CRM e piattaforme datiEcommerce e vendita al dettaglio

Perché la tua azienda deve prestare attenzione alla conformità al CCPA

La famosa cultura del surfista solare e rilassata della California smentisce il suo ruolo nello spostare le conversazioni nazionali su questioni scottanti attraverso l'approvazione di atti legislativi storici. La prima a passare tutto dall'inquinamento atmosferico alla marijuana medicinale alla legislazione sul divorzio senza colpa, la California sta guidando la lotta per leggi sulla privacy dei dati favorevoli ai consumatori.

Le California Consumer Privacy Act (CCPA) è la legge sulla privacy dei dati più completa e applicabile degli Stati Uniti. È difficile sopravvalutare il suo impatto sulle pratiche di privacy.

Cosa devi sapere sul CCPA

Le normative sulla privacy sono complesse, è vero. Ma sono gestibili per ogni azienda con il giusto approccio. Se sei all'inizio del tuo percorso di conformità alla privacy (musica che ispira spunti), ecco cosa devi sapere sul CCPA e sulla tua attività. 

La domanda da 25 milioni di dollari: il CCPA si applica a me?

La domanda numero uno che riceviamo dai clienti è: Quindi devo preoccuparmi del CCPA o no?

Il CCPA si applica alle aziende a scopo di lucro che operano in California, raccolgono e controllano le informazioni personali dei residenti in California e soddisfano uno dei seguenti requisiti:

  • Ricavi lordi annuali superiori a $ 25 milioni
  • Raccoglie informazioni personali da oltre 50,000 residenti, famiglie o dispositivi della California ogni anno *
  • Riceve il 50% o più delle entrate annuali dalla vendita delle informazioni personali dei residenti in California

*La soglia per le informazioni personali raccolte sarà aumentata a 100,000 nel 2023 quando il California Privacy Rights Act diventerà esecutivo.

Questo può sembrare solo per le grandi aziende. Non è. I ricercatori stimano fino a Il 75% delle aziende californiane realizza meno di 25 milioni di dollari di entrate annuali sarà condizionato dalla legge.

Riguarda l'individuo (diritti)

Il diritto individuale del consumatore di controllare il modo in cui vengono utilizzate le proprie informazioni personali è al centro del CCPA. I diritti codificati dal CCPA includono il diritto a:

  • Scopri quali informazioni stai raccogliendo su di loro e perché
  • Richiedi di eliminare le loro informazioni dai tuoi database
  • Scopri con quali società di terze parti condividi i loro dati o da cui acquisti i loro dati
  • Richiedi una risposta di attivazione prima di vendere i dati per chiunque abbia meno di 16 anni
  • Opt-out dalla vendita di informazioni personali

L'ultimo, il diritto di rifiutare la vendita di informazioni personali, è quello più importante. Con un'ampia definizione di ciò che costituisce la "vendita" dei dati (vendita, noleggio, rilascio, divulgazione, diffusione, messa a disposizione o trasferimento... delle informazioni personali di un consumatore per denaro or qualcos'altro di prezioso), questo requisito può essere il più scivoloso a cui aggrapparsi per le aziende.

Gestione delle richieste di diritti individuali

Se consenti a terzi di utilizzare i dati che raccogli per i propri scopi e devono essere conformi al CCPA, tu avere disporre di processi di mappatura dei dati sicuri ed efficienti che consentano di identificare, modificare e rimuovere le informazioni personali per i consumatori entro le tempistiche del CCPA.

Ciò significa che devi:

  • Disporre di procedure per l'invio dei diritti individuali di conoscenza/eliminazione delle richieste. Ciò dovrebbe includere almeno due modi per presentare le richieste.  
    • È richiesto un numero di telefono gratuito, ad eccezione delle attività solo online: un indirizzo e-mail può prendere il posto del numero verde.  
    • In genere, tutte le aziende possono fornire un modulo web o un indirizzo e-mail per inviare le richieste.
    • Prima di finalizzare i processi, consulta un professionista della privacy per assicurarti di fare le scelte giuste.
  • Sappi che puoi rispettare la rigorosa conferma della richiesta di 10 giorni e la sequenza temporale di completamento di 45 giorni
  • Sappi che il tuo team può identificare e verificare correttamente i record di informazioni sui consumatori 

Trasparenza con i denti

Con  requisiti rigorosi per aver informato i clienti sulle pratiche di raccolta dei dati, puoi ringraziare CCPA per tutti questi Aggiorna la nostra Informativa sulla privacy e-mail che hai ricevuto da ogni azienda a cui hai fornito il tuo indirizzo e-mail. 

Le informative sulla privacy conformi al CCPA devono essere accessibili e indicare in modo specifico il tipo di informazioni che stai raccogliendo, cosa ne fai e con chi le condividi. Deve inoltre specificare chiaramente i diritti dei tuoi consumatori. (Vedi sopra). 

Inoltre, devi dire ai consumatori tutto ciò al momento della raccolta o prima e fornire un (ovvio) Non vendere i miei dati personali pulsante sulla tua home page.

Barra laterale: se la tua politica sulla privacy è composta da quattro pagine di denso legalese, riscrivila in uno stile intuitivo. In questo modo aiuterai i tuoi clienti a capirlo e migliorerà la loro esperienza sul tuo sito. 

Tienilo segreto, tienilo al sicuro

CCPA richiede di mantenere ragionevoli procedure di sicurezza in atto per proteggere le informazioni sensibili dei consumatori. La legislazione non stabilisce cosa sia una "procedura di sicurezza ragionevole", ma la prima cosa che devi fare è assicurarti di comprendere l'intero ciclo di vita di un record di dati. Ciò significa che devi sapere quali informazioni raccogli, perché le raccogli, quando le raccogli, dove le conservi, per quanto tempo le conservi e con chi le condividi. 

Altre cose che dovrebbero assolutamente essere nella tua lista di cose da fare includono:

  • Limitazione e aggiornamento delle strutture di accesso autorizzative (sareste sorpresi di quante aziende dimenticano di rimuovere ex dipendenti dai propri sistemi)
  • Rafforzare i processi di aggiornamento software/hardware e patch della tua azienda in modo da non lasciare i tuoi sistemi vulnerabili agli hack
  • Creazione di policy aziendali per password complesse, utilizzo della VPN (nessun Wi-Fi pubblico!) e separazione dei dispositivi di lavoro/personali
  • Crittografia dei dati inattivi e quando vengono trasferiti ad altre società.

Dopo aver affrontato questi passaggi, prendi in considerazione una valutazione della privacy e della sicurezza per il tuo sistema ed per ciascuno dei tuoi fornitori di servizi.

Perché il CCPA davvero, Davvero Matters

Il CCPA è solo l'inizio. È la prima ampia legge americana sulla privacy dei dati, ma non è nemmeno vicina all'ultima. Essere conformi al CCPA consentirà alla tua azienda di adattarsi rapidamente ai cambiamenti che sono già visibili all'orizzonte. 

Altre normative sulla privacy sono in arrivo

Il successore del CCPA, il Legge sulla privacy della California (CPRA), è già stato approvato dagli elettori della California. CPRA chiarisce sezioni vaghe del CCPA, aggiunge ulteriori tutele per i consumatori e aggiunge l'esposizione alla responsabilità civile per la tua azienda se una violazione dei dati espone informazioni personali sensibili dei tuoi clienti. 

Escludendo il diritto di accesso, la CPRA, come è scritto ora, si applicherà alle informazioni personali che raccogli dai tuoi clienti a partire dal 1 gennaio 2022. Ciò significa che, anche se la CPRA non entrerà in vigore fino a gennaio 2023, tu devono essere in grado di tracciare efficacemente i singoli record di dati entro la fine del 2021. 

Essere conformi al CCPA lo realizzerà in modo efficace e renderà molto più semplice il tuo viaggio verso la conformità al CPRA.

La CPRA ha anche aumentato notevolmente la probabilità di assistere a un'azione di contrasto rigorosa creando e finanziando la California Privacy Protection Agency, che avrà finanziamenti e personale significativi per gestire i reclami sulla privacy. Con l'applicazione del CCPA gestita dall'ufficio del procuratore generale della California, le aziende sono state in grado di aggirare il controllo o evitare di subire violazioni della privacy. Ciò sarà considerevolmente meno probabile con l'aumento del livello di controllo della CPRA.

Normative sulla privacy in altri Stati

Anche Nevada, Maine, Massachusetts, New York, Vermont e Illinois hanno leggi sulla protezione dei dati sui libri, sebbene differiscano in molti modi dal CCPA e non siano considerate una legge sulla privacy completa. Altri stati hanno fatture attive in sospeso. Anche se nessuna di queste leggi pendenti corrisponde agli standard della California, le probabilità sono molto alte che ci sarà un regolamento nel tuo stato nei prossimi cinque anni. Se riesci a rendere la tua azienda conforme al CCPA ora, soddisfare i requisiti futuri sarà più veloce, più efficiente e meno costoso.

Multe, commissioni, ingiunzioni, oh mio!

Niente è peggio per l'e-commerce di una violazione dei dati. Gli hack spesso si traducono in una pubblicità imbarazzantemente negativa, ma infliggono anche un duro colpo alla tua reputazione presso i consumatori che si traduce in vendite perse e entrate ridotte.

Non si tratta solo di fiducia dei consumatori, però. La non conformità presenta anche un rischio finanziario reale che potrebbe prosciugare le tue riserve mentre le vendite sono in calo.

Ai sensi del CCPA, la mancata risoluzione dei problemi di non conformità entro 30 giorni dall'avviso può comportare un'ingiunzione che potrebbe chiudere la tua attività. Potresti essere soggetto a una sanzione di $ 2,500-7,000 per record dallo stato della California. La soglia del CCPA per la raccolta dei dati è di 50,000 record all'anno. Essere addebitati $ 2,500 o $ 7,500 anche per una frazione di tanti record è un sacco di soldi.

Inoltre, i singoli clienti possono denunciarti direttamente in caso di violazione di dati non oscurati o non crittografati per un importo di $ 100-750 per record. 

Formazione, formazione, formazione

La ricerca lo stima 30% di tutti gli hack può essere attribuito a un errore umano interno e quasi 95% delle violazioni basate su cloud sono inavvertitamente causati da errori dei dipendenti.

Anche i migliori programmi di dati sulla privacy falliranno se i tuoi dipendenti e fornitori non lo capiranno. Inizia subito a formare i tuoi dipendenti sulla conformità al CCPA e sulle migliori pratiche sulla privacy dei dati. Se i tuoi fornitori non possono o non vogliono soddisfare le tue aspettative, trovane di nuovi. 

Prima di pensare che la privacy appartenga esclusivamente al mondo dei lavoratori IT, ricorda in quale mondo interconnesso, iperconnesso e di condivisione delle informazioni in cui viviamo. ufficio marketing al tuo team di vendita ai rappresentanti del servizio clienti, la conformità alla privacy e la formazione dovrebbero essere indirizzate a tutti i livelli della tua attività. 

Ci vuole tempo per sviluppare una forte cultura della consapevolezza della privacy, quindi non sprecarla ulteriormente.

Sii il bravo ragazzo

I dati sui consumatori non sono solo uno strumento: sono la valuta più preziosa del mondo. Devi custodirlo con la stessa attenzione con cui fai i tuoi brevetti, i diritti d'autore e le formule dei prodotti. Anche se tecnicamente il CCPA non si applica a te, i consumatori hanno poca tolleranza per le aziende che giocano a ritmo libero con le loro informazioni personali.

Invece di considerare i requisiti di privacy come un centro di costo, considerali come un valore aggiunto fondamentale che crea fiducia con i tuoi clienti e personalizza la loro esperienza.

Costruire il tuo futuro digitale

La fiducia digitale, o quanta fiducia gli utenti hanno sul fatto che un'azienda si stia comportando in modo etico online, sarà una questione chiave per i consumatori nel prossimo decennio. Ottenere la conformità al CCPA ora creerà le solide basi di cui hai bisogno per adattarti all'infrastruttura per la privacy dei dati che viene costruita intorno a te in tempo reale. Piuttosto che essere inscatolato, costruisci l'impalcatura per la pratica della privacy che ti farà risparmiare tempo e denaro a lungo termine.

Jodi Daniels

Jodi Daniels è un Practical Privacy Advisor (GDPR, CCPA, US Privacy Laws), Fractional Privacy Officer e fondatore e CEO di Consulenti del trifoglio rosso. Jodi è anche un Podcast Host e Keynote Speaker.

Articoli Correlati

Torna a pulsante in alto
Chiudi

Blocco annunci rilevato

Martech Zone è in grado di fornirti questi contenuti gratuitamente perché monetizziamo il nostro sito attraverso entrate pubblicitarie, link di affiliazione e sponsorizzazioni. Ti saremmo grati se rimuovessi il blocco degli annunci mentre visiti il ​​nostro sito.