DRONELIFE EXCLUSIVE: Una nuova legge sulla privacy della California potrebbe cambiare tutto per gli operatori di droni negli Stati Uniti

Una nuova legge sulla privacy della California potrebbe cambiare tutto per gli operatori di droni nello stato – e potrebbe essere utilizzata come modello in tutto il paese.

Quello che segue è un guest post di avvocati dello studio legale Mintz, Levin, Cohn, Ferris, Glovsky e Popeo, P. C. Questo pezzo è stato scritto da Cynthia Larose, Laura Stefani, Jonathan Markman e Elana R. Safner.

Gli operatori di droni affrontano una nuova sfida: Il CCPA

È il 2020 e la sfera di cristallo non è l’unica cosa che è caduta. Il 1 ° gennaio ha inaugurato un nuovo anno, un nuovo decennio e l’attuazione del California Consumer Privacy Act del 2018 (“CCPA”). Mentre le aziende che sono più tradizionali collezionisti e processori di informazioni personali (“PI”) si stanno preparando per la data di implementazione del CCPA, molte altre aziende che raccolgono PI solo incidentalmente potrebbero trovarsi intrappolate dalla portata espansiva della legge sulla privacy dei dati più ampia della nazione.

Dove questo lascia aziende come operatori di droni che solo incidentalmente creano e memorizzano filmati di telecamere con informazioni personali come immagini di volti durante il corso dello svolgimento del loro scopo commerciale? Cosa succede se tali società non fanno mai alcuno sforzo per identificare tali informazioni personali? Come spiegherà questo articolo, tali società non sono del tutto esonerate dal rispetto della CCPA e devono considerare attentamente le loro pratiche commerciali e le prossime fasi per entrare in conformità.

Questo problema sorge perché il CCPA definisce “informazioni personali” in modo molto ampio, mentre le eccezioni alla definizione – come le informazioni disponibili al pubblico e le informazioni de-identificate – sono definite in modo piuttosto ristretto. Queste scelte deliberate dal legislatore della California rendono il CCPA la legge sulla privacy degli Stati Uniti più espansiva fino ad oggi. Assegnano inoltre obblighi a imprese e fornitori di servizi definiti che si impegnano in pratiche commerciali – come la raccolta involontaria di immagini di volti-che in genere non erano state toccate da altre leggi sulla privacy negli Stati Uniti. Questo articolo espone le questioni da considerare e una serie di elementi di azione per tali imprese a lavorare verso la conformità CCPA.

Perché gli operatori di droni dovrebbero essere preoccupati?

Il CCPA si applica a un intervallo di dati inaspettatamente ampio. Un equivoco sul CCPA è che si applica solo nel contesto della raccolta diretta di informazioni personali dai consumatori attraverso metodi come acquisti online, cronologia di ricerca, cookie e altre preferenze comportamentali. In realtà, la definizione di PI della CCPA getta una rete molto più ampia. Si applica anche ai PI raccolti on e offline.

Ai sensi del CCPA, le “informazioni personali” sono definite come “informazioni che identificano, si riferiscono, descrivono, sono ragionevolmente in grado di essere associate o potrebbero essere ragionevolmente collegate, direttamente o indirettamente, con un particolare consumatore o nucleo familiare.”Questo include, tra le altre cose, informazioni biometriche come volti catturati da droni, telecamere di sorveglianza, e altri mezzi di registrazione video. Le “informazioni personali” escludono specificamente le informazioni disponibili al pubblico. Si potrebbe ragionevolmente pensare che la presenza e il volto di una persona all’aperto o su proprietà pubblica potrebbero essere considerati pubblicamente disponibili. La CCPA, tuttavia, assume una posizione diversa. Essa afferma, “‘ublicly disponibile’ non significa informazioni biometriche raccolte da un business su un consumatore a sua insaputa.”Ciò significa che foto e video – e anche audio, termica, olfattiva, e altri dati-rientrano nella definizione di informazioni personali. È importante sottolineare che il PI raccolto dal video non deve essere effettivamente collegato dall’impresa al consumatore, solo ragionevolmente in grado di essere collegato “direttamente o indirettamente”.

Ma non identifichiamo i dati!

Le definizioni di questi termini sollevano molte domande su come verrà applicata la CCPA in determinati contesti. Sebbene le informazioni pubblicamente disponibili siano esenti dalla definizione di informazioni personali, vediamo che ciò non risparmia necessariamente gli operatori di droni dalla conformità CCPA, come descritto sopra. La CCPA esenta anche le informazioni non identificate. Sicuramente questo salverà le aziende di droni e altri collezionisti di filmati video incidentali dagli obblighi CCPA? Tali aziende non, dopo tutto, collegare i volti che hanno raccolto a persone reali, tanto meno tentare di costruire qualsiasi tipo di profilo comportamentale sulla base di tali informazioni.

Il legislatore della California ha considerato – e non ha approvato – un emendamento (AB-873) che avrebbe risolto questo problema. Ciò è probabilmente dovuto al fatto che il CCPA era, in parte, destinato ad affrontare il rischio che, anche se l’azienda che raccoglie il PI non cerca di identificarlo, il PI può essere violato e ri-identificato utilizzando un set di dati esterno. AB-873 avrebbe affrontato le preoccupazioni operative di aziende come aziende drone che raccolgono PI incidentalmente, piuttosto che intenzionalmente durante il normale corso degli affari. Le informazioni de-identificate non sono considerate informazioni personali ai sensi del CCPA e AB-873 avrebbe ampliato la definizione di “de-identificato” per includere qualsiasi informazione che “non identifica e non è ragionevolmente collegabile” a un consumatore. Il legislatore alla fine ha ristretto la definizione di “informazioni personali” per includere solo informazioni “ragionevolmente” in grado di essere associate a un consumatore o a una famiglia, il che dà alle aziende di droni e a quelle che si trovano allo stesso modo motivo di ottimismo. Essi possono essere in grado di sostenere che i passi che essi o altre aziende avrebbero bisogno di prendere per collegare effettivamente le loro informazioni non sono ragionevoli. Non è chiaro, tuttavia, quali tribunali interpretando la legge considererà ” ragionevole.”E’ possibile che avremo bisogno di fare affidamento su azioni di applicazione per interpretare la portata di “ragionevolezza.”Con robusti database di riconoscimento facciale ora ampiamente disponibili, un argomento potrebbe essere fatto in entrambi i casi.

Il CCPA solleva molte altre domande. Ad esempio, un drone che vola all’altitudine legalmente consentita può effettivamente catturare filmati ragionevolmente identificabili di volti? Conta se il video deve essere ingrandito per rendere i volti ragionevolmente collegabili agli individui? Un consumatore “è a conoscenza” della raccolta di filmati o informazioni biometriche-rendendo così le informazioni “disponibili al pubblico” e al di fuori della CCPA-se un’azienda pubblica cartelli che attestano che le riprese video e/o la sorveglianza sono raccolte in un’area? Se sì, quanti segni e dove devono essere affissi per imputare la conoscenza?

E allora?

Il CCPA concede ai consumatori diversi diritti per quanto riguarda il loro PI detenuto dalle imprese, tra cui il diritto di scegliere di non vendere PI, il diritto di conoscere il PI che è stato raccolto su di loro, il diritto alla portabilità dei dati, il diritto di richiedere la cancellazione delle informazioni personali e il diritto alla non discriminazione per aver esercitato i loro diritti Oltre a numerosi requisiti su come i consumatori devono essere informati di questi diritti attraverso le informative sulla privacy, le aziende dovranno anche affrontare la sfida di creare processi aziendali per soddisfare queste richieste quando le ricevono.

Queste sfide sono particolarmente acute per le imprese come gli operatori di droni, che non elaborano il tipo di informazioni che la CCPA considera PI in primo luogo. Significativamente, il recente progetto di regolamento del Procuratore generale della California sul CCPA ha chiarito che ” f a business mantiene le informazioni sui consumatori che sono de-identificate, un’azienda non è obbligata a fornire o eliminare queste informazioni in risposta a una richiesta del consumatore o a ri-identificare i dati individuali per verificare una richiesta del consumatore.”Le aziende dovrebbero evitare di raccogliere nuove informazioni personali, a meno che non sia necessario per la verifica delle richieste dei clienti. Ciò potrebbe supportare argomenti da parte di aziende di droni o sorveglianza che semplicemente non possono soddisfare il diritto dei clienti di conoscere o il diritto di eliminare le richieste perché non possono verificare l’identità del richiedente o ri-identificare i loro filmati senza ottenere nuovi PI. Questo è un problema aperto per il quale non esiste attualmente una risposta chiara sotto il CCPA, e non è chiaro se i dati facciali non sfocati saranno considerati de-identificati.

Elementi di azione

Dando alcune informazioni sull’applicazione pianificata della legge in California, il procuratore generale Xavier Becerra ha dichiarato: “guarderemo gentilmente quelli che . . . dimostrare uno sforzo per conformarsi.”Ciò significa che anche se le aziende non sono ragionevolmente in grado di soddisfare tutte le richieste dei consumatori, dovrebbero comunque fare ogni sforzo per rispettare altre parti della legge.

Per prepararsi all’implementazione della CCPA, le aziende di sorveglianza e droni dovrebbero:

• Aggiornare le loro politiche sulla privacy, per spiegare i processi, i diritti dei clienti, incidentali raccolta di PI, e altri dati usi in “plain English”
• Rivedere le loro politiche sulla privacy, per lasciare che i clienti sanno di non vendere PI (se, in realtà, non lo fanno)
• Rivedere il business finalità della loro raccolta PI, e garantire che la loro politica di conservazione per un periodo di tempo non superiore a quello necessario per gli scopi
• De-identificare come la quantità di dati come obiettivi aziendali permettono, tra cui la sfocatura facce ogni volta che è possibile.Questo include:
  • implementingtechnical misure di sicurezza che vietano la re-identificazione del consumatore a cui le informazioni si riferiscono
  • l’implementazione di processi di business che proibiscono di re-identificazione delle informazioni,
  • l’implementazione di processi aziendali per evitare il rilascio accidentale di de-identificati informazioni, e
  • non facendo alcun tentativo di ri-identificare le informazioni.
• Se sono fornitori di servizi, rivedere i propri accordi con i loro clienti aziendali
• Implementare processi per i clienti di richiedere e di esercitare i loro diritti secondo la legge
• Se alcune richieste, o categorie di richieste non possono essere soddisfatte a causa della natura del business, raccolta di dati, determinare come tali verranno trattati. Le richieste non possono essere semplicemente ignorate!

Quali sono le prospettive?

La transizione non sembra probabile che sia liscia. A causa dell’ampia portata della legge e delle molte domande che lascia senza risposta, molte aziende probabilmente non si rendono nemmeno conto che la legge si applicherà a loro. Un sondaggio pubblicato a novembre da Osterman Research e Egess Software Technologies ha rilevato che solo il 48% delle aziende ha dichiarato di essere conforme entro la fine del 2019. Ma con potenziali sanzioni fino a $2.500 per violationor $7.500 per violazione intenzionale, le imprese impreparati stanno prendendo un grande rischio di business. Il procuratore generale Becerra non emetterà alcuna sanzione ai sensi del CCPA fino a luglio 1, 2020, dando alle aziende altri sei mesi per adattarsi ai nuovi requisiti. Ma se si sono verificate violazioni significative durante quel periodo di sei mesi, l’AG mantiene la discrezione di ” tornare indietro.”Offrendo alle aziende un altro piccolo punto di conforto, il CCPA autorizza un diritto privato di azione solo per le violazioni che coinvolgono il PI non redatto e non crittografato dei consumatori della California, non per altre violazioni CCPA.

Molte aziende citano le numerose aree grigie e la mancanza di chiarezza come un grosso ostacolo alla conformità. I regolamenti rilasciati dall’ufficio dell’AG hanno chiarito alcune questioni, ma molte questioni riguardanti l’attuazione della CCPA rimangono irrisolte. L’ufficio dell’AG sta ora esaminando i commenti pubblici ricevuti sui suoi progetti di regolamento, ma sembra probabile che le domande senza risposta nella legge saranno risolte attraverso azioni esecutive, contenziosi o, eventualmente, chiarimenti legislativi ben dopo che la legge è entrata in vigore. Ciò significa che le imprese dovranno trovare una linea di vista e volare avanti attraverso la nebbia.

I seguenti rappresentanti di Mintz, Levin, Cohn, Ferris, Glovsky e Popeo, P. C. hanno scritto questo articolo.

Cynthia Larose è presidente della Privacy di Mintz & Cybersecurity Practice, un Certified Information Privacy Professional-US (CIPP-US), e un Certified Information Privacy Professional-Europe (CIPP-E). Lavora con clienti in vari settori per sviluppare programmi completi di sicurezza delle informazioni sul front-end e fornisce consulenza tempestiva quando diventa necessario rispondere a una violazione dei dati.

Laura Stefani consiglia i clienti che cercano di portare sul mercato nuove tecnologie wireless su questioni normative. Le sue aree di interesse includono tecnologie wireless senza licenza e con licenza, aerei senza pilota, satellite, dispositivi medici e Internet of Things.

Jonathan Markman si concentra sulle tecnologie wireless ed emergenti, con particolare attenzione agli UAS (comunemente noti come droni) e allo spettro wireless. Ha esperienza con le procedure FCC e FAA e rulemakings, reclami formali e informali, e le indagini FCC, così come il deposito e perseguire le applicazioni con la FCC e FAA.

Elana Safner (CIPP-US) fornisce consulenza ai clienti su politiche pubbliche, questioni normative e controversie che riguardano il settore TechComm, nonché questioni relative alla privacy e alla sicurezza informatica. Ha anche esperienza con le procedure FCC e rulemakings.