Se le migliaia di californiani che usano l'app per musicisti di Josh Simons richiedono il mese prossimo che Vampr cancelli le loro informazioni personali, Simons sarà pronto a conformarsi.

La società di social network prevede di essere una delle tante aziende a livello nazionale soggette al California Consumer Privacy Act, una legge che entra in vigore il 1 gennaio e dà ai consumatori il controllo sulle informazioni personali raccolte dalle società, memorizzare e spesso condividere con altre imprese. Simone, che disponeva già di un'informativa sulla privacy degli utenti prima che la legge diventasse legge lo scorso anno, ha riorganizzato la politica e l'app Vampr.

"Abbiamo mezzo milione di utenti in tutto il mondo, " Simons dice. "È sicuramente qualcosa che dobbiamo tenere a mente".

Le aziende di tutto il paese devono essere consapevoli dei complessi requisiti della legge anche se non trattano direttamente con i consumatori. Copre le società che conducono affari in California, comprese le società fuori dallo stato che vendono prodotti o merci ai residenti in California. La legge può anche coprire le aziende che guadagnano fornendo servizi come l'elaborazione dei pagamenti o l'hosting di siti Web a imprese soggette alla legge.

La legge prevede disposizioni volte a esentare le piccole imprese:le aziende sono soggette alla legge se hanno entrate mondiali superiori a $ 25 milioni, raccogliere o ricevere le informazioni personali di 50, 000 o più consumatori della California, elettrodomestici o dispositivi elettronici; o quelli che ottengono almeno la metà delle loro entrate dalla vendita di informazioni personali. Ma le piccole aziende possono facilmente raggiungere i 50, 000 soglia per la raccolta o la ricezione di informazioni:un individuo che ha un telefono, tavoletta, Il PC a casa e uno al lavoro contano come quattro utenti, non uno.

Vampr è attualmente di circa 1, 000 utenti prima della soglia, ma Simons prevede che l'app raggiungerà questo traguardo a gennaio. La Santa Monica, Lo stato di origine dell'azienda californiana è il suo mercato più grande.

La legge mira a proteggere i consumatori dalla vendita delle loro informazioni senza la loro conoscenza o il loro consenso. È stato approvato dalla legislatura della California nel giugno 2018, e modellato sul regolamento generale sulla protezione dei dati dell'Unione europea, entrata in vigore nel maggio 2018. La legge della California è stata promulgata tra le crescenti preoccupazioni per le aziende che condividono i dati dei consumatori, soprattutto dopo che si è appreso che la società di dati Cambridge Analytica ha avuto accesso improprio alle informazioni degli utenti di Facebook.

La legge della California dà ai consumatori il diritto di sapere quali informazioni personali raccolgono da loro le società, e cosa fanno le aziende con esso, se condividono, trasferirlo o venderlo, e chi è il destinatario delle informazioni. In base a una disposizione fondamentale, le aziende devono dare ai consumatori la possibilità di cancellare le proprie informazioni dai database.

La legge copre una vasta gamma di dati tra cui nomi, indirizzi, Previdenza sociale e numeri di passaporto, indirizzi email, cronologie di navigazione in Internet, cronologia degli acquisti, proprietà personali e informazioni sanitarie, informazioni professionali o occupazionali, record educativi e informazioni da app e programmi GPS.

Le aziende soggette alla legge devono garantire che i propri sistemi e siti Web siano conformi. Molti senza personale tecnologico interno hanno assunto società per installare software che, tra le altre cose, crea i pulsanti e i collegamenti del sito Web che consentono ai consumatori di vedere le proprie informazioni e di rinunciare all'archiviazione. Alcune aziende potrebbero decidere di richiedere assistenza legale per essere sicure di essere sulla strada giusta. Simone, chi ha installato lui stesso il software per rendere compatibile Vampr, stima che il processo sia costato all'azienda $ 7, 000, una grossa somma per una piccola azienda.

Mentre lo statuto della California entra in vigore il 1 gennaio, l'applicazione non inizierà fino al 1° luglio. E la legge così com'è ora potrebbe cambiare:il legislatore ha già approvato una serie di emendamenti per chiarire e perfezionare i requisiti della legge, e l'ufficio del procuratore generale dello stato sta ancora formulando regolamenti e linee guida sulla legge.

Alcune delle complessità della legge derivano dai rapporti tra le aziende che utilizzano i dati dell'altro, Per esempio, nel caso di un elaboratore di pagamenti che deve utilizzare la carta di credito e altre informazioni personali fornite da un rivenditore per completare le transazioni. In tali casi, il prestatore di servizi deve firmare un contratto che vieta loro di utilizzare i dati per qualsiasi scopo diverso da quello stabilito nel contratto, dice Travis LeBlanc, un avvocato specializzato in diritto della sicurezza informatica presso lo studio Cooley LLP di Washington, D.C.

I fornitori che possono connettersi con i sistemi delle aziende clienti possono involontariamente essere un punto di ingresso per gli hacker che cercano di rubare informazioni personali. Questo è stato il caso in cui gli hacker sono stati in grado di rubare informazioni personali per oltre 60 milioni di clienti Target nel 2013.

"I fornitori sono spesso una fonte di debolezza, " LeBlanc dice. "Il CCPA aiuta a incoraggiare l'azienda che ha il rapporto primario con i consumatori ad assumersene la responsabilità".

Gli avvocati ritengono che alcune disposizioni della legge siano vaghe, rendendo poco chiaro quali aziende devono conformarsi. Una disposizione afferma che le informazioni sono protette se vengono vendute o trasferite "a un'altra azienda oa terzi per un corrispettivo monetario o di altro tipo". Gli avvocati si chiedono cosa significhi "preziosa considerazione", dice David Stauss, un avvocato esperto in diritto tecnologico presso lo studio Husch Blackwell di Denver.

"Questo può diventare davvero difficile da applicare, " Dice Stauss. "Ci sono alcune cose che saranno chiaramente vendite, ma questa è una zona grigia".

Alcune aziende che non saranno comunque soggette alla legge si stanno preparando per essere conformi. Alcuni si aspettano che altri stati adottino leggi simili, mentre altri sono consapevoli che la privacy dei dati è una questione delicata che devono affrontare.

"Siamo in un'area in evoluzione in cui il sentimento dei consumatori è molto alto, "dice Dawn Barry, presidente di Luna Public Benefit Corp., una società con sede a San Diego che raccoglie dati per la ricerca medica. Sebbene la natura dell'attività della società la renda esente dalla legge della California, è comunque conforme allo statuto e al GDPR europeo, dice Barry.

© 2019 The Associated Press. Tutti i diritti riservati.