Califórnia - Mantendo sua tradição como um pioneiro na legislação de privacidade relacionadas nos EUA - passou a lei mais estrita privacidade de dados na nação, a Califórnia Consumer Privacy Act (CCPA), que será executável janeiro 1, 2020, para a frente.
Definir para dar aos consumidores e usuários na Califórnia (doravante referida como “consumidores”) maior controlo da sua informação pessoal, esta lei autoriza os consumidores a cinco novos direitos, e impõe correspondentes obrigações legais sobre as empresas que se enquadram na bito da CCPA.
Mas quais são estes cinco direitos, e o que elas significam para os consumidores e empresas? Let do desembaraçá-los abaixo.
1. Direito de saber
Os Capacita CCPA consumidores, dando-lhes o direito de saber não só o que informações pessoais de negócios recolhe sobre eles, mas também se essa informação é compartilhada com terceiros.
Este direito é um conceito central em leis de privacidade em todo o mundo. Além do CCPA, ele também pode ser visto na UE de Regulamento Geral de Protecção de Dados, Índia Proteção Bill Dados Pessoais, e do Brasil Lei Geral de Protecção de Dados, entre muitos outros.
Implicações práticas
Se você é um negócio:
À luz deste direito, você precisa criar ou atualizar a política de privacidade do seu website, e declarar o seguinte nele:
- Categorias de informações pessoais que coletamos de consumidores (v.g., identificadores, como nomes e endereços de e-mail)
- Finalidade de recolher esta informação (v.g., marketing de email)
- Categorias de fontes dessas informações (v.g., o site da empresa)
- Se e por que essas informações são compartilhadas com terceiros (v.g., para processar inscrições em boletins informativos e entregar boletins)
- Que tipo de terceiros são (v.g., comercialização de plataformas de automação como Mailchimp)
Depois de atualizar sua política de privacidade, não fechá-lo apenas ainda! Você vai precisar de fazer mais algumas atualizações, como você vai descobrir mais tarde neste artigo.
Se você é um consumidor:
Para descobrir quais informações pessoais de negócios coleta sobre você eo que ele faz com essas informações, rever a política de privacidade do negócio. Se você não consegue encontrar um, você pode registrar uma reclamação com o Procurador Geral da Califórnia é (Chhag) escritório.
2. Direito de solicitar a exclusão
O texto dos estados CCPA, “É quase impossível para se candidatar a um emprego, educar uma criança, dirigir um carro, ou marcar uma consulta sem compartilhar informações pessoais." De fato, na era digital, simplesmente participando em atividades diárias implica a transferência de informações pessoais.
Para dar aos consumidores mais controle sobre sua privacidade, o CCPA dá aos consumidores é o direito de solicitar um negócio excluir qualquer informação pessoal que tenha recolhido a partir deles.
Feito famoso pela PIBR como o direito de “ser esquecido,” o CCPA traz este conceito de privacidade para os EUA pela primeira vez.
Implicações práticas
Se você é um negócio:
Você precisa escrever em sua política de privacidade o que um consumidor precisa fazer para ter suas informações pessoais apagados do seu sistema.
Note-se que o texto do CCPA frases especificamente este direito como o direito de solicitar a eliminação, em vez de como o direito de eliminação. Isso é porque você pode negar o pedido de um consumidor, com base em certas exceções definidas na lei.
Familiarize-se com as seguintes exceções, como você é obrigado a explicar-lhes o consumidor se você negar um pedido de.
Se você é um consumidor:
Para descobrir como você pode agir em seu direito de solicitar a eliminação, leia a política de privacidade do negócio. Se você não consegue encontrar esta informação ou se a empresa não responder dentro 45 dias, você pode trazê-lo para a atenção do CAG.
3. Direito de optar por sair de Dados Venda
O CCPA traz aos consumidores um direito bastante singular: o direito de simplesmente dizer um negócio, “não vender as minhas informações pessoais.”
Através disso “Não vender minhas informações pessoais” (DNSMPI) provisão, a lei dá ao consumidor o direito de objeto para um negócio de venda de suas informações pessoais a terceiros.
“Vender” aqui não significa que os leigos geralmente acha que isso significa, ter restrições muito mais amplas sobre como os dados empresas punho. As definições do CCPA de venda e venda inclui “venda, transação, libertando, divulgação, disseminador, disponibilizando, transferência, ou de outro modo a comunicar por via oral, por escrito, ou por meios electrónicos ou outros” para um ganho valioso (não necessariamente monetária).
Com Nevada também ter uma disposição semelhante em sua nova lei de privacidade, é apenas uma questão de tempo antes que a cláusula DNSMPI se torna banal em todos os estados.
Implicações práticas
Se você é um negócio:
Você precisa incluir um link em sua página intitulado “Não vender minhas informações pessoais.” Os consumidores devem ser capazes de encontrar este link facilmente, assim colocá-lo em algum lugar óbvio, como no rodapé do seu site. Você também vai precisar atualizar sua política de privacidade para incluir instruções sobre o processo de DNSMPI e um link DNSMPI.
Ao deliberar sobre os pedidos DNSMPI, Tenha em mente a definição ampla de venda. Mesmo usando um serviço gratuito de terceiros (v.g., widgets de mídia social) pode qualificar-se como “venda” dados se você ganhar “consideração preciosa” em troca da transferência de dados de consumo para que o serviço.
Se você é um consumidor:
Se você quiser sair da venda dos seus dados pessoais, você só precisa clicar no link DNSMPI de um determinado site e siga as instruções. Tal como acontece com qualquer outro direito, se você não consegue encontrar este link, você pode reclamar com o CAG.
4. Direito de Acesso
Quando o CCPA se torna executória, consumidores ganharão o direito de acessar as informações pessoais que uma empresa detém sobre eles.
Isso soa um pouco semelhante ao direito de saber que discutimos anteriormente. assim, qual é a diferença?
Enquanto uma empresa pode cumprir com o direito de saber por simplesmente afirmando a informação relevante (i.e., o que uma empresa poderia ou pode recolher) na sua política de privacidade, sob o direito de acesso, eles devem fornecer aos consumidores com cópias dos dados.
Em outras palavras, o direito de saber se refere a coleta de dados como (ou antes) ocorre, Considerando que o direito à pertence o acesso aos dados reais recolhidos após o fato.
O ato de um consumidor enviar um pedido a um regime de direito de acesso é chamado de dados Assunto Pedido de Acesso (primário).
Implicações práticas
Se você é um negócio:
Para facilitar o direito de acesso, as empresas têm as seguintes obrigações legais:
- Disponibilizar pelo menos dois métodos através dos quais os consumidores podem apresentar as suas DSARs, Incluindo
- Responder a cada DSAR dentro 45 dias (prorrogável por uma causa “razoável” e anunciou para um adicional 45 dias), sem nenhum custo para o consumidor, e em formato escolhido do consumidor (i.e., eletronicamente ou por correio).
- Explique em sua política de privacidade como enviar uma DSAR.
– um número de telefone toll-free;
– endereço de um site (se sua empresa tem um site).
Sua resposta DSAR deve explicar o seguinte (pelo menos):
- Se sua empresa tem a informação pessoal sobre o consumidor
- Que categorias de informações pessoais que você tem sobre o consumidor
- Por que essa informação é necessária para o seu negócio
- cópias reais da informação
Se você é um consumidor:
Vocês (ou alguém que você autorize a agir em seu nome) pode-se afirmar seu direito de acessar suas informações pessoais até duas vezes em qualquer período de 12 meses a partir da mesma empresa.
Leia a política de privacidade de uma empresa para descobrir como enviar uma DSAR, e se você não pode encontrar essa informação - você adivinhou - trazê-lo ao conhecimento do CAG.
5. Direito à Igualdade de serviços e preços
em essência, este meio certos de que uma empresa não pode discriminar contra os consumidores que optam fora da venda dos seus dados (ou agir em qualquer dos seus direitos CCPA).
Sob o CCPA, meios “discriminar”:
uma. Recusando-se a fornecer bens ou serviços
b. Fornecimento de bens ou serviços de diferentes qualidade ou de preço
c. O que implica que você pode fazer (uma) ou (b) caso o opt out consumidor
Implicações práticas
Se você é um negócio:
Como um negócio, enquanto os consumidores valer os seus direitos CCPA pode causar danos, você não pode discriminá-los, cortando seu nível de serviço ou cobrar-lhes um preço diferente.
Há uma exceção: você pode oferecer um nível diferente de serviço ou o preço “se essa diferença é razoavelmente relacionada com o valor fornecido ao consumidor por dados do consumidor.”
Esta isenção é bastante vago - profissionais de compliance, consumidores, e os empresários terão de esperar para ver como ele joga fora.
Se você é um consumidor:
Isso permite certas que você agir sobre os seus direitos CCPA sem medo de uma retaliação de negócios contra você.
resumo
Com a PIBR em 2018 eo CCPA em 2020, as leis de privacidade em todo o mundo são tasking empresas com maior transparência, prestação de contas, e controlo de utilizador, e que ofereçam aos consumidores mais direitos dados do que nunca.
Se você é um consumidor ou proprietário de uma empresa, a compreensão destes direitos é no seu melhor interesse. Agora que você entende as implicações do CCPA direitos ir em frente e se preparar para agir sobre os seus direitos e obrigações para que você tenha as atualizações e sistemas essenciais no lugar em janeiro 1, 2020.
Sobre o autor: Felix Sebastian
Felix Sebastian é o editor-gerente da termly, onde ele ajuda os empresários gerar políticas de privacidade e outros documentos legais importantes, implementar as melhores práticas de negócios, e cumprir com as leis de privacidade transnacionais. Ele é especialista em escrever e curadoria guias de conformidade e visões gerais de direito para os pequenos empresários. Siga-o no @AcademicEditor