Che cos’è il CCPA e come ci si mette in regola? Non sottovalutate il rischio di non sapere.
Il California Consumer Privacy Act (CCPA) è la più recente legge californiana sulla privacy ed è volta a migliorare i diritti dei consumatori per i residenti dello stato della California (Stati Uniti).
Il CCPA è entrato in vigore il 1° gennaio 2020 e diventerà pienamente applicabile il 1° luglio 2020.
Questa normativa introduce nuovi requisiti per il trattamento delle informazioni personali e garantisce ai consumatori nuovi diritti in merito.
Questi nuovi requisiti sono da applicarsi, ma come? e soprattutto quando?
Quando si applica il CCPA?
Si rientra nell’ambito di applicazione del CCPA quando valgono entrambe queste condizioni:
- hai un’attività commerciale
- ti rivolgi a utenti californiani
Come definisco un “utente californiano”?
Ai sensi del California Consumer Privacy Act, per consumatore si intende una persona fisica residente in California.
E la mia azienda?
Nell’ambito di applicazione del CCPA, per azienda si intende un’organizzazione a scopo di lucro che raccoglie le informazioni personali dei consumatori, ne determina le finalità e il metodo di trattamento, si rivolge ai residenti californiani (indipendentemente dal fatto che l’azienda abbia o meno sede in California) e soddisfi almeno uno dei seguenti requisiti:
- ha un fatturato annuo lordo superiore a 25 milioni di dollari ($25.000.000);
oppure - almeno il 50% del proprio fatturato deriva dalla vendita di dati personali;
oppure - acquista, riceve, vende o condivide ogni anno per finalità commerciali le informazioni personali di 50.000 o più consumatori.
Poiché gli indirizzi IP rientrano tra i dati personali – e poiché per “finalità commerciali” si intendono interessi commerciali o economici – è probabile che qualsiasi sito web che in un anno riceva dalla California almeno 50.000 visite uniche rientri in questo ambito (Siti di grandi aziende B2B o Magazine Online).
Esattamente cosa richiede il California Consumer Privacy Act?
Il CCPA prevede i seguenti diritti dei consumatori.
A seguire li confronteremo con il GDPR con il CCPA.
- Il diritto ad essere informati
- Il diritto di accesso
- Il diritto alla portabilità dei dati
- Formato
- Il diritto alla cancellazione
- Il diritto di opporsi (negare la vendita dei propri dati)
- Il diritto all’opt-in (consenso preventivo per i minori)
- Il diritto a non essere discriminati (anche se il consumatore esercita i propri diritti alla privacy)
Il diritto ad essere informati
Ai sensi della CCPA, i consumatori hanno il diritto di essere informati sulle modalità di trattamento dei loro dati prima o durante l’atto di raccolta degli stessi.
Il diritto di accesso
Ai sensi del CCPA, i consumatori che fanno una richiesta verificabile hanno il diritto di accedere ai propri dati personali.
Per richiesta verificabile si intende una richiesta avanzata da un consumatore (per proprio conto o per quello di un figlio minorenne), da una persona fisica o da una persona registrata presso la Segreteria di Stato, autorizzata dal consumatore ad agire per suo conto, e che l’azienda può verificare… Essere il consumatore di cui ha raccolto dati personali. Cal. Civ. Code § 1798.140(y).
È necessario fornire ai consumatori almeno due mezzi per presentare tali richieste di accesso, tra cui il numero verde e, ove presente, l’indirizzo del sito web.
Va inoltre compiuto ogni ragionevole sforzo per verificare che il richiedente sia effettivamente il consumatore di cui sono state raccolte le informazioni, o che si tratti comunque di una persona da lui autorizzata.
Il diritto alla portabilità dei dati
Ai sensi del CCPA, il diritto alla portabilità dei dati è unito al diritto di accesso, vedi il punto 1798.100 (d).
Nel caso in cui un’azienda esaudisca la richiesta di accesso in formato elettronico, le informazioni devono essere fornite al consumatore in un “formato facilmente utilizzabile, portatile e, per quanto tecnicamente fattibile, che consenta al consumatore di trasmettere queste informazioni ad un’altra azienda senza difficoltà”.
Le richieste (verificabili) devono essere soddisfatte gratuitamente entro 45 giorni dalla loro ricezione. Se necessario, è possibile ottenere una proroga di ulteriori 45 giorni, purché il consumatore venga informato nel giro di 45 giorni dalla sua richiesta. I dati forniti in risposta dovrebbero coprire i 12 mesi antecedenti la richiesta.
Formato
Le aziende devono rispondere per posta ordinaria o in formato elettronico (e-mail, download di file, ecc.). In caso di spedizione in formato elettronico, la legge prevede che i dati debbano essere “portatili”, cioè in un formato facile da usare e che ne consenta la trasmissione ad un’altra azienda senza impedimenti di sorta.
Il diritto alla cancellazione
Il CCPA garantisce ai consumatori il diritto di richiedere la cancellazione di qualsiasi dato personale raccolto su loro conto. Una volta ricevuta una richiesta (verificabile) di cancellazione, è necessario cancellare i dati personali del consumatore dai propri registri e chiedere a tutti i fornitori di servizi correlati di fare altrettanto.
È necessario fornire ai consumatori almeno due mezzi per presentare questo genere di richiesta, tra cui il numero verde e, ove presente, l’indirizzo del sito web. Va inoltre compiuto ogni ragionevole sforzo per verificare che il richiedente sia effettivamente il consumatore di cui sono state raccolte le informazioni, o che si tratti comunque di una persona da lui autorizzata.
Le richieste (verificabili) devono essere soddisfatte gratuitamente entro 45 giorni dalla loro ricezione. Se necessario, è possibile ottenere una proroga di ulteriori 45 giorni, purché il consumatore venga informato nel giro di 45 giorni dalla sua richiesta.
Il diritto di opporsi (negare la vendita dei propri dati)
Ai sensi del CCPA, il consumatore ha il diritto di impedire – in ogni momento e con una semplice comunicazione all’azienda – la vendita dei propri dati personali a terzi.
Cosa si intende per “vendita” nel CCPA?
“Vendere” o “vendita” per il CCPA significano “vendere, cedere, rilasciare, rendere pubblico, divulgare, diffondere, rendere disponibili, trasferire o comunque comunicare oralmente, per iscritto o con mezzi elettronici o di altro tipo i dati personali di un consumatore da parte di un’azienda a un’altra azienda o a terzi, a titolo oneroso o per valuable consideration“.
Devi informare i tuoi consumatori del fatto che vendi i loro dati personali a terzi, precisando inoltre che hanno il diritto di opporsi a tale pratica (analogamente al diritto ad essere informati).
Un consumatore che vuole fare opt-out non deve essere costretto a creare un account. Al contrario, questo processo dovrebbe essere agevolato da un link con la dicitura “Non vendere i miei dati personali” (“DNSMPI”, acronimo di “Do Not Sell My Personal Information”) sul tuo sito web o sulla tua privacy policy.
Una volta ricevuto l’ordine di non vendere i dati personali, l’azienda deve attenersi alla richiesta salvo successiva rettifica del consumatore che autorizza espressamente la vendita delle proprie informazioni (opt-in).
Le aziende possono chiedere nuovamente l’autorizzazione ai consumatori solo un’altra volta, e solo dopo 12 mesi che questi hanno effettuato l’opt-out.
Il diritto all’opt-in (consenso preventivo per i minori)
Le aziende non possono vendere i dati personali di un consumatore di età inferiore ai 16 anni a meno che:
- il consumatore abbia tra i 13 e i 16 anni e abbia effettuato l’opt-in;
- oppure
- il consumatore ha meno di 13 anni, ma un suo genitore/tutore ha effettuato l’opt-in in sua vece.
Il diritto a non essere discriminati (anche se il consumatore esercita i propri diritti alla privacy)
Il California Consumer Privacy Act vieta alle aziende di discriminare i consumatori per aver esercitato i diritti conferiti loro dalla legge. Non è quindi possibile:
- negare loro beni o servizi;
- applicare prezzi o tariffe diverse per gli stessi beni o servizi;
- fornire beni o servizi con un diverso livello di qualità;
- suggerire che il consumatore riceverà beni o servizi a un prezzo o a una qualità diversi da prima.
GDPR e CCPA a confronto
CCPA | GDPR | |
---|---|---|
Organo preposto all’applicazione della legge | Il procuratore generale dello stato della California (USA). | Autorità responsabili della protezione dei dati a livello nazionale (stati membri dell’UE). |
A chi si applica | Tutte le organizzazioni a scopo di lucro che si rivolgono a utenti californiani e che:
|
Qualunque realtà – organizzazioni (anche senza scopo di lucro), persone fisiche, enti pubblici, etc. – che abbia sede nell’Unione Europea e offra beni o servizi a cittadini dell’UE. |
Quali dati protegge | Tutte le informazioni che si riferiscono o che possono essere associate a un particolare consumatore o nucleo famigliare, ad eccezione dei registri pubblici. | Tutte le informazioni che possono portare all’identificazione di un individuo. |
Gli indirizzi IP sono considerati dati personali | ✔️ | ✔️ |
Richiesta del consenso prima del trattamento | Solo per i minori e nei casi di precedente opt-out. | Sì, a meno che non sia applicabile un’altra base giuridica. |
Obbligo di dare agli utenti la possibilità di opporsi o di revocare il consenso | Sì, le richieste di opt-out vanno onorate tramite un link DNSMPI. | Gli utenti hanno sia il diritto di revocare il consenso che quello di opporsi al trattamento (applicabile anche nei casi in cui il trattamento è giustificato da una base giuridica diversa dal consenso). |
Protezioni applicabili anche in un contesto B2B | No, il CCPA tutela esclusivamente i consumatori. | Il GDPR non fa distinzione tra B2B e B2C, ma applica semplicemente le sue protezioni agli “interessati”, cioè a qualsiasi “persona fisica identificabile” residente nell’UE. |
Requisiti di sicurezza | Il CCPA non prevede requisiti di sicurezza specifici, ma dà ai consumatori il diritto di intentare un’azione legale per danni derivati dalla mancata attuazione di adeguate misure di sicurezza da parte di un’azienda. | Il GDPR richiede sia ai titolari che ai responsabili del trattamento di implementare misure di sicurezza adeguate e in linea con gli standard più recenti. |
Conseguenze del mancato adeguamento | Sanzioni fino a 7500 dollari per singola violazione. Inoltre i consumatori hanno il diritto di citare in giudizio le aziende che violano la legge. | Multe fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo (a seconda di quale dei due sia maggiore), richiami ufficiali, verifiche periodiche sulla protezione dei dati e risarcimento danni da responsabilità. Il GDPR dà inoltre agli interessati il diritto di intentare un’azione legale in caso di violazione dei loro diritti. |
Diritti degli utenti in sintesi | ||
Essere informati | ✔️ | ✔️ |
Accesso | ✔️ | ✔️ |
Portabilità | ✔️ | ✔️ |
Rettifica | ❌ | ✔️ |
Cancellazione | ✔️ | ✔️ |
Opporsi | Previsto dall’opt-out | ✔️ |
Sanzioni e Conseguenza del mancato adeguamento
I consumatori hanno il diritto di citare in giudizio le aziende che violano la legge (questo vale solo per le aziende stesse e non per i fornitori di servizi che agiscono per loro conto). Le multe saranno comprese tra 100 e 750 dollari, o qualsiasi importo superiore relativo ai danni effettivi (laddove possono essere provati danni maggiori).
Lo stato può comminare sanzioni fino a 2.500 dollari per le aziende che violano involontariamente il CCPA, fino a 7.500 dollari se la violazione è intenzionale.
Nota: se queste sanzioni non sembrano particolarmente elevate (soprattutto a confronto con quelle previste da altre normative), tieni presente che vanno intese per singola violazione e per consumatore. Per un’azienda con pochi clienti possono quindi arrivare a costituire una somma considerevole.
Come adeguarsi al CCPA
Analogamente ad altre leggi sulla privacy, la conformità al California Consumer Privacy Act è un processo articolato che comporta un’onesta valutazione, una buona pianificazione e una concreta implementazione sia dal punto di vista tecnico che legale. Il più delle volte la fase che si dimostra più impegnativa è proprio quella dell’implementazione.
È qui che entra in gioco SartiDigitali. Offriamo potenti soluzioni software Iubenda – team di IT accompagnato da un team legale internazionale – che rispetto ad uno studio legale ci permettono di gestire anche le situazioni più complesse.
Come può aiutarti SartiDigitali?
SartiDigitali è Iubenda Partner. Adeguarsi al CCPA può essere complicato – rispettare la legge e le specifiche tecniche per il tuo sito e la tua azienda può risultare decisamenteimpegnativo. Le soluzioni che rivendiamo ti evitano di fare congetture in materia di conformità e ti permettono di soddisfare facilmente i requisiti del CCPA, così tu puoi dedicarti al tuo business mentre noi ci occupiamo del resto.
(Sezioni di questo articolo traggono fonte da Iubenda.com, partner di SartiDigitali nella regolazione e messa in conformità dei siti web aziendali/ecommerce/web app)