Clarté et perspicacité ou simplement hyperventilation: Se préparer à l'ACCP à la lumière des récents règlements proposés – Confidentialité ® assurance santé entreprise

États-Unis:

Clarté et perspicacité ou simplement hyperventilation: se préparer à l'ACCP à la lumière des récents avant-projets de règlement

Règles proposées révisées. Juste au moment où vous
expiré après 2020 en vigueur le 1er janvier, Californie
Consumer Privacy Act, 10 février, California Attorney
modifications générales publiées du projet proposé
lois qu'il a déjà publiées en octobre
2019. Les règles modifiées commentées seront disponibles le 25 février.
2020. Bien que California AG puisse encore distribuer des volumes supplémentaires
les projets devraient devenir des règlements définitifs
entre en vigueur d'ici 2020 1er juillet, le même jour que l’État AG l’a indiqué
l'application commencerait.

Ne pas hyperventiler et prendre d'autres mesures pratiques
Maintenant, préparez-vous à la conformité. Modifié proposé
les règlements, comme les règlements proposés à l'origine, sont corrects
jusqu'à présent, les règlements proposés. Ils n'étaient pas encore là
accepté comme final. Au fait, l'analyse modifiée
la réglementation donne un aperçu des exigences et des pratiques
qui finira par prendre effet. Dans cet article, nous présentons
un aperçu des modifications importantes apportées au règlement modifié,
des conseils pratiques sur la meilleure façon de se préparer à la conformité, et la nôtre
assumer l'impact de l'ACCP sur les entreprises. (Voir aussi notre
avertissement précédent supplémentaire: "
Retour à la conformité CCPA: faites tout de même les 10 choses de base
incertitude. "

Où les règles sont maintenant les changements les plus importants
dans les dispositions modifiées.

Bien que le règlement final puisse encore changer par rapport au règlement actuel
version, bon nombre des exigences de base des règlements modifiés
il n'y a eu aucun changement depuis le projet d'octobre. Les modifications ultérieures sont
sont susceptibles de laisser ces points clés. Cela dit
les règlements modifiés affectent les exigences de conformité routière de l'ACCP
de manière importante. En voici six clés:

• Adresses IP et plus
  certains identifiants ne sont pas des "informations personnelles"
  circonstances (§ 999.302). L'ACCP couvre la propriété intellectuelle
  adresses définies comme "personnelles"
  informations ", créant un impact potentiellement significatif
  les technologies mobiles et les technologies publicitaires sont trop inclusives
  s'applique à toutes les communications (y compris les
  surnom) livré sur votre téléphone, ordinateur ou autre
  appareil connecté. Les règles modifiées créent de la flexibilité pour
  offrir de savoir si les informations sont des informations personnelles
  en vertu de la CCPA "dépend de l'entreprise maintenue
  informations d'une manière "identifiable,
  décrit peut raisonnablement se rapporter ou pourrait
  être raisonnablement directement ou indirectement lié à un
  consommateur ou ménage. "" Spécifiquement, modifié
  La politique fournit un exemple d'adresses IP Internet
  les visiteurs collectés par l'entreprise ne sont pas "personnels"
  "car l'entreprise n'associe pas d'adresse IP
  à aucun consommateur ou ménage et ne pouvait raisonnablement pas le faire
  faites-le. Néanmoins, les règles modifiées ne prévoient pas d'allégement
  les entreprises qui utilisent des adresses IP pour identifier des utilisateurs spécifiques
  ou des ménages sans consentement (par exemple, potentiellement affectés
  rediriger d'autres formulaires similaires vers Internet
  communication).
• Exigences clarifiées
  avis de confidentialité. Le règlement modifié présente celui proposé
  des conseils dans quelques domaines clés liés aux avis de confidentialité,
  dont:
  • Conseils améliorés sur la façon de
    soumettre un message dans la collection (§
    999.305). Le règlement modifié en est maintenant un exemple
    expliquant qu'une entreprise en ligne peut transmettre un message tout en collectant
    en affichant un "lien visible" avec votre avis de confidentialité
    page d'introduction et sur tous les sites Web personnels
    informations collectées. Une entreprise qui recueille des informations
    peut lier le message dans les deux via l'application mobile
    page de téléchargement et paramètres de l'application
    Menu. Une entreprise qui recueille des informations par téléphone ou en personne
    peut délivrer un message oral.
  • Règlements modifiés
    aligner avec les directives de reporting FTC pour les rapports en temps réel
    et exiger que l'entreprise fasse rapport et reçoive le consommateur
    consentir à une nouvelle utilisation des renseignements personnels
    matériellement différent sous réserve des objectifs énoncés
    avis en collection (§ 999 305). De même modifié
    la réglementation oblige les entreprises à faire rapport à temps
    l'entreprise recueille des informations personnelles que l'utilisateur ne devrait pas avoir
    s'attend raisonnablement à être contextualisé. Par exemple, un
    Un programme de lampe de poche qui recueille des informations de localisation est nécessaire pour fournir
    notification en temps opportun lorsque l'utilisateur ouvre l'application.
  • Les entreprises ne peuvent pas vendre
    les informations personnelles qu'ils ont collectées avant de renoncer à la renonciation
    message si l'utilisateur ne reçoit pas d'autorisation positive
    (§ 999.306 (e)). Le règlement modifié est annexé explicitement
    une déclaration selon laquelle l'entreprise ne "vendra" pas les
    informations qu'il a collectées sans le "droit de
    un avis de retrait a été émis à moins qu'il ne reçoive une réponse positive
    autorisation de l'utilisateur. "Les entreprises devront peut-être revenir en arrière
    et obtenir le consentement de l'utilisateur pour s'inscrire.
  • Obligatoire simplifié
    divulgation dans les avis de confidentialité (§ 999.305,
    999.308, 999.317). Le règlement modifié réduit les exigences
    diverses informations «chaque catégorie»
    collection informations personnelles. Selon la modification
    réglementations, les entreprises n'auront plus à déclarer
    sources et catégories commerciales ou commerciales
    objectifs pour lesquels chaque catégorie informations personnelles
    a été recueilli. De plus, la limite exigée des entreprises
    publier des mesures détaillées pour les premières requêtes d'utilisateurs proposées
    Le projet de règlement a été soulevé dans le règlement modifié
    de 4 à 10 millions d'informations personnelles
    utilisateurs.
• Obligations de service
  Les fournisseurs pourraient être plus favorables aux entreprises (§
  999.314).
  • Utilisation des données client
    améliorer les produits et services du fournisseur. Selon
    L'entrepreneur peut utiliser uniquement les renseignements personnels de l'ACCP
    objectifs spécifiques énoncés dans le contrat avec le contractant
    une fête. Cette exigence impliquait qu'il est de pratique courante qu'un
    le prestataire de services utilise les informations personnelles du client
    l'amélioration de leurs produits et services était interdite. Selon
    les règles sont modifiées, les fournisseurs de services sont autorisés à accéder
    informations personnelles obtenues par le biais de services de tiers
    développer ou améliorer la qualité de nos services et produits
    "à condition que l'utilisation n'inclue pas la construction ou la modification
    profils de ménages ou de consommateurs ou nettoyage ou recharge
    acheté auprès d'une autre source. "Alors que l'entreprise est plus conviviale,
    cette restriction peut ne pas aider les prestataires de services qui utilisent
    intelligence et apprentissage informatique de ces informations personnelles
    créer des lacs de données et des modèles de train (pas spécifique à l'utilisateur)
    application, utilisation ou partage / vente).
  • Les fournisseurs de services ne
    être obligé de fournir les coordonnées du client à honorer
    demandes des utilisateurs. En vertu du règlement modifié, un
    fournisseur de services demandant à connaître ou à supprimer de
    le consommateur doit désormais agir soit au nom de l'entreprise, soit en son nom
    client) en réponse à une demande ou informer l'utilisateur
    la demande ne peut pas être exécutée car elle a été envoyée au service
    fournisseur. Un projet de règle antérieur appelé à la signification
    expliquer au fournisseur de services pourquoi et quand
    si possible, fournissez à l'utilisateur les coordonnées de
    entreprise.
• Règlements modifiés
  fournir des conseils supplémentaires concernant les demandes des consommateurs
  (§§ 999.313, 999.315, 999.318):
  • Requête utilisateur complexe et
    procédures d'inspection. Alors que le CCPA donne aux entreprises
    répondre aux demandes des utilisateurs pour savoir si oui ou non les 45 premiers jours
    Suppression, il y a beaucoup plus de règlements antérieurs et modifiés
    prescription. Par exemple, en vertu du règlement modifié, un
    l'entreprise devrait (1) accuser réception de cette demande
    dans les 10 jours ouvrables et fournir des informations sur la façon dont
    l'entreprise traitera la demande; (2) Effectuer une inspection approfondie
    procédures (telles que le rapprochement des informations d'identification fournies par
    informations personnelles déjà stockées par l'utilisateur
    entreprise ou via un service de vérification d'identité tiers); (3)
    fournir une réponse personnalisée à l'accès de chaque utilisateur
    demande dans la plupart des cas; et (4) enregistrer toutes les demandes
    (y compris leurs résultats) pendant au moins 24 mois.
  • Une nouvelle demande est possible
    directives de dépistage et de réponse. Dans la gestion de l'utilisateur
    Demandes, règles révisées: (1) Autoriser les entreprises à refuser
    l'utilisateur demande s'il ne peut pas vérifier l'utilisateur
    Délai de réponse de 45 jours (par exemple, l'utilisateur ne soumet pas
    les informations personnelles doivent être cohérentes avec les informations qu'elles stockent
    entreprise) et (2) n'exige pas que les entreprises recherchent des
    informations si les entreprises ne vendent pas d'informations et plus
    les conditions sont remplies.
  • Anticipez la création de nouveaux
    contrôles de confidentialité basés sur un navigateur. Précédent 2006
    les réglementations ont obligé les entreprises à gérer la confidentialité des données utilisateur
    contrôles, tels que les plug-ins de navigateur ou les paramètres de confidentialité, comme valides
    une demande de désinscription de ce navigateur. Cette exigence a été introduite
    spéculation selon laquelle les entreprises devront traiter les Do existantes
    Ne pas suivre les signaux comme une vente. Les règles semblent avoir changé
    pour empêcher une telle interprétation en exigeant
    contrôle <...> doit clairement informer ou informer l'utilisateur
    entend renoncer à la vente "et" prétendre que
    les consommateurs optent pour l'opt-out
    De plus, la confidentialité basée sur un navigateur est soumise à des réglementations modifiées
    le contrôle doit avoir la priorité en tant qu'instruction utilisateur
    entend refuser de vendre des informations personnelles, même si
    contredit une autre déclaration de confidentialité (bien que la société
    suivi avec l'utilisateur en cas de conflit).
• Affaires sans direct
  relations avec les consommateurs enregistrées auprès du procureur général
  les intermédiaires de données (article 1798.99.80 du code civil) doivent uniquement fournir
  avis sur la collecte d'informations personnelles et les droits des consommateurs
  l'inscription de leur courtier de données (§ 999.305). Selon
  règles modifiées, courtier de données – défini comme entreprise
  qui recueille et vend des informations personnelles sur les utilisateurs avec qui
  il n'a pas de relation directe, peut satisfaire son observation
  obligations en incluant un lien dans votre politique de confidentialité en ligne
  dépôt d'une inscription de courtier en données. La politique de confidentialité est un must
  inclure des instructions sur la façon dont l'utilisateur peut soumettre un avertissement
  demande au courtier.
• Évaluation des nouvelles données des consommateurs
  exigences liées à l'utilisation financière
  incitations (§999.336). L'ACCP interdit les affaires
  discriminer les utilisateurs qui ont exercé leur vie privée
  mais autorise explicitement les entreprises à proposer des
  des incitations à titre de compensation pour le consentement à fournir des informations; et
  consentir aux pratiques d'information de ces entreprises. Selon
  les règles modifiées sont désormais interdites aux entreprises
  incitation financière si elle ne peut pas calculer une estimation d'équité
  les valeurs des données utilisateur ou montrent que l'incitation
  est raisonnablement liée à la valeur des données utilisateur.
  Le règlement modifié fournit également trois nouveaux exemples illustratifs
  (sans l'exemple ci-dessus)
  entre les pratiques discriminatoires et non discriminatoires.

10 étapes de base à suivre pour vous préparer
Conformité

Étant donné les exigences potentiellement complexes de l'ACCP, il décrit
règles modifiées et ce qui pourrait figurer dans les dispositions finales,
sur la base de notre connaissance des initiatives de l'industrie et de ce que nous avons
vu d'autres faire cette période d'incertitude, oui
fournir des mesures pratiques que vous pouvez prendre dès maintenant pour vous préparer
CCPA basé sur le risque et tenant compte de l'industrie émergente
pratique:

1. Assis sur la clôture, mais non
   rassurez-vous – des politiques et des opérations peuvent être nécessaires
   en attendant le reg final. En général
   les exigences d'alerte sont restées assez cohérentes
   différents projets de règlement, et nous constatons que peu probable
   ces exigences seront considérablement modifiées avant l'entrée en vigueur.
   Si vous ne l'avez pas déjà fait, il est temps de vous installer
   exige la divulgation de votre politique de confidentialité, essentiellement
   politique ou un avis distinct de la Californie.
   En outre, de nombreuses entreprises n’ont pas encore mis en œuvre les politiques et les
   procédures (ou du moins celles qui s'appliquent aux échanges interentreprises et
   Ressources humaines). Les entreprises devraient considérer les domaines qui le feront
   impact significatif sur votre entreprise et envisagez immédiatement
   les décisions opérationnelles à prendre, y compris la planification, la budgétisation et
   évaluations possibles des fournisseurs de conformité.
2. Reconsidérer / confirmer votre
   approche de l'acquisition de clients et votre décision de savoir si
   votre entreprise vend des informations personnelles en vertu de la CCPA.
   Basé sur un traitement possible des adresses IP et autres
   identifiants et accès au consentement
   de certains consommateurs, les entreprises réévaluent leur taille d'origine
   décisions de divulguer que leurs activités commerciales, marketing et / ou
   les pratiques de traitement des données sont
   CCPA. Beaucoup envisagent également de nouvelles techniques de marketing et de vente
   les acquisitions de clients qui dépendent moins du reciblage et
   publicité basée sur les intérêts, le cas échéant
   vente de renseignements personnels en vertu de l'ACCP,
   ou des mesures d'application ultérieures par California AG.
3. Mettre en œuvre le "Ne pas
   Vendez l'attitude et la fonction maintenant. "Pas besoin
   L'abandon des ventes nécessite un remplacement plus rapide et plus complexe
   que de traiter d'autres types de demandes. Si votre entreprise vend
   informations personnelles, il est maintenant temps de personnaliser les vôtres
   les procédures de traitement des demandes de refus. Les options incluent un effet de levier
   méthodes industrielles telles que Internet Advertising Bureau (IAB)
   Système de conformité CCPA ou Digital Advertising Alliance (DAA)
   Un système qui implémente les outils des fournisseurs, notamment OneTrust, TrustArc,
   ou BigID, ou en créant vos propres méthodes manuelles.
4. Créer des procédures conformes
   pour vérifier et gérer les demandes de connaissance et de suppression.
   Le règlement modifié oblige les entreprises à «créer,
   documenter et suivre une méthode de vérification raisonnable
   les demandes des utilisateurs et décrire la vérification générale
   processus dans votre politique de confidentialité. Il est maintenant temps de décider comment le vôtre
   l’entreprise vérifiera et répondra à ces demandes en fonction des
   informations que vous collectez et / ou utilisez et créez-les
   documents de procédures internes et descriptions des données pour permettre
   – se conformer rapidement aux multiples exigences décrites
   règles modifiées en temps opportun. Cela va non seulement le réduire
   l'usurpation d'identité, mais elle permettra également de rationaliser et de réduire le nombre
   la charge de gérer et de répondre à votre organisation.
5. Préparez-vous à répondre à
   demandes des utilisateurs. La plupart des organisations se soucient
   leur traitement des utilisateurs primaires et d'autres formes de consommateurs
   Demandes (et rapport potentiel ressources humaines / entreprises)
   depuis 2021 1 janvier) présente deux nouvelles approches
   se préparer à:
   1. En développant un
      Livret contenant des procédures et
      demander des modèles de confirmation de réception,
      requêtes, fournissant les informations demandées et satisfaisant l'utilisateur
      opportunités
   2. Le bureau mène
      exercices avec les parties prenantes concernées pour garantir:
      l'entreprise est prête à répondre à vos questions et à vous assurer de cet appel
      centres, centres de soutien, réceptionnistes et fonctions de chat
      et sait où rediriger les demandes des utilisateurs
6. Envisagez d'autres moyens et
   méthodes de suivi des demandes des personnes concernées. Mettez à jour vos coordonnées
   capacités de gestion pour faire face au fardeau accru causé par
   règles modifiées. Ces règlements modifiés spécifiquement
   prétendre que le format de ticket ou de magazine peut être utilisé pour gérer les entrées
   liés aux demandes des consommateurs. De nombreuses entreprises personnalisent Jira,
   ZenDesk ou d'autres systèmes de billetterie, ou lorsque vous envisagez de nouveaux outils
   par Transcend, Clarip, Informatica ou ceux inclus dans les plus grands
   les outils offerts par TrustArc, NYMITY et OneTrust.
7. Vérifiez votre protection des données
   Pièces jointes (DPA) et accords avec les fournisseurs sur les données
   contrôle. Évaluez où vos pratiques de données commerciales sont utilisées
   suivre les règles modifiées pour l'entretien
   fournisseurs de services et options disponibles pour le fournisseur de services
   les informations personnelles de vos clients pour améliorer ses produits; et
   (et n'est pas considéré comme un tiers incapable de posséder
   responsabilité limitée des fournisseurs de services en vertu de la CCPA). Ar
   les entreprises devraient recevoir d'un fournisseur ou fournir des données à un vendeur
   examiner et mettre à jour leur modèle et les APD en cours à la lumière
   changé les règles qui autorisent les fournisseurs de services à utiliser
   informations sur l'amélioration des clients et des produits et services.
8. Justifier les incitations financières
   impliquant l'information des consommateurs. Règlements modifiés
   interdire les incitations financières si l'entreprise est incapable de mesurer
   valeurs des données utilisateur ou ne peut pas prouver que
   l'incitation est raisonnablement liée à la valeur des données. Comportement
   une description de vos programmes d'incitatifs financiers pour les entreprises
   maintenant (y compris toute tarification dynamique ou remise basée sur les données
   programmes, programmes de fidélisation ou démos liés à la divulgation, la suppression ou la suppression d'informations
   ventes de données utilisateur) et comparer ces programmes avec des exemples
   sont donnés dans les règles modifiées pour vous aider à améliorer
   directives de prix.
9. Accepter «intelligent
   normes de sécurité dans toute votre entreprise. CCPA
   offre une «sécurité raisonnable» comme défense portuaire sûre
   avant le recours collectif. Règlements modifiés en plus
   exigeant la «sécurité intelligente» dans d'autres contextes tels que
   vérification des utilisateurs et réponse et gestion des données
   requêtes des utilisateurs. Vous devez choisir et mettre en œuvre la bonne
   normes définissant une sécurité raisonnable pour ces situations. Beaucoup
   les organisations se préparent à l'ACCP en éliminant les échappatoires
   évaluations contre CIS20, ISO / IEC 27002: 2013, NIST
   Système de cybersécurité ou autres systèmes de sécurité. Par l'un
   minimal, de nombreuses entreprises planifient leurs contrôles de sécurité
   CIS20, Safe Harbor Protection contre les revendications classiques en vertu de la CCPA.
   A voir "
   Cinq étapes pour réduire le risque de réclamations de catégorie CCPA: ce dont les entreprises ont besoin
   ce qui doit être fait pour accroître la sécurité des données"et"
   Soyons intelligents: des instructions plus claires sur les informations minimales
   Normes de sécurité. "
10. Envisagez de le rendre public
    commentaires en réponse à la modification du règlement. les réglementations modifiées sont complètes et comportent de nombreuses
    impact involontaire sur les entreprises. De nos discussions avec nos clients,
    de nombreuses entreprises considèrent l'apprentissage automatique comme une promesse et un avantage
    et des technologies artificielles pour les entreprises innovantes (telles que
    voitures connectées et véhicules autonomes, santé numérique / personnalisé
    médecine et publicité appropriée, adaptée et adaptée)
    être retardé si les consommateurs abandonnent la tendance générale dans les années à venir
    quelques années. Informez AG de la reprise de votre entreprise
    règles modifiées. Tous les commentaires du public doivent être faits
    2020 25 février

* Kyra Baffo est originaire de Fenwick & West et
contribué à cet article.

Le contenu de cet article est pour une présentation générale
guide sujet. Les spécialistes doivent être consultés
sur vos circonstances spécifiques.

ARTICLES POPULAIRES: Confidentialité des États-Unis