این عدم وضوح در حال حاضر در حال انجام است. طبق این لایحه، شرکتهایی که با تعریف انجمن کسبوکارهای کوچک ایالات متحده از کسبوکار کوچک، که «یک کسبوکار مستقل با کمتر از 500 کارمند» است، مطابقت دارند، معاف هستند. به گفته دسای، اگر یک کسب و کار کوچک، مانند یک استارتآپ تحلیلی با تنها 15 کارمند، که دادهها را جمعآوری، پردازش و بفروشد یا به اشتراک بگذارد، با توجه به ماهیت کسبوکارش مشمول قانون میشود.
دیوید استاس، وکیل با تجربه در زمینه حفظ حریم خصوصی داده ها در شرکت حقوقی Husch Blackwell گفت: «این سوال باقی می ماند که چند شرکت در این دسته قرار می گیرند. “پی بردن به انطباق کار دشواری خواهد بود.”
طبق این قانون، شرکتها موظفند دادههای غیر مستعار را که جمعآوری میکنند، افشا کنند. دادههای غیر مستعار دادههای قابل شناسایی هستند، مانند نام خانوادگی میانی، که در آن شناسهها با نام مستعار جایگزین میشوند. طبق شرایط این لایحه جدید، مردم می توانند درخواست حذف آن داده ها را داشته باشند.
این لایحه که توسط دادستانی کل اجرا شده است، هیچ حق عمل خصوصی ندارد که در آن افراد مجاز به شکایت در مورد تخلفات هستند. شرکتهایی که قانون را نقض میکنند، قبل از هرگونه اقدام اجرایی، اخطاریهای از سوی AG دریافت میکنند و سی روز فرصت خواهند داشت تا تخلف را اصلاح کنند.