Τι απαιτείται βάσει του Cpra ‘Do Not Sell or Share’;

Ο νόμος περί δικαιωμάτων απορρήτου της Καλιφόρνια (CPRA) επεκτείνει τα δικαιώματα των καταναλωτών πέρα από τον νόμο περί απορρήτου των καταναλωτών της Καλιφόρνια (CCPA), επιβάλλοντας στις επιχειρήσεις να παρέχουν σαφείς επιλογές εξαίρεσης τόσο για την πώληση όσο και για την κοινοποίηση προσωπικών πληροφοριών. Ο CPRA ορίζει ότι:

«Ένας καταναλωτής θα έχει το δικαίωμα, ανά πάσα στιγμή, να δώσει εντολή σε μια επιχείρηση που πωλεί ή κοινοποιεί προσωπικές πληροφορίες σχετικά με τον καταναλωτή σε τρίτους, να μην πωλεί ή κοινοποιεί τις προσωπικές πληροφορίες του καταναλωτή. Αυτό το δικαίωμα μπορεί να αναφέρεται ως το δικαίωμα εξαίρεσης από την πώληση ή την κοινοποίηση.» (CPRA §1798.120)

Αυτή η τροποποίηση εισάγει έναν διπλό μηχανισμό εξαίρεσης, επεκτείνοντας τις προηγούμενες υποχρεώσεις που εστίαζαν αποκλειστικά στην πώληση προσωπικών δεδομένων. Η απαίτηση για την αντιμετώπιση της κοινοποίησης αντικατοπτρίζει το εξελισσόμενο οικοσύστημα δεδομένων όπου οι προσωπικές πληροφορίες συχνά διαδίδονται πέρα από τις συναλλακτικές πωλήσεις, όπως η κοινοποίηση δεδομένων για διαφήμιση συμπεριφοράς μεταξύ πλαισίων.

Οι βασικές εντολές στο πλαίσιο του CPRA περιλαμβάνουν:

• Σαφής και ευδιάκριτος σύνδεσμος: Οι επιχειρήσεις πρέπει να εμφανίζουν έναν σύνδεσμο «Μην πωλείτε ή κοινοποιείτε τις προσωπικές μου πληροφορίες» σε εμφανές σημείο στους ιστότοπούς τους, διασφαλίζοντας την εύκολη πρόσβαση των καταναλωτών. Αυτός ο σύνδεσμος πρέπει να είναι ορατός χωρίς να απαιτείται κύλιση ή πλοήγηση σε πολλές σελίδες.

• Σεβασμός για τα καθολικά σήματα εξαίρεσης: Ο CPRA απαιτεί από τις επιχειρήσεις να σέβονται τα καθολικά σήματα ελέγχου απορρήτου, όπως το Global Privacy Control (GPC). Τέτοια σήματα χρησιμεύουν ως ένας τυποποιημένος μηχανισμός για τους χρήστες ώστε να δηλώνουν την προτίμησή τους για εξαίρεση από την πώληση ή την κοινοποίηση σε πολλούς ιστότοπους.

Το πρακτικό αποτέλεσμα είναι ένα ευρύτερο πεδίο ελέγχου από την πλευρά του καταναλωτή:

• Οι μηχανισμοί εξαίρεσης πρέπει να καλύπτουν τόσο τις πωλήσεις όσο και την κοινοποίηση.
• Οι επιχειρήσεις πρέπει να εφαρμόζουν τεχνικά και διαδικαστικά μέτρα για τον εντοπισμό και τον σεβασμό των προτιμήσεων των χρηστών που κοινοποιούνται μέσω συνδέσμων ιστού και σημάτων του προγράμματος περιήγησης.
• Η μη συμμόρφωση μπορεί να οδηγήσει σε ενέργειες επιβολής από την Υπηρεσία Προστασίας Απορρήτου της Καλιφόρνια (CPPA), η οποία ιδρύθηκε στο πλαίσιο του CPRA.

Αυτή η απαίτηση διπλής εξαίρεσης ευθυγραμμίζεται με τα ευρήματα της έρευνας για το απόρρητο που τονίζουν ότι η ευαισθητοποίηση και ο έλεγχος των καταναλωτών επί των ροών δεδομένων είναι κρίσιμα για τη διατήρηση του απορρήτου (Acquisti, Brandimarte, & Loewenstein, 2015). Η ρητή συμπερίληψη της κοινοποίησης από τον CPRA καλύπτει κενά που εντοπίστηκαν σε προηγούμενους νόμους, όπου οι ανταλλαγές δεδομένων που δεν συνιστούσαν πωλήσεις ήταν εκτός του ελέγχου των καταναλωτών (Englehardt & Narayanan, 2016).

Σύνοψη των απαιτήσεων του CPRA για «Μην πωλείτε ή κοινοποιείτε»:

• Εμφάνιση ενός σαφούς και ευδιάκριτου συνδέσμου «Μην πωλείτε ή κοινοποιείτε τις προσωπικές μου πληροφορίες» στους ιστότοπους.
• Παροχή στους καταναλωτές της δυνατότητας να εξαιρεθούν τόσο από την πώληση όσο και από την κοινοποίηση των προσωπικών τους πληροφοριών.
• Σεβασμός των καθολικών σημάτων προτίμησης εξαίρεσης, όπως το Global Privacy Control.
• Εφαρμογή συστημάτων για τη διασφάλιση της συμμόρφωσης με αυτά τα σήματα επιλογής σε πραγματικό χρόνο.

Αυτό το διευρυμένο πλαίσιο αντικατοπτρίζει μια σημαντική ρυθμιστική αλλαγή που στοχεύει στην ενίσχυση της διαφάνειας και στην ενδυνάμωση των δικαιωμάτων απορρήτου των καταναλωτών στα ψηφιακά περιβάλλοντα.