Il CCPA è entrato in vigore il 1° gennaio 2020. È stata la prima legge sulla privacy moderna e completa negli Stati Uniti. Il California Privacy Rights Act (CPRA) è entrato in vigore il 1° gennaio 2023, modificando ed espandendo il CCPA. Per saperne di più sul CPRA,clicca qui.
Quando si applica il CCPA?
Il CCPA si applica alle società a scopo di lucro, indipendentemente da dove siano ubicate nel mondo, che:
- vendono le informazioni personali di oltre 50000 residenti in California all’anno, o
- hanno un fatturato annuo lordo superiore a 25 milioni di dollari statunitensi, o
- derivano più del 50 per cento del loro fatturato annuale dalla vendita delle informazioni personali dei residenti californiani.
La vendita di informazioni personali viene definita nel CCPA come l’atto di “vendere, cedere, rivelare, divulgare, diffondere, rendere disponibili, trasmettere o diversamente comunicare in forma orale, per iscritto, oppure con mezzi elettronici o di diversa natura, le informazioni personali di un consumatore, da parte dell’azienda a un’altra azienda o a una terza parte, a fronte di un corrispettivo monetario o a titolo altrimenti oneroso” (1798.140.t1; traduzione a cura di Cookiebot™).
Ai sensi del CCPA, i cittadini residenti in California (“consumatori”) acquisiscono il diritto di opporsi alla vendita dei propri dati a terzi, nonché di richiedere la comunicazione dei dati precedentemente raccolti (diritto all’accesso) e la loro cancellazione.
Inoltre, i residenti californiani hanno il diritto di essere informati e di non essere discriminati se scelgono di esercitare i loro diritti.
Il mancato rispetto del CCPA può comportare ammende per le imprese nella somma di 7500 dollari statunitensi per violazione e di 750 dollari statunitensi per utente interessato, in qualità di risarcimento per i danni civili.
Come rendo il mio sito conforme al CCPA?
Se la tua azienda supera anche solo una delle tre soglie e ha un sito web,sei tenuto a introdurre alcune notifiche e funzionalità.
Il tuo sito deve informare gli utenti al momento della raccolta dei dati, o prima della stessa, circa le categorie di informazioni personali che raccoglie e le loro finalità.
Il tuo sito deve contenere il link “Non vendere le mie informazioni personali“, che gli utenti possono utilizzare per opporsi alla vendita dei propri dati a terzi. (Nota: dopo l’entrata in vigore del CPRA, l’avviso dev’essere “Non vendere né condividere le mie informazioni personali”).
Se il tuo sito ha visitatori o clienti che sono minori di 16 anni tra i suoi utenti, è necessario ottenere il loro consenso (opt-in) prima di essere autorizzato a vendere o divulgare le loro informazioni personali a terzi. Se il minore è di età inferiore ai 13 anni, un genitore o tutore legale deve fornire il consenso in sua vece.
La tua azienda deve inoltre aggiornare l’informativa sulla privacy del suo sito includendo una descrizione dei diritti del consumatore e delle modalità di esercizio di tali diritti. L’informativa sulla privacy deve altresì contenere un elenco annualmente aggiornato delle categorie di dati personali che la tua azienda raccoglie, commercializza e diffonde.
Se la tua azienda riceve una richiesta verificabile da parte di un consumatore che chiede la comunicazione delle informazioni personali raccolte, sei tenuto a fornire gratuitamente la documentazione relativa ai dati personali raccolti negli ultimi 12 mesi, incluse fonti, scopi commerciali e categorie di terze parti con cui sono stati condivisi.
La tua azienda ha il divieto di discriminare un consumatore in base alla sua scelta di esercitare il proprio diritto di opporsi (opt-out), richiedendo la comunicazione dei dati, la loro correzione o cancellazione.
Cosa sono i dati personali?
I dati o informazioni personali sono definite nel CCPA come “informazioni che identificano, si riferiscono a, descrivono, sono ragionevolmente associabili a, o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, a un particolare consumatore o nucleo familiare” (1798.140.o1; traduzione a cura di Cookiebot™).
Le informazioni personali, ai sensi del CCPA, includono:
- gli identificatori diretti, come i nomi propri, gli pseudonimi, gli indirizzi postali o i codici di previdenza sociale e gli identificatori univoci, come i cookie, gli indirizzi IP o i nomi utente
- i dati biometrici,come le registrazioni facciali e vocali
- i dati di geolocalizzazione,come la cronologia della posizione
- le attività sul web,come la cronologia della navigazione, la cronologia delle ricerche e i dati sull’interazione con una determinata pagina web o app
- le informazioni sensibili, come i dati sanitari, le caratteristiche personali, il comportamento, le convinzioni religiose o politiche, l’orientamento sessuale, i dati sull’occupazione e sull’istruzione, le informazioni finanziarie e mediche.
Le informazioni personali comprendono anche dati che, per deduzione, possono portare all’identificazione di un individuo o di un nucleo familiare.
I dati aggregati e anonimi sono esenti dal CCPA, a patto che non siano in alcun modo riconducibili alle loro fonti. Ciò significa che i dati che di per sé non costituiscono informazioni personali possono diventare tali secondo il CCPA nel caso in cui possano essere utilizzati – per deduzione o in combinazione con altri dati – per identificare un individuo o un nucleo familiare.
Cosa prevede il CCPA per i cookie?
I cookie e le altre tecnologie di tracciamento dei siti web sono classificati come identificatori univoci e fanno parte della definizione di informazioni personali secondo il CCPA. I cookie sono una delle tecnologie più comunemente usate dai siti web a livello mondiale per raccogliere le informazioni personali degli utenti finali.
I cookie di prima parte, impostati dal sito stesso, raccolgono spesso dati anonimi per garantire le funzionalità fondamentali del sito. Questi vengono cancellati quando l’utente chiude il browser. I cookie di terze parti, come quelli impostati da aziende tecnologiche e piattaforme di social media, spesso raccolgono grandi quantità di informazioni personali -talvolta sensibili -sui consumatori, che possono essere conservate per un periodo fino a cento anni
I dati raccolti sul tuo sito attraverso i cookie possono in ultima istanza essere considerati informazioni personali ai sensi del CCPA. Queste informazioni possono non costituire informazioni personali di per sé, ad esempio i dati analitici anonimizzati, ma possono diventare identificativi per deduzione o in combinazione con altri dati se hanno lo scopo di identificare e connettere dispositivi, creare profili e proporre pubblicità personalizzate.
Cosa è cambiato per le aziende e i cittadini residenti in California a partire dal 1° gennaio 2023?
Il nuovo California Privacy Rights Act (CPRA) si applica anche alle organizzazioni a scopo di lucro che:
- hanno un fatturato lordo annuale superiore a 25 milioni di dollari statunitensi, o
- che ricavano più del 50% del loro fatturato annuale dalla vendita o dalla condivisione di informazioni personali dei residenti in California.
Tuttavia, il CPRA modifica una delle tre soglie del CCPA. Il numero minimo di residenti o famiglie della California le cui informazioni personali sono trattate e/o condivise da queste aziende è aumentato a 100.000. Ai sensi del CPRA, sono coperti anche i dati B2B ed è stata istituita la California Privacy Protection Agency (CPPA), autorità per la supervisione e l’applicazione.
Mentre il CCPA copriva solo la vendita di informazioni personali, il CPRA include la condivisione dei dati. Il regolamento amplia e modifica anche i diritti esistenti dei consumatori mentre ne introduce alcuni di nuovi:
- diritto alla rettifica, per ottenere la correzione di dati inesatti raccolti sui consumatori
- diritto di limitare l’uso di dati classificati come informazioni personali sensibili
- diritto di richiedere informazioni sul processo decisionale automatizzato e sui probabili risultati dell’uso di tali processi
- diritto di rinunciare all’uso di tecnologie decisionali automatizzate in relazione alle proprie informazioni personali
Per saperne di più sul CPRA e il relativo ambito di applicazione, clicca qui.
Le organizzazioni che soddisfano una delle soglie di conformità del CCPA/CPRA, sono responsabili per tutte le informazioni personali sui residenti in California che vengono raccolte tramite i cookie del loro sito web, se le informazioni vengono vendute o condivise. I consumatori possono richiedere la trasmissione delle loro informazioni personali raccolte su un sito web negli ultimi 12 mesi, nonché richiedere la correzione o la cancellazione di tali dati (con qualche eccezione).
Le organizzazioni devono quindi essere a conoscenza di quali dati i loro siti raccolgono, come e per quali finalità lo fanno, e con chi (terze parti) condividono tali dati.
La nostra piattaforma di gestione del consenso (CMP) aiuta a raggiungere e mantenere la conformità con il GDPR e la Direttiva ePrivacy, con il CCPA, il CPRA ed altre normative.
Cookiebot CMP è una tecnologia che scansiona in profondità il tuo sito web per individuare tutti i cookie e tecnologie di tracciamento e controllarli automaticamente, in modo che tu e i tuoi utenti finali siate sicuri di essere a conoscenza di quali informazioni personali vengono raccolte, per quali scopi, e con quali terze parti sono condivise se gli utenti acconsentono.
Rendiamo inoltre possibile la conformità al CCPA e al CPRA per le aziende, implementando il link obbligatorio “Non vendere né condividere le mie informazioni personali” con la dichiarazione per i cookie generata dallo scanner e fornendo i banner di opt-in e opt-out necessari per il consenso dei minori di 16 anni.
Prova ora Cookiebot CMP gratuitamente.
Risorse
Per saperne di più sul CCPA (in inglese)
Leggi il testo ufficiale del CCPA (in inglese)
Per saperne di più sulla conformità al CCPA (in inglese)
Scopri i dettagli della definizione di “informazioni personali” secondo il CCPA (in inglese)
Per saperne di più sul CCPA e i cookie (in inglese)
Per saperne di più sui diritti dei consumatori secondo il CCPA (in inglese)
Leggi il nostro confronto tra CCPA e GDPR (in inglese)