Conformità CCPA e CPRA: cosa devono fare ora le aziende di cannabis | Cannabiz Media

Applicazione del California Consumer Privacy Act (CCPA) è iniziata il 1 luglio 2020. Il CCPA offre ai consumatori che risiedono in California un controllo significativamente maggiore sul modo in cui le aziende utilizzano le loro informazioni personali. Di conseguenza, tutte le aziende dovevano rivedere i propri dati, sistemi e processi per assicurarsi che fossero pienamente conformi alle nuove leggi.

Non è stato fino a venerdì 14 agosto 2020 che il procuratore generale dello stato ha annunciato i regolamenti per realizzare il CCPA è stato approvato ed è entrato in vigore immediatamente. Tuttavia, il rispetto del CCPA è diventato più confuso per le aziende, perché in alcuni casi il regolamenti esecutivi è andato oltre quanto richiesto dallo statuto CCPA.

La storia però non era ancora finita. In effetti, i problemi di conformità erano appena iniziati.

Nell'ottobre 2020, il governatore della California Gavin Newsom ha firmato due emendamenti al CCPA in legge. L'AB 1281 ha esteso le esenzioni parziali per i dati dei dipendenti e i dati business-to-business (B2B), che in precedenza erano scaduti il ​​1° gennaio 2021. L'AB 713 ha modificato le esenzioni del CCPA relative alle informazioni mediche e alla privacy sanitaria.

Ma non era tutto. Avanti veloce fino a novembre 2020 e le cose sono diventate ancora più confuse.

Il 3 novembre 2020, gli elettori della California hanno approvato la proposta di scrutinio 24, il California Privacy Rights Act del 2020 (CPRA), o ciò che alcune persone chiamano CCPA 2.0. Il CPRA non entrerà in vigore fino al 1 gennaio 2023, ma porta con sé anche più modifiche che le imprese dovranno rispettare includendo

• Nuova definizione di attività coperta
• Lingua aggiuntiva sulla condivisione dei dati
• Ulteriori diritti del consumatore
• Nuove regole per una categoria di “dati personali sensibili”
• Nuova definizione di “consenso”
• Modifiche alla definizione di "fornitore di servizi"
• Diritto di azione privata ampliato per le violazioni dei dati
• Nuovi obblighi di informativa
• Rimozione del periodo di cura di 30 giorni
• Esenzioni estese per i dati dei dipendenti e B2B
• Istituzione della California Privacy Protection Agency
• E più

Ogni azienda, comprese le aziende di cannabis, dovrebbe comprendere gli attuali requisiti previsti dal CCPA e cosa sta arrivando nel CPRA. Ora è il momento di iniziare a rivedere e rinnovare le tue politiche e procedure.

Per alcune aziende, il rispetto di queste leggi è un compito molto arduo, ma i rischi di non conformità, in termini di azioni legali e sanzioni pecuniarie, sono semplicemente troppo grandi per essere ignorati. Di seguito sono riportate 10 azioni iniziali che le aziende di cannabis possono intraprendere per conformarsi al CCPA.

1. Definire un budget di conformità CCPA

Il budget per la conformità al CCPA della tua azienda di cannabis dipende da una serie di fattori. È importante sottolineare che è necessario prendere in considerazione l'assunzione di nuovi dipendenti per gestire la conformità oggi e su base continuativa. Inoltre, dovrai formare i dipendenti affinché seguano nuovi flussi di lavoro nel tentativo di soddisfare i requisiti del CCPA.

Mentre la maggior parte del tuo budget verrà utilizzata a breve termine per rendere la tua azienda conforme alle nuove normative, dovrai anche investire nel monitoraggio continuo della conformità. È probabile che il CCPA si evolva e altri stati stanno già intensificando gli sforzi per approvare leggi sulla privacy più rigorose.

2. Assumi dipendenti chiave

Se la tua azienda non dispone già di un esperto di conformità nel personale, ora è il momento di assumerne uno. Inoltre, avrai bisogno di personale di sicurezza esperto per implementare le modifiche necessarie al sito Web, ai sistemi e così via della tua azienda.

La chiave è avere una persona ritenuta responsabile per guidare gli sforzi di conformità nella tua azienda, e questo include la conformità CCPA. In genere, questa persona sarebbe a livello esecutivo e potrebbe avere un manager e altri professionisti nello staff (o disponibili come consulenti) per assisterli. A seconda delle dimensioni della tua azienda, la conformità potrebbe richiedere un intero team di persone.

3. Sviluppare processi di mappatura e conservazione dei dati

La governance dei dati è una parte importante della conformità CCPA della tua azienda di cannabis. È necessario disporre di processi in atto per identificare come vengono raccolte le informazioni personali, come vengono classificate, come vengono archiviate, dove vengono archiviate, come vengono protette e in che modo la tua azienda impedisce la condivisione, la vendita o la distribuzione illegale di tali dati.

Il CCPA include una disposizione che afferma che le aziende devono essere in grado di fornire ai consumatori che richiedono le loro informazioni personali tutti i dati raccolti entro i tempi consentiti dalla legge. Se la tua azienda non dispone di un processo per identificare e mappare le informazioni personali alle sue fonti, rispondere a queste richieste potrebbe richiedere molto tempo se non impossibile. In effetti, se i tuoi processi sono inadeguati, la tua attività di cannabis potrebbe finire per affrontare azioni legali e sanzioni.

4. Sviluppare un sistema di risposta alle richieste dei consumatori

Il CCPA concede alle aziende un periodo di tempo per rispondere alle richieste dei consumatori in merito alle informazioni personali raccolte su di loro. Se la tua azienda non dispone di un sistema di risposta e non è in grado di fornire le informazioni richieste come consentito dalla legge, potresti non essere in grado di rispondere adeguatamente entro tale lasso di tempo. Ancora una volta, la tua azienda potrebbe dover affrontare costose azioni legali e sanzioni.

È essenziale che la tua azienda sviluppi un sistema di risposta alle richieste dei consumatori e la maggior parte di tale sistema dovrebbe essere automatizzata il più possibile. Immagina di ricevere 10 o 100 richieste entro un mese. Se i sistemi non sono automatizzati, la tua azienda potrebbe non essere in grado di rispondere a tutte queste richieste in tempo e potrebbe trovarsi in molti problemi, legali e finanziari.

5. Creare un sistema di rinuncia del consumatore

Ai sensi del CCPA, i consumatori della California hanno il diritto di rinunciare a tracker e tecnologie pubblicitarie di terze parti. Pertanto, è necessario comprendere appieno tutta la tecnologia utilizzata sul proprio sito Web, applicazioni mobili e così via.

È inoltre necessario creare un sistema di esclusione dei consumatori in modo che i consumatori possano rinunciare al tracciamento in qualsiasi momento. Come il tuo sistema di risposta alla richiesta del consumatore (vedi n. 4 sopra), il tuo sistema di opt-out del consumatore dovrebbe essere automatizzato per quanto possibile. Mentre questo includerà un costo più elevato oggi per lo sviluppo e l'implementazione, risparmierai ancora più tempo e denaro in seguito se automatizzi il sistema ora.

6. Aggiorna le politiche sulla privacy

Le politiche sulla privacy della tua azienda di cannabis devono essere aggiornate per conformarsi al CCPA. Tieni presente che l'aggiornamento delle politiche sulla privacy si riferisce all'aggiornamento delle politiche e degli avvisi sulla privacy interni ed esterni.

In altre parole, questo requisito legale non si applica solo all'informativa sulla privacy pubblicata sul tuo sito web. Si riferisce anche a politiche, divulgazioni e avvisi relativi alla privacy utilizzati in tutta la tua attività.

7. Sviluppare flussi di lavoro di risposta legale e normativa

Come risponderà la tua azienda se un regolatore richiede informazioni sui tuoi processi di conformità CCPA? Cosa succede se un consumatore intenta un'azione civile contro la tua azienda di cannabis in relazione alle sue informazioni personali ai sensi del CCPA? Entrambi potrebbero verificarsi in un determinato momento, quindi sono necessari flussi di lavoro in atto per semplificare il processo di risposta, inclusa l'automazione dei sistemi nella misura possibile.

Il leader della conformità della tua azienda di cannabis (vedi n. 2 sopra) dovrebbe supervisionare il processo di risposta, ma tutti i dipendenti che hanno un ruolo nella raccolta e nella fornitura dei dati richiesti devono capire cosa ci si aspetta da loro. Questi flussi di lavoro dovrebbero includere responsabilità e tempistiche specifiche.

8. Definire le politiche e formare i dipendenti

Ogni dipendente del business della cannabis dovrebbe essere formato sul CCPA e comprenderne l'importanza. Dovrebbero comprendere appieno le proprie responsabilità ed essere formati sui flussi di lavoro che dovranno svolgere in risposta alle richieste di informazioni da parte di consumatori, autorità di regolamentazione e azioni giudiziarie.

La formazione sul CCPA e sulla conformità alla privacy non è una cosa da fare una volta sola. Man mano che le leggi si evolvono e sempre più stati emanano nuove normative sulla privacy, sarà necessaria una formazione aggiornata su base continuativa per garantire che la tua attività di cannabis rimanga sempre pienamente conforme.

9. Verificare la conformità dei dati e dei fornitori di servizi di terze parti

Se la tua azienda si affida a fornitori di servizi o terze parti per fornire, archiviare, gestire o altrimenti raccogliere, condividere, vendere o distribuire dati con o per conto della tua azienda, devi verificare la loro conformità al CCPA. Inoltre, i contratti dovrebbero essere aggiornati per affrontare le modifiche necessarie in base ai regolamenti CCPA.

È imperativo che la tua azienda di cannabis controlli i fornitori di servizi e le terze parti su base continuativa per garantire che continuino a rispettare il CCPA e tutte le altre leggi sulla privacy federali e statali. Questo è un passaggio fondamentale che ridurrà il rischio della tua azienda a lungo termine.

10. Monitorare le leggi sulla privacy della California e di altri Stati

Non solo il CCPA continuerà ad evolversi, ma anche altro gli stati stanno modificando le leggi sulla privacy per dare ai consumatori il controllo su come le loro informazioni personali vengono utilizzate dalle aziende. Ancora una volta, hai bisogno del giusto responsabile della conformità e del team in atto per monitorare continuamente queste leggi, in modo che la tua azienda di cannabis possa agire come richiesto.

Punti chiave sulla conformità al CCPA

Le aziende di cannabis devono agire ora per garantire di essere pienamente conformi al CCPA e al CPRA al fine di ridurre i rischi associati alla non conformità in futuro. Questi 10 passaggi dovrebbero aiutarti a iniziare. La chiave è iniziare a lavorare sulla strategia e sull'implementazione della conformità della tua azienda ora, se non l'hai già fatto perché l'applicazione del CCPA è già iniziata.

L'applicazione del CPRA non inizia fino al 1° gennaio 2023, ma è importante capire che il CPRA influisce sulle informazioni personali raccolte a partire dal 1° gennaio 2022. In altre parole, non hai due anni per aumentare. Hai davvero solo un anno per mettere in atto i sistemi giusti per conformarti al CPRA.

Per le aziende che si affidano a Database delle licenze di Cannabiz Media per generare lead e crescere, possono stare certi che è già pienamente conforme al CCPA. Puoi seguire il link per saperne di più come garantire che l'email marketing e il CRM siano conformi al CCPA.

‍Pianificare una demo del Cannabiz Media License Database per vedere come può aiutare la tua azienda a crescere.

‍Originariamente pubblicato il 3/24/20. Aggiornato il 12/4/20.