DRONELIFE EXCLUSIVA: UMA Nova Califórnia, a Lei de Privacidade Pode Mudar Tudo para Operadores de Drones nos EUA

A nova Califórnia, a lei de privacidade pode mudar tudo para operadores de drones no estado – e poderia ser usado como modelo em todo o país.esta obra foi escrita por Cynthia Larose, Laura Stefani, Jonathan Markman e Elana R. Safner.os operadores de drones enfrentam um novo desafio: A CCPA

é 2020, e a bola de cristal não é a única coisa que caiu. O 1º de Janeiro inaugurou um ano novo, uma nova década, e a implementação do California Consumer Privacy Act de 2018 (“CCPA”). Enquanto as empresas que são colecionadores e processadores mais tradicionais de informações pessoais (“PI”) têm se preparado para a data de implementação da CCPA, muitas outras empresas que coletam PI apenas incidentalmente podem encontrar-se encurralados pelo âmbito expansivo da lei de privacidade de dados mais abrangente do país.onde é que isto deixa empresas como operadores de drones que só incidentalmente criam e armazenam imagens de câmaras com informações pessoais como imagens de rostos durante o exercício do seu objectivo comercial? E se essas empresas nunca fizerem qualquer esforço para identificar essas informações pessoais? Como este artigo explicará, essas empresas não estão totalmente dispensadas do cumprimento da CCPA e devem considerar cuidadosamente as suas práticas comerciais e as próximas etapas para entrar em conformidade.

Este problema surge porque a CCPA define “informações pessoais” de uma forma muito ampla, enquanto as excepções à definição – tais como informações publicamente disponíveis e informações desidentificadas-são definidas de forma bastante restrita. Estas escolhas deliberadas pela legislatura da Califórnia fazem da CCPA a lei de privacidade mais expansiva dos EUA até à data. Eles também atribuem obrigações a empresas e prestadores de Serviços definidos que se envolvem em práticas de negócios – como a coleção inadvertida de imagens de rostos-que geralmente tinham sido intocados por outras leis de privacidade nos Estados Unidos. Este artigo estabelece questões a considerar e um conjunto de itens de ação para que tais empresas trabalhem para o cumprimento da CCPA.porque é que os operadores de drones devem estar preocupados?

A CCPA aplica-se a uma gama inesperadamente ampla de dados. Um equívoco sobre a CCPA é que ela se aplica apenas no contexto da coleta direta de informações pessoais dos consumidores através de métodos como compras on-line, histórias de Pesquisa, cookies e outras preferências comportamentais. Na realidade, a definição de PI da CCPA lança uma rede muito mais ampla. Também se aplica ao PI coletado on e offline.

no âmbito do CCPA,” informação pessoal “é definida como” informação que identifica, relaciona-se, descreve, é razoavelmente capaz de estar associada, ou poderia razoavelmente estar ligada, directa ou indirectamente, a um determinado consumidor ou agregado familiar.”Isso inclui, entre outras coisas, informações biométricas, tais como rostos capturados por drones, câmeras de vigilância e outros meios de gravação de vídeo. As” informações pessoais ” excluem especificamente as informações publicamente disponíveis. Poder-se-ia razoavelmente pensar que a presença e a visagem de uma pessoa ao ar livre ou em propriedade pública poderiam ser consideradas publicamente disponíveis. No entanto, a CCPA assume uma posição diferente. Afirma que “‘ulicly available’ não significa informação biométrica recolhida por uma empresa sobre um consumidor sem o conhecimento do consumidor.”Isso significa que fotos e vídeo – e também Áudio, térmico, olfativo, e outros dados – são abrangidos pela definição de informações pessoais. O que é importante é que o IP recolhido por vídeo não tem de ser de facto ligado pela empresa ao consumidor, apenas razoavelmente capaz de estar ligado “directa ou indirectamente”.mas não identificamos os dados!

as definições destes Termos levantam muitas questões sobre como o CCPA será aplicado em certos contextos. Embora as informações publicamente disponíveis estejam isentas da definição de informações pessoais, vemos que isso não impede necessariamente os operadores de drones de cumprir a CCPA, como descrito acima. A CCPA isenta igualmente as informações desidentificadas. Certamente isso salvará as companhias de drones e outros coletores de vídeos incidentais das obrigações da CCPA? Essas empresas não ligam, afinal, os rostos que coletaram às pessoas reais, muito menos tentam construir qualquer tipo de perfil comportamental com base nessa informação.

a legislatura da Califórnia considerou – e não aprovou-uma emenda (AB-873) que teria resolvido esta questão. Tal deve-se provavelmente ao facto de a CCPA se destinar, em parte, a fazer face ao risco de que, apesar de a empresa que recolhe o PI não procurar identificá-lo, a PI possa ser violada e novamente identificada utilizando um conjunto de dados externo. O AB-873 teria abordado as preocupações operacionais de empresas como as empresas de drones que recolhem a PI incidentalmente, em vez de intencionalmente durante o curso normal de negócios. De-identificado informações não são consideradas informações pessoais sob o CCPA, e AB-873 teria expandido a definição dos “não identificados” para incluir qualquer informação de que “não se identificar e não é razoavelmente vinculados” a um consumidor. O legislativo eventualmente restringiu a definição de “informações pessoais” para incluir apenas informações “razoavelmente” capazes de ser associados com um consumidor ou casa, o que dá às empresas de drones e aqueles igualmente situados motivos para otimismo. Podem argumentar que as medidas que as empresas ou outras empresas teriam de tomar para ligar efectivamente as suas informações não são razoáveis. No entanto, não é claro o que os tribunais que interpretam a lei considerarão “razoável”.”É possível que precisemos confiar em ações de execução para interpretar o alcance da razoabilidade.”Com bases de dados de reconhecimento facial robustas agora amplamente disponíveis, um argumento poderia ser feito de qualquer maneira.a CCPA levanta muitas outras questões. Por exemplo, um drone voando na altitude legalmente permitida pode realmente capturar imagens razoavelmente identificáveis de rostos? Será que conta se o vídeo deve ser ampliado para tornar os rostos razoavelmente linkáveis para os indivíduos? Será que um consumidor “tem conhecimento” da recolha de imagens ou de informações biométricas – tornando assim a informação “acessível ao público” e fora da CCPA – se uma empresa publicar sinais indicando que as imagens de vídeo e/ou a vigilância são recolhidas numa área? Em caso afirmativo, quantos sinais e onde devem ser afixados para imputar o conhecimento?e depois?

O CCPA bolsas de consumidores de vários direitos no que respeita à sua PI realizada pelas empresas, incluindo o direito de opt-out de venda de PI, o direito de conhecer o PI que foi coletada sobre eles, o direito à portabilidade de dados, o direito de solicitar a exclusão de informações pessoais, e um direito à não-discriminação por ter exercido seus direitos sob a lei. Além de inúmeros requisitos sobre como os consumidores devem ser sensibilizados para estes direitos através de avisos de privacidade, as empresas também enfrentarão o desafio de criar processos de negócios para atender a esses pedidos quando os receberem.estes desafios são particularmente agudos para empresas como os operadores de drones, que não processam o tipo de informação que a CCPA considera a PI em primeiro lugar. Significativamente, o Procurador Geral da Califórnia recente projecto de regulamento sobre o CCPA esclareceu que “f uma empresa mantém a informação do consumidor, que é de-identificado, uma empresa não é obrigada a fornecer ou excluir estas informações em resposta a um consumidor pedido ou para re-identificar dados para verificar se o consumidor solicitar.”As empresas devem evitar a coleta de novas informações pessoais, a menos que seja necessário para verificar os pedidos dos clientes. Isto poderia apoiar argumentos de empresas de drones ou de vigilância que simplesmente não podem satisfazer o direito dos clientes de saber ou de excluir pedidos, porque eles não podem verificar a identidade do solicitante ou re-identificar suas imagens sem obter nova PI. Esta é uma questão em aberto, para a qual não existe actualmente uma resposta clara sob a CCPA, e não está claro se os dados faciais não-borrados serão considerados des-identificados.o Procurador-Geral Xavier Becerra disse que ” nós cuidaremos bem disso . . . demonstrar um esforço para cumprir.”Isso significa que mesmo que as empresas não sejam razoavelmente capazes de satisfazer todos os pedidos dos consumidores, eles ainda devem fazer todos os esforços para cumprir com outras partes da lei.

para preparar a implementação CCPA, vigilância e drones empresas devem:

  • Atualização de suas políticas de privacidade para explicar os seus processos, os direitos do consumidor, incidentais coleção de PI, e outros dados que usa em “plain English”
  • Revisar suas políticas de privacidade para que os clientes saibam que eles não vendem PI (se, na verdade, eles não)
  • Rever os objetivos de negócio de sua PI coleção, e assegurar que a sua política de retenção é por um período de tempo não superior a necessária para os fins
  • De:-identificar os dados como objetivos de negócio permitir, incluindo borrar os rostos, sempre que possível.Isto inclui::
    • implementingtechnical salvaguardas que proíbem a re-identificação do consumidor para os quais as informações que podem ser pertinentes,
    • implementação de processos de negócios, que proíbem especificamente, re-identificação de informações,
    • implementação de processos de negócios para se evitar a fuga acidental de informações identificadas e
    • não fazendo nenhuma tentativa de re-identificar as informações.se forem prestadores de serviços, revejam os seus acordos com os seus clientes de negócios, implementem processos para os clientes apresentarem pedidos e exercerem os seus direitos ao abrigo da lei, caso determinados pedidos, ou categorias de pedidos, não possam ser satisfeitos devido à natureza da recolha de dados da empresa, determinem como serão tratados. Os pedidos não podem simplesmente ser ignorados!o que se segue?

      a transição não parece ser suave. Devido ao amplo alcance da lei e às muitas questões que ela deixa sem resposta, muitas empresas provavelmente nem sequer percebem que a lei se aplicará a eles. Uma pesquisa lançada em novembro pela Osterman Research and Egress Software Technologies descobriu que apenas 48 por cento das empresas disseram que estariam em conformidade até o final de 2019. Mas com potenciais penalizações de até US $ 2.500 por violação ou US $ 7.500 por violação intencional, as empresas não preparadas estão assumindo um grande risco de Negócio. O Procurador-Geral Becerra não emitirá quaisquer sanções ao abrigo da CCPA até 1 de julho de 2020, dando às empresas um prazo adicional de seis meses para se adaptarem aos novos requisitos. Mas se ocorreram violações significativas durante esse período de seis meses, o AG mantém o poder discricionário para “retornar.”Oferecendo às empresas outro pequeno ponto de consolo, a CCPA autoriza um direito privado de ação apenas por violações envolvendo o IP não-censurado e não criptografado dos consumidores da Califórnia, não por outras violações da CCPA.muitas empresas citam as numerosas áreas cinzentas e a falta de clareza como um grande obstáculo à conformidade. Os regulamentos divulgados pelo Gabinete do AG clarificaram algumas questões, mas muitas questões relativas à implementação da CCPA continuam por resolver. O gabinete do AG está agora a rever os comentários públicos que recebeu sobre os seus projectos de regulamento, mas parece provável que as questões não Respondidas da lei sejam resolvidas através de acções de execução, litígios ou, possivelmente, esclarecimentos legislativos muito depois de a lei ter entrado em vigor. Isso significa que as empresas terão de encontrar uma linha de visão e voar em frente através do nevoeiro.

      Os seguintes representantes de Mintz, Levin, Cohn, Ferris, Glovsky e Popeo, P. C. o autor deste artigo.

      Cynthia Larose is Chair of Mintz’s Privacy& Cybersegurança Practice, a Certified Information Privacy Professional-US (CIPP-US), and a Certified Information Privacy Professional-Europe (CIPP-E). Ela trabalha com clientes em várias indústrias para desenvolver programas abrangentes de segurança da informação no front-end, e fornece aconselhamento atempado quando se torna necessário responder a uma quebra de dados.Laura Stefani aconselha os clientes que procuram colocar novas tecnologias sem fio no mercado sobre questões regulamentares. Suas Áreas de foco incluem tecnologias sem licença e licenciadas sem fio, aeronaves não tripuladas, satélite, dispositivos médicos e a Internet das coisas.

      Jonathan Markman se concentra em tecnologias sem fio e emergentes, com uma ênfase particular em UA (comumente conhecido como drones) e espectro sem fio. Ele tem experiência com procedimentos e regras da FCC e FAA, queixas formais e informais e investigações da FCC, bem como arquivar e processar pedidos com a FCC e FAA.

      Elana Safner (CIPP-US) aconselha os clientes sobre políticas públicas, questões regulamentares e disputas que afetam o setor TechComm, bem como questões de Privacidade e segurança cibernética. Ela também tem experiência com procedimentos e regras da FCC.

      Miriam McNabb é o Editor-Chefe do DRONELIFE e CEO da JobForDrones, um profissional de drones, serviços do mercado e um fascinado observador dos emergentes drone indústria e o ambiente regulatório para drones. Miriam escreveu mais de 3.000 artigos focados no espaço comercial de drones e é um palestrante internacional e figura reconhecida na indústria. Miriam tem uma licenciatura da Universidade de Chicago e mais de 20 anos de experiência em vendas de alta tecnologia e marketing para novas tecnologias.
      For drone industry consulting or writing, Email Miriam.

      TWITTER:@spaldingbarker Assine aqui DroneLife.

Deixe uma resposta

O seu endereço de email não será publicado.