Come rispettare il California Consumer Privacy Act (CCPA)

Approvato dal legislatore californiano nel giugno 2018, è entrato in vigore a partire dal 1 ° gennaio 2020. Il procuratore generale della California è responsabile dell’applicazione della legge.
Il California Consumer Privacy Act (CCPA) offre ai residenti in California molti nuovi diritti su come vengono raccolte e usate le loro informazioni personali.
Le conseguenze per il mancato rispetto dei requisiti CCPA potrebbero essere gravi. Ci può essere una sanzione civile fino a $ 7.500 per ogni violazione, inoltre i residenti in California possono ottenere fino a $ 750 a seconda dei casi.
Il legislatore californiano dovrebbe ricevere pressioni significative e richieste di modifica da una varietà di organizzazioni che raccolgono e utilizzano informazioni personali dei residenti in California.
Il procuratore generale della California ha sviluppato una guida specifica su come le organizzazioni devono conformarsi al CCPA.

Come si applica il CCPA

Il CCPA si applica a tutte le organizzazioni che raccolgono la California le informazioni personali dei residenti e che soddisfano almeno una delle seguenti condizioni:
• ha un reddito lordo annuo superiore a $ 25 milioni;
• acquista, riceve, vende o condivide annualmente le informazioni personali di 50.000 o più residenti, famiglie o dispositivi in ​​California; e
• deriva il 50% o più delle sue entrate annuali dalla vendita di informazioni personali dei residenti della California.
La legge conferisce ai residenti della California i seguenti diritti fondamentali:
• il diritto di richiedere che categorie e tipi specifici di informazioni personali unìorhanzzazione raccolga, tipi di fonti, scopi commerciali per la raccolta o la vendita delle informazioni e le categorie di terzi con cui il le informazioni sono condivise;
• il diritto di richiedere la cancellazione delle informazioni personali raccolte;
• il diritto di annullare la vendita delle informazioni personali raccolte; e
• il diritto alla parità di servizio e prezzo in caso di esercizio dei diritti CCPA.
La legge proibisce anche alle organizzazioni di vendere informazioni personali sui residenti in California di età inferiore a 16 anni, a meno che tali residenti autorizzino esplicitamente la vendita.
Mentre la legge sulla privacy della California si applica solo alle informazioni personali dei residenti in California, molte organizzazioni raccolgono informazioni di residenti provenienti da più Stati. Tali organizzazioni dovranno decidere se gestire tutte le informazioni personali secondo i requisiti CCPA o creare processi separati per gestire solo le informazioni personali della California.

Creare un file di informazioni personali

Il CCPA definisce ampiamente le informazioni personali come informazioni che “identificano, si riferiscono a, descrivono, sono in grado di essere associate o potrebbero essere ragionevolmente collegate, direttamente o indirettamente, a un determinato consumatore [Residente in California] o famiglia.”
Esempi di informazioni personali
• identificativi personali, incluso il vero nome, indirizzo postale, e-mail, indirizzo, numero di previdenza sociale, numero di patente di guida o passaporto;
• informazioni biometriche;
• dati di geolocalizzazione;
• cronologia di navigazione in Internet;
• informazioni professionali o relative all’occupazione; e
• inferenze tratte da informazioni personali per creare un profilo di un residente in California.

Al fine di attuare i controlli e i processi appropriati per proteggere le informazioni personali, le organizzazioni devono creare un inventario che identifica e mappa come e quando tali informazioni vengono raccolte, utilizzate, immagazzinate e distrutte, così come come vengono inviate al fuori dell’organizzazione.
Un inventario di informazioni personali può anche aiutare a identificare le opportunità di pseudonimizzare o deidentificare le informazioni personali raccolte.
Le organizzazioni più piccole possono essere in grado di inventariare manualmente le loro raccolte informazioni personali, ma probabilmente saranno le organizzazioni più grandi
ad aver bisogno di utilizzare uno strumento di mappatura dei dati come OneTrust o BigID.

Implementare le migliori pratiche di sicurezza informatica

La conformità al CCPA richiederà alle organizzazioni di implementare adeguati controlli e processi di sicurezza. La legge consente ai residenti in California di ricevere un risarcimento se
le loro informazioni personali sono “soggette ad accesso non autorizzato ed estrazione, furto o divulgazione a seguito della violazione da parte dell’azienda che ha il dovere di attuare e mantenere ragionevoli procedure di sicurezza ed esecuzione “.
Non è necessario reinventare la ruota; basta basare il proprio programma di sicurezza informatica su un insieme ampiamente utilizzato e accettato di migliori pratiche di cibersicurezza, come il NIST Cybersecurity Framework o il Center for Internet Security’s Critical.
A un livello elevato, il processo di violazione delle informazioni personali dovrebbe includere:
• una procedura dettagliata per la notifica al procuratore della California e i partner commerciali appropriati del tipo di informazioni che la notifica fornirà e chi all’interno dell’organizzazione eseguirà la notifica in caso di violazione delle informazioni personali;
• una procedura dettagliata per l’impatto dei residenti in California cui la violazione delle informazioni personali verrà notificata e con quale rapidità avverrà la notifica.

tratto da: Steven Weil, direttore della sicurezza delle informazioni e consulente principale della sicurezza informatica