5 choses faciles à faire pour se préparer à la California Consumer Privacy Act

A GDPR échoué sur les rives ouest des États-Unis? À certains égards, oui. And à certains égards, non.

En janvier 1, 2020, tout en la plupart d'entre nous examinaient les résultats de la veille, la Californie a retiré le papier d'emballage du Consommateur californien Confidentialité © Loi (CCPA). Cette loi radicale comprend certaines des exigences les plus strictes concernant l'utilisation et la mauvaise utilisation des données privées des consommateurs californiens—Qui convient, étant donné que la Californie serait à elle seule le cinquième-plus grande économie du monde, chute entre l'Allemagne et le Royaume-Uni. pont Les entreprises américaines ont des liens importants avec l'État et ses 39 million de consommateurs.

Wième l'empreinte de l'économie californienne sur la scène nationale, de nombreuses organisations envisagent l'ACCP et Wondering, "Qu'est-ce qu'on fait maintenant?"

Voici cinq étapes faciles à suivre en premier.

1. Demandez-vous: «Sommes-nous dans le champ d'application?

Les La législature californienne a conçu le CCPA avec le consommateur à l'esprit. La loi donne les consommateurs le droit de savoir quoi informations personnelles identifiables (PII) est being collectées, utilisées, partagées, ou vendu. Il leur accorde également la puissance à ont leurs PII supprimés et le droit de empêcher la vente de leurs informations personnelles à des tiers. Quand les consommateurs exercent leurs capacité pour limiter la distribution de leurs PII or supprimer tout à fait, la loi garantit leur droit à la non-discrimination Par conséquent.

Alors, comment savoir si l'ACCP s'applique à vous? D'une part, the droit s'applique à à but lucratif entités cette faire des affaires dans l'État de Californie et qui collecter les PII des consommateurs ou souvent il a recueilli en leur nom. De plus, these les types d' organisations doivent rencontrer au moins un de ce qui suit exigences pour que l'ACCP applique:

  1. Avoir unrevenus annuels Ross of plus de 25 millions $ OR
  2. Achetez, recevez, ou vendre les informations personnelles de 50,000 XNUMX consommateurs ou plus, entités, ou des ménages OR
  3. Dérivez 50 pour cent ou plus de leurs revenus annuels provenant de la vente de PII de consommation

Les tribunaux de Californie et le bureau du procureur général devraient fournir plus de détails autour la définition de "faire des affaires en Californie. » Le procureur général de Californie n'a pas encore fourni cette orientation mais a créé un bref aperçu des droits des consommateurs en matière de confidentialité.

En attendant, si votre organisation a des transactions importantes ou répétées avec des consommateurs en Californie-pair if votre entreprise n'est pas affrétée en Californie-et vous tombez dans les autres catégories ci-dessus, vous seriez bien avisé de prêter une attention particulière à cette loi.

2. Cartographiez vos données.

Que ce soit pour e-ddécouverte, sécurité des données, ou à des fins de gouvernance de l'information, les organisations ont mené des exercices de cartographie des données au cours des dernières années. Le résultat de ces exercices is augmentées visibilité et clarté quant à l'emplacement des données dans l'organisation et à leur contenu. Ce processus est encore plus critique pour la conformité à la CCPA.

En cas de demande d'accès aux données (DSAR), §1798.130 (a) (2) donne aux entités 45 jours pour retourner les informations pertinentes aux consommateurs sur demande et sans frais pour le consommateur demandeur. Savoir à l'avance où ces informations sont stockées sera essentiel pour se conformer avec les exigences de l'ACCP.

Si les données situées dans le cadre de votre le processus d'audit ne contient pas d'informations personnelles provenant de consommateurs californiens-ou vous ne rencontrez pas l'autre obligations de l'applicabilité CCPA-votre exercice de cartographie des données ne sera pas ont été en vain. Havoir une perspective solide of votre paysage de données vous profite bien au-delà de la conformité à l'ACCP. Cela simplifie et clarifie votre e-dprocessus de découverte, réponses aux violations, et la gouvernance de l'information en général.

3. Assurez-vous que votre équipe connaît l'ACCP, même si vous n'êtes pas en Californie.

Comme pour le RGPD, il est essentiel d'informer ceux qui touchent, gérer, ou collecter des données sur les consommateurs sur les ramifications des dispositions de la CCPA relatives à la conservation, en utilisant, ou vendre PII des consommateurs, en particulier ceux de Californie. Mais garde en tête que La Californie n'est pas le seul État à avoir des dispositions sur la confidentialité des données en place. D'autres États ont lois ont déjà été promulguées ou sont en cours en passant similaires règlements. Le Nevada, New York, le Maine et le Dakota du Nord, par exemple, ont des dispositions plus strictes en matière de confidentialité des données, et le Massachusetts, le New Jersey et la Pennsylvanie ont des projets de loi sur la confidentialité des données qui sont dans divers états de promulgation.

Bien que le sanctions pour chaque violation du CCPA apparaître relativement petit sur l'individu record niveau, lorsqu'il est extrapolé à travers le total quantité d' défaillances records, une violation peut être extrêmement coûteuse. À se tenir au courant des dernières nouveautés conseils sur l'application de l'ACCP, ainsi que de nouvelles lois d'autres États, l'éducation sera essentielle. S'assurer que vos équipes sont bien informé et les processus sont modifiés pour tenir compte des nouvelles exigences seront essentiels pour assurer la conformité.

4. Pratique, pratique, pratique

Bien que-intentionné, un processus non suivi donne peu d'avantages. Mettre les processus de conformité CCPA en action avant ils doivent être appelés à permettres pour que les bogues soient supprimés du système.

Avoir les bonnes personnes dans votre organisation qui comprennent les exigences de l'ACCP, ainsi que le développement de processus internes et de repères, sera l'étape la plus cruciale que votre organisation puisse prendre pour assurer la conformité. Des exemples de ces processus internes peuvent être liés à la façon dont les données qui peuvent être soumises à l'ACCP ou à d'autres lois sur la confidentialité des données sont créées, maintenues, et détruit. De plus, il peut être judicieux de créer des exercices sur table simulant une demande DSAR et de comparer la durée nécessaire pour isoler et fournir des informations à un consommateur demandeur.

Faire des exercices sur table qui se répliquent les conditions et les demandes des DSAR typiques et permettre aux procédures de conformité de jouer dans les scénarios de test fournira vous avec une norme de référence pour référence future.

5. Pensez à deux pas en avant.

Sensibiliser, repères, et processuses sont les premiers pas à la préparation de l'ACCP, mais cLa conformité est un processus continu qui varie en fonction des conditions. Construire des jalons et des points de contact pour revoir vos repères et procédures, ainsi que rafraîchissant et éduquer vos équipes sur les dernières nouveautés confidentialité des données lois, fera en sorte que votre travail acharné aujourd'hui porte ses fruits à l'avenir. Au début, il pourrait être conseillé de se rencontrer très régulièrement avec une cadence fréquente. Une fois la mémoire musculaire de la conformité établie, ces réunions de mise à jour pourraient s'étendre.

CCPA, ainsi que d'autres lois sur la confidentialité des données, ne sont pas encore finement à l'écoute. Il y aura plus de conseils à mesure que les affaires seront portées devant les tribunaux et aboutir à des opinions. Rester à jour sur les dernières applications réelles de ces confidentialité des données les lois s'avéreront essentielles pour garantir votre conformité future.

En attendant, comprendre vos données, construire des processus significatifs, et l'éducation de vos équipes vous sera bénéfique bien au-delà de votre travail au sein de l'ACCP.

By Dan Pelc, Directeur des solutions et de l'intégration chez NightOwl Global

Voir aussi sur notre site partenaire: Blog sur la relativité