Logo Logo
Cookiebot

Cos'è il CCPA?


Il California Consumer Privacy Act (CCPA) è una legge statale sulla protezione dei dati che disciplina il modo in cui le aziende di tutto il mondo sono autorizzate a trattare le informazioni personali dei cittadini residenti in California.

La data di entrata in vigore del CCPA è il 1° gennaio 2020. È la prima legge di questo genere negli Stati Uniti.


Le tre soglie per le imprese secondo il CCPA

Il CCPA si applica a tutte le società a scopo di lucro nel mondo che vendono le informazioni personali di oltre 50000 residenti in California all’anno, hanno un fatturato annuo lordo superiore a 25 milioni di dollari, o derivano più del 50 per cento del loro fatturato annuale dalla vendita delle informazioni personali dei residenti californiani.

Questa vendita viene definita nel CCPA come l’atto di “vendere, cedere, rivelare, divulgare, diffondere, rendere disponibili, trasmettere o diversamente comunicare in forma orale, per iscritto, oppure con mezzi elettronici o di diversa natura, le informazioni personali di un consumatore, da parte dell’azienda a un’altra azienda o a una terza parte, a fronte di un corrispettivo monetario o a titolo altrimenti oneroso” (1798.140.t1; traduzione a cura di Cookiebot).

Se un’azienda condivide il branding (ovvero ha denominazione, marchio di servizio o marchio commerciale condivisi) con un’altra società che sia soggetta al CCPA, anche la prima azienda sarà tenuta a conformarsi al CCPA.

Ai sensi del CCPA, i cittadini residenti in California (“consumatori”) acquisiscono il diritto di opporsi alla vendita dei propri dati a terzi, nonché di richiedere la comunicazione dei dati precedentemente raccolti e la loro cancellazione.

Inoltre, i residenti californiani hanno il diritto di essere informati e di ottenere pari servizi e prezzi (non possono, cioè, essere discriminati in base alla loro scelta di esercitare i loro diritti).

Il mancato rispetto del CCPA può comportare ammende per le imprese nella somma di 7500 dollari per violazione e di 750 dollari per utente interessato, in qualità di risarcimento per i danni civili.

Il potere di implementare il CCPA spetta alla carica del Procuratore Generale della California, che ha tempo fino a luglio 2020 per definirne le norme di attuazione.

Il lasso di tempo transitorio tra gennaio e luglio 2020 non è, tuttavia, un periodo di grazia e, a partire dal 1° gennaio 2020, le imprese sono responsabili per le cause civili derivanti dalla raccolta e dalla vendita dei dati.


Cosa comporta il CCPA per il mio sito?


Se la tua azienda supera anche solo una delle tre soglie di cui sopra e ha un dominio online, sei tenuto ad apportare alcune modifiche al tuo sito internet.

Il tuo sito deve informare gli utenti al momento della raccolta dei dati, o prima della stessa, circa le categorie di informazioni personali che raccoglie e le loro finalità.

Il tuo sito deve contenere il link "Non vendere le mie informazioni personali", che gli utenti possono utilizzare per opporsi alla vendita dei propri dati a terzi.

Se il tuo sito ha minori di 16 anni tra i suoi utenti, è necessario ottenere il loro consenso (opt-in) prima di essere autorizzato a vendere o divulgare le loro informazioni personali a terzi. Se il minore è di età inferiore ai 13 anni, un genitore o tutore legale deve concedere il consenso in sua vece.

La tua azienda deve inoltre aggiornare l’informativa sulla privacy del suo sito includendo una descrizione dei diritti del consumatore e delle modalità di esercizio di tali diritti. L’informativa sulla privacy deve altresì contenere un elenco annualmente aggiornato delle categorie di dati personali che la tua azienda raccoglie, commercializza e diffonde.

Se la tua azienda riceve una richiesta verificabile da parte di un consumatore che chiede la comunicazione delle informazioni personali raccolte, sei tenuto a fornire gratuitamente la documentazione relativa ai dati personali raccolti negli ultimi 12 mesi (incluse fonti, scopi commerciali e categorie di terze parti con cui sono stati condivisi).

La tua azienda ha il divieto di discriminare in base alla scelta del consumatore di esercitare il proprio diritto di opporsi (opt-out) richiedendo la comunicazione dei dati o la loro cancellazione.


Come si definiscono le "informazioni personali"?


Le informazioni personali sono definite nel CCPA come "informazioni che identificano, si riferiscono a, descrivono, sono ragionevolmente associabili a, o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, a un particolare consumatore o nucleo familiare" (1798.140.o1; traduzione a cura di Cookiebot).

Le informazioni personali, ai sensi del CCPA, includono gli identificatori diretti (come i nomi propri, gli pseudonimi, gli indirizzi postali e i codici di previdenza sociale), gli identificatori univoci (come i cookie, gli indirizzi IP e i nomi utente), i dati biometrici (come le registrazioni facciali e vocali), i dati di geolocalizzazione (come la cronologia della posizione), le attività sul web (come la cronologia della navigazione, la cronologia delle ricerche e i dati sull'interazione con una determinata pagina web o app) e le informazioni sensibili (come i dati sanitari, le caratteristiche personali, il comportamento, le convinzioni religiose o politiche, l’orientamento sessuale, i dati sull'occupazione e sull'istruzione, le informazioni finanziarie e mediche.

Le informazioni personali comprendono anche dati che, per deduzione, possono portare all'identificazione di un individuo o di un nucleo familiare.

I dati aggregati e anonimi sono esenti dal CCPA, a patto che non siano in alcun modo riconducibili alle loro fonti. 

Ciò significa che i dati che di per sé non costituiscono informazioni personali possono diventare tali secondo il CCPA nel caso in cui possano essere utilizzati - per deduzione o in combinazione con altri dati - per identificare un individuo o un nucleo familiare.


Cosa prevede il CCPA per i cookie?


I cookie e le altre tecnologie di tracciamento dei siti web sono classificati come identificatori univoci e fanno parte della definizione di “informazioni personali” secondo il CCPA.

I cookie sono una delle tecnologie più comunemente usate dai siti web a livello mondiale per raccogliere le informazioni personali degli utenti finali.

I cookie di prima parte (quelli impostati dal sito stesso) spesso, per garantire le funzionalità fondamentali del sito, raccolgono dati anonimi che vengono cancellati quando l’utente chiude il browser, ma i cookie di terze parti (quelli impostati da aziende tecnologiche e piattaforme di social media) spesso raccolgono grandi quantità di informazioni personali, talvolta sensibili, sui consumatori, che possono essere conservate per un periodo fino a cento anni.

Anche i dati raccolti sul tuo sito attraverso i cookie, che non costituiscono informazioni personali di per sé (come i dati analitici anonimizzati), ma possono essere utilizzati per deduzione o in combinazione con altri dati per identificare e connettere dispositivi, creare profili e proporre pubblicità personalizzata, possono in ultima istanza essere considerati informazioni personali ai sensi del CCPA.

Se la tua azienda supera anche solo una delle tre soglie che determinano la necessità di conformità al CCPA, sei responsabile per qualsiasi informazione personale tu raccolga, mediante i cookie del tuo sito, in merito ai cittadini residenti in California. I consumatori possono richiedere la comunicazione delle informazioni personali raccolte sul sito negli ultimi 12 mesi, così come richiederne la cancellazione.

Devi quindi essere a conoscenza di quali dati il tuo sito raccolga, come e per quali finalità lo faccia, e con chi (terze parti) condivida tali dati.


Cookiebot è una piattaforma di gestione del consenso, leader a livello mondiale, che garantisce la conformità con il GDPR europeo e, da gennaio 2020, con il CCPA.

Cookiebot è una tecnologia che scansiona in profondità il tuo sito web per individuare tutti i cookie e tracker analoghi e controllarli automaticamente, in modo che tu e i tuoi utenti finali siate sicuri di essere a conoscenza di quali informazioni personali vengano raccolte e con quali terze parti siano condivise.

Cookiebot consente inoltre la conformità al CCPA per le aziende, implementando il link obbligatorio “Non vendere le mie informazioni personali” con la dichiarazione per i cookie generata dallo scanner e fornendo i banner per l’”opt-in” necessari per il consenso dei minori di 16 anni.

Prova ora Cookiebot gratuitamente.


Risorse


Per saperne di più sul CCPA (in inglese)

Leggi il testo ufficiale del CCPA (in inglese)

Per saperne di più sulla conformità al CCPA (in inglese)

Scopri i dettagli della definizione di “informazioni personali” secondo il CCPA (in inglese)

Per saperne di più sul CCPA e i cookie (in inglese)

Per saperne di più sui diritti dei consumatori secondo il CCPA (in inglese)

Leggi il nostro confronto tra CCPA e GDPR (in inglese)

Cos'è il GDPR?

Per saperne di più sul GDPR negli Stati Uniti (in inglese)

Nuovo Google Consent Mode 

Cookiebot si integra perfettamente con il nuovo Google Consent Mode

Rendi conforme l'uso dei cookie e del tracciamento online sul tuo sito ora!

Provalo gratuitamente