Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
’Hvis folk vidste, hvor meget vi vidste om dem, ville de være meget bekymrede.’
Sådan sagde en Silicon Valley-ingeniør til ejendomsudvikleren Alastair Mactaggart til en cocktailreception i dalen.
Det blev startskuddet til Californiens nye data privacy-lov – den første af sin slags i USA – som træder i kraft 1. januar 2020.
Det kan næsten lyde paradoksalt, at det er Facebook, Google og Ubers hjemstat, der spiller med musklerne over for den tech-industri, som har hjulpet Californien til at blive verdens femtestørste økonomi og gjort Silicon Valley synonymt med innovation og vækst.
Men californiske beslutningstagere har ikke desto mindre taget et bemærkelsesværdigt skridt i retning af digital regulering i USA.
Det er positivt for dem, som lægger vægt på forbrugerrettigheder og databeskyttelse, og kan give fordel til virksomheder, der allerede har gennemført GDPR.
Californien indtager ofte en frontløberrolle, og hvem ved, måske er CCPA startskuddet til at digital ansvarlighed bliver et væsentligt konkurrenceparameter i USA?
En light-version af GDPR
I EU er GDPR og retten til ejerskab over egne data efterhånden en gammel nyhed, som både virksomheder og forbrugere er ved at vænne sig til. I USA er billedet anderledes.
Her er det hverdagskost at blive ringet op af firmaer, der har købt ens telefonnummer til telemarketing, og hver uge bringer nye historier om læk af personlige data fra techvirksomheder.
Senest kom det frem, at Facebook havde lækket mere end 400 millioner brugeres telefonnumre.
Det ville Alastair Mactaggert sætte en stopper for, og for sine egne penge stablede han en privacy-kampagne på benene.
Efter Cambridge Analytica-skandalen fik kampagnen alvor vind i sejlene, og resultatet blev vedtagelsen af ’California Consumer Privacy Act’, CCPA.
CCPA bygger på to principper: ’The right to know’ og ’the right to say no.’
Brugere får fremover ret til at vide, hvilke oplysninger tjenester indsamler og eventuelt deler med tredjeparter.
CCPA går dog ikke helt så langt som GDPR og bruger en opt-out-model, hvor dataindsamling kan fravælges, modsat GDPR’s stærkere opt-in model, hvor brugerne aktivt skal give tilsagn.
Brugere får også ret til at få deres data slettet hos tjenester.
Det sidste ben i loven er også det mest unikke og handler om salg af data, hvor CCPA giver brugere ret til at fravælge, at tjenester kan sælge deres data.
Tech-giganternes indflydelse på CCPA
CCPA har ikke været uden bump på vejen.
Efter Mactaggerts kampagne blev CCPA vedtaget under så stor hast, at teksten var fuld af slåfejl og måtte igennem en større stavekontrol efterfølgende.
Den endelige version af CCPA ligger først klar i midten af 2020, altså et halvt år efter, at loven officielt træder i kraft, hvilket skaber uklarhed for virksomhederne.
Lovgivningsprocessen var da heller ikke uden en massiv lobbyindsats fra Silicon Valleys tech-giganter, som resulterede i fjernelse af den del af loven, der gav forbrugerne en generel ret til at sagsøge firmaer for privacy-brud.
Kun i tilfælde af datalæk kan brugere sagsøge tjenester, og de er afskåret fra at gå rettens vej for at få erstatning efter andre brud på privacy-regler.
Det har fået privacy-aktivister til at kalde loven for lempelig, og de kritiserer også de beskedne midler, som Californiens Attorney General vil have til at håndhæve den nye lov.
Et team på kun 10 får svært ved at holde snor i hele Silicon Valley.
CCPA kan få national effekt
Har man interesse i udviklingen i USA, kan det betale sig at holde øje med Californien, der er USA's mest folkerige stat og et kæmpe marked.
Staten indtager ofte en frontløberrolle og tager initiativer, der kan sprede sig som ringe i vandet.
Selvom CCPA kun dækker brugere i Californien, kan loven få en afsmittende effekt, særligt fordi der ikke pt. eksisterer føderal lovgivning på området.
Microsoft har eksempevist allerede meldt ud, at de fremover vil følge CCPA for alle deres kunder, ikke blot dem i Californien.
Og politiske beslutningstagere i andre stater rører på sig med forslag om lignende tiltag.
Betydning for danske virksomheder?
Men hvad betyder CCPA for virksomhederne - og er det overhovedet relevant for danske virksomheder?
For de store internationale tech-virksomheder, der allerede har implementeret GDPR for en stor del af deres brugere, er vurderingen fra mange eksperter, at de ikke får det store besvær med at leve op til CCPA.
Tabere er til gengæld de såkaldte data-mellemmænd, der køber data om din og min søgehistorik, og bruger det til at kunne målrette reklamer til os på de varer, vi har vist interesse for, som for eksempel løbesko, håndtasker og boliglån.
Startups også kan blive ramt, da de fremover kan få sværere ved at indsamle data som råstof til udvikling af nye produkter og algoritmer.
For europæiske virksomheder kan CCPA måske ligefrem blive en fordel, da det vil udjævne spillepladen og skabe mere jævnbyrdige privacy-krav til europæiske og amerikanske virksomheder.
CCPA er potentielt også godt nyt for digitalt ansvarlige danske virksomheder, særligt hvis den californiske opmærksomhed om behovet for databeskyttelse spreder sig.
USA er et marked, der er værd at holde øje med - og hvor danske virksomheder, som går foran med ansvarlig anvendelse af nye teknologier, kan have en vigtig konkurrencemæssig fordel.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.