații personale în comparație cu Europa. Cu toate acestea, în urma mai multor încălcări de date importante care au deranjat mii de cetățeni americani, aceste atitudini devin din ce în ce mai puțin laxe și mai multe state din SUA se îndreaptă spre confidențialitate.

Legea privind protecția datelor consumatorilor din Virginia (VCPDA)

Legea privind protecția datelor consumatorilor din Virginia (VCDPA) este o lege privind confidențialitatea similară cu CCPA/CPRA și GDPR și a devenit aplicabilă la 1 ianuarie 2023.

VCDPA se aplică companiilor care desfășoară afaceri în Virginia sau vizează rezidenții din Virginia și îndeplinesc cerințele de prag specifice. Aceste cerințe includ procesarea anuală a datelor cu caracter personal ale a cel puțin 100.000 de consumatori din Virginia sau obținerea a peste 50% din veniturile brute din vânzarea datelor cu caracter personal și prelucrarea datelor cu caracter personal ale a cel puțin 25.000 de consumatori din Virginia anual.

În conformitate cu VCDPA, consumatorii din Virginia au dreptul de a ști ce date cu caracter personal sunt colectate despre ei, dreptul de a accesa datele lor, dreptul de a corecta inexactitățile în acele date, dreptul de a-și șterge datele în anumite circumstanțe și dreptul de a renunțați la vânzarea datelor lor.

Legea privind confidențialitatea din Colorado (CPA)

CPA urmează să intre în vigoare la 1 iulie 2023.

Similar cu CCPA/CPRA și GDPR, CPA se aplică companiilor care desfășoară afaceri în Colorado sau vizează rezidenții din Colorado și îndeplinesc anumite cerințe de prag. Aceste cerințe includ prelucrarea datelor cu caracter personal ale a cel puțin 100.000 de consumatori din Colorado anual sau obținerea a peste 50% din veniturile brute din vânzarea datelor cu caracter personal și prelucrarea datelor cu caracter personal a cel puțin 25.000 de consumatori din Colorado anual.

Încă o dată, conform CPA, consumatorii din Colorado au dreptul de a ști ce date cu caracter personal sunt colectate despre ei, dreptul de a accesa datele lor personale, dreptul de a corecta inexactitățile în datele lor personale, dreptul de a-și șterge datele personale în anumite circumstanțe. , și dreptul de a renunța la vânzarea datelor lor personale.

O mișcare în creștere pentru o mai mare confidențialitate în SUA

În timp ce CCPA/CCPR, VCDPA și CPA sunt toate reglementări locale, există o mișcare în creștere care duce la un număr din ce în ce mai mare de state care introduc reglementări privind confidențialitatea, care vor contribui într-un fel la conectarea punctelor și la crearea unui angajament „național” pentru protejarea confidențialității.

Connecticut, Iowa și Utah au toate reglementări care urmează să fie puse în aplicare în următorii doi ani. Conform tracker-ului Asociației Internaționale a Profesioniștilor în Confidențialitate (IAPP) , multe alte state sunt în proces de introducere a reglementărilor.

Cu toate acestea, există câteva legi moștenite privind confidențialitatea din SUA care depășesc limitele de stat și protejează indivizii la nivel federal.

HIPAA – Legea federală

Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA) este o lege federală adoptată în 1996, anterioară GDPR și chiar utilizarea pe scară largă a internetului.

HIPAA a fost conceput pentru a oferi standarde de confidențialitate și securitate pentru a proteja informațiile personale de sănătate ale pacientului. Legea stabilește standarde naționale pentru confidențialitatea și securitatea informațiilor de sănătate protejate (PHI) și se aplică planurilor de sănătate, furnizorilor de asistență medicală și caselor de compensare din domeniul sănătății care efectuează anumite tranzacții electronice.

Conform HIPAA, entitățile acoperite trebuie să implementeze măsuri de protecție pentru a proteja confidențialitatea, integritatea și disponibilitatea PHI. Aceste măsuri de protecție includ măsuri administrative, fizice și tehnice pentru a asigura confidențialitatea și securitatea PHI.

HIPAA oferă persoanelor fizice anumite drepturi cu privire la PHI, inclusiv dreptul de a accesa PHI, dreptul de a solicita corectări ale PHI și dreptul de a depune plângeri dacă consideră că drepturile lor de confidențialitate au fost încălcate.

Cum reacţionează companiile?

În general, companiile reacţionează pozitiv la valul tot mai mare de reglementări privind confidenţialitatea. Știind că această tendință nu dispare, multe companii își adaptează serviciile pentru a construi confidențialitate în modelele lor de afaceri. Am văzut deja actualizările Apple Mail Privacy Protection , iar Google reinventează modul în care urmărește implicarea utilizatorilor în GA4, cea mai recentă versiune a Google Analytics.

Cu toate acestea, aceasta poate fi o perioadă confuză pentru întreprinderile mici și mijlocii care nu au resursele pentru a urmări și a ține pasul cu cerințele reglementărilor privind confidențialitatea. Acest lucru este valabil mai ales atunci când datele sunt colectate și procesate pe mai multe platforme tehnologice. Pentru acele companii, este logic să protejeze confidențialitatea clienților lor și viitorul organizației lor, vorbind cu un expert care le poate ajuta să rămână în conformitate.

Află mai multe

Pentru a afla mai multe despre modul în care experții de marketing de la emfluence vă pot ajuta afacerea să rămână pe partea dreaptă a reglementărilor actuale și viitoare de confidențialitate, contactați-ne astăzi la [email protected] .