Luật bảo mật dữ liệu tại Mỹ đang bước vào giai đoạn đòi hỏi khắt khe hơn khi các cơ quan lập pháp bang mở rộng các quy định về cách doanh nghiệp thu thập, xử lý, chia sẻ và lưu giữ thông tin cá nhân. Không giống Liên minh châu Âu, nơi áp dụng một khuôn khổ thống nhất và toàn diện theo Quy định chung về bảo vệ dữ liệu (GDPR), Mỹ vẫn điều chỉnh quyền riêng tư thông qua sự kết hợp giữa các đạo luật liên bang theo từng lĩnh vực và làn sóng ngày càng tăng của các đạo luật cấp bang. Đối với các công ty hoạt động trên phạm vi toàn quốc, mô hình phân mảnh đó đang tạo ra áp lực tuân thủ đáng kể.
California vẫn là bang có ảnh hưởng lớn nhất trong vai trò cơ quan quản lý ở lĩnh vực này. Đạo luật Quyền riêng tư Người tiêu dùng California (CCPA), được sửa đổi bởi Đạo luật Quyền riêng tư California (CPRA), đã thiết lập các quyền cho cư dân được truy cập, xóa và chỉnh sửa thông tin cá nhân, cũng như từ chối một số hoạt động chia sẻ dữ liệu và quảng cáo nhắm mục tiêu. Luật này cũng thành lập một cơ quan thực thi chuyên trách là Cơ quan Bảo vệ Quyền riêng tư California. Các bang khác, bao gồm Virginia, Colorado, Connecticut, Utah, Texas, Oregon và nhiều bang khác, cũng đã ban hành luật riêng tư riêng, với khác biệt về phạm vi áp dụng, miễn trừ, định nghĩa và nghĩa vụ tuân thủ.
Bức tranh pháp lý ngày càng chắp vá
Đối với các nhóm pháp chế và tuân thủ trong doanh nghiệp, thách thức chính không chỉ là hiểu luật nào được áp dụng mà còn là quản lý những khác biệt giữa chúng. Một số đạo luật yêu cầu đánh giá bảo vệ dữ liệu đối với hoạt động xử lý có rủi ro cao. Các đạo luật khác áp đặt quy định nghiêm ngặt hơn đối với dữ liệu cá nhân nhạy cảm, bao gồm vị trí địa lý chính xác, nguồn gốc chủng tộc hoặc sắc tộc, thông tin sức khỏe và dữ liệu liên quan đến trẻ em. Doanh nghiệp cũng phải theo dõi các mốc thời gian khác nhau để phản hồi yêu cầu của người tiêu dùng, các cơ chế từ chối khác nhau và các nghĩa vụ khác nhau gắn với hợp đồng với nhà cung cấp dịch vụ và bên thứ ba.
Luật liên bang vẫn đóng vai trò lớn, nhưng chủ yếu trong các lĩnh vực chuyên ngành. Đạo luật về tính khả chuyển và trách nhiệm giải trình của bảo hiểm y tế (HIPAA) điều chỉnh thông tin sức khỏe trong các bối cảnh thuộc phạm vi điều chỉnh. Đạo luật Gramm-Leach-Bliley áp dụng cho một số tổ chức tài chính nhất định. Đạo luật Bảo vệ Quyền riêng tư Trực tuyến của Trẻ em (COPPA) điều chỉnh việc thu thập dữ liệu từ trẻ em dưới 13 tuổi. Trong khi đó, Ủy ban Thương mại Liên bang Mỹ (FTC) tiếp tục sử dụng thẩm quyền theo Mục 5 của Đạo luật FTC để truy cứu các công ty vì các thực tiễn về quyền riêng tư và an ninh dữ liệu bị coi là không công bằng hoặc gây hiểu lầm. Điều đó đồng nghĩa một công ty có thể đồng thời đối mặt với nghĩa vụ theo luật bang và rủi ro bị thực thi ở cấp liên bang.
Tuân thủ vượt ra ngoài an ninh mạng
Các yêu cầu tuân thủ của doanh nghiệp hiện đã vượt xa việc ngăn chặn vi phạm dữ liệu. Cơ quan quản lý ngày càng tập trung vào việc liệu công ty có thể ghi nhận và chứng minh các thực tiễn xử lý hợp pháp, cung cấp thông báo rõ ràng, đáp ứng các yêu cầu về quyền của người tiêu dùng và giới hạn việc thu thập dữ liệu trong các mục đích kinh doanh đã công bố hay không. Lập bản đồ dữ liệu nội bộ đã trở thành một nhiệm vụ tuân thủ cốt lõi vì nhiều tổ chức chưa thực sự biết đầy đủ họ đang nắm giữ những thông tin cá nhân nào, dữ liệu đó được lưu ở đâu, được giữ trong bao lâu hoặc nhà cung cấp nào có thể truy cập.
Hợp đồng là một lĩnh vực bị xem xét kỹ lưỡng khác. Luật bảo mật dữ liệu cấp bang thường yêu cầu các điều khoản cụ thể trong thỏa thuận với bên xử lý dữ liệu, nhà cung cấp dịch vụ và nhà thầu. Các điều khoản đó có thể đề cập đến tính bảo mật, giới hạn mục đích sử dụng, xóa hoặc hoàn trả dữ liệu, quyền kiểm toán và kiểm soát nhà thầu phụ. Các công ty phụ thuộc nhiều vào công nghệ quảng cáo, nhà cung cấp dịch vụ đám mây, công cụ phân tích hoặc các chức năng hỗ trợ khách hàng thuê ngoài phải đối mặt với mức độ rà soát cao hơn vì dữ liệu có thể di chuyển rất nhanh qua nhiều hệ thống và khu vực pháp lý.
Rủi ro thực thi và kiện tụng
Hoạt động thực thi cũng đang trở nên hệ trọng hơn. Cơ quan quản lý tại California đã phát đi tín hiệu rằng họ đặc biệt chú ý đến cách thiết kế cơ chế xin sự đồng ý, các “dark patterns” (mẫu thiết kế gây thao túng), công bố việc chia sẻ dữ liệu và cách xử lý dữ liệu nhân viên. Bên cạnh đó, kiện tụng liên quan đến vi phạm dữ liệu vẫn diễn ra mạnh mẽ, khi nguyên đơn ngày càng định khung các thất bại về quyền riêng tư thành các yêu cầu bồi thường theo hướng bảo vệ người tiêu dùng, vi phạm hợp đồng hoặc bất cẩn. Ngay cả khi quyền khởi kiện cá nhân bị giới hạn, rủi ro kiện tập thể và tổn hại danh tiếng vẫn có thể rất lớn.
Vì vậy, hội đồng quản trị và các lãnh đạo cấp cao đang xem quyền riêng tư là một vấn đề rủi ro toàn doanh nghiệp thay vì chỉ là một thủ tục pháp lý hẹp. Nhiều tổ chức đang bổ nhiệm cán bộ phụ trách quyền riêng tư, xây dựng các nhóm quản trị liên chức năng và tích hợp việc rà soát của bộ phận pháp lý, an ninh mạng, mua sắm và phát triển sản phẩm vào một cấu trúc tuân thủ thống nhất. Đào tạo, lập kế hoạch ứng phó sự cố và cập nhật chính sách định kỳ đang trở thành những kỳ vọng tiêu chuẩn.
Khi ngày càng nhiều luật cấp bang được lên lịch có hiệu lực và Quốc hội Mỹ vẫn đang tranh luận về khả năng xây dựng một khuôn khổ quốc gia thống nhất, các doanh nghiệp đang chuẩn bị cho sự phức tạp kéo dài. Trong điều kiện thị trường hiện nay tại Mỹ, tuân thủ quyền riêng tư mạnh mẽ không còn chỉ mang tính phòng thủ. Nó ngày càng được xem là bằng chứng của kỷ luật vận hành, niềm tin của người tiêu dùng và mức độ sẵn sàng pháp lý trong một môi trường mà các thực tiễn dữ liệu đang chịu sự giám sát ngày càng chặt chẽ.
Source: Bravetopic