Attenzione: il CCPA è stato modificato dal California Privacy Rights Act (CPRA), ), che è attualmente in vigore. Consulta la seguente guida: CPRA: introduzione al CCPA 2.0 per tutte le informazioni su ciò che occorre fare e su cosa implica.
Le informazioni seguenti riguardano il CCPA e non sono più pienamente aggiornate.
Il California Privacy Rights Act (CPRA) amplia la normativa vigente denominata California Consumer Privacy Act (CCPA) proteggendo ulteriormente la privacy dei consumatori. Il CPRA integra, ma non sostituisce né abroga, il quadro vigente previsto dal CCPA.
Il CCPA conferisce vari diritti ai residenti della California e regolamenta le azioni delle aziende che raccolgono o vendono informazioni personali. Tuttavia, lascia un certo spazio all’interpretazione delle conseguenze del trattamento dei dati dei consumatori effettuato da terze parti. Ciò ha portato a una modifica del CCPA, che è stata denominata California Privacy Rights Act (CPRA)..
Il CPRA, entrato in vigore a gennaio 2023, prevede l’ampliamento di alcuni elementi chiave del CCPA e può essere considerato una versione più completa della legge.
💡 I nostri prodotti sono stati aggiornati per risultare in linea con le più recenti modifiche previste dal CPRA. Tutti i dettagli su cosa occorre fare per conformarsi sono disponibili qui.
Rientri nell’ambito di applicazione del CCPA quando valgono entrambe queste condizioni:
Ai sensi del California Consumer Privacy Act, per consumatore si intende una persona fisica residente in California.
Nell’ambito di applicazione del CCPA, per azienda si intende un’organizzazione a scopo di lucro che raccoglie le informazioni personali dei consumatori, ne determina le finalità e il metodo di trattamento, si rivolge ai residenti californiani (indipendentemente dal fatto che l’azienda abbia o meno sede in California) e soddisfi almeno uno dei seguenti requisiti:
Ai sensi del CCPA, per dati personali si intendono “informazioni che identificano, si riferiscono, descrivono, possono essere associate o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, a uno specifico consumatore o un nucleo familiare”.
Esempi di dati personali includono (ma non si limitano a):
Riferendosi ai dati personali, il CCPA dà questa definizione di vendita: “vendere, cedere, rilasciare, rendere pubblico, divulgare, diffondere, rendere disponibili, trasferire o comunque comunicare oralmente, per iscritto o con mezzi elettronici o di altro tipo i dati personali di un consumatore da parte di un’azienda a un’altra azienda o a terzi, a titolo oneroso o per valuable consideration”.
Il California Consumer Privacy Act non spiega cosa intende per “valuable consideration”, tuttavia il diritto contrattuale californiano lo definisce come “ciascun beneficio conferito (o concordato che sia conferito) da un terzo al promittente non giuridicamente titolato, oppure ciascun pregiudizio sofferto (o concordato che sia sofferto) da tale terzo che comporti un vantaggio per il promittente (e diverso da ciascun altro pregiudizio che, al momento del consenso, il terzo è legalmente vincolato a sopportare) costituisce una valida motivazione giuridica per un contratto” (Cal. Civ. Code § 1605, nostra traduzione).
In questo contesto quindi, per “valuable consideration” si possono intendere tutti gli accordi in cui vengono scambiati dati personali e l’entità trasferente trae un beneficio che in assenza di tale accordo le sarebbe precluso.
Il CalOPPA (California Online Privacy Protection Act) non è stato abrogato dal CCPA e continua ad essere applicabile. Tieni presente che anche se non rientri in una delle definizioni sopra esposte, potresti comunque dover rispettare il CalOPPA o entrambe le normative.
Per saperne di più sul CalOPPA leggi la nostra panoramica sui requisiti della normativa statunitense.
Esattamente cosa richiede il California Consumer Privacy Act?
Ai sensi della CCPA, i consumatori hanno il diritto di essere informati sulle modalità di trattamento dei loro dati prima o durante l’atto di raccolta degli stessi.
Andranno quindi specificati:
Ai sensi del CCPA, i consumatori che fanno una richiesta verificabile* hanno il diritto di accedere ai propri dati personali. In particolare, possono accedere a:
* Per richiesta verificabile si intende una richiesta avanzata da un consumatore (per proprio conto o per quello di un figlio minorenne), da una persona fisica o da una persona registrata presso la Segreteria di Stato, autorizzata dal consumatore ad agire per suo conto, e che l’azienda può verificare … essere il consumatore di cui ha raccolto dati personali. Cal. Civ. Code § 1798.140(y)
È necessario fornire ai consumatori almeno due mezzi per presentare tali richieste di accesso, tra cui il numero verde e, ove presente, l’indirizzo del sito web. Va inoltre compiuto ogni ragionevole sforzo per verificare che il richiedente sia effettivamente il consumatore di cui sono state raccolte le informazioni, o che si tratti comunque di una persona da lui autorizzata.
Ai sensi del CCPA, il diritto alla portabilità dei dati è unito al diritto di accesso, vedi il punto 1798.100 (d).
Nel caso in cui un’azienda esaudisca la richiesta di accesso in formato elettronico, le informazioni devono essere fornite al consumatore in un “formato facilmente utilizzabile, portatile e, per quanto tecnicamente fattibile, che consenta al consumatore di trasmettere queste informazioni ad un’altra azienda senza difficoltà”.
Le richieste (verificabili) devono essere soddisfatte gratuitamente entro 45 giorni dalla loro ricezione. Se necessario, è possibile ottenere una proroga di ulteriori 45 giorni, purché il consumatore venga informato nel giro di 45 giorni dalla sua richiesta. I dati forniti in risposta dovrebbero coprire i 12 mesi antecedenti la richiesta.
Le aziende devono rispondere per posta ordinaria o in formato elettronico (e-mail, download di file, ecc.). In caso di spedizione in formato elettronico, la legge prevede che i dati debbano essere “portatili”, cioè in un formato facile da usare e che ne consenta la trasmissione ad un’altra azienda senza impedimenti di sorta.
Il CCPA garantisce ai consumatori il diritto di richiedere la cancellazione di qualsiasi dato personale raccolto su loro conto. Una volta ricevuta una richiesta (verificabile) di cancellazione, è necessario cancellare i dati personali del consumatore dai propri registri e chiedere a tutti i fornitori di servizi correlati di fare altrettanto.
È necessario fornire ai consumatori almeno due mezzi per presentare questo genere di richiesta, tra cui il numero verde e, ove presente, l’indirizzo del sito web. Va inoltre compiuto ogni ragionevole sforzo per verificare che il richiedente sia effettivamente il consumatore di cui sono state raccolte le informazioni, o che si tratti comunque di una persona da lui autorizzata.
Le richieste (verificabili) devono essere soddisfatte gratuitamente entro 45 giorni dalla loro ricezione. Se necessario, è possibile ottenere una proroga di ulteriori 45 giorni, purché il consumatore venga informato nel giro di 45 giorni dalla sua richiesta.
Le aziende non sono tenute a soddisfare la richiesta di cancellazione se i dati servono a:
Ai sensi del CCPA, il consumatore ha il diritto di impedire – in ogni momento e con una semplice comunicazione all’azienda – la vendita dei propri dati personali a terzi.
Come già indicato in precedenza, “vendere” o “vendita” per il CCPA significano “vendere, cedere, rilasciare, rendere pubblico, divulgare, diffondere, rendere disponibili, trasferire o comunque comunicare oralmente, per iscritto o con mezzi elettronici o di altro tipo i dati personali di un consumatore da parte di un’azienda a un’altra azienda o a terzi, a titolo oneroso o per valuable consideration“.
Due esempi meno ovvi di cosa potrebbe* intendere il CCPA con “vendita” (di dati personali) sono:
* Tieni presente che in questa fase alcuni aspetti potrebbero cambiare via via che la legge viene affinata.
Devi informare i tuoi consumatori del fatto che vendi i loro dati personali a terzi, precisando inoltre che hanno il diritto di opporsi a tale pratica (analogamente al diritto ad essere informati).
Un consumatore che vuole fare opt-out non deve essere costretto a creare un account. Al contrario, questo processo dovrebbe essere agevolato da un link con la dicitura “Non vendere i miei dati personali” (“DNSMPI”, acronimo di “Do Not Sell My Personal Information”) sul tuo sito web o sulla tua privacy policy.
Una volta ricevuto l’ordine di non vendere i dati personali, l’azienda deve attenersi alla richiesta salvo successiva rettifica del consumatore che autorizza espressamente la vendita delle proprie informazioni (opt-in).
Le aziende possono chiedere nuovamente l’autorizzazione ai consumatori solo un’altra volta, e solo dopo 12 mesi che questi hanno effettuato l’opt-out.
Le aziende non possono vendere i dati personali di un consumatore di età inferiore ai 16 anni a meno che:
Il California Consumer Privacy Act vieta alle aziende di discriminare i consumatori per aver esercitato i diritti conferiti loro dalla legge. Non è quindi possibile:
Un’azienda può applicare o offrire prezzi, tariffe, livelli, qualità dei beni o servizi diversi solo nei casi in cui tale differenza è ragionevolmente correlata al valore fornito dai dati del consumatore.
Prendiamo come esempio un’azienda che per incentivare il consumatore a riacquistare un prodotto offre uno sconto del 30% un mese dopo il primo acquisto. Durante questo periodo il consumatore esercita il diritto alla cancellazione e chiede che i suoi dati personali vengano cancellati. In questo caso, poiché l’azienda non dispone più dei dati che dimostrano che il consumatore ha precedentemente acquistato il prodotto, non gli potrà offrire lo sconto del 30%.
Un’azienda può offrire incentivi di natura economica (compreso il pagamento), per la raccolta, la vendita o la cancellazione di informazioni personali. In questi casi tali incentivi andranno comunicati agli utenti attraverso l’homepage del sito e all’interno della privacy policy.
Alle aziende è vietato utilizzare pratiche di incentivi che siano “ingiuste, irragionevoli, coercitive o di natura usuraria”.
| CCPA | GDPR | |
|---|---|---|
| Organo preposto all’applicazione della legge | Il procuratore generale dello stato della California (USA). | Autorità responsabili della protezione dei dati a livello nazionale (stati membri dell’UE). |
| A chi si applica | Tutte le organizzazioni a scopo di lucro che si rivolgono a utenti californiani e che:
|
Qualunque realtà – organizzazioni (anche senza scopo di lucro), persone fisiche, enti pubblici, etc. – che abbia sede nell’Unione Europea e offra beni o servizi a cittadini dell’UE. |
| Quali dati protegge | Tutte le informazioni che si riferiscono o che possono essere associate a un particolare consumatore o nucleo famigliare, ad eccezione dei registri pubblici. | Tutte le informazioni che possono portare all’identificazione di un individuo. |
| Gli indirizzi IP sono considerati dati personali | ||
| Richiesta del consenso prima del trattamento | Solo per i minori e nei casi di precedente opt-out. | Sì, a meno che non sia applicabile un’altra base giuridica. |
| Obbligo di dare agli utenti la possibilità di opporsi o di revocare il consenso | Sì, le richieste di opt-out vanno onorate tramite un link DNSMPI. | Gli utenti hanno sia il diritto di revocare il consenso che quello di opporsi al trattamento (applicabile anche nei casi in cui il trattamento è giustificato da una base giuridica diversa dal consenso). |
| Protezioni applicabili anche in un contesto B2B | No, il CCPA tutela esclusivamente i consumatori. | Il GDPR non fa distinzione tra B2B e B2C, ma applica semplicemente le sue protezioni agli “interessati”, cioè a qualsiasi “persona fisica identificabile” residente nell’UE. |
| Requisiti di sicurezza | Il CCPA non prevede requisiti di sicurezza specifici, ma dà ai consumatori il diritto di intentare un’azione legale per danni derivati dalla mancata attuazione di adeguate misure di sicurezza da parte di un’azienda. | Il GDPR richiede sia ai titolari che ai responsabili del trattamento di implementare misure di sicurezza adeguate e in linea con gli standard più recenti. |
| Conseguenze del mancato adeguamento | Sanzioni fino a 7500 dollari per singola violazione. Inoltre i consumatori hanno il diritto di citare in giudizio le aziende che violano la legge. | Multe fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo (a seconda di quale dei due sia maggiore), richiami ufficiali, verifiche periodiche sulla protezione dei dati e risarcimento danni da responsabilità. Il GDPR dà inoltre agli interessati il diritto di intentare un’azione legale in caso di violazione dei loro diritti. |
| Diritti degli utenti in sintesi | ||
| Essere informati | ||
| Accesso | ||
| Portabilità | ||
| Rettifica | × | |
| Cancellazione | ||
| Opporsi | Previsto dall’opt-out | |
I consumatori hanno il diritto di citare in giudizio le aziende che violano la legge (questo vale solo per le aziende stesse e non per i fornitori di servizi che agiscono per loro conto). Le multe saranno comprese tra 100 e 750 dollari, o qualsiasi importo superiore relativo ai danni effettivi (laddove possono essere provati danni maggiori).
Lo stato può comminare sanzioni fino a 2.500 dollari per le aziende che violano involontariamente il CCPA, fino a 7.500 dollari se la violazione è intenzionale.
Se queste sanzioni non sembrano particolarmente elevate (soprattutto a confronto con quelle previste da altre normative), tieni presente che vanno intese per singola violazione e per consumatore. Per un’azienda con pochi clienti possono quindi arrivare a costituire una somma considerevole.
Analogamente ad altre leggi sulla privacy, la conformità al California Consumer Privacy Act è un processo articolato che comporta un’onesta valutazione, una buona pianificazione e una concreta implementazione sia dal punto di vista tecnico che legale. Il più delle volte la fase che si dimostra più impegnativa è proprio quella dell’implementazione.
È qui che entra in gioco iubenda. Offriamo potenti soluzioni software – supportate dal nostro team legale internazionale e personalizzabili quando necessario – che in pochi click ti permettono di gestire anche le situazioni più complesse (qui trovi una panoramica delle nostre soluzioni).
Indipendentemente dalle scelte che prenderai sul fronte dell’implementazione, ci sono anche altri aspetti fondamentali di cui occuparsi. Eccoli a seguire, assieme al restante processo di implementazione.
Uno dei passi più importanti è forse quello di rivedere e valutare in piena franchezza i propri processi e sistemi. Ecco alcune domande da porsi:
Basandoti sulle risposte alle domande precedente, redigi e includi le clausole pertinenti nella tua privacy policy e, se applicabile, nei punti di raccolta dei dati (come il form di contatto ad esempio).
Assicurati di includere:
I diritti di accesso, portabilità e cancellazione devono essere onorati, senza alcun costo per il consumatore, entro 45 giorni dal ricevimento di una richiesta verificabile. Se necessario, puoi prorogare il termine (una sola volta) di altri 45 giorni, a condizione che il consumatore ne sia informato.
Per soddisfare le richieste di accesso e di portabilità, le informazioni restituite al consumatore devono essere fornite in un formato facile da usare e da trasmettere.
Quando un consumatore esercita il diritto di recesso (si oppone cioè alla vendita dei propri dati), devi attenerti alla richiesta al momento del ricevimento. Non si possono vendere le informazioni personali dei consumatori con meno di 16 anni, a meno che non sia ci sia l’autorizzazione di un genitore/tutore (per i minori di 13 anni) o non sia stato il minore stesso (di età compresa tra i 13-16 anni) a prestare esplicitamente l’autorizzazione.
Come requisito per il diritto di recesso del consumatore, è necessario fornire un link facilmente accessibile, ben visibile e recante la dicitura “Non vendere i miei dati personali” (“DNSMPI”, acronimo di “Do Not Sell My Personal Information”) sull’homepage del tuo sito e all’interno della tua privacy policy (corredato di informazioni sul relativo diritto del consumatore). Il link deve portare l’utente ad una pagina dove può scegliere di non vendere i propri dati personali.
Laddove tecnicamente possibile, è consentito reindirizzare i residenti della California a una pagina separata provvista di link “DNSMPI”.
Il servizio, la qualità, i livelli e/o i prezzi offerti ai consumatori non devono dipendere dal fatto che abbiano o meno scelto di esercitare i propri diritti. Le uniche eccezioni a questa regola sono nei casi in cui il valore del servizio o del bene offerto si basi sui dati raccolti sul consumatore (vedi l’esempio citato sopra).
È possibile offrire incentivi economici ai consumatori in cambio dell’accesso ai loro dati personali. Tali incentivi devono però essere equi, ragionevoli, non coercitivi e non estorsivi. I consumatori andranno messi al corrente dell’esistenza di tali incentivi attraverso l’homepage del tuo sito web.
Le leggi, come le persone, i bisogni e gli ideali a cui sottostanno, sono soggette a cambiamenti. Allo stesso modo, le tue finalità, i tuoi partner e i processi interni alla tua azienda possono cambiare nel tempo. Per questo motivo è di vitale importanza rivedere e valutare periodicamente i processi interni, gli aspetti tecnici e i documenti legali, e mantenerli aggiornati con quanto richiesto dalle normative.
Adeguarsi al CCPA può essere complicato – rispettare la legge e le specifiche tecniche per il tuo sito e la tua azienda può risultare piuttosto impegnativo. Le nostre soluzioni ti evitano di fare congetture in materia di conformità e ti permettono di soddisfare facilmente i requisiti del CCPA, così tu puoi dedicarti al tuo business.
Tutte le privacy policy generate con iubenda sono conformi al CCPA, in quanto contengono la possibilità di applicare facilmente gli standard previsti da questa normativa agli utenti californiani.
Grazie alla nostra soluzione:
Come richiesto dal CCPA, la Privacy Controls and Cookie Solution ti permette di mostrare agli utenti californiani un avviso di raccolta dati e facilitare l’esercizio del diritto di opt-out tramite un link “Non vendere le mie informazioni personali”.
La nostra soluzione ti permette di:
💡 Scopri come abilitare queste funzionalità.
Come indicato in precedenza, il CCPA conferisce ai consumatori il diritto di opporsi. Qualora il trattamento sia in qualche modo manuale (non connesso cioè a degli script, come nel caso del direct email marketing), le aziende potrebbero dover soddisfare manualmente le richieste di opt-out.
Inoltre, il CCPA prevede che gli utenti non possano essere contattati per i 12 mesi successivi la richiesta. Per questo motivo è consigliabile tenere un registro comprensivo di dettagli dell’opt-out quali utente, data e fornitori da notificare in caso di richiesta.
Il nostro Consent Database si integra con i tuoi form per permetterti di passare via API le preferenze dei consumatori (tra cui l’opt-out) ad un’intuitiva dashboard. Puoi registrare tutti i dettagli rilevanti, inclusi data e ora dell’opt-out, la versione della privacy policy mostrata all’utente al momento della richiesta, user ID, e-mail e persino l’indirizzo IP, così da ottenere una richiesta verificabile.
Il Registro delle attività di trattamento dei dati consente di registrare accuratamente i dati necessari per soddisfare le richieste dei consumatori.
La nostra soluzione archivia:
