California sare în față (din nou) în privința confidențialității datelor – iată cum

Nota editorului: WRAL TechWire a lansat recent o serie de 5 părți despre legea confidențialității datelor pentru a aduce o oarecare claritate într-unul dintre domeniile cu cea mai rapidă creștere și cele mai complexe ale dreptului tehnologiei. Aceasta este partea 3. Postările anterioare sunt încorporate în această poveste.

Steve Britt este consilier pentru Cyber, Data Privacy & Technology (CIPP/E, CIPM), Parker Poe și Sarah Hutchins este partener pentru Cyber, Data Privacy & Technology (CIPP/US), Parker Poe.

+++

La fel cum California a fost primul stat care a promulgat o lege privind notificarea încălcării datelor în 2002 (Alabama a fost cel 50^th stat în 2018), a fost primul stat care a promulgat o lege cuprinzătoare privind confidențialitatea datelor în 2020, cunoscută sub numele de California Consumer Privacy Act (CCPA). Folosind GDPR ca ghid, dar punându-și propria amprentă pe rezultatul final, California a împărtășit multe elemente în comun cu GDPR, inclusiv:

• O definiție largă a Informații personale, pentru a include orice informație care se referă la sau ar putea fi utilizată pentru a identifica o persoană fizică, inclusiv adrese IP (protocol de internet), datele dispozitivului și alți identificatori online,
• Adoptarea majorității (dar nu a tuturor) drepturilor persoanelor vizate din GDPR, sub rezerva unor explicații clare și transparente cu privire la modul în care aceste drepturi pot fi exercitate,
• Cerința pentru notificări detaliate de confidențialitate cu privire la datele colectate, scopurile pentru o astfel de colectare și dacă acestea sunt partajate cu terți,
• Cerința privind contractele restrictive pentru anumite tipuri de terți cărora le sunt partajate datele,
• Impunerea unor standarde de securitate a datelor bazate pe riscuri,
• Cerința unei pregătiri cuprinzătoare a angajaților pentru tot personalul care manipulează informații personale,
• O cauză privată limitată de acțiune pentru o încălcare a datelor care rezultă din neasigurarea unei securități rezonabile a datelor cu daune legale de 100 USD-750 USD per consumator per incident în astfel de acțiuni și, în cele din urmă,
• Aplicarea CCPA de către o agenție guvernamentală, în acest caz, procurorul general al Californiei.

Confidențialitatea datelor și dvs.: Ce trebuie să știți cu adevărat din punct de vedere legal

La momentul adoptării sale, CCPA era denumită GDPR-Lite, dar asta a fost într-adevăr adevărat doar într-un sens conceptual, deoarece CCPA diferă de GDPR în unele moduri semnificative. De exemplu, CCPA:

• Nu s-a aplicat organizațiilor nonprofit sau guvernamentale și angajaților scutiți și persoanelor de contact business-to-business (B2B) timp de 3 ani,
• S-a aplicat doar companiilor cu scop profit care desfășoară afaceri în California, care, împreună cu afiliații de marcă obișnuită, au avut venituri anuale globale de 25,000,000 USD sau mai mult, au procesat date despre cel puțin 50,000 de consumatori (inclusiv dispozitivele lor) sau au primit 50% din veniturile lor din vânzare. de informații personale,
• A fost acordată o cauză privată de acțiune pentru daunele cauzate de o încălcare a datelor care a rezultat din neasigurarea unei securități adecvate a datelor (14 state permit acum o cauză privată de acțiune în legile lor privind notificarea încălcării datelor),
• Entități excluse reglementate de Gramm-Leach-Bliley, Legea de raportare echitabilă a creditelor, Legea privind protecția confidențialității șoferului și informațiile reglementate de Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA),
• Este necesar un buton web pe pagina de pornire a unei companii etichetat „Nu vindeți informațiile mele personale” pentru transferul de informații personale către o terță parte care nu se califică drept „furnizor de servicii”,
• Definit ca „vânzare” de date orice transfer cu titlu de „contraprestație nemoneară” care a capturat furnizorii de tehnologie publicitară și de tehnologie de marketing și
• Nu a necesitat ferestre pop-up cookie și nici consimțământ afirmativ pentru comunicările de marketing.

Opinia invitaților: Regulamentul general privind protecția datelor sau GDPR – Unde a început totul

Cu toate acestea, oricât de extinsă a fost CCPA, înainte ca cerneala de pe ea să se usuce, în noiembrie 2020, California a promulgat California Privacy Rights Act (CPRA) prin inițiativă de vot, în vigoare la 1 ianuarie 2023. CPRA a modificat CCPA și l-a extins în mai multe moduri semnificative. De exemplu, CPRA:

• A crescut declanșatorul jurisdicțional al CCPA pentru colectarea de date privind 100,000 de consumatori (în loc de 50,000) și a renunțat la acoperirea „dispozitivelor” unui consumator;
• S-au exclus afiliații de marcă obișnuită în definiția afacerilor acoperite, cu excepția cazului în care afacerea din California a partajat efectiv informațiile personale ale californilor cu afiliatul său,
• A inclus o nouă categorie de informații cu caracter personal numită „informații sensibile” și a extins dreptul de renunțare pentru a acoperi astfel de date,
• A creat o categorie de dezvăluire de date de către terți numită „partajare” și a extins butonul „Nu vinde” la „Nu vinde sau nu distribui informațiile mele personale”,
• Și-a extins drepturile asupra datelor pentru a acoperi angajații unei companii și contactele de la întreprindere la întreprindere (B2B) și
• A creat primul organism de reglementare dedicat confidențialității datelor de stat din națiune (numit California Privacy Protection Agency) cu puteri de reglementare largi, inclusiv 22 de noi domenii pentru potențiale noi reglementări.

Puterile expansive ale Agenției pentru Protecția Confidențialității din California (CPPA) nu trebuie trecute cu vederea, mai ales că CCPA a făcut deja obiectul a patru runde de reglementări ale Procurorului General, în unele cazuri impunând reguli dincolo de ceea ce era prevăzut în statut. De asemenea, cauza privată de acțiune a Californiei și, în anumite alte jurisdicții, posibilitatea unui litigiu în temeiul legilor privind încălcarea datelor au crescut exponențial riscurile legate de gestionarea datelor.

Complexitatea CCPA, astfel cum a fost modificată de CPRA, rivalizează deja cu GDPR, dar atât California, cât și Uniunea Europeană și-au exprimat obiectivul de a lucra împreună cu privire la restricțiile de transfer transfrontalier și o serie de alte inițiative ale UE. Între timp, așa cum vom vedea în următorul nostru articol, alte state americane își iau indiciile din California.

Steve Britt, CIPP/E, CIPM, este un avocat cibernetic, confidențialitate a datelor și tehnologie la firma de avocatură Parker Poe. Își concentrează practica legile și reglementările privind securitatea cibernetică și confidențialitatea datelor. Britt își consiliază clienții cu privire la întreaga gamă de legi privind protecția datelor. El poate fi contactat la stevebritt@parkerpoe.com.

Sarah Hutchins, CIPP/US, este un avocat cibernetic, confidențialitate a datelor și tehnologie la firma de avocatură Parker Poe. Ea ajută clienții să navigheze în litigiile de afaceri, investigațiile guvernamentale și confidențialitatea datelor și securitatea cibernetică. Hutchins poate fi contactat la sarahhutchins@parkerpoe.com.