Il California Consumer Privacy Act (CCPA) è la prima legge completa sulla privacy nel Stati Uniti. Fornisce più diritti sulla privacy ai consumatori della California. Le aziende regolamentate dal CCPA avranno una serie di obblighi nei confronti di tali consumatori, tra cui le divulgazioni, i diritti degli interessati ai dati dei consumatori (DSR, General Data Protection Regulation, GDPR), un “opt-out” per determinati trasferimenti di dati e un requisito di “opt-in” per i minori.

Che cos’è il CCPA?

Si tratta uno statuto statale che ha rafforzato i diritti alla privacy e la protezione dei consumatori per le persone che vivono in California, e significa che i residenti della California hanno il diritto di:

• Sapere quali dati personali vengono raccolti su di loro
• Sapere se i loro dati personali sono venduti o rivelati e a chi
• Dire no alla vendita dei propri dati personali
• Accesso a tali dati personali
• Richiedere che un’azienda cancelli tutti i dati personali che sono stati raccolti su di loro
• Non essere discriminato per aver fatto quanto sopra nel tentativo di proteggere la loro privacy

Questa legge si applica a qualsiasi azienda o organizzazione a scopo di lucro che raccoglie dati dei consumatori, opera in California e ha una delle seguenti caratteristiche:

• Ricavi lordi superiori a 25 milioni di dollari
• Acquista, riceve o vende le informazioni personali di almeno 50.000 consumatori o famiglie
• Guadagna più della metà delle sue entrate annuali dalla vendita di dati dei consumatori

Una serie di disposizioni volte alla responsabilità sono incluse nel set di norme. Ad esempio, chiunque raccolga informazioni personali deve avere un processo per ottenere il consenso dei genitori o del tutore per i minori di 13 anni e il consenso affermativo per chiunque abbia dai 13 ai 16 anni.

Cos’è il CPRA?

Il California Privacy Rights Act del 2020, noto anche come Proposition 24 e CPRA, è stata una proposta elettorale approvata dagli elettori in California nel 2020 con un voto del 56% contro il 44%. CPRA ha ampliato le leggi sulla privacy dei consumatori disponibili per i residenti dello stato e costruito sulle fondamenta create dal CCPA. Il CPRA non sostituisce esattamente il CCPA: più precisamente, modifica la legge e aggiunge nuove disposizioni. Il CPRA è entrato in vigore il 16 dicembre 2020, ma la maggior parte delle disposizioni non è pienamente operativa fino al 1° gennaio 2023.

Tra le altre cose, CPRA istituisce una nuova agenzia, la California Privacy Protection Agency, che ha “pieno potere amministrativo, autorità e giurisdizione per attuare e far rispettare il CCPA. L’agenzia condividerà la supervisione della privacy dei consumatori e l’applicazione della legge con il Dipartimento di Giustizia della California. La legge richiede inoltre alle aziende di ottenere il permesso dai consumatori di età inferiore ai 16 anni prima di raccogliere i propri dati.

Altre disposizioni della legge consentono ai consumatori di impedire alle imprese di condividere i propri dati personali e creare un quadro per vietare la raccolta di dati personali inesatti. Limita inoltre la capacità delle aziende di utilizzare informazioni personali sensibili come posizione precisa, razza, etnia, religione, composizione genetica, comunicazioni private, orientamento sessuale e informazioni sanitarie specifiche.

Come si applicano il CCPA e il CPRA?

Il California Consumer Privacy Act (CCPA) e il California Privacy Rights Act (CPRA) sono due leggi della California che sono state le prime parti della protezione completa della privacy negli Stati Uniti. Dal loro passaggio, hanno ispirato una serie di leggi simili in tutto il paese e stanno rapidamente diventando lo standard per la privacy e la protezione dei dati negli Stati Uniti.

Il CPRA ha un ambito di applicazione più ampio del CCPA.

La normativa CCPA si applica solo alle aziende che soddisfano determinati criteri, ad esempio quelle con ricavi lordi annui superiori a 25 milioni di dollari.

Invece, il CPRA (modifiche al CCPA) si applica alle aziende di ogni dimensione che trattano i dati personali dei residenti della California e che raggiungono determinate soglie.

Nelle modifiche al CCPA, il CPRA aggiunge nuove categorie di informazioni personali sensibili, ad esempio:

• dati sanitari;
• dati di geolocalizzazione precisi, che richiedono ulteriori protezioni.

Nelle modifiche al CCPA, il CPRA rafforza i diritti dei consumatori.

Mentre la normativa CCPA conferisce ai consumatori il diritto di conoscere le informazioni personali raccolte dalle aziende e il diritto di richiedere la cancellazione di tali informazioni, il CPRA aggiunge nuovi diritti, ad esempio:

• il diritto di correggere le informazioni inesatte;
• il diritto a limitare l’utilizzo e la comunicazione delle informazioni personali sensibili.

Quali sono le principali differenze con il GDPR europeo?

Sia il GDPR che il CCPA hanno lo scopo di proteggere la privacy e i diritti relativi ai dati di coloro che vivono nelle rispettive aree geografiche. Entrambi si applicano anche alle organizzazioni che effettuano operazioni commerciali con i loro residenti, indipendentemente dal fatto che tali organizzazioni risiedano nelle loro aree geografiche.

Sia il CCPA che il GDPR concedono agli individui determinati diritti relativi ai propri dati personali e richiedono trasparenza da parte delle organizzazioni che detengono ed elaborano tali dati.

Sia il CCPA che il GDPR:

• Richiedono alle aziende di rivelare quali informazioni personali hanno raccolto su tali individui.
• Richiedono alle organizzazioni di divulgare quali attività svolgono con i dati personali.
• Richiedono alle organizzazioni che detengono dati personali di cancellarli su richiesta del soggetto a cui appartengono.
• Richiedono alle organizzazioni di mettere in atto misure di sicurezza informatica per proteggere i dati personali degli individui.
• Applicano sanzioni per inosservanza.

In cosa differiscono GDPR e CCPA?

• Il GDPR richiede alle aziende di avere una base giuridica prima di elaborare i dati sui residenti. Il CCPA non lo richiede.
• Il GDPR si applica a tutte le aziende che soddisfano il requisito della base giuridica sopra menzionato. Il CCPA si applica solo alle aziende con un fatturato annuo lordo superiore a 25 milioni di dollari statunitensi.
• Ai sensi del CCPA, un individuo può impedire alle aziende di vendere i propri dati privati e le organizzazioni non possono discriminare questi individui.
• Il GDPR impone condizioni aggiuntive per le aziende che elaborano informazioni relative alla salute, in quanto contiene termini più specifici come “dati genetici” e “dati biometrici”. Il CCPA utilizza un termine generico.
• In generale, l’impressione è che le sanzioni previste dal GDPR siano più elevate di quelle previste dal CCPA. Tuttavia, il CCPA apre la porta al contenzioso civile, che potrebbe rivelarsi altrettanto costoso per un’organizzazione colpevole.

Se desideri supporto nella compliance privacy e DPO contattaci. Un nostro tecnico sarà a tua disposizione per definire assieme la migliore soluzione adatta a te.