Mimecast Logo
Richiedi un preventivo
    Approfondimenti sulla Cyber Resilience
    Tutti gli argomenti
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Archive Data Protection

    Capire il CPRA: proteggere le informazioni personali sensibili e mantenere la conformità

    Comprendere la conformità CCPA/CPRA: Dare potere alla privacy dei consumatori e alla responsabilità delle imprese

    by Emily Schwenke

    Key Points

    • Esplora i diritti fondamentali previsti dal CCPA/CPRA, tra cui l'accesso, la cancellazione, le opzioni di opt-out e le protezioni più recenti come la correzione dei dati e la limitazione dell'uso dei dati sensibili.
    • Scopra come le aziende possono affrontare sfide come la governance dei dati, le minacce interne e la conformità normativa per salvaguardare le informazioni personali in modo efficace.

    Il CCPA/CPRA è una serie di normative progettate per dare ai residenti della California un maggiore controllo sulle loro informazioni personali e sul modo in cui le aziende possono raccoglierle e utilizzarle. Il California Consumer Privacy Act del 2018 ha definito una guida iniziale e il California Privacy Rights Act, approvato dagli elettori nel 2020, ha modificato e ampliato il CCPA. In questo articolo parleremo di queste importanti normative e delle responsabilità che le aziende hanno nei confronti dei consumatori per quanto riguarda i diritti CCPA/CPRA e le pratiche di privacy.

    Che cos'è il California Privacy Rights Act (CPRA)?

    La legge storica è iniziata con il CCPA nel 2018, assicurando diritti alla privacy più solidi per i consumatori in California. I pilastri fondamentali della legge sono incentrati sul consenso del consumatore e comprendono:

    • Il diritto di sapere: I consumatori hanno il diritto di sapere esattamente quali informazioni personali un'azienda raccoglie su di loro e come l'azienda utilizza e condivide tali dati.
    • Il diritto di cancellazione: I consumatori hanno il diritto di far rimuovere le loro informazioni dai database di un'azienda a loro discrezione (con alcune eccezioni).
    • Il diritto di opt-out: I consumatori possono rinunciare alla vendita o alla condivisione delle loro informazioni personali da parte dell'azienda.
    • Il diritto alla non discriminazione: Se un consumatore esercita uno di questi diritti ai sensi del CCPA, ha il diritto di non essere discriminato dai fornitori di servizi.

    Nel 2020, sono state votate ulteriori protezioni della privacy con il California Privacy Rights Act (CPRA), che modifica il CCPA. Essi includono:

    • Il diritto alla correzione: I consumatori hanno il diritto di far correggere le informazioni personali inesatte.
    • Il diritto di limitare: i consumatori possono limitare l'uso e la divulgazione delle loro informazioni personali sensibili.

    Le organizzazioni soggette al CCPA/CPRA devono rispondere alle persone che richiedono l'esercizio di questi diritti dei consumatori, anche consegnando avvisi che spieghino le loro pratiche sulla privacy. Il CPRA non è una legge completamente nuova, ma semplicemente un emendamento al CCPA esistente, per cui spesso ci si riferisce ad esse come ad un'unica legge, o come CCPA/CPRA.

    Il CPRA ha anche istituito l'Agenzia per la Protezione della Privacy della California, un'amministrazione esecutiva con il potere di implementare e applicare il CCPA secondo le necessità.

    A chi si applica il CPRA?

    Il CPRA si applica alle aziende e ai fornitori di servizi a scopo di lucro che operano in California e che soddisfano almeno una delle seguenti soglie:

    • Avere un fatturato lordo annuale superiore a 25 milioni di dollari.
    • Acquistare, vendere o condividere i dati personali di 100.000 o più consumatori o famiglie.
    • Ricavare 50% o più di entrate annuali dalla vendita o dalla condivisione di informazioni personali.

    È importante notare che il CPRA copre anche gli appaltatori e i fornitori di servizi che elaborano i dati per conto delle aziende coperte, rendendo la gestione dei fornitori e le valutazioni del rischio parte integrante dei programmi di compliance.

    Qual è la differenza tra il CCPA e il CPRA?

    Mentre il CCPA ha introdotto una protezione rivoluzionaria della privacy dei consumatori, il CPRA ha rafforzato e ampliato questi diritti. Le differenze principali includono:

    • Ambito dei dati personali: Il CPRA aggiunge una nuova categoria per i dati personali sensibili di "," dando ai consumatori il diritto di limitarne l'uso.
    • Applicazione più forte: Il CPRA ha creato il CPPA, un'agenzia indipendente dedicata all'applicazione e all'emissione di nuovi regolamenti sulla privacy.
    • Regole sulla conservazione dei dati: Le aziende devono informare i consumatori sulla durata di conservazione dei loro dati e implementare politiche formali di conservazione dei dati.
    • Diritti dei consumatori ampliati: Sono stati introdotti i diritti di correzione dei dati e di limitazione dei dati sensibili, aumentando le responsabilità di gestione della privacy.
    • Obblighi contrattuali: Il CPRA impone requisiti più severi sugli accordi con i fornitori di servizi, gli appaltatori e le terze parti, richiedendo loro di seguire gli standard del CPRA per l'elaborazione dei dati.

    Nuovi requisiti del regolamento CPRA

    La conformità comprende ora diversi obblighi aggiuntivi rispetto ai requisiti del CCPA. Questi includono:

    • Valutazioni del rischio: Le aziende impegnate nell'elaborazione di dati ad alto rischio devono condurre e documentare valutazioni periodiche delle loro attività di elaborazione.
    • Audit di cybersecurity: Alcune organizzazioni devono sottoporsi ad audit regolari per dimostrare l'efficacia dei controlli di sicurezza.
    • Minimizzazione dei dati & Conservazione: Possono essere raccolte solo le informazioni personali necessarie per lo scopo dichiarato e i periodi di conservazione dei dati devono essere comunicati chiaramente.
    • Governance dell'AI: Man mano che le aziende implementano strumenti di machine learning e AI, la CPRA prevede la necessità di quadri di governance dell'AI per prevenire l'uso improprio delle informazioni personali.

    Quadro di riferimento per la conformità al CPRA

    Le organizzazioni possono beneficiare di una lista di controllo di conformità strutturata per soddisfare gli obblighi del CPRA in modo efficiente. Un quadro solido comprende in genere:

    • Inventario dei dati & Mappatura: Identificare tutti i dati personali e sensibili, la loro ubicazione e il modo in cui fluiscono attraverso i sistemi.
    • Aggiornamenti delle norme sulla privacy: Assicurarsi che le comunicazioni sulla privacy illustrino l'accesso ai dati, la conservazione dei dati e i diritti dei consumatori in un linguaggio semplice.
    • Revisione dei contratti: Aggiornare gli accordi con i fornitori di servizi per includere i termini richiesti dal CPRA per l'elaborazione dei dati.
    • Tecnologia di gestione della privacy: Implementare strumenti di gestione della privacy per l'accettazione e il monitoraggio delle richieste dei consumatori.
    • Formazione & Consapevolezza: Conduca una formazione dei dipendenti sugli obblighi della legge sulla privacy e sulla prevenzione delle minacce interne.
    • Monitoraggio & Reporting: Utilizzi i cruscotti per misurare i progressi della conformità e prepararsi a potenziali audit CPPA.

    Cosa si qualifica come "dati personali sensibili" ai sensi del CPRA?

    Le seguenti categorie sono qualificate come "informazioni personali sensibili" ai sensi del CPRA:

    • Identificatori governativi: Numeri di identificazione rilasciati dal governo, come i numeri di previdenza sociale, i numeri di patente di guida, i numeri di carta d'identità statale o i numeri di passaporto.
    • Informazioni sull'account: Credenziali di accesso al conto, numeri di conti finanziari, numeri di carte di debito o di credito, codici di sicurezza, credenziali di accesso, password, ecc.
    • Dati di geolocalizzazione: Informazioni come indirizzo IP, dati di localizzazione GPS e dati RF Dati EXIF (Exchangeable Image File Format), che possono produrre coordinate geografiche per determinare una posizione fisica.
    • Origine razziale o etnica o stato di immigrazione.
    • Credenze filosofiche o religiose.
    • Appartenenza al sindacato.
    • Corrispondenza dei consumatori: Come la posta, le e-mail e i contenuti dei messaggi di testo (a meno che l'azienda non sia il destinatario della comunicazione).
    • Informazioni biometriche: O dati genetici che possono identificare in modo univoco un consumatore.
    • Informazioni personali: Riguardano la salute, l'orientamento sessuale o la vita sessuale di un consumatore.

    Le informazioni che identificano, collegano o potrebbero ragionevolmente riguardare la famiglia, le preferenze, le caratteristiche o il modo di comportarsi di un consumatore possono essere considerate categorie di informazioni personali.

    Il CPRA è stato concepito per dare ai consumatori il diritto di limitare l'uso e la divulgazione delle loro informazioni personali a quanto necessario alle aziende per fornire i loro beni e servizi. Queste aziende devono fornire un link chiaro sulla homepage del loro sito web, dove i consumatori possono cliccare per "Limitare l'uso delle mie informazioni personali sensibili" ed esercitare i loro diritti CPRA.

    Perché le aziende devono proteggere le informazioni personali?

    Ci sono diversi motivi cruciali per cui le informazioni personali sensibili devono essere protette.

    1. Fiducia e fedeltà dei clienti: Non solo la protezione dei dati personali sensibili aiuta a costruire e mantenere la fiducia dei clienti, ma salvaguarda anche i loro dati in caso di violazione, proteggendo i consumatori dal furto di identità. I consumatori sono anche più propensi a impegnarsi con le aziende che proteggono le loro informazioni, il che favorisce relazioni positive.
    2. Conformità legale: La protezione dei dati è richiesta dalla legge. Oltre al CCPA/CPRA, altre normative includono il Regolamento Generale sulla Protezione dei Dati (GDPR) nell'Unione Europea, HIPAA, HITRUST, PCI DSS e altro ancora. Le organizzazioni possono evitare sanzioni legali per le violazioni quando operano nel quadro normativo delle leggi sulla privacy dei dati.
    3. Ridurre al minimo i rischi e i costi: Una protezione dei dati efficace riduce al minimo il rischio di violazione dei dati, che può comportare multe, spese legali e costi di risoluzione della violazione. Le aziende possono anche subire perdite finanziarie significative a causa delle interruzioni della continuità aziendale.
    4. Gestione della reputazione: Quando si verificano delle violazioni di dati, la reputazione di un'organizzazione ne risente, perdendo consumatori. Le solide misure di protezione dei dati aiutano a prevenire le violazioni e a minimizzare la pubblicità negativa che deriva da una cattiva gestione dei dati sensibili dei consumatori.

    Se si verifica una violazione, le conseguenze possono essere gravi.

    • Sanzioni e multe: La mancata conformità alle leggi sulla protezione dei dati può comportare multe salate per le organizzazioni responsabili. Le sanzioni CCPA/CPRA hanno un tetto massimo di 7.500 dollari per violazione intenzionale e di 2.500 dollari per violazione non intenzionale. Può sembrare una cifra bassa, ma un solo dato del consumatore può rappresentare una single violazione. Nel caso di una violazione dei dati, in cui vengono compromessi migliaia di punti di dati, le sanzioni possono diventare rapidamente elevate.
    • Cause legali: Le persone o i gruppi colpiti dalle violazioni possono intentare cause contro le aziende che non proteggono i loro dati. Queste azioni legali possono diventare costose e lunghe, oltre che dannose per la reputazione dell'azienda.
    • Interruzioni operative: In alcuni casi, le violazioni dei dati possono comportare problemi di continuità operativa mentre viene gestita la fonte della violazione. La produttività persa durante questo periodo è anche costosa, così come le spese aggiuntive per il recupero dei dati e le potenziali riparazioni del sistema.
    • Perdita di fiducia dei consumatori: Le violazioni possono portare i clienti a cancellare i contratti o i consumatori a decidere di acquistare altrove, dove i loro dati possono essere più sicuri. Se un numero sufficiente di attività di un'azienda se ne va verso pascoli più sicuri, ciò può essere dannoso per l'azienda stessa.

    Le conseguenze e le sanzioni derivanti dalla mancata tutela dei dati personali sensibili possono essere significative, al di là della semplice violazione del CCPA/CPRA. Se da un lato queste norme hanno lo scopo di proteggere le informazioni personali dei consumatori, dall'altro sono anche un modo per le aziende di rassicurare i loro clienti sul fatto che operano in modo sicuro ed etico.

    Le sfide della protezione dei dati personali sensibili

    Proteggere le informazioni personali sensibili dei consumatori è un'impresa complessa, soprattutto nell'attuale panorama digitale in rapida evoluzione. Queste sono alcune sfide comuni che le organizzazioni possono incontrare quando intraprendono l'adesione alla compliance.

    Mancanza di consapevolezza delle informazioni di identificazione personale (PII).

    Molte aziende hanno difficoltà a ottenere una supervisione completa delle PII che possiedono, compreso dove vengono conservate e come vengono utilizzate. La mancanza di visibilità può lasciare delle lacune nella protezione delle PII.

    Complicazioni della migrazione al cloud

    Le aziende possono perdere la traccia o l'accesso ai dati che stanno migrando, con il risultato di:

    • Trasferimenti di dati incompleti.
    • Dati orfani nei sistemi legacy.
    • Misure di sicurezza incoerenti tra sistemi on-premise e cloud.

    Elevati volumi di dati

    La raccolta di dati può crescere in modo esponenziale. Le sfide che questo comporta includono:

    • Implementare misure di sicurezza in tutti i set di dati.
    • Gestire e monitorare i dati in modo efficiente.
    • Classificare e gestire correttamente i dati.

    Scarse pratiche di governance dei dati

    Con i grandi set di dati e gli elevati volumi di archiviazione, si presenta la difficoltà di supervisionare la governance dei dati, che può portare a..:

    • Mappatura dei dati incoerente tra i reparti.
    • Controlli di qualità insufficienti dei dati.
    • Mancanza di ruoli e responsabilità chiari per la gestione dei dati.

    Condivisione insicura dei dati nelle piattaforme di comunicazione

    Molte aziende utilizzano gli strumenti di collaborazione per unire le diverse forze di lavoro. Le comunicazioni in questi strumenti possono comportare la condivisione di dati non conformi alle politiche di utilizzo accettabile per la sicurezza dei dati. Questo si traduce in:

    • Esposizione accidentale di informazioni sensibili.
    • Difficoltà a tracciare e controllare il flusso di dati.
    • Maggiore rischio di fughe di dati attraverso canali non protetti.

    Regolamenti in evoluzione

    Con l'evoluzione del mondo digitale, si evolvono anche le norme sulla protezione dei dati che lo regolano. Tenere il passo con le modifiche normative in molte giurisdizioni può essere una sfida, soprattutto per le organizzazioni che operano a livello globale. La formazione continua dei dipendenti può aiutare a ridurre l'esposizione, ma è un processo continuo.

    Minacce interne

    Ogni dipendente e appaltatore che ha accesso a PII e altri dati sensibili è un endpoint per una potenziale violazione o esposizione, sia per dolo che per negligenza.

    Gestione del rischio di terzi

    Mantenere la sicurezza dei dati quando si contratta con fornitori e partner esterni che hanno accesso a dati sensibili può essere una sfida, soprattutto quando l'accesso coinvolge più dispositivi.

    Bilanciare la sicurezza con l'usabilità

    L'implementazione di forti misure di sicurezza, pur mantenendo sistemi e flussi di lavoro facili da usare, è una sfida costante per molte organizzazioni. I responsabili della sicurezza delle informazioni devono bilanciare le misure di protezione dei dati con la necessità di limitare lo shadow IT.

    Affrontare queste sfide richiede un approccio poliedrico alla protezione dei dati, che comprenda la formazione regolare dei dipendenti, le soluzioni tecnologiche e una cultura della sicurezza sul posto di lavoro.

    Impatto del CPRA

    Il CPRA ha effetti di vasta portata sia sulle aziende che sui consumatori. Per le aziende, aumenta le aspettative per la governance dei dati, formalizza i principi di conformità al GDPR (come la minimizzazione dei dati) ed eleva la privacy a questione di consiglio di amministrazione. Per i consumatori, significa una maggiore trasparenza, un controllo più forte sui dati personali e la possibilità di limitare il modo in cui le organizzazioni utilizzano le informazioni personali sensibili.

    In pratica, la conformità al CPRA aiuta a ridurre il rischio di violazioni, supporta le valutazioni del rischio e allinea le aziende alle normative globali sulla privacy, rendendo più facile operare nelle varie giurisdizioni. Se da un lato l'adempimento di questi obblighi richiede tempo e investimenti, dall'altro crea fiducia e migliora le relazioni a lungo termine con i clienti.

    Garantire la conformità CPRA con Mimecast

    Mimecast Aware offre una conformità in tempo reale per ecosistemi di collaborazione complessi che colma le lacune lasciate aperte da molte piattaforme tradizionali. Le organizzazioni possono garantire la conformità alla CCPA/CPRA con Aware grazie a una solida governance delle informazioni, al monitoraggio da una piattaforma centralizzata e alla ricerca federata e NLP leader del settore per supportare le indagini interne.

    Con le soluzioni di governance dei dati e di monitoraggio della conformità di Mimecast, le aziende possono mantenere una conformità costante con le pratiche di condivisione dei dati che:

    • Si integri con gli strumenti di collaborazione esistenti senza impattare l'esperienza dell'utente finale.
    • Risparmia tempo e risorse con modelli AI/ML proprietari che assicurano un minor numero di falsi positivi, riducendo l'affaticamento da allerta.
    • Consente ai team IT e di sicurezza di personalizzare le regole e le politiche per tenere traccia delle violazioni.
    • Affronta automaticamente le violazioni con il coaching in tempo reale dei dipendenti.
    • Conservi il contenuto che circonda un trigger di policy, in modo da poter comprendere il contesto completo.
    • Utilizzi i controlli di accesso basati sui ruoli (RBAC) e gli audit trail per prevenire le violazioni.
    • Contribuire a limitare e ridurre la dipendenza dalle soluzioni IT ombra.

    Collaborando con Mimecast, può assicurarsi che la sicurezza dei suoi dati sia conforme a tutte le normative CCPA/CPRA e ad altri regolamenti necessari. Richieda una demo per iniziare oggi stesso!

    Related Articles

    Archive Data Protection
    Zoom Backup e Archiviazione: Una guida completa
    Archive Data Protection
    Le 10 migliori pratiche di sicurezza di Slack per salvaguardare la collaborazione sul posto di lavoro
    Archive Data Protection
    Conformità HIPAA per Google Workspace

    Si abboni a Cyber Resilience Insights per altri articoli come questi.

    Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.

    Iscriviti con successo

    Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog

    Ci terremo in contatto!

    Back to Top