Pregătiți-vă pentru CDPA: Coasta de Est întâlnește Coasta de Vest în timp ce Virginia semnează legea privind confidențialitatea
Publicat: 2021-04-22
Statul Virginia a votat recent pentru a deveni primul stat de pe Coasta de Est care a adoptat o lege care reglementează modul în care companiile protejează datele personale ale consumatorilor. Noua lege vine în timp ce giganții tehnologici se confruntă cu respingeri din partea legislatorilor și a consumatorilor cu privire la manipularea informațiilor personale.
Legea privind protecția datelor consumatorilor din Virginia (CDPA) a fost semnată în lege pe 2 martie 2021 și va intra în vigoare în 2023.
Similar cu California Consumer Privacy Act din 2018 (CCPA), California Privacy Rights Act din 2020 (CPRA) și chiar cu GDPR din Europa, CDPA este cea mai recentă dezvoltare în ceea ce a fost un an decisiv pentru legislația privind confidențialitatea din Statele Unite.
Dar companiile care au lucrat la respectarea celorlalte legi nu ar trebui să se odihnească pe lauri. Încă trebuie să se pregătească pentru CDPA, care are prevederi diferite de cele ale CCPA sau CPRA.
În acest articol, aruncăm o privire asupra acestor prevederi distincte ale Actului Virginia și le comparăm cu CCPA (modificată de CPRA) și GDPR.
| Dispoziții cheie | Virginia CDPA | California CCPA + CPRA | GDPR Europa | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Abilitatea de a Procesa | |||||||||||||||||||||||
| Minimizarea datelor | da | Nu | da | ||||||||||||||||||||
| Scopul permis | da | Nu | da | ||||||||||||||||||||
| Drepturi individuale | |||||||||||||||||||||||
| Dreptul de a primi notificare cu privire la activitățile de prelucrare | da | da | da | ||||||||||||||||||||
| Dreptul de acces la datele personale | da | da | da | ||||||||||||||||||||
| Dreptul la portabilitatea datelor (adică, datele trebuie furnizate într-un format ușor de utilizat, astfel încât să poată fi transferate de la o entitate/platformă la alta) | da | da | da | ||||||||||||||||||||
| Dreptul la corectarea erorilor din datele personale | da | Nu | da | ||||||||||||||||||||
| Dreptul la ștergerea datelor cu caracter personal | da | da | da | ||||||||||||||||||||
| Dreptul de a renunța la publicitatea comportamentală | da | Nu | da | ||||||||||||||||||||
| Dreptul de a vă opune profilării automate și luării deciziilor | da | Nu | da | ||||||||||||||||||||
| Dreptul la nediscriminare pentru exercitarea acestor drepturi | da | da | da | ||||||||||||||||||||
| Dreptul de a renunța la vânzarea de informații personale | da | da | Nu | ||||||||||||||||||||
| Înscrieți-vă sau renunțați la procesarea informațiilor sensibile | Înscrieți-vă | A renunța | Înscrieți-vă | ||||||||||||||||||||
| Dreptul de a face apel la respingerea cererilor | da | Nu | Nu | ||||||||||||||||||||
| Responsabilitate/Guvernare | |||||||||||||||||||||||
| Evaluări privind protecția datelor | da | Nu | da | ||||||||||||||||||||
| Securitate | |||||||||||||||||||||||
| Securitatea adecvată a datelor pentru a proteja informațiile | da | da | da | ||||||||||||||||||||
| Notificare de încălcare | da | da | da | ||||||||||||||||||||
| Transferuri de date în afara SEE | |||||||||||||||||||||||
| Măsuri suplimentare pentru transferurile internaționale | Nu | Nu | da | ||||||||||||||||||||
| Transferuri către terți | |||||||||||||||||||||||
| Cerințe contractuale în acordurile cu furnizorii de servicii | da | da | da | ||||||||||||||||||||
| Marketing | |||||||||||||||||||||||
| Consimțământ pentru cookie-urile Adtech | da | da | da | ||||||||||||||||||||
| Consimțământul obținut înainte de marketingul direct | Nu | Nu | da | ||||||||||||||||||||
| Agenții de executare | |||||||||||||||||||||||
| procuror general | procuror general, CPPA | DPA | |||||||||||||||||||||
| Data operativă | |||||||||||||||||||||||
| 1 ianuarie 2023 | 1 ianuarie 2020 / 1 ianuarie 2023 | 25 mai 2018 | |||||||||||||||||||||
Companiile care au lucrat la atingerea conformității cu CCPA sau GDPR vor descoperi că aceste legi au o mulțime de verbiaj și terminologie similare; cu toate acestea, este o greșeală să presupunem că legea din Virginia are cerințe identice.
Deși există asemănări cu CCPA și GDPR, CDPA conține nuanțe care probabil vor fi unice pentru fiecare organizație.
Dacă sunteți copleșit citind acest articol, consultați instrucțiunile pas cu pas pe care le-am prezentat mai jos pentru a ajuta la abordarea respectării noii legi de confidențialitate.
În primul rând, cereți avocaților, profesioniștilor IT și specialiștilor în confidențialitate din cadrul organizației dvs. să evalueze aplicarea legii în afacerea dvs. Apoi, identificați eventualele lacune și dezvoltați un plan de conformitate care să includă soluții pentru aceste probleme.
Să intrăm în mai multe detalii, da?
Pentru a atinge conformitatea cu CDPA, trebuie să:
- Creați și mențineți un inventar cuprinzător de date, oferind o perspectivă atât asupra tipurilor de date implicate, cât și asupra naturii activităților de procesare.
- Asigurați-vă că datele sensibile sunt separate și gestionate fără riscuri inutile.
- Implementarea unui cadru pentru efectuarea evaluărilor de impact privind protecția datelor (DPIA).
- Evaluați politicile, practicile și controalele de securitate cibernetică în vigoare pentru a vă asigura că sunt în concordanță cu standardele recunoscute de industrie.
- Permiteți consumatorilor să renunțe la vânzarea informațiilor lor personale (unde este cazul).
- Actualizați politicile de confidențialitate adresate publicului pentru, printre alte modificări, să se angajeze să nu reidentifice datele personale de-identificate și să ofere detalii despre activitățile sale de prelucrare a datelor.
- Dezvoltați mecanisme de acceptare, urmărire, verificare și onorare a cererilor consumatorilor de a accesa, corecta, șterge și renunța la datele cu caracter personal conform CDPA.
- Asigurați-vă că angajații dvs. de servicii pentru clienți au cunoștințe exacte despre reglementări pentru a satisface cererile consumatorilor în mod eficient și previzibil.
În cele din urmă, deși 2023 poate părea un viitor îndepărtat, nu amânați construirea planului dvs. de conformitate.
Dacă alte legi recente privind confidențialitatea ne-au învățat ceva, este că aceste inițiative necesită eforturi extinse și timp pentru a planifica cu atenție, a identifica lacunele în mecanismele dvs. de confidențialitate și a implementa noi politici, procese și eforturi de remediere.
Nu este prea devreme pentru a începe eforturile de conformare cu CDPA, deoarece mai multe state, precum New York și Washington, încep să adopte legi de protecție a vieții private a consumatorilor.
Pe măsură ce mai multe legislaturi de stat devin active în adoptarea legilor sau a legilor privind protecția vieții private a consumatorilor, un lucru devine clar: asigurarea confidențialității clienților nu mai poate fi o idee ulterioară. Trebuie să fie integrat în modelul dvs. de afaceri.
