Una panoramica del California Consumer Privacy Act (CCPA)

Cos’è il CCPA?

Il California Consumer Privacy Act (CCPA) è una legge statale sulla protezione dei dati che disciplina il modo in cui le aziende di tutto il mondo sono autorizzate a trattare le informazioni personali dei cittadini residenti in California.

Il CCPA è entrato in vigore il 1° gennaio 2020. È la prima legge di questo genere negli Stati Uniti. A partire dal 1° gennaio 2023 entrerà in vigore il California Privacy Rights Act (CPRA), che modifica ed estende il CCPA. Per saperne di più sul CPRA, clicca qui. 

Le tre soglie per le imprese secondo il CCPA

Il CCPA si applica a tutte le società a scopo di lucro nel mondo che vendono le informazioni personali di oltre 50000 residenti in California all’anno, hanno un fatturato annuo lordo superiore a 25 milioni di dollari, o derivano più del 50 per cento del loro fatturato annuale dalla vendita delle informazioni personali dei residenti californiani.

Questa vendita viene definita nel CCPA come l’atto di “vendere, cedere, rivelare, divulgare, diffondere, rendere disponibili, trasmettere o diversamente comunicare in forma orale, per iscritto, oppure con mezzi elettronici o di diversa natura, le informazioni personali di un consumatore, da parte dell’azienda a un’altra azienda o a una terza parte, a fronte di un corrispettivo monetario o a titolo altrimenti oneroso” (1798.140.t1; traduzione a cura di Cookiebot).

Se un’azienda condivide il branding (ovvero ha denominazione, marchio di servizio o marchio commerciale condivisi) con un’altra società che sia soggetta al CCPA, anche la prima azienda sarà tenuta a conformarsi al CCPA.

Ai sensi del CCPA, i cittadini residenti in California (“consumatori”) acquisiscono il diritto di opporsi alla vendita dei propri dati a terzi, nonché di richiedere la comunicazione dei dati precedentemente raccolti e la loro cancellazione.

Inoltre, i residenti californiani hanno il diritto di essere informati e di ottenere pari servizi e prezzi (non possono, cioè, essere discriminati in base alla loro scelta di esercitare i loro diritti).

Il mancato rispetto del CCPA può comportare ammende per le imprese nella somma di 7500 dollari per violazione e di 750 dollari per utente interessato, in qualità di risarcimento per i danni civili.

Cosa comporta il CCPA per il mio sito?

Se la tua azienda supera anche solo una delle tre soglie di cui sopra e ha un dominio online, sei tenuto ad apportare alcune modifiche al tuo sito internet.

Il tuo sito deve informare gli utenti al momento della raccolta dei dati, o prima della stessa, circa le categorie di informazioni personali che raccoglie e le loro finalità.

Il tuo sito deve contenere il link “Non vendere le mie informazioni personali“, che gli utenti possono utilizzare per opporsi alla vendita dei propri dati a terzi.

Se il tuo sito ha minori di 16 anni tra i suoi utenti, è necessario ottenere il loro consenso (opt-in) prima di essere autorizzato a vendere o divulgare le loro informazioni personali a terzi. Se il minore è di età inferiore ai 13 anni, un genitore o tutore legale deve concedere il consenso in sua vece.

La tua azienda deve inoltre aggiornare l’informativa sulla privacy del suo sito includendo una descrizione dei diritti del consumatore e delle modalità di esercizio di tali diritti. L’informativa sulla privacy deve altresì contenere un elenco annualmente aggiornato delle categorie di dati personali che la tua azienda raccoglie, commercializza e diffonde.

Se la tua azienda riceve una richiesta verificabile da parte di un consumatore che chiede la comunicazione delle informazioni personali raccolte, sei tenuto a fornire gratuitamente la documentazione relativa ai dati personali raccolti negli ultimi 12 mesi (incluse fonti, scopi commerciali e categorie di terze parti con cui sono stati condivisi).

La tua azienda ha il divieto di discriminare in base alla scelta del consumatore di esercitare il proprio diritto di opporsi (opt-out) richiedendo la comunicazione dei dati o la loro cancellazione.

Come si definiscono le “informazioni personali”?

Le informazioni personali sono definite nel CCPA come “informazioni che identificano, si riferiscono a, descrivono, sono ragionevolmente associabili a, o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, a un particolare consumatore o nucleo familiare” (1798.140.o1; traduzione a cura di Cookiebot).

Le informazioni personali, ai sensi del CCPA, includono gli identificatori diretti (come i nomi propri, gli pseudonimi, gli indirizzi postali e i codici di previdenza sociale), gli identificatori univoci (come i cookie, gli indirizzi IP e i nomi utente), i dati biometrici (come le registrazioni facciali e vocali), i dati di geolocalizzazione (come la cronologia della posizione), le attività sul web (come la cronologia della navigazione, la cronologia delle ricerche e i dati sull’interazione con una determinata pagina web o app) e le informazioni sensibili (come i dati sanitari, le caratteristiche personali, il comportamento, le convinzioni religiose o politiche, l’orientamento sessuale, i dati sull’occupazione e sull’istruzione, le informazioni finanziarie e mediche.

Le informazioni personali comprendono anche dati che, per deduzione, possono portare all’identificazione di un individuo o di un nucleo familiare.

I dati aggregati e anonimi sono esenti dal CCPA, a patto che non siano in alcun modo riconducibili alle loro fonti. 

Ciò significa che i dati che di per sé non costituiscono informazioni personali possono diventare tali secondo il CCPA nel caso in cui possano essere utilizzati – per deduzione o in combinazione con altri dati – per identificare un individuo o un nucleo familiare.

I cookie e le altre tecnologie di tracciamento dei siti web sono classificati come identificatori univoci e fanno parte della definizione di “informazioni personali” secondo il CCPA.

I cookie sono una delle tecnologie più comunemente usate dai siti web a livello mondiale per raccogliere le informazioni personali degli utenti finali.

cookie di prima parte (quelli impostati dal sito stesso) spesso, per garantire le funzionalità fondamentali del sito, raccolgono dati anonimi che vengono cancellati quando l’utente chiude il browser, ma i cookie di terze parti (quelli impostati da aziende tecnologiche e piattaforme di social media) spesso raccolgono grandi quantità di informazioni personali, talvolta sensibili, sui consumatori, che possono essere conservate per un periodo fino a cento anni.

Anche i dati raccolti sul tuo sito attraverso i cookie, che non costituiscono informazioni personali di per sé (come i dati analitici anonimizzati), ma possono essere utilizzati per deduzione o in combinazione con altri dati per identificare e connettere dispositivi, creare profili e proporre pubblicità personalizzata, possono in ultima istanza essere considerati informazioni personali ai sensi del CCPA.

Cosa cambierà per le aziende e i cittadini residenti in California a partire dal 1° gennaio 2023?

Il nuovo California Privacy Rights Act (CPRA) si applica anche alle organizzazioni a scopo di lucro che hanno un fatturato lordo annuale superiore a 25 milioni di dollari o che ricavano più del 50% del loro fatturato annuale dalla vendita o dalla condivisione di informazioni personali dei residenti in California. Tuttavia, il CPRA modifica una delle tre soglie: il numero minimo di residenti o famiglie della California le cui informazioni personali sono trattate e/o condivise da queste aziende è aumentato a 100.000. In base al CPRA, sono coperti anche i dati B2B ed è stato istituito un organo di controllo, la California Privacy Protection Agency (CPPA).

Mentre il CCPA riguarda solo la vendita di informazioni personali, il CPRA include la condivisione dei dati. Il regolamento amplia o modifica anche i diritti esistenti dei consumatori e ne introduce alcuni nuovi: il diritto alla rettifica, per ottenere la correzione di dati inesatti raccolti sui consumatori, il diritto di limitare l’uso di dati classificati come informazioni personali sensibili, il diritto di richiedere informazioni sul processo decisionale automatizzato e sui probabili risultati dell’uso di tali processi, e il diritto di rinunciare all’uso di tecnologie decisionali automatizzate in relazione alle loro informazioni personali. Per saperne di più sul CPRA e il relativo ambito di applicazione. 

Se la tua azienda soddisfa una delle soglie di conformità CCPA/CPRA, sei responsabile per tutte le informazioni personali sui residenti in California che vengono raccolte tramite i cookie del tuo sito web, se le informazioni vengono vendute o condivise. I consumatori possono richiedere la trasmissione delle loro informazioni personali raccolte sul tuo sito web negli ultimi 12 mesi, nonché richiedere la correzione o la cancellazione di tali dati.

Devi quindi essere a conoscenza di quali dati il tuo sito raccolga, come e per quali finalità lo faccia, e con chi (terze parti) condivida tali dati.

La nostra piattaforma di gestione del consenso (CMP) aiuta a garantire la conformità con il GDPR e la Direttiva ePrivacy, con il CCPA, il CPRA ed altre normative.

Cookiebot CMP è una tecnologia che scansiona in profondità il tuo sito web per individuare tutti i cookie e tracker analoghi e controllarli automaticamente, in modo che tu e i tuoi utenti finali siate sicuri di essere a conoscenza di quali informazioni personali vengano raccolte e con quali terze parti siano condivise.

Rendiamo inoltre possibile la conformità al CCPA e al CPRA per le aziende, implementando il link obbligatorio “Non vendere nè condividere le mie informazioni personali” con la dichiarazione per i cookie generata dallo scanner e fornendo i banner per l’”opt-in” necessari per il consenso dei minori di 16 anni.

Prova ora Cookiebot CMP gratuitamente.

Risorse

Per saperne di più sul CCPA (in inglese)

Leggi il testo ufficiale del CCPA (in inglese)

Per saperne di più sulla conformità al CCPA (in inglese)

Scopri i dettagli della definizione di “informazioni personali” secondo il CCPA (in inglese)

Per saperne di più sul CCPA e i cookie (in inglese)

Per saperne di più sui diritti dei consumatori secondo il CCPA (in inglese)

Leggi il nostro confronto tra CCPA e GDPR (in inglese)

Cos’è il GDPR?

Per saperne di più sul GDPR negli Stati Uniti (in inglese)

Per saperne di più su CCPA e CPRA