À medida que a Califórnia decide o destino da lei de privacidade, mais CISOs podem ser atingidos por regulamentos de dados

Views: 374
0 0
Read Time:3 Minute, 5 Second

Os californianos decidirão amanhã se promulgarão novas regras regulatórias em uma iniciativa de votação apelidada de Lei de Direitos de Privacidade da Califórnia (CPRA).

A CPRA, vista pelos apoiadores como um patch para brechas na Lei de Privacidade do Consumidor da Califórnia (CCPA), criaria várias novas rugas para o pessoal de segurança e privacidade resolver, disse Bret Cohen, sócio na prática de privacidade e segurança cibernética na Hogan Lovells.

A CPRA, que entraria em vigor em 2023, amplia a cobertura da CCPA para incluir empresas que ganham dinheiro compartilhando dados privados em vez de apenas aquelas que os vendem. Expande explicitamente os regulamentos para anúncios de contexto cruzado. Ele cria direitos para que os consumidores corrijam informações, optem por não tomar decisões automatizadas e limitem a divulgação de dados “sensíveis” – uma nova classificação de dados. A lei também cria uma Agência de Proteção à Privacidade da Califórnia para supervisionar a regulamentação de privacidade.

“O montante que forçará os CISOs a mudar as práticas depende de quantos dos novos direitos eles se cruzam. Se você não fizer muitas dessas coisas, provavelmente não terá que mudar tanto”, disse Cohen.

Além disso, se aprovada, uma peculiaridade interessante na CPRA tornará mais difícil resolver problemas com a lei, caso surja algum. A CPRA limita explicitamente a capacidade dos funcionários eleitos de restringir as disposições.

“Se há um problema, isso é, em última análise, ruim para as empresas. E talvez até ruim para a democracia”, disse ele.

O propósito da provisão reflete a crença em algumas comunidades de privacidade de que o Estado provavelmente desfang o projeto de lei para apaziguar interesses corporativos de outra forma.

Com o escopo ampliado da CPRA, especialistas alertam que as empresas que antes não precisavam cumprir outros regimes regulatórios, como o CCPA ou o Regulamento Geral de Proteção de Dados na União Europeia, podem precisar fazer mudanças significativas.

“Muitas organizações de pequeno a médio porte que ainda não possuem um regime robusto de conformidade com o GDPR (e podem não precisar de uma) podem precisar fazer mudanças mais substanciais para serem compatíveis”, disse Jeremy Turner, chefe de inteligência de ameaças da Coalition, uma empresa de seguros que oferece apólices de GDPR e CCPA.

No entanto, em benefício dos consumidores, Turner disse esperar que a lei seja aprovada. Mas ele reconhece a necessidade de a nova agência oferecer orientações às empresas sobre como evitar multas e (mais importante) como evitar violações.

“Embora medidas fortes para impor normas de proteção de dados e proteger a privacidade dos consumidores sejam iniciativas bem-vindas, essa proposta pode estar avançando medidas punitivas e responsabilidade financeira em vez de orientação muito necessária e colaboração do setor”, disse ele.

A CPRA não é apenas o mais recente padrão de privacidade a ser introduzido na Califórnia, mas o mais recente padrão de privacidade do estado em um país rapidamente se dividindo em uma colcha de retalhos de 50 políticas de privacidade estatais separadas. Estados de Nova York ao Havaí e Dakota do Norte já oferecem leis estaduais sob medida.

Grupos empresariais têm argumentado que consumidores e empresas seriam melhor atendidos com um padrão de privacidade federal predominante. Os Estados, no entanto, expressaram alguma preocupação de que uma lei federal possa forçá-los a remover proteções que já colocaram em prática.

“Todas as empresas, independentemente do estado em que estão localizadas, merecem diretrizes nacionais claras sobre como gerenciar dados para melhor atender às necessidades de seus clientes”, argumentou Tom Quaadman, vice-presidente executivo da Câmara de Comércio dos EUA. “O Congresso deve aprovar uma legislação nacional de privacidade de dados que proteja todos os americanos igualmente e elimine uma confusa colcha de retalhos das leis estaduais.”

FONTE: SECURITY NEWS

POSTS RELACIONADOS