Introducing G2.ai, the future of software buying.Try now
Categoria Crittografia

CCPA: Tutto quello che devi sapere

Ottobre 15, 2019
Merry Marwig, CIPP/US
MMC
da Merry Marwig, CIPP/US

In questo post

In questo post

In seguito alla vasta copertura mediatica dello scandalo Facebook-Cambridge Analytica, della violazione dei dati di Equifax e di innumerevoli altre violazioni di dati note, i consumatori sono diventati più consapevoli di come i loro dati personali vengono utilizzati e abusati dalle aziende.

Nel 2016, l'Unione Europea ha approvato il Regolamento Generale sulla Protezione dei Dati (GDPR) che mira a proteggere i dati e la privacy dei consumatori. Negli Stati Uniti, non esiste una legge nazionale simile. In assenza di una legislazione completa sulla privacy dei consumatori a livello federale, il membro dell'assemblea della California Ed Chau ha presentato il disegno di legge 375, che è poi diventato la legge sulla privacy più severa e completa della nazione: il California Consumer Privacy Act (CCPA). “La California ha compiuto un passo storico nell'emanare una legislazione per proteggere i bambini e i consumatori, dando loro il controllo sui propri dati personali. I consumatori dovrebbero avere il diritto di scegliere come le loro informazioni personali vengono raccolte e utilizzate dalle aziende. Sono i tuoi dati, la tua privacy, la tua scelta,” ha detto il membro dell'assemblea Ed Chau quando il disegno di legge CCPA è stato approvato.

Questo è un cambiamento ben accolto dai consumatori, ma cosa significa tutto questo per le aziende? 

Buona domanda. Le aziende e i gruppi industriali si sono spesso lamentati del fatto che il CCPA, così com'è scritto, è vago e in alcune aree incoerente con le leggi attuali. Le recenti linee guida e gli emendamenti di ottobre 2019 hanno aiutato a chiarire quelle ambiguità e a rimuovere le incoerenze nella legge. Ma con definizioni e doveri in continua evoluzione, le aziende sono ora in una corsa contro il tempo per implementare un programma di privacy conforme prima che il CCPA e i suoi emendamenti entrino in vigore il 1° gennaio 2020. Rendendosi conto che mettere insieme un programma di privacy internamente potrebbe lasciare le aziende a rischio, molte si stanno rivolgendo a consulenti, fornitori di servizi e venditori di software per garantire la conformità alla legge.

Che cos'è esattamente il CCPA e a chi si applica?

Il California Consumer Privacy Act (CCPA) è una legge sulla privacy e la protezione dei consumatori che dà ai consumatori della California un maggiore controllo sui dati personali che le aziende raccolgono, vendono e condividono. I consumatori avranno accesso ai dati relativi a quali informazioni personali vengono raccolte e quali informazioni sono state condivise o vendute, e a chi sono state vendute. Gli individui avranno anche la possibilità di rinunciare alla raccolta e alla vendita dei loro dati personali e, per legge, non saranno discriminati per aver richiesto queste informazioni o per essersi opposti alla raccolta dei dati.

Il CCPA si applica alle aziende a scopo di lucro che operano nello stato della California che soddisfano uno o più dei seguenti requisiti:

    • Hanno ricavi annui lordi superiori a 25 milioni di dollari
    • Acquistano o ricevono annualmente informazioni personali di 50.000 o più consumatori, famiglie o dispositivi
    • Derivano il 50% o più dei loro ricavi annuali dalla vendita dei dati personali dei clienti

Il CCPA non si applica ai dati dei consumatori raccolti o venduti interamente al di fuori della California, né si applica alle organizzazioni non profit.

Sapere dove la tua azienda memorizza i dati dei consumatori

Per conformarsi al CCPA, è necessario sapere dove la tua azienda memorizza i dati dei consumatori. Molte aziende realizzano questo completando un inventario dei dati, seguito da un'indagine sul flusso dei dati per comprendere come i dati vengono utilizzati all'interno e all'esterno dell'organizzazione.

Le domande a cui le aziende dovrebbero essere in grado di rispondere includono: dove vengono ottenuti e memorizzati i dati dei consumatori, e se dovrebbero essere protetti; se i dati dei consumatori soddisfano i requisiti del CCPA al momento della raccolta; che tipo di dati dei consumatori sono e per quali scopi aziendali vengono utilizzati; quali terze parti hanno accesso ai dati e come li categorizzano; e se i dati devono essere crittografati, redatti, anonimizzati o eliminati.

Definizione di informazioni personali secondo il CCPA

“Informazioni personali” significa informazioni che identificano, si riferiscono a, descrivono, sono in grado di essere associate a, o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, a un particolare consumatore o famiglia. (Riferimento 1798.140). Questo non include le informazioni pubblicamente disponibili che sono rese disponibili dai registri governativi federali, statali e locali.

Tipi di dati personali protetti dal CCPA:

I dati dei consumatori protetti dal CCPA includono:

    • Identificatori come un nome reale, alias, indirizzo postale, identificatore personale unico, indirizzo IP, indirizzo email, nome account, numero di previdenza sociale, numero di patente di guida, numero di passaporto o altri identificatori simili.
    • Informazioni commerciali, inclusi i registri di proprietà personali, prodotti o servizi acquistati, ottenuti o considerati, o altre storie o tendenze di acquisto o consumo.
    • Informazioni biometriche, incluse le caratteristiche fisiologiche, biologiche o comportamentali di un individuo, incluso il DNA di un individuo, immagini dell'iride, retina, impronta digitale, volto, mano, modelli di vene, registrazioni vocali, impronte facciali, un modello di minuzie, impronte vocali, modelli o ritmi di battitura, modelli o ritmi di andatura, e dati sul sonno, salute o esercizio contenenti informazioni identificative.
    • Informazioni sull'attività di rete Internet o altre attività elettroniche, inclusa la cronologia di navigazione, la cronologia delle ricerche e le informazioni riguardanti l'interazione di un consumatore con un sito web, un'applicazione o una pubblicità.
    • Dati di geolocalizzazione
    • Informazioni audio, elettroniche, visive, termiche, olfattive o simili.
    • Informazioni professionali o relative all'occupazione che non sono pubblicamente disponibili.
    • Informazioni educative che non sono pubblicamente disponibili.
    • Inferenze tratte per creare un profilo su un consumatore che rifletta le preferenze, le caratteristiche, le tendenze psicologiche, le preferenze, le predisposizioni, il comportamento, gli atteggiamenti, l'intelligenza, le abilità e le attitudini del consumatore.
    • “Identificatore probabilistico” significa l'identificazione di un consumatore o di un dispositivo con un grado di certezza più probabile che non basato su qualsiasi categoria di informazioni personali incluse, o simili, alle categorie enumerate nella definizione di informazioni personali.
    • “Identificatore unico” o “Identificatore personale unico” significa un identificatore persistente che può essere utilizzato per riconoscere un consumatore, una famiglia o un dispositivo collegato a un consumatore o famiglia, nel tempo e attraverso diversi servizi, inclusi, ma non limitati a, un identificatore di dispositivo; un indirizzo IP; cookie, beacon, tag pixel, identificatori pubblicitari mobili o tecnologia simile; numero cliente, pseudonimo unico o alias utente; numeri di telefono, o altre forme di identificatori persistenti o probabilistici che possono essere utilizzati per identificare un particolare consumatore o dispositivo. Ai fini di questa sottosezione, “famiglia” significa un genitore o tutore legale e qualsiasi figlio minore su cui il genitore o tutore ha la custodia.
    • Dati storici; i consumatori hanno il diritto di accedere ai dati risalenti agli ultimi 12 mesi.
    • Tipi di categorie di dati raccolti sui consumatori e venduti o condivisi a terze parti.

Anonimizza tutti i dati dei consumatori che puoi

Una buona notizia: i dati de-identificati, anonimizzati o aggregati non sono soggetti al CCPA. Dove possibile per la tua azienda, riduci la quantità di informazioni personali identificabili (PII) memorizzate nei tuoi sistemi.

Dati de-identificati secondo il CCPA

“Dati de-identificati” significa informazioni che non possono ragionevolmente identificare, riferirsi a, descrivere, essere in grado di essere associate a, o essere collegate, direttamente o indirettamente, a un particolare consumatore, a condizione che un'azienda che utilizza informazioni de-identificate (1798.140).

La de-identificazione dei dati, o l'anonimizzazione dei dati, include l'eliminazione di identificatori personali come nomi e quasi identificatori come le date di nascita. Il CCPA vieta che i dati de-identificati vengano re-identificati e richiede controlli per garantire che i tentativi di farlo siano proibiti.

Crittografa, maschera, pseudonimizza e redigi i dati dei consumatori che devi conservare.

Cos'è la crittografia? Oltre ad essere la tua salvezza riguardo alla legislazione CCPA, la crittografia è un modo in cui le aziende possono convertire i loro dati sensibili in codice, rendendoli illeggibili a chiunque tranne a coloro che hanno le chiavi di decrittazione.

Il CCPA richiede esplicitamente alle aziende di crittografare le informazioni personali identificabili (PII) detenute sui consumatori. Questo per prevenire l'uso nel caso in cui i dati vengano illegalmente hackerati, divulgati, rubati o divulgati. Per soddisfare questi requisiti, il software di crittografia utilizza la crittografia per mascherare file, testo e dati, proteggendo le informazioni da parti indesiderate. I dati crittografati vengono trascritti in testo cifrato dove diventano inutilizzabili per coloro che non hanno una chiave di crittografia per decrittare le informazioni. Le aziende utilizzano questi strumenti per garantire che i loro dati sensibili siano protetti anche in caso di violazione.

 

Pseudonimizzazione dei dati secondo il CCPA

Questo rende le informazioni personali non più attribuibili a un consumatore specifico senza l'uso di informazioni aggiuntive, a condizione che le informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche e organizzative per garantire che le informazioni personali non siano attribuite a un consumatore identificato o identificabile.” (1798.140).

Il mascheramento dei dati, o l'offuscamento dei dati, è una strategia per prevenire l'uso improprio dei dati da parte dei dipendenti o delle minacce interne. I dati dei consumatori mantengono le loro caratteristiche identificative come la fascia d'età e il codice postale, per esempio, ma rimuovono le informazioni identificative come nomi, indirizzi, numeri di telefono e altri dati sensibili. Questo consente all'azienda di utilizzare dati realistici per test e sviluppo, senza esporre informazioni personali identificabili agli utenti quotidiani. Il software di mascheramento dei dati protegge i dati importanti di un'organizzazione mascherandoli con caratteri casuali o altri dati in modo che siano ancora utilizzabili dall'organizzazione ma non da forze esterne.

La redazione dei dati è un metodo in cui le informazioni vengono conservate, ma sono visibili solo agli utenti con le giuste autorizzazioni. Ad esempio, invece di mostrare a un utente non privilegiato il numero di previdenza sociale di un consumatore, l'utente non privilegiato vedrebbe xxx-xx-xxxx.

Software di conformità al CCPA

Che tipo di software stanno utilizzando le aziende per conformarsi al CCPA? In breve, un'intera gamma di software e servizi di protezione dei dati, tra cui:

Software:

  • Software per la privacy dei dati - Il software per la privacy dei dati viene utilizzato per trovare, organizzare e fornire dati sensibili in modo che mantenga gli standard di conformità.
  • Software di inventario o mappatura dei dati - Il software di inventario dei dati aiuta le aziende a scoprire dove si trovano i loro dati sensibili.
  • Software di sicurezza centrata sui dati - Il software di sicurezza centrata sui dati aiuta le aziende a scoprire la loro scoperta dei dati, gestire le politiche, gestire il controllo degli accessi e monitorare l'uso dei dati.
  • Software di prevenzione della perdita di dati (DLP) - Il software DLP facilita l'identificazione e la scoperta dei dati, oltre a rilevare perdite o usi impropri dei dati.
  • Software di governance dei dati - Il software di governance dei dati applica le politiche relative ai dati e mantiene la qualità dei dati.
  • Software di crittografia - Il software di crittografia consente alle aziende di memorizzare in modo sicuro i dati dei consumatori in modo che gli hacker non possano utilizzarli in caso di violazione dei dati.
  • Software di gestione delle chiavi di crittografia - Il software di gestione delle chiavi di crittografia gestisce l'amministrazione, la distribuzione e la memorizzazione delle chiavi di crittografia.
  • Software di mascheramento dei dati - Il software di mascheramento dei dati maschera i dati dei consumatori raccolti da un'azienda con caratteri casuali o altri dati in modo che siano inutilizzabili da attori esterni, ma ancora utilizzabili all'interno dell'organizzazione.
  • Software di risposta agli incidenti - Il software di risposta agli incidenti aiuta a fermare le violazioni dei dati.
  • Software per il contact center - Secondo il CCPA, le aziende devono fornire un numero verde per i consumatori della California per richiedere i loro dati o richiedere la cancellazione. Il software per il contact center può aiutare a gestire queste chiamate.
  • Software di gestione del rischio dei fornitori - Il software di gestione del rischio dei fornitori aiuta a garantire che i tuoi fornitori utilizzino correttamente i tuoi dati.
  • Software di gestione delle richieste di accesso ai dati dei soggetti (DSAR) - Il software di gestione DSAR offre un modo per gestire le richieste dei consumatori per informazioni personali o richieste di cancellazione dei dati.
  • Software di gestione del consenso o delle opzioni di adesione/uscita - Il software di gestione del consenso traccia le richieste di opt-out per evitare la vendita o la distribuzione non autorizzata dei dati dei consumatori.
  • Software di gestione delle politiche e degli avvisi - Il software di gestione delle politiche e degli avvisi gestisce termini, condizioni e divulgazioni.
  • Software di gestione delle divulgazioni - Il software di gestione delle divulgazioni consolida le informazioni sulla conformità.
  • Software di gestione del rischio di terze parti e fornitori - Il software di gestione del rischio di terze parti e fornitori raccoglie e gestisce i dati di rischio dei fornitori per proteggere le aziende da problemi come violazioni dei dati o non conformità.

Servizi:

  • Servizi di privacy - I consulenti di servizi di privacy assistono le aziende nel raggiungere la conformità al CCPA e ad altre normative sulla privacy.
  • Fornitori di servizi di sicurezza dei dati - I fornitori di servizi di sicurezza dei dati assistono le aziende nella protezione dei dati.
  • Fornitori di servizi di risposta agli incidenti - I fornitori di servizi di risposta agli incidenti assistono negli sforzi di rimedio dopo un attacco informatico.

Quindi, il CCPA è una legge sulla sicurezza informatica?

In breve, sì. Il CCPA è sia una legge sulla privacy dei consumatori che una legge sulla sicurezza informatica, poiché prescrive come le aziende devono proteggere le informazioni personali identificabili (PII) dei consumatori e i dati correlati in caso di violazione dei dati. In particolare, il CCPA sottolinea la necessità di crittografare e anonimizzare i dati identificabili dei consumatori per evitare multe.

Multe per mancata crittografia secondo il CCPA

Qualsiasi informazione personale dei consumatori non crittografata o non redatta che venga hackerata, rubata, accessibile da un utente non autorizzato o altrimenti divulgata è soggetta ad azione civile per recuperare danni non inferiori a 100 dollari e non superiori a 750 dollari per consumatore per incidente, o danni effettivi, a seconda di quale sia maggiore. (Parafrasi della Sezione 1798.150)

Sanzioni per non conformità al CCPA

Se il Procuratore Generale della California notifica a un'azienda la non conformità al CCPA, l'azienda deve correggere tali violazioni entro 30 giorni o potrebbe essere soggetta a sanzioni civili. La non conformità intenzionale comporterà multe fino a 7.500 dollari per ogni violazione. (Parafrasi della Sezione 1798.155)

Violazioni dei dati e ricorso legale dei consumatori

Non ti sei preoccupato di crittografare i tuoi dati sensibili dei consumatori? Preparati a sborsare del denaro. I consumatori hanno ricorso legale se scoprono che i dati dei consumatori in testo semplice, non crittografati o non redatti sono stati hackerati, rubati o altrimenti divulgati a causa dell'incapacità dell'azienda di mantenere protocolli di sicurezza ragionevoli. I consumatori devono notificare all'azienda la divulgazione dei loro dati personali e le aziende hanno 30 giorni per risolvere il problema. Se il problema non viene risolto in modo soddisfacente in quel momento, i consumatori possono notificare al Procuratore Generale (AG) e l'AG determinerà se perseguire l'azienda. Se l'AG ritiene che l'azienda abbia violato intenzionalmente le disposizioni del CCPA, l'azienda potrebbe essere responsabile di sanzioni civili fino a 7.500 dollari per ogni violazione. Se l'AG non persegue entro 6 mesi, i consumatori possono intraprendere un'azione civile per recuperare danni per un importo non inferiore a 100 dollari e non superiore a 750 dollari per incidente, possono chiedere ai tribunali un sollievo ingiuntivo o dichiarativo, o qualsiasi altro sollievo ritenuto opportuno dai tribunali.

Emendamenti al CCPA

Le aziende hanno a lungo sostenuto che il CCPA ha linee guida di conformità vaghe, che le tempistiche sono irrealizzabili e che contiene obblighi contrastanti nei confronti dei consumatori basati su leggi esistenti. L'11 ottobre 2019, sono stati approvati diversi emendamenti al CPPA per fornire chiarimenti, affrontare incongruenze e fornire estensioni delle tempistiche di conformità a determinati gruppi.

Uno sguardo al futuro delle normative sulla privacy

Il CCPA è solo l'inizio. Guardando avanti, le aziende dovrebbero aspettarsi un mosaico di regolamenti sulla privacy nei prossimi anni. Oltre la metà degli stati americani ha presentato qualche tipo di legislazione sulla privacy dei consumatori nel 2019, ma molti di quei disegni di legge non sono ancora diventati legge. Stati come il Connecticut, la Louisiana e il Texas hanno approvato leggi che istituiscono task force sulla privacy dei consumatori per studiare la questione.

Un mosaico di regolamenti sulla privacy basati sugli stati renderà ancora più difficile raggiungere la conformità. La legislazione sulla privacy è stata discussa a livello federale negli Stati Uniti per sostituire la legislazione degli stati, ma i disegni di legge si sono bloccati al Congresso. Indipendentemente da ciò, le aziende possono aspettarsi più regolamenti sulla privacy dei dati nel prossimo futuro. Inizia a preparare le tue strategie aziendali per adattarti a un panorama legale in evoluzione.

*Disclaimer: Non sono un avvocato e non sto offrendo consulenza legale. Se hai domande legali, consulta un avvocato autorizzato.*

Vuoi saperne di più su Software di crittografia? Esplora i prodotti Crittografia.

Merry Marwig, CIPP/US
MMC

Merry Marwig, CIPP/US

Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.

Esplora altri articoli di G2

Qual è il software di service desk più votato per le grandi imprese?
Il miglior software di automazione per le aziende di servizi
Software di conformità alla sicurezza più raccomandato per uso aziendale
Quale piattaforma offre le funzionalità di fatturazione legale più accurate?