GDPR vs. CCPA: Tendințe în Legislația Recentă Privind Protecția Datelor la Nivel Global
Protecția datelor este peste tot astăzi. De la introducerea GDPR și nebunia globală în jurul său, au apărut noi legi în întreaga lume.
Vom reflecta asupra acestui subiect comparând GDPR cu CCPA.
Vom discuta subiecte precum:
- Starea actuală a legilor de protecție
- GDPR vs. CCPA: Protecția consumatorilor & protecția datelor
- GDPR vs. CCPA: Aplicabilitate
- GDPR vs. CCPA: Optare pentru înscriere vs. optare pentru retragere
- GDPR vs. CCPA: Transferurile internaționale de date
- GDPR vs. CCPA: Regulile privind încălcarea datelor
- GDPR vs. CCPA: Punerea în aplicare
- GDPR vs. CCPA: Drepturile subiecților datelor
Legislațiile naționale pot crea rapid confuzii pentru afacerile globale care operează online. De aceea, acestea preferă legi naționale ale căror cerințe sunt aliniate.
Când afacerile se întreabă cum să respecte legile de protecție a datelor la nivel mondial, ar prefera un răspuns simplu, cum ar fi: „Trebuie doar să faci asta, asta și asta, și ești în conformitate”.
În schimb, primesc răspunsul preferat al avocaților, dar cel mai temut de lume: „Depinde”.
Și asta e realitatea. Diferite țări introduc diferite legi cu diferite cerințe. Cu toate acestea, ele nu sunt la fel de diferite pe cât ar putea fi.
Hai să aruncăm o privire asupra legilor actuale privind protecția datelor și să vedem cum se compară.
Starea Actuală a Legilor de Protecție a Datelor
În general, există două tendințe predominante în legislația privind protecția datelor la nivel global:
- Protecție completă a datelor, asemănătoare cu protecția oferită de GDPR din UE, care include cerințe semnificative de transparență, responsabilitate, garantarea drepturilor subiecților datelor și multe măsuri de securitate a datelor, sau
- Legi de protecție a datelor mai puțin cuprinzătoare, care solicită o anumită transparență din partea afacerilor și oferă garanții pentru drepturile subiecților datelor.
Există diferențe între cele două și acestea nu sunt nesemnificative.
Majoritatea țărilor care au adoptat noi legi privind confidențialitatea datelor de la introducerea legislației emblematice europene încearcă să se alinieze la standardele acesteia. Unele dintre ele sunt aproape identice, în timp ce altele sunt foarte similare.
Pe de altă parte, Statele Unite ale Americii se abțin de la adoptarea unei legi federale privind confidențialitatea datelor. Lasa statele federale să-și adopte propriile legi.
Până acum, foarte puține dintre ele au astfel de legi, iar acestea nu sunt la fel de cuprinzătoare ca GDPR.
În cele mai multe cazuri, companiile globale fac afaceri în lumea dezvoltată, inclusiv în UE și SUA. Prin urmare, conformitatea cu legile de protecție a datelor la nivel mondial necesită respectarea celor două tendințe majore în ceea ce privește cuprinzătorul.
De asemenea, utilizatorii din ambele părți ale oceanului trebuie să înțeleagă aceste două tendințe pentru a-și înțelege mai bine drepturile.
Pentru a le explica mai bine, vom face o comparație între GDPR și CCPA.
Asta nu înseamnă că se aplică doar acestor două legi. Brazilia, Thailanda, Canada, Argentina, Turcia și multe alte țări au legi asemănătoare cu GDPR.
La momentul scrierii acestui articol, Colorado și Virginia urmează exemplul CCPA.
Vom compara GDPR cu CCPA, dar veți obține o idee despre diferențele dintre cele două.
Vom face această comparație prin prisma:
- Protecția consumatorilor vs. protecția datelor
- Aplicabilitate
- Principiul optare pentru înscriere vs. optare pentru retragere
- Transferurile internaționale de date
- Regulile privind încălcarea datelor
- Punerea în aplicare, și
- Drepturile subiecților datelor.
Protecția Consumatorilor vs. Protecția Datelor
GDPR este o lege privind protecția datelor. Este o lege distinctă care se ocupă de protecția datelor personale.
Legile statelor SUA care reglementează datele personale, pe de altă parte, fac parte din legile privind protecția consumatorilor. Legea din California se numește „California Consumer Protection Act”.
Legea din Virginia se numește „Consumer Data Protection Act”. Doar „Colorado Privacy Act” este legea statului Colorado, dar esența ei este foarte similară cu celelalte două legi.
GDPR se concentrează pe protecția datelor. Reglementează ce se întâmplă cu datele personale de la momentul colectării, trecând prin procesare, stocare și transfer, până la ștergerea datelor de care afacerea nu mai are nevoie.
CCPA se concentrează pe protecția consumatorului care, printre altele, are nevoie să i se protejeze informațiile personale.
GDPR se axează pe confidențialitatea datelor. CCPA se concentrează pe consumator.
Aplicabilitate
GDPR se aplică afacerilor care:
- Sunt înregistrate în UE, sau
- Colectează și/sau prelucrează date personale ale cetățenilor UE.
Așadar, se aplică tuturor afacerilor europene fără excepție și tuturor afacerilor globale care intră în contact cu datele personale ale cel puțin unui individ european.
Nu face distincție în funcție de dimensiunea afacerii. Se aplică oricărei afaceri care îndeplinește acest criteriu. Se referă atât la companii uriașe, cât și la magazine online mici sau bloguri.
CCPA, pe de altă parte, se aplică doar unui număr limitat de afaceri.
Se aplică doar afacerilor cu scop profitabil care colectează și prelucrează informații personale ale consumatorilor și fac afaceri în California, cu condiția ca afacerea să îndeplinească cel puțin unul dintre următoarele criterii:
- Au un venit brut anual de peste 25 milioane de dolari
- Prelucrați informațiile personale a cel puțin 50.000 de rezidenți din California anual (limita crește la 100.000 începând cu 2023)
- Obțin cel puțin 50% din venitul anual din vânzarea informațiilor personale ale consumatorilor.
Doar câteva companii îndeplinesc aceste criterii; deci, nicio lege privind confidențialitatea din statele SUA nu se aplică acestora. Acest lucru înseamnă, de asemenea, că informațiile personale ale utilizatorilor, adică ale consumatorilor, nu sunt protejate în niciun fel.
Paradoxul este că orice cetățean SUA are mai multe șanse ca datele sale să fie protejate de GDPR (dacă interacționează cu o companie din UE) sau o lege similară decât de legile statelor SUA.
De exemplu, dacă un cetățean din California interacționează cu un magazin de haine online din Marea Britanie, se aplică GDPR-ul britanic. GDPR-ul din Marea Britanie îl protejează pe acest californian pentru că se aplică companiei britanice, dar în același timp, el nu este protejat de legea SUA.
Dacă același utilizator interacționează online cu un mic magazin de haine din California, nu există niciun mod de a-i proteja informațiile personale. Micile afaceri din SUA nu datorează nicio protecție datelor cetățenilor SUA până nu îndeplinesc anumite praguri.
Baza legală pentru procesarea datelor și conceptul de optare pentru înscriere vs. optare pentru retragere vă vor oferi o imagine mai clară asupra importanței acestui aspect.
Optare pentru înscriere (Opt-in) vs. Optare pentru retragere (Opt-out)
Atunci când se aplică GDPR, utilizatorii decid cât de mult vor să se dezvăluie. Atunci când se aplică CCPA, utilizatorul este dezvăluit imediat ce ajunge pe site și i se afișează o notificare privind confidențialitatea.
GDPR cere afacerilor să aibă un motiv solid și o bază legală pentru colectarea și prelucrarea datelor personale. Precizează care sunt bazele legale posibile și, dacă afacerea nu poate utiliza niciuna dintre acestea, nu trebuie să colecteze date personale. Punct.
Asta e conceptul de opt-in. Datele pot fi colectate de la utilizator și prelucrate doar dacă utilizatorul alege să fie prelucrate sau dacă există un interes public.
De cele mai multe ori, afacerile se bazează pe consimțământul utilizatorilor. Companiile sunt în regulă dacă utilizatorii permit prelucrarea datelor lor.
Dacă aceștia încheie în mod voluntar un contract, cum ar fi achiziția unui tricou de pe un magazin online de haine, atunci utilizatorul trebuie să furnizeze datele lor pentru ca tricoul să fie livrat acasă.
Interesul public sau interesele legitime ale operatorului pot fi, de asemenea, o bază legală, dar acestea sunt excepții la regula opt-in și sunt rareori folosite. În general, afacerea nu ar trebui să atingă datele utilizatorilor fără o formă de opt-in.
Cu CCPA, lucrurile stau diferit. Afacerile sunt libere să colecteze și să prelucreze date personale atât cât doresc, dacă îl informează pe utilizator despre acest lucru.
Deci, nu este nevoie de consimțământ sau orice altă formă de optare pentru înscriere. Afișarea unui banner de tip cookie în partea de jos, care spune: „Colectăm informațiile dvs. personale. Aflați mai multe în politica noastră de confidențialitate.” este suficient pentru a respecta legile statelor SUA.
Totuși, consumatorii au dreptul de a opta pentru retragere. Ei pot solicita afacerilor să nu le vândă datele sau să solicite ștergerea datelor lor. Asta ar împiedica afacerea să mai prelucreze sau să vândă datele, dar cam atât.
Asta e conceptul de opt-out. Afacerile sunt libere să prelucreze date dacă utilizatorul nu se opune.
Este important de menționat, totuși, că California și Nevada sunt singurele state SUA care oferă o oportunitate de a opta pentru retragere.
Această oportunitate este disponibilă doar dacă utilizatorul provine din oricare dintre aceste două state sau dacă afacerea este dintr-unul dintre aceste state și îndeplinește pragurile aplicabile.
Utilizatorul care locuiește în Michigan și interacționează cu un hotel din Florida nu este protejat.
Transferuri Internaționale de Date
Diferențele dintre modelul european și cel american în ceea ce privește protecția datelor sunt vizibile și în regulile referitoare la transferul internațional de date.
Un transfer internațional de date are loc atunci când o informație se deplasează dintr-o țară în alta.
De exemplu, când un magazin online din SUA colectează adresa de e-mail a unui utilizator german și o stochează în SUA, acesta transferă datele unui utilizator german din Germania către SUA.
Dacă compania din SUA folosește serviciile unei companii canadiene de automatizare a e-mailurilor, transferă în continuare datele către Canada.
În ceea ce privește protecția datelor personale, UE acordă importanță drepturilor omului, iar SUA securității naționale.
GDPR împiedică companiile să transfere date către țări sau organizații care nu oferă o protecție la fel de bună ca legea UE în sine.
Afacerile pot transfera datele doar către țări adecvate sau trebuie să opteze pentru instrumente de transfer, cum ar fi clauze contractuale standard sau consimțământul utilizatorului.
SUA, pe de altă parte, nu împiedică nicio afacere să transfere date în întreaga lume. Dacă se produce un incident, afacerea va fi trasă la răspundere. Dar dacă nu se întâmplă nimic, nimeni nu dă importanță.
Dar, asta nu e tot. Conform Actului de Supraveghere a Informațiilor Străine (FISA) din 1978 și Actului de Clarificare a Utilizării Datelor în Străinătate (CLOUD Act) din 2018, guvernul SUA poate obține datele personale ale oricărei persoane a căror date sunt stocate în SUA sau de o companie americană oriunde în lume.
Asta înseamnă că guvernul SUA poate accesa datele unui cetățean german stocate de o companie germană pe serverele AWS, deoarece AWS este o companie americană și le datorează accesul la date.
De aceea, CJEU a anulat Acordul Privind Confidențialitatea cu decizia Schrems II și a făcut transferurile de date către SUA foarte complicate.
UE și SUA încă caută o soluție, dar această diferență importantă este în așteptare.
Reguli privind Încălcările de Date
Și în ceea ce privește regulile de încălcare a datelor, GDPR și CCPA prezintă diferențe.
GDPR cere implementarea unor măsuri tehnice și organizaționale pentru a asigura securitatea datelor controlorilor și procesatorilor.
Dacă, cu toate acestea, se produce o încălcare, în majoritatea cazurilor trebuie să informeze autoritatea de protecție a datelor și, în multe cazuri, subiecții datelor, adică utilizatorii.
Regulile privind încălcările de date sunt parte a legii care asigură protecția cuprinzătoare a datelor.
CCPA, însă, nu are prevederi privind încălcările de date.
Majoritatea statelor din SUA nu au încă legi privind protecția datelor, dar multe au legi privind încălcările de date. În timp ce informațiile personale sunt protejate prin legi ale consumatorilor, încălcările de date sunt reglementate de legi diferite.
Aplicarea Legii
GDPR și CCPA abordează diferit aplicarea legilor.
GDPR și legile similare înființează o agenție guvernamentală pentru a aplica legea respectivă. Fiecare țară are propria agenție care aplică legea în ceea ce privește utilizatorii și companiile din acea țară.
Când un utilizator crede că drepturile sale privind confidențialitatea datelor au fost încălcate, se poate plânge agenției relevante, iar aceasta va investiga cazul. Afacerea va plăti o amendă GDPR dacă este responsabilă pentru încălcare.
Dacă utilizatorul a suferit daune datorită încălcării, se poate adresa instanței pentru a obține compensații. Dacă agenția constată că nu a existat nicio încălcare a GDPR, utilizatorul poate merge în continuare în instanță și căuta justiție.
Lucrurile nu sunt atât de simple peste Atlantic. În California, utilizatorii pot iniția un proces doar în cazul unei încălcări de date sau a lipsei măsurilor de securitate.
Însă, în orice alt caz, consumatorii sunt lăsați la inițiativa Procurorului General. Deoarece Procurorul General nu poate ști despre toate încălcările CCPA, orice consumator se poate adresa acestuia, iar el va investiga.
Dacă investigația arată o încălcare, Procurorul General va da un aviz de 30 de zile afacerii pentru a remedia încălcarea.
Dacă afacerea se conformează, nimic nu se mai întâmplă. Dacă nu o fac, vor fi amendați.
Comparând cele două soluții, este clar că CCPA nu oferă atât de multe oportunități de a căuta justiție precum o face GDPR.
Mai mult, multe lucruri sunt lăsate în mâinile Procurorului General, care are multe alte competențe în afara protecției consumatorilor de care trebuie să se ocupe.
Acest lucru se va schimba în 2023, când CPRA, cunoscut în mod obișnuit ca CCPA 2.0, va intra în vigoare. Va înființa o agenție dedicată aplicării legii privind confidențialitatea datelor pentru prima dată în istoria legislației americane.
Pe lângă faptul că nu oferă o protecție completă a datelor, CCPA nu este la fel de ușor de aplicat în cazul unei încălcări din partea unei afaceri.
GDPR obligă fiecare țară din UE să înființeze o agenție de protecție a datelor dedicată și bine echipată pentru a aborda încălcările.
Deși încă pare imposibil să facem ca toate afacerile să respecte legea, GDPR se descurcă mult mai bine cu aplicarea ei.
Drepturile Subiectului Datelor
În cele din urmă, ambele abordări conduc la drepturi diferite ale subiectului datelor.
Nicio altă lege privind confidențialitatea datelor la nivel mondial nu acordă mai multe drepturi decât GDPR. Chiar și acelea care imită GDPR uneori garantează mai puține drepturi.
Însă, CCPA este chiar mai limitată în acest domeniu. S-a îmbunătățit semnificativ față de perioada fără legi privind protecția datelor în SUA, dar încă nu oferă atât de multe drepturi consumatorilor.
Pentru a vă oferi o idee despre cum se compară CCPA cu GDPR în ceea ce privește drepturile subiectului datelor, tabelul următor oferă o imagine bună:
| Drept | GDPR | CCPA |
| A ști | Da | Da |
| Acces | Da | Da |
| Ștergere | Da | Da |
| Obiect | Da | Nu |
| Restrângere | Da | Nu |
| Portabilitatea datelor | Da | Nu |
| Corectare | Da | Nu |
| A nu fi subiectul unei decizii automate | Da | Nu |
| Opt-out pentru vânzarea datelor personale | Nu | Da |
| Opt-in după opt-out | Nu | Da |
În Europa, oamenii au mai multe drepturi ca subiecți ai datelor. În SUA, ei pot doar să cunoască și să aibă acces la date, apoi să se retragă sau să le șteargă. Între timp, controlorul poate procesa datele liber, iar consumatorii nu au cum să intervină, cu excepția ștergerii și retragerii.
Cuvinte de Încheiere
Există încă un trend – absența unei legi privind protecția datelor. India și Indonezia sunt cele mai mari economii din lume fără astfel de legi.
Însă, sunt în curs de introducere a unei legi cuprinzătoare privind confidențialitatea datelor, urmând exemplul GDPR.
În același timp, statele SUA care adoptă noi legi privind confidențialitatea rămân similare cu CCPA, făcând evident faptul că lumea merge într-o direcție, iar SUA în alta.