La legge sulla privacy dei consumatori della California (CCPA) conferisce ai consumatori dei diritti che possono richiedere in qualsiasi momento di essere seguiti - questa è talvolta chiamata richiesta di accesso ai dati o DSAR.
Le aziende soggette al CCPA dovrebbero stabilire un processo formale per ricevere queste richieste, in modo da poter raccogliere tutti i dati e rispondere in modo conforme e tempestivo.
In questa guida vi insegno come orientarvi tra i requisiti DSAR del CCPA e vi fornisco i semplici passaggi che la vostra azienda può seguire per stabilire un processo interno efficiente.
Il CCPA richiede le DSAR?
La legge sulla privacy dei consumatori della California conferisce diritti ai consumatori e consente loro di presentare richieste alle aziende per ottenere il rispetto di tali diritti.
Nel testo della legge, questa è tecnicamente chiamata richiesta verificabile del consumatore, ma funzionalmente è lo stesso processo di una DSAR GDPR .
Il CCPA utilizza un linguaggio diverso da quello del GDPR, ma prevede diritti simili per i consumatori.
Il termine "DSAR" è nato con il Regolamento generale sulla protezione dei datiGDPR), un regolamento dell'UE. Si riferisce a quando un soggetto interessato(alias, il consumatore) presenta una richiesta per esercitare i propri diritti sulla privacy.
Quali diritti conferisce il CCPA ai consumatori?
Il CCPA conferisce ai consumatori californiani i seguenti diritti:
- Conoscere i dati personali raccolti su di loro
- Richiesta di accesso ai propri dati
- Richiesta di correzione/modifica dei propri dati
- Richiesta di cancellazione dei propri dati
- Rifiutare la condivisione o la vendita dei propri dati
- Rinuncia alla pubblicità mirata
- Non discriminazione per il rispetto dei diritti alla privacy
La vostra azienda deve essere pronta a ricevere e a rispondere a una DSAR per i diritti che il CCPA concede ai consumatori, che possono presentare in qualsiasi modo, tra cui:
- Moduli online
- Impostazioni di opt-out del browser
l'azienda è tenuta a verificare l'identità del consumatore e a rispondere prontamente alla richiesta.
Come navigare nel CCPA e nelle DSAR: Passo dopo passo
Di seguito sono riportati sei passaggi che le aziende possono seguire per semplificare la navigazione nei requisiti DSAR del CCPA.
Fase 1: Requisiti per la verifica dell'identità
Ai sensi del CCPA, la vostra azienda deve verificare l'identità dei consumatori che presentano richieste, quindi è meglio stabilire un processo DSAR formale che il vostro team può seguire per raggiungere adeguatamente questo obiettivo.
In questo modo si evita di rilasciare accidentalmente informazioni personali alla persona sbagliata, il che costituirebbe una violazione diretta della legge.
Potete verificare l'identità dei consumatori ai sensi del CCPA confrontando le informazioni contenute nella DSAR con i dati che avete già raccolto su di loro.
Se necessario, l'utente può richiedere ulteriori dettagli, ma deve essere cancellato immediatamente dopo.
Fase 2: Informazioni da includere nella risposta
Successivamente, è necessario definire un processo formale per individuare tutti i dati personali raccolti dall'azienda. In questo modo, il team può individuare tutte le informazioni che devono essere incluse nella risposta.
Inoltre, tenete presente la sicurezza dei dati per evitare violazioni o accessi non autorizzati.
Ad esempio, questo processo potrebbe includere
- Eseguire una verifica dei dati per individuare tutti i dati personali raccolti dall'azienda.
- Limitare chi ha accesso a queste informazioni nel vostro team e per quanto tempo.
- Formare i membri del team incaricati di rispondere alle DSAR.
Fase 3: Tempi di risposta
Assicuratevi che il vostro team sia in grado di rispondere alle richieste di dati entro i tempi previsti dalla legge.
Il CCPA ha una tempistica di 45 giorni per rispondere alle DSAR, che può essere estesa di altri 45 giorni se la richiesta è complessa.
Tuttavia, le richieste di opt-out devono essere soddisfatte entro 15 giorni dal ricevimento della richiesta e non è possibile prorogare tale termine.
Fase 4: Rifiutare di rispondere
Indicare quando l'azienda deve rifiutarsi di rispondere a un DSAR, il che è consentito solo se:
- Non è possibile verificare l'identità del richiedente
- La richiesta è infondata
- La richiesta è eccessiva
Stabilire un processo è importante perché, secondo il CCPA, la vostra azienda è responsabile di dimostrare se un DSAR è infondato o eccessivo.
Dovete farlo in modo soddisfacente per il Procuratore Generale della California, altrimenti potreste ricevere una multa fino a 7.500 dollari per violazione della legge.
Le aziende devono anche rispondere al consumatore, spiegandogli il motivo per cui la sua richiesta iniziale è stata rifiutata e informandolo del suo diritto di ricorrere contro la vostra decisione.
Fase 5: Processo di ricorso per i consumatori
È inoltre necessario fornire ai consumatori californiani una procedura di ricorso in base alla decisione presa in merito al DSAR.
Il CCPA dà ai consumatori il diritto di appellarsi alla vostra decisione entro un periodo di tempo ragionevole, che dovete rendere noto.
Per il consumatore presentare un ricorso dovrebbe essere facile come presentare il DSAR originale.
Fase 6: tenere un registro delle risposte
Assicuratevi di tenere un registro sicuro e conforme alla legge di tutte le richieste che la vostra azienda riceve e a cui risponde.
Disporre di queste informazioni può aiutare l'azienda in caso di indagini o verifiche.
Utilizzo di Termly per i requisiti DSAR del CCPA
La gestione del consenso Platform di gestione del consenso Platform (CMP) di Termlyè dotata di un modulo DSAR incorporabile e gratuito che potete aggiungere al vostro sito web per soddisfare alcuni dei requisiti DSAR del CCPA.
Il modulo DSAR pone ai vostri consumatori domande essenziali che aiutano a semplificare vari aspetti del processo di risposta, tra cui i seguenti:
- Quale legge sulla privacy si applica all'utente
- Quale/i diritto/i si chiede di seguire
- Il loro nome e l'email principale che utilizzano per contattare il vostro sito web
Inoltre, contiene tutte le informazioni pertinenti sul processo di ricorso, come richiesto dal CCPA, rendendo la conformità un gioco da ragazzi.
Requisiti del collegamento CCPA
Il CCPA richiede inoltre che i soggetti coperti con siti web aggiungano i seguenti link al footer del loro sito:
- "Non vendete o condividete le mie informazioni personali".
- "Limitare l'uso dei miei dati personali sensibili".
Questi link devono portare direttamente a una pagina che consenta agli utenti californiani di esercitare facilmente il loro diritto di rinunciare alla vendita e alla condivisione dei dati e di limitare l'uso dei loro dati sensibili.
È anche possibile utilizzare un unico link che conduce a una pagina che consente agli utenti di agire su entrambi i diritti.
Il sito deve seguire questi requisiti di collegamento anche se si pubblica un modulo DSAR separato.
Riassunto
Stabilire un processo di risposta DSAR è l'ideale per le aziende che desiderano semplificare la risposta alle richieste verificabili dei consumatori ai sensi del CCPA.
Ma ricordate di controllare anche altre vie, perché i consumatori potrebbero presentare richieste attraverso vari canali, come le e-mail o le piattaforme dei social media.
Alcune DSAR ai sensi del CCPA devono essere risolte entro 45 giorni, ma le richieste di opt-out devono essere soddisfatte entro 15 giorni.
l'aggiunta di risorse come il modulo DSAR al vostro sito web rende il processo più efficiente per la vostra azienda e per i consumatori della California.
Per saperne di più su chi scrive
Scritto da Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy è un avvocato specializzato in privacy con precedenti esperienze in materia di privacy e cybersecurity nel settore pubblico e privato. In qualità di ex Westin Fellow presso l'iAPP, ha pubblicato diversi articoli, white paper e infografiche e ha condotto, coordinato e moderato webinar e panel, tutti riguardanti la privacy e la tecnologia della privacy negli Stati Uniti. Anokhy ha conseguito un master presso la Carnegie Mellon University e un dottorato in giurisprudenza presso l'università di Pittsburgh. Per saperne di più su chi scrive
