Conformidade com CCPA e CPRA: o que as empresas de cannabis precisam fazer agora | Mídia Cannabiz

Execução do Lei de Privacidade do Consumidor da Califórnia (CCPA) começou em 1º de julho de 2020. A CCPA oferece aos consumidores que residem na Califórnia significativamente mais controle sobre como as empresas usam suas informações pessoais. Como resultado, todas as empresas necessitaram de rever os seus dados, sistemas e processos para garantir que estavam em total conformidade com as novas leis.

Somente na sexta-feira, 14 de agosto de 2020, o Procurador-Geral do estado anunciou os regulamentos para executar o CCPA foi aprovado e entrou em vigor imediatamente. No entanto, o cumprimento da CCPA tornou-se mais confuso para as empresas, porque, em alguns casos, o regulamentos de aplicação foi além do que o estatuto da CCPA exige.

A história ainda não acabou. Na verdade, os problemas de conformidade estavam apenas começando.

Em outubro de 2020, o governador da Califórnia, Gavin Newsom, assinou duas alterações para o CCPA em lei. A. B. 1281 estendeu isenções parciais para dados de funcionários e dados business-to-business (B2B), que anteriormente expiravam em 1º de janeiro de 2021. A.B. 713 alterou as isenções da CCPA relacionadas a informações médicas e privacidade de saúde.

Mas isso não foi tudo. Avançando para novembro de 2020, as coisas ficaram ainda mais confusas.

Em 3 de novembro de 2020, os eleitores da Califórnia aprovaram a proposta de votação 24, o Lei de Direitos de Privacidade da Califórnia de 2020 (CPRA), ou o que algumas pessoas chamam de CCPA 2.0. CPRA não entrará em vigor até 1º de janeiro de 2023, mas traz consigo ainda mais mudanças que as empresas precisarão cumprir, incluindo

• Nova definição de negócio coberto
• Linguagem adicional sobre compartilhamento de dados
• Direitos adicionais do consumidor
• Novas regras para uma categoria de “informações pessoais sensíveis”
• Nova definição de “consentimento”
• Mudanças na definição de “prestador de serviços”
• Direito privado expandido de ação para violações de dados
• Novos requisitos de divulgação
• Remoção do período de cura de 30 dias
• Isenções estendidas para dados de funcionários e B2B
• Estabelecimento da Agência de Proteção à Privacidade da Califórnia
• E muito mais

Todas as empresas, incluindo empresas de cannabis, devem compreender os requisitos atuais da CCPA e o que está por vir na CPRA. Agora é a hora de começar a revisar e renovar suas políticas e procedimentos.

Para algumas empresas, o cumprimento destas leis é uma tarefa muito grande, mas os riscos de incumprimento – em termos de processos judiciais e sanções pecuniárias – são demasiado grandes para serem ignorados. A seguir estão 10 ações iniciais que as empresas de cannabis podem realizar para cumprir a CCPA.

1. Defina um orçamento de conformidade com CCPA

O orçamento de conformidade com a CCPA do seu negócio de cannabis depende de vários fatores. É importante ressaltar que você precisa considerar a contratação de novos funcionários para gerenciar a conformidade hoje e de forma contínua. Além disso, você precisará treinar os funcionários para seguirem novos fluxos de trabalho, em um esforço para atender aos requisitos da CCPA.

Embora a maior parte do seu orçamento seja usada no curto prazo para colocar a sua empresa em conformidade com os novos regulamentos, você também precisará investir no monitoramento contínuo da conformidade. É provável que a CCPA evolua e outros estados já estão a intensificar esforços para aprovar leis de privacidade mais rigorosas.

2. Contrate funcionários-chave

Se sua empresa ainda não conta com um especialista em compliance, agora é a hora de contratar um. Além disso, você precisará de uma equipe de segurança experiente para implementar as alterações necessárias no site, nos sistemas da sua empresa e assim por diante.

O segredo é ter uma pessoa responsável por liderar os esforços de conformidade em sua empresa, e isso inclui a conformidade com a CCPA. Normalmente, essa pessoa estaria no nível executivo e poderia ter um gerente e outros profissionais na equipe (ou disponíveis como consultores) para auxiliá-los. Dependendo do tamanho da sua empresa, a conformidade pode exigir uma equipe inteira de pessoas.

3. Desenvolva processos de mapeamento e retenção de dados

A governança de dados é uma parte importante da conformidade do seu negócio de cannabis com a CCPA. Você deve ter processos implementados para identificar como as informações pessoais são coletadas, como são categorizadas, como são armazenadas, onde são armazenadas, como são protegidas e como sua empresa evita o compartilhamento, venda ou distribuição ilegal desses dados.

A CCPA inclui uma disposição que diz que as empresas devem ser capazes de fornecer aos consumidores que solicitam as suas informações pessoais todos os dados recolhidos dentro do prazo permitido por lei. Se a sua empresa não tiver um processo implementado para identificar e mapear informações pessoais até suas fontes, responder a essas solicitações poderá ser extremamente demorado, se não impossível. Na verdade, se os seus processos forem inadequados, o seu negócio de cannabis pode acabar enfrentando ações judiciais e penalidades.

4. Desenvolva um sistema de resposta a solicitações do consumidor

A CCPA dá às empresas um período de tempo para responder às solicitações dos consumidores sobre as informações pessoais coletadas sobre eles. Se a sua empresa não tiver um sistema de resposta implementado e não puder produzir as informações solicitadas conforme permitido por lei, talvez você não consiga responder adequadamente dentro desse prazo. Novamente, sua empresa pode enfrentar ações judiciais e penalidades dispendiosas.

É essencial que sua empresa desenvolva um sistema de resposta às solicitações do consumidor, e esse sistema deve ser automatizado tanto quanto possível. Imagine se você recebesse 10 ou 100 solicitações em um mês. Se os sistemas não forem automatizados, sua empresa poderá não conseguir responder a todas essas solicitações a tempo e poderá ter muitos problemas – legais e financeiros.

5. Crie um sistema de exclusão do consumidor

De acordo com a CCPA, os consumidores da Califórnia têm o direito de cancelar rastreadores e tecnologias de publicidade de terceiros. Como tal, você precisa compreender totalmente toda a tecnologia usada em seu site, aplicativos móveis e assim por diante.

Você também precisa criar um sistema de exclusão do consumidor para que os consumidores possam cancelar o rastreamento a qualquer momento. Assim como o sistema de resposta às solicitações do consumidor (ver item 4 acima), o sistema de cancelamento do consumidor deve ser automatizado na medida do possível. Embora isso inclua hoje um custo mais alto para desenvolvimento e implementação, você economizará ainda mais tempo e dinheiro posteriormente se automatizar o sistema agora.

6. Atualizar as políticas de privacidade

As políticas de privacidade do seu negócio de cannabis precisam ser atualizadas para estar em conformidade com a CCPA. Tenha em mente que a atualização das políticas de privacidade refere-se à atualização das políticas e avisos de privacidade internos e externos.

Ou seja, esta exigência legal não se aplica apenas à política de privacidade publicada no seu site. Também se refere a políticas, divulgações e avisos relacionados à privacidade usados ​​em toda a sua empresa.

7. Desenvolver fluxos de trabalho de resposta jurídica e reguladora

Como sua empresa responderá se um regulador solicitar informações sobre seus processos de conformidade com a CCPA? E se um consumidor abrir uma ação civil contra o seu negócio de cannabis relacionada às suas informações pessoais de acordo com a CCPA? Ambos podem acontecer em algum momento, portanto, você precisa de fluxos de trabalho implementados para agilizar o processo de resposta, incluindo a automação de sistemas na medida do possível.

O líder de conformidade do seu negócio de cannabis (ver item 2 acima) deve supervisionar o processo de resposta, mas todos os funcionários que têm uma função na coleta e no fornecimento dos dados solicitados precisam entender o que se espera deles. Esses fluxos de trabalho devem incluir responsabilidades e cronogramas específicos.

8. Definir Políticas e Treinar Funcionários

Todo funcionário de uma empresa de cannabis deve ser treinado sobre a CCPA e compreender sua importância. Devem compreender plenamente as suas responsabilidades e receber formação sobre os fluxos de trabalho que deverão realizar em resposta a pedidos de informação de consumidores, reguladores e ações judiciais.

O treinamento sobre CCPA e conformidade de privacidade não ocorre uma única vez. À medida que as leis evoluem e mais estados aprovam novos regulamentos de privacidade, será necessária formação contínua e atualizada para garantir que o seu negócio de canábis permaneça sempre em total conformidade.

9. Revise a conformidade dos dados e provedores de serviços de terceiros

Se sua empresa depende de provedores de serviços ou terceiros para fornecer, armazenar, gerenciar ou de outra forma coletar, compartilhar, vender ou distribuir dados com ou em nome de sua empresa, você precisará revisar a conformidade com a CCPA. Além disso, os contratos devem ser atualizados para abordar as alterações necessárias com base nos regulamentos da CCPA.

É imperativo que o seu negócio de cannabis audite prestadores de serviços e terceiros continuamente para garantir que continuem a cumprir a CCPA e todas as outras leis de privacidade federais e estaduais. Esta é uma etapa crítica que reduzirá o risco da sua empresa no longo prazo.

10. Monitore as leis de privacidade da Califórnia e de outros estados

Não só a CCPA continuará a evoluir, mas outras estados estão modificando leis de privacidade para colocar os consumidores no controle de como suas informações pessoais são usadas pelas empresas. Mais uma vez, você precisa do líder e da equipe de conformidade certos para monitorar continuamente essas leis, para que seu negócio de cannabis possa tomar as medidas necessárias.

Principais conclusões sobre conformidade com CCPA

As empresas de cannabis precisam tomar medidas agora para garantir que estejam em total conformidade com a CCPA e a CPRA, a fim de reduzir os riscos associados ao incumprimento no futuro. Essas 10 etapas devem ajudá-lo a começar. A chave é começar a trabalhar na estratégia e implementação de conformidade da sua empresa agora, caso ainda não o tenha feito porque a aplicação da CCPA já começou.

A aplicação do CPRA não começa até 1º de janeiro de 2023, mas é importante compreender que o CPRA afeta as informações pessoais coletadas a partir de 1º de janeiro de 2022. Em outras palavras, você não tem dois anos para acelerar. Você realmente tem apenas um ano para implementar os sistemas certos para cumprir o CPRA.

Para empresas que dependem do Banco de Dados de Licença de Mídia Cannabiz para gerar leads e crescer, eles podem ter certeza de que já está em total conformidade com a CCPA. Você pode seguir o link para saber mais sobre como garantir que seu marketing por e-mail e CRM estejam em conformidade com CCPA.

‍Agende uma demonstração do banco de dados de licenças de mídia Cannabiz para ver como ele pode ajudar seu negócio a crescer.

‍Publicado originalmente em 3/24/20. Atualizado em 12/4/20.