Terze parti e California Consumer Privacy Act (CCPA)

Nell'ambiente di dati in continua evoluzione di oggi, le aziende di tutto il mondo si affidano a partnership con terze parti per guidare i propri sforzi aziendali. La nostra economia basata sui dati consente alle organizzazioni di creare coinvolgimento dei clienti, aumentare la conoscenza dei consumatori e aumentare le entrate, ma con le nuove restrizioni che il CCPA sta imponendo alle organizzazioni, l'uso di dati di terze parti è un ricordo del passato? Fortunatamente, per molte organizzazioni, rispettare questa restrizione nel CCPA sarà semplicemente una questione di identificare i fornitori di terze parti, definire tali relazioni all'interno dei contratti e implementare processi per conformarsi alle nuove regole di rinuncia alla vendita.

Per iniziare, le organizzazioni dovranno capire come il CCPA definisce le terze parti. Secondo la Sezione 1798.140 (w) una "terza parte" indica una persona che non è una delle seguenti:

1. L'azienda che raccoglie informazioni personali dai consumatori sotto questo titolo.
2. Una persona a cui l'azienda divulga le informazioni personali di un consumatore per uno scopo commerciale ai sensi di un contratto scritto, a condizione che il contratto:
   1. Vieta alla persona che riceve le informazioni personali da:
      1. Vendere le informazioni personali.
      2. Conservazione, utilizzo o divulgazione delle informazioni personali per qualsiasi scopo diverso dallo scopo specifico dell'esecuzione dei servizi specificati nel contratto, incluso il mantenimento, l'utilizzo o la divulgazione delle informazioni personali per uno scopo commerciale diverso dalla fornitura dei servizi specificati nel contratto .
      3. Conservazione, utilizzo o divulgazione delle informazioni al di fuori del rapporto commerciale diretto tra la persona e l'azienda.
   2. Include una certificazione rilasciata dalla persona che riceve le informazioni personali che la persona comprende le restrizioni di cui alla lettera (A) e le rispetterà.

Questo non deve essere confuso con un "fornitore di servizi", che il CCPA definisce come un soggetto giuridico che " elabora informazioni per conto di un'azienda e al quale l'azienda divulga le informazioni personali di un consumatore per uno scopo commerciale ai sensi di un contratto scritto " . Ciò significa che l'organizzazione aziendale stessa e i suoi fornitori di servizi che utilizzano i dati secondo le istruzioni non sono considerati terze parti. Tuttavia, molte altre organizzazioni che scambiano dati con un'azienda rientrerebbero nella categoria di terze parti.

Affinché le organizzazioni possano determinare come gestire queste relazioni con i fornitori, dovranno iniziare creando un elenco di tutti i fornitori e le terze parti che ricevono dati dall'organizzazione. Come menzionato nel nostro precedente blog su CCPA vs. GDPR , in questo processo dovrebbe essere utile disporre di una mappa dei dati esistente dai preparativi del GDPR. La mappa dei dati dovrebbe includere tutte le organizzazioni con cui la tua azienda condivide i dati, nonché lo scopo della condivisione dei dati. Ti richiederà di considerare anche tutte le aree funzionali della tua organizzazione, dall'ingegneria alle risorse umane alla finanza. È probabile che la tua azienda condivida dati al di fuori del solo sviluppo del prodotto per condurre attività quotidiane, di cui è necessario tenere conto.

Una volta che hai compreso dove vengono inviati i tuoi dati al di fuori dell'organizzazione, ti consigliamo di rivedere i contratti con tali organizzazioni per valutare i diritti che il partner/fornitore ha sui dati e determinare se saranno necessarie ulteriori valutazioni dell'impatto sulla privacy. La terza parte può utilizzare i dati solo allo scopo di fornire alla tua organizzazione i servizi designati o è in grado di agire in qualità di responsabile del trattamento e determinare cosa può essere fatto con i dati (È anche importante notare che sebbene il CCPA non abbia il linguaggio del titolare/responsabile del trattamento (a differenza del GDPR), può essere utile identificare titolari e responsabili del trattamento nei contratti in modo da sapere chi è il decisore quando si tratta di condividere i dati tra le organizzazioni)? Se è quest'ultimo, la tua organizzazione dovrà probabilmente rivelare questa relazione con i tuoi consumatori, oltre a offrire loro un'opzione per "rinunciare" alla vendita dei loro dati.

È qui che le cose potrebbero diventare complicate e interrompere molte relazioni commerciali basate sui dati. A causa dell'ampia definizione di dati di "vendita" ai sensi del CCPA, le organizzazioni dovranno davvero rivedere le loro relazioni fornitore/partner per determinare a chi potrebbero "vendere" dati e se dovranno aggiungere la funzione "Opt Out" a il loro sito web. Come promemoria, secondo la Sezione 1798.140 (t) "Vendere", "vendere", "vendita" o "venduto" significa:

1. vendere, affittare, rilasciare, divulgare, diffondere, mettere a disposizione, trasferire o comunicare in altro modo oralmente, per iscritto o con mezzi elettronici o altri mezzi, le informazioni personali di un consumatore da parte dell'azienda a un'altra azienda o a una terza parte dietro compenso monetario o di altro valore .
2. Ai fini di questo titolo, un'azienda non vende informazioni personali quando:
   1. Un consumatore utilizza o dirige l'attività per divulgare intenzionalmente informazioni personali o utilizza l'attività per interagire intenzionalmente con una terza parte, a condizione che la terza parte non venda anche le informazioni personali, a meno che tale divulgazione non sia coerente con le disposizioni del presente titolo. Un'interazione intenzionale si verifica quando il consumatore intende interagire con la terza parte, attraverso una o più interazioni deliberate. Passare il mouse sopra, disattivare l'audio, mettere in pausa o chiudere un determinato contenuto non costituisce l'intenzione del consumatore di interagire con una terza parte.
   2. L'azienda utilizza o condivide un identificatore per un consumatore che ha rinunciato alla vendita delle informazioni personali del consumatore allo scopo di avvisare terzi che il consumatore ha rinunciato alla vendita delle informazioni personali del consumatore.
   3. L'impresa utilizza o condivide con un fornitore di servizi le informazioni personali di un consumatore necessarie per svolgere un'attività commerciale se sono soddisfatte entrambe le seguenti condizioni: servizi che il fornitore di servizi svolge per conto dell'impresa, a condizione che anche il fornitore di servizi non vendere le informazioni personali.
      1. L'azienda ha comunicato che le informazioni vengono utilizzate o condivise nei suoi termini e condizioni coerenti con la Sezione 1798.135.
      2. Il fornitore di servizi non raccoglie, vende o utilizza ulteriormente le informazioni personali del consumatore se non quando necessario per raggiungere lo scopo commerciale.
   4. L'azienda trasferisce a una terza parte le informazioni personali di un consumatore come un bene che fa parte di una fusione, acquisizione, fallimento o altra transazione in cui la terza parte assume il controllo di tutta o parte dell'attività a condizione che le informazioni vengano utilizzate o condiviso coerentemente con le Sezioni 1798.110 e 1798.115. Se una terza parte altera materialmente il modo in cui utilizza o condivide le informazioni personali di un consumatore in modo materialmente incompatibile con le promesse fatte al momento della raccolta, deve informare preventivamente il consumatore della pratica nuova o modificata. L'avviso deve essere sufficientemente evidente e solido da garantire che i consumatori esistenti possano facilmente esercitare le loro scelte in conformità con la Sezione 1798.120. Questo comma non autorizza un'azienda ad apportare modifiche sostanziali e retroattive all'informativa sulla privacy o ad apportare altre modifiche alla propria informativa sulla privacy in modo tale da violare la Legge sulle pratiche sleali e ingannevoli (Capitolo 5 (a partire dalla Sezione 17200) della Parte 2 della Divisione 7 del Codice delle Imprese e delle Professioni).

È un modo davvero lungo per dire che un'organizzazione potrebbe non ricevere necessariamente un pagamento in cambio di informazioni personali, ma potrebbe comunque essere considerata una "vendita" di dati. Ad esempio, nel contesto della posta elettronica, un mittente può rendere disponibili le informazioni raccolte sui propri abbonati (tramite monitoraggio o raccolta online) a un'organizzazione di analisi di terze parti per fornire informazioni demografiche dettagliate. Non viene scambiato denaro, poiché la terza parte aggiunge i dati forniti dal mittente dell'e-mail al proprio database più ampio. Poiché la terza parte sta ora ottenendo i dati per uso proprio o per l'uso di altri clienti, rientrerebbe nell'ambito della terza parte come definito dal CCPA, nonostante non venga scambiato denaro. Ciò significa che il mittente dell'e-mail dovrebbe fornire ai propri abbonati un modo semplice per disattivare la trasmissione dei propri dati a questa terza parte. Aggiungendo un altro livello di complessità, le organizzazioni dovranno comunicare a tutte le loro terze parti quando un consumatore esercita i propri diritti, richiedendo in genere alle organizzazioni di implementare misure tecniche per garantire un processo regolare.

Quindi, dove lascia la tua organizzazione? Sebbene possa sembrare un processo davvero noioso, tutto ciò che viene menzionato è indispensabile per garantire che la tua organizzazione e le aziende con cui lavori siano conformi una volta che il CCPA entrerà in vigore. Le multe potrebbero arrivare fino a $ 7500 per violazione intenzionale, con conseguenti multe dell'ordine di milioni per le organizzazioni che non sono conformi. Nessuno vuole essere di fronte a una multa multimilionaria per aver trascurato di assicurarsi che le loro relazioni con terzi siano abbottonate.

Il CCPA continua ad evolversi, ma è importante che la tua organizzazione inizi a organizzare il processo di gestione dei fornitori per essere preparata quando entrerà in vigore. Sebbene questo sia l'ultimo post programmato nella nostra serie CCPA , continueremo a pubblicare post ad hoc man mano che la legge sarà finalizzata, quindi restate sintonizzati!