O nouă lege a confidențialității din California ar putea schimba totul pentru operatorii de Drone din SUA

o nouă lege a confidențialității din California ar putea schimba totul pentru operatorii de drone din stat – și ar putea fi folosită ca model în toată țara.

următorul este un post de invitat al Avocaților de la firma de avocatură Mintz, Levin, Cohn, Ferris, Glovsky și Popeo, P. C. Această piesă a fost scrisă de Cynthia Larose, Laura Stefani, Jonathan Markman și Elana R. Safner.

operatorii de Drone se confruntă cu o nouă provocare: CCPA

este 2020, iar bila de cristal nu este singurul lucru care a căzut. 1 ianuarie a inaugurat un nou an, un nou deceniu și implementarea California Consumer Privacy Act din 2018 („CCPA”). În timp ce companiile care sunt colectori și procesatori mai tradiționali de informații personale („PI”) s-au pregătit pentru data implementării CCPA, multe alte companii care colectează PI doar întâmplător se pot găsi prinse de domeniul de aplicare expansiv al celei mai ample legi privind confidențialitatea datelor din țară.

unde lasă acest lucru companii precum operatorii de drone care creează și stochează doar întâmplător imagini ale camerei cu informații personale precum imagini ale fețelor în cursul îndeplinirii scopului lor de afaceri? Ce se întâmplă dacă astfel de companii nu fac niciodată niciun efort pentru a identifica acele informații personale? După cum va explica acest articol, astfel de companii nu sunt în întregime scutite de respectarea CCPA și trebuie să ia în considerare cu atenție practicile lor de afaceri și pașii următori pentru a intra în conformitate.

această problemă apare deoarece CCPA definește „informațiile personale” foarte larg, în timp ce excepțiile de la definiție – cum ar fi informațiile disponibile publicului și informațiile dezidentificate-sunt definite destul de restrâns. Aceste alegeri deliberate ale legislativului din California fac din CCPA cea mai expansivă lege a confidențialității din SUA până în prezent. De asemenea, acestea atribuie obligații întreprinderilor definite și furnizorilor de servicii care se angajează în practici comerciale – cum ar fi colectarea accidentală de imagini cu fețe – care, în general, au fost neatinse de alte legi privind confidențialitatea din Statele Unite. Acest articol stabilește probleme să ia în considerare și un set de elemente de acțiune pentru astfel de întreprinderi să lucreze spre CCPA conformitate.

de ce ar trebui să fie îngrijorați operatorii de Drone?CCPA se aplică unei game neașteptat de largi de date. O concepție greșită despre CCPA este că se aplică numai în contextul colectării directe a informațiilor personale de la consumatori prin metode precum achizițiile online, Istoricul căutărilor, cookie-urile și alte preferințe comportamentale. În realitate, definiția CCPA a PI aruncă o plasă mult mai largă. De asemenea, se aplică PI colectate pe și offline.

conform CCPA, „informațiile personale” sunt definite ca „informații care identifică, se referă la, descrie, sunt în mod rezonabil capabile să fie asociate sau ar putea fi legate în mod rezonabil, direct sau indirect, cu un anumit consumator sau gospodărie.”Aceasta include, printre altele, informații biometrice, cum ar fi fețele capturate de Drone, Camere de supraveghere și alte mijloace de înregistrare video. „Informațiile personale” exclud în mod specific informațiile disponibile publicului. S-ar putea crede în mod rezonabil că prezența și înfățișarea unei persoane în aer liber sau pe proprietatea publică ar putea fi considerate disponibile publicului. Cu toate acestea, CCPA ia o poziție diferită. Acesta afirmă, „”ublicly disponibile” nu înseamnă informații biometrice colectate de o afacere despre un consumator fără știrea consumatorului.”Aceasta înseamnă că fotografiile și videoclipurile – și, de asemenea, datele audio, termice, olfactive și alte date – se încadrează în definiția informațiilor personale. Important, PI colectate de video nu trebuie să fie de faptlegat de afaceri consumatorului, doar în mod rezonabil capabil să fie legat „direct sau indirect”.

dar nu identificăm datele!

definițiile acestor Termeni ridică multe întrebări cu privire la modul în care CCPA va fi aplicat în anumite contexte. Deși informațiile disponibile publicului sunt scutite de definiția informațiilor personale, vedem că acest lucru nu scutește neapărat operatorii de drone de respectarea CCPA, așa cum este descris mai sus. CCPA scutește, de asemenea, informațiile neidentificate. Cu siguranță acest lucru va salva companiile de drone și alți colecționari de înregistrări video accidentale din obligațiile CCPA? Astfel de companii nu, la urma urmei, leagă fețele pe care le-au colectat de oameni reali, cu atât mai puțin încearcă să construiască orice fel de profil comportamental bazat pe aceste informații.legislativul californian a luat în considerare – și nu a adoptat-un amendament (AB-873) care ar fi rezolvat această problemă. Acest lucru este posibil deoarece CCPA a fost, în parte, destinat să abordeze riscul ca, deși întreprinderea care colectează PI nu urmărește să îl identifice, PI poate fi încălcat și reidentificat folosind un set de date extern. AB – 873 ar fi abordat preocupările operaționale ale companiilor precum companiile de drone care colectează PI întâmplător, mai degrabă decât intenționat în cursul normal al afacerilor. Informațiile neidentificate nu sunt considerate informații personale în conformitate cu CCPA, iar AB-873 ar fi extins definiția „neidentificate” pentru a include orice informații care „nu identifică și nu pot fi legate în mod rezonabil” de un consumator. Legislativul a restrâns în cele din urmă definiția „informațiilor personale” pentru a include doar informații „în mod rezonabil” capabile să fie asociate cu un consumator sau o gospodărie, ceea ce oferă companiilor de drone și celor situate în mod similar un motiv de optimism. Este posibil ca aceștia să poată argumenta că măsurile pe care ei sau alte companii ar trebui să le ia pentru a-și lega efectiv informațiile nu sunt rezonabile. Cu toate acestea, nu este clar ce instanțe care interpretează legea vor considera „rezonabile.”Este posibil că va trebui să ne bazăm pe acțiunile de aplicare a legii pentru a interpreta sfera „rezonabilității”.”Cu baze de date robuste de recunoaștere facială acum disponibile pe scară largă, un argument ar putea fi făcut oricum.

CCPA ridică multe alte întrebări. De exemplu, poate o dronă care zboară la altitudinea permisă legal să capteze imagini identificabile în mod rezonabil ale fețelor? Contează dacă videoclipul trebuie mărit pentru a face fețele în mod rezonabil legate de persoane? Are un consumator ” cunoștințe „despre colectarea de imagini sau informații biometrice – făcând astfel informațiile” disponibile publicului ” și în afara CCPA – dacă o companie Postează semne care să ateste că înregistrările video și/sau supravegherea sunt colectate într-o zonă? Dacă da, câte semne și unde trebuie să fie postate pentru a imputa cunoașterea?

și ce? CCPA acordă consumatorilor diverse drepturi cu privire la PI deținute de întreprinderi, inclusiv dreptul de a renunța la vânzarea PI, dreptul de a cunoaște PI care a fost colectat despre ei, dreptul la portabilitatea datelor, dreptul de a solicita ștergerea informațiilor personale și dreptul la nediscriminare pentru că și-au exercitat drepturile în temeiul Legii. Pe lângă numeroasele cerințe cu privire la modul în care consumatorii trebuie să fie conștienți de aceste drepturi prin notificări de confidențialitate, companiile se vor confrunta, de asemenea, cu provocarea de a crea procese de afaceri pentru a se conforma acestor solicitări atunci când le primesc.

aceste provocări sunt deosebit de acute pentru întreprinderi precum operatorii de drone, care nu procesează tipul de informații pe care CCPA le consideră PI în primul rând. În mod semnificativ, recentul proiect de regulament al Procurorului General din California privind CCPA a clarificat că „dacă o afacere menține informații despre consumatori care sunt dezidentificate, o afacere nu este obligată să furnizeze sau să șteargă aceste informații ca răspuns la o solicitare a consumatorului sau să reidentifice datele individuale pentru a verifica o cerere a consumatorului.”Întreprinderile ar trebui să evite colectarea de noi informații personale, cu excepția cazului în care este necesar pentru verificarea cererilor clienților. Acest lucru ar putea susține argumentele companiilor de drone sau de supraveghere că pur și simplu nu pot satisface dreptul clienților de a cunoaște sau dreptul de a șterge cererile, deoarece nu pot verifica identitatea solicitantului sau nu își pot identifica din nou înregistrările fără a obține un nou PI. Aceasta este o problemă deschisă pentru care în prezent nu există un răspuns clar în cadrul CCPA și nu este clar dacă datele faciale neclare vor fi considerate dezidentificate.oferind o perspectivă asupra aplicării planificate a legii din California, Procurorul General Xavier Becerra a spus: „vom privi cu amabilitate pe cei care . . . demonstrați un efort de a vă conforma.”Aceasta înseamnă că, chiar dacă întreprinderile nu sunt în mod rezonabil capabile să satisfacă toate cererile consumatorilor, acestea ar trebui să depună toate eforturile pentru a se conforma altor părți ale legii.

să se pregătească pentru implementarea CCPA, companiile de supraveghere și drone ar trebui:

• să își actualizeze politicile de confidențialitate pentru a explica procesele, drepturile clienților, colectarea incidentală a PI și alte utilizări ale datelor în „engleză simplă”
• să își revizuiască politicile de confidențialitate pentru a informa clienții că nu vând PI (dacă, de fapt, nu)
• să revizuiască scopurile de afaceri ale colecției lor PI și să se asigure că politica lor de păstrare este pentru o perioadă de timp care nu depășește ceea ce este necesar în aceste scopuri
• să.Aceasta include:
  • implementarea garanțiilor tehnice care interzic reidentificarea consumatorului căruia îi pot aparține informațiile,
  • implementarea proceselor de afaceri care interzic în mod specific reidentificarea informațiilor,
  • implementarea proceselor de afaceri pentru a preveni publicarea accidentală a informațiilor dezidentificate și
  • fără a face nicio încercare de a reidentifica informațiile.
• dacă sunt furnizori de servicii, revizuiți acordurile cu clienții lor de afaceri
• implementați procese pentru ca clienții să plaseze cereri și să își exercite drepturile în conformitate cu legea
• dacă anumite cereri sau categorii de cereri nu pot fi satisfăcute din cauza naturii colectării datelor afacerii, determinați modul în care acestea vor fi tratate. Cererile nu pot fi pur și simplu ignorate!

ce urmează?

tranziția nu pare să fie lină. Datorită domeniului larg de aplicare al legii și a numeroaselor întrebări pe care le lasă fără răspuns, Multe companii probabil nici nu își dau seama că legea se va aplica acestora. Un sondaj publicat în noiembrie de Osterman Research și Egress Software Technologies a constatat că doar 48% dintre companii au declarat că vor fi conforme până la sfârșitul anului 2019. Dar, cu sancțiuni potențiale de până la 2.500 USD pe încălcaresau 7.500 USD pe încălcare intenționată, întreprinderile nepregătite își asumă un risc mare de afaceri. Procurorul General Becerra nu va emite sancțiuni în temeiul CCPA până la 1 iulie 2020, oferind companiilor încă șase luni pentru a se adapta la noile cerințe. Dar dacă au avut loc încălcări semnificative în această perioadă de șase luni, AG își păstrează discreția de a „ajunge înapoi.”Oferind companiilor un alt punct mic de consolare, CCPA autorizează un drept privat de acțiune numai pentru încălcări care implică PI ne-redactat și necriptat al consumatorilor din California, nu pentru alte încălcări ale CCPA.

multe întreprinderi citează numeroasele zone gri și lipsa de claritate ca un obstacol major în calea conformității. Reglementările publicate de Biroul AG au clarificat unele probleme, dar multe întrebări legate de implementarea CCPA rămân nerezolvate. Biroul AG analizează acum comentariile publice pe care le-a primit cu privire la proiectele sale de regulament, dar se pare că întrebările fără răspuns din lege vor fi soluționate prin acțiuni de executare, litigii sau, eventual, clarificări legislative mult după intrarea în vigoare a legii. Asta înseamnă că întreprinderile vor trebui să găsească o linie de vedere și să zboare înainte prin ceață.

următorii reprezentanți ai Mintz, Levin, Cohn, Ferris, Glovsky și Popeo, P. C. au scris acest articol.

Cynthia Larose este președintele Mintz ‘ s Privacy& Cybersecurity Practice, un profesionist certificat în domeniul confidențialității informațiilor-SUA (CIPP-SUA) și un profesionist certificat în domeniul confidențialității informațiilor-Europa (CIPP-E). Lucrează cu clienți din diverse industrii pentru a dezvolta programe complete de securitate a informațiilor pe front-end și oferă consiliere în timp util atunci când devine necesar să răspundă la o încălcare a datelor.

Laura Stefani consiliază clienții care doresc să aducă pe piață noi tehnologii wireless pe probleme de reglementare. Domeniile sale de interes includ tehnologii wireless fără licență și licențiate, aeronave fără pilot, satelit, dispozitive medicale și Internet of Things.

Jonathan Markman se concentrează pe tehnologiile wireless și emergente, cu un accent deosebit pe UAS (cunoscut sub numele de drone) și spectrul wireless. El are experiență cu procedurile și reglementările FCC și FAA, plângerile formale și informale și investigațiile FCC, precum și depunerea și urmărirea penală a cererilor la FCC și FAA.

Elana Safner (CIPP-US) oferă consultanță clienților cu privire la politicile publice, problemele de reglementare și disputele care afectează sectorul TechComm, precum și problemele de confidențialitate și securitate cibernetică. De asemenea, are experiență în procedurile și reglementările FCC.