Dacă ne gândeam că GDPR-ul este aplicabil doar în Uniunea Europeană și că doar noi am fi interesați de protejarea vieții private a persoanelor, ei bine, poate am fi surprinși să aflăm ce consecințe uriașe acest regulament îl are asupra celorlalte state din lume.

Pas cu pas, destul de timid, ce este drept, parlamentele statelor din afara U.E. calcă pe urmele GDPR-ului. Un astfel de exemplu este statul California, una din cele mai puternice economii din lume care, începând cu 1 ianuarie 2020 a căutat să facă un pas în plus spre protecția vieții private a persoanelor, adoptând CCPA ( California Consumer Privacy Act).

De ce este California unul dintre primele state din S.U.A. care adoptă o astfel de legislație? Poate fiindcă unele dintre cele mai mari companii din lume își au sediul acolo, printre care și Apple, Intel, Disney, Cisco, HP, Google, Oracle, Facebook, Visa, Paypal și deja au avut de suferit (de multe ori și de câștigat) de pe urma scandalurilor în care au fost implicate (a ne aduce aminte de Facebook).

Faptul că acest stat adoptă o legislație echivalează cu o nouă reglementare a prevederilor privind protecția datelor la nivel mondial – deoarece impactul este mondial. Astfel, vedem în acest moment două legislații puternice care au același scop: să protejeze viața privată a persoanelor, indiferent dacă aceștia sunt numiți: Consumatori sau Persoane vizate!

Ce caracterizează însă această nouă legislație (CCPA) și cu ce este diferită față de GDPR?

Diferențele cheie dintre GDPR și CCPA:

Fără a mai căuta să trecem prin toate caracteristicile deja știute ale GDPR-ului, ne vom uita la CCPA:

  1. Când a devenit aplicabil?
  • La 01.01.2020 mai târziu cu doi ani decât GDPR-ul.
  1. Cui se aplică? Marea surpriză a fost să vedem că acesta se aplică doar acelor companii care își au sediul în California și:
  • Au un profit anual de peste 24.000.000 $
  • Dețin datele a peste 50.000 consumatori și
  • Cel puțin jumătate (50%) din profit este realizat din vânzarea de date cu caracter personal;

Nu se aplică companiilor mici, nu se aplică persoanelor fizice devenite operatori, nu se aplică altor asociații sau forme de organizare care au caracteristicile de mai sus!

  1. Haideți să vedem însă drepturile care sunt protejate, poate aici CCPA oferă mai multe drepturi persoanelor:
  • Dreptul de a cere informații
  • Dreptul la portabilitate
  • Dreptul de opt out
  • Dreptul de acces
  • Dreptul de ștergere
  • Dreptul de transfer

Ok.. Nu există însă dreptul de opoziție și nici dreptul de a solicita intervenția umană în procesele automatizate de decizie și profilare. Ups! Au fost uitate cumva?

  1. Și… consimțământul? Noi, europenii am căutat să ne acoperim cu consimțăminte peste tot unde am putut vedea că nu avem un alt temei legal.

Care a fost însă abordarea americanilor? Vei face opt out în cazul în care nu vrei să îți fie prelucrate datele.

  1. Cel mai mult nouă ne place să vorbim despre amenzi: cum arată amenzile care se pot aplica în baza CCPA?
  • Maxim 2500$ pentru fiecare breșă de securitate / violare neintenționată a datelor cu caracter personal;
  • Maxim 7500$ pentru fiecare violare a reglementării realizată în mod intenționat.

Wow.. 2500? 7500? Câte astfel de breșe ar trebui să ai simultan pentru a ajunge la 1.000.000 euro? Dar la 10.000.000? Dar 190.000.000 euro? Că ne amintim despre intenția unor autorități de a aplica astfel de amenzi record.

De asemenea, ce este de reținut, este că CCPA nu aplică amenzi pentru neconformitatea unei companii cu reglementarea ci pentru breșa cauzată, descoperită, raportată, ale căror consecințe nu s-au îndreptat în 30 zile de la constatarea acesteia.

Concluzii?

Analizând foarte pe scurt cele două legislații putem vedea foarte clar că GDPR-ul se clasează ca o legislație cu o forță puternică mai ridicată decât CCPA și că oferă un cadru de protecție a vieții private mult mai adecvat realităților noastre (nici nu se pomenește de privacy by design / by default în CCPA) rămânând un model de inspirație pentru legislația altor state.