Che cos'è il CALIFORNIA CONSUMER PRIVACY ACT (CCPA)?
Il California Consumer Privacy Act (CCPA) è una legge statale volta a rafforzare i diritti alla privacy e la protezione dei consumatori per i residenti della California, Stati Uniti. Ufficialmente denominata AB-375, la legge è stata introdotta da Ed Chau, membro dell’Assemblea di Stato della California, e dal senatore statale Robert Hertzberg.
Date chiave del CCPA
Legge definitivamente adottata il 28 giugno 2018
Emendamenti definitivi adottati l’11 ottobre 2019
Entrata in vigore il 1° gennaio 2020, ma con un requisito di “retrospettiva” di 12 mesi che consente ai consumatori di richiedere i dati raccolti su di loro retroattivamente per un intero anno a partire dal momento della richiesta. Ciò significa che le aziende devono identificare i file di dati personali raccolti a partire dal 1° gennaio 2019 (12 mesi prima del 1° gennaio 2020).
Chi è interessato da questa legge
Si applica a qualsiasi azienda che:
Raccoglie o elabora direttamente o indirettamente dati personali dei consumatori californiani (cioè qualsiasi individuo residente fisicamente in California) e determina da solo o congiuntamente con altri gli scopi e i mezzi di tale trattamento dei dati personali
Fa affari in California (indipendentemente dalla sede dell’azienda, in California o in un altro stato o paese, purché le condizioni siano soddisfatte)
Raggiunge almeno una delle seguenti soglie:
– Ha un fatturato annuo lordo superiore a 25 milioni di dollari
– O annualmente acquista, riceve, vende o condivide, a fini commerciali, 50 000 o più dati personali di consumatori, famiglie o dispositivi californiani
– O guadagna più della metà dei suoi ricavi annuali dalla vendita di dati personali
Il CCPA si applica anche, indirettamente, alla società madre e alle filiali di un’entità che soddisfa i criteri a), b) e c) sopra se condividono lo stesso marchio o denominazione (“common branding“).
NB: La nozione di “vendita” di dati personali include:
- La posa di un cookie di terzi su un sito web per consentire la pubblicità; o
- Il diritto concesso ai venditori di analizzare i dati per i propri scopi.
Qual è la definizione di "dati personali"?
I dati personali sono definiti come “informazioni che identificano, riguardano, descrivono, possono essere associate o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, a un consumatore o a una famiglia particolare“.
Sono considerati dati personali, tra gli altri, qualsiasi identificativo di cookie, identificativo di dispositivo, pixel beacon, numero di cliente, nonché le informazioni relative a una famiglia.
Non sono considerati dati personali i dati anonimizzati o aggregati.
Diritti principali dei consumatori
Diritto all’informazione riguardante (i) le categorie di dati personali che saranno raccolti su di loro prima della raccolta e qualsiasi cambiamento in questa raccolta, (ii) lo scopo della raccolta, (iii) i terzi con cui i loro dati personali sono condivisi (i) prima di qualsiasi raccolta
Diritto di acconsentire o opporsi alla vendita dei propri dati personali (opt-out)
Diritto di accesso: conoscere i dati raccolti da un’azienda e la fonte di questa raccolta
Diritto di opposizione alla vendita dei propri dati personali
Diritto di eliminazione dei propri dati personali
Diritto di intraprendere azioni (a titolo personale, non collettivo) contro le aziende che mancano alle loro obblighi legali
Obblighi principali delle aziende
Informare le persone interessate tramite:
– Una privacy notice durante la raccolta
– Una politica di riservatezza contenente informazioni sulle pratiche di raccolta online e offline (aggiornamento obbligatorio ogni 12 mesi)
– Una notifica in caso di arricchimento o modifica delle informazioni raccolte
Notificare le condizioni degli incentivi finanziari esistenti durante la raccolta, vendita o conservazione dei dati personali
Fornire un mezzo di opt-out per consentire alla persona interessata di opporsi alla vendita dei propri dati personali
Obblighi specifici riguardo alla raccolta di dati personali di minori di 13 anni
Formare il personale sulle regole di protezione dei dati personali
A differenza del RGPD, il CCPA riconosce il diritto alla patrimonializzazione dei dati consentendo alle persone interessate di vendere i propri dati personali in cambio di un vantaggio finanziario (“financial incentive“).
Sanzioni in caso di violazione della legge
Avviso del Procuratore Generale della California per conformarsi
Penalità civili inflitte dal Procuratore Generale della California che possono variare da 2 500 $ a 7 500 $ per ogni violazione che non viene rimediata in seguito a un avviso
Azione civile della persona interessata contro l’azienda inadempiente
Eccezioni ed esenzioni
Il CCPA prevede varie eccezioni ed esenzioni al trattamento dei dati personali. Ad esempio, un’esenzione generale si applica fino al 1° gennaio 2021:
Alle informazioni che un’azienda raccoglie dai suoi candidati, dipendenti, appaltatori e altre persone simili
Alle informazioni sul personale delle aziende clienti di un’entità, negli scenari B2B