Documentazione

Indice dei contenuti

Guida al CCPA

Che cos’è il CCPA e come si diventa conformi? Scopriamolo assieme in questa guida.

Il California Consumer Privacy Act (CCPA) è la più recente legge californiana sulla privacy ed è volta a migliorare i diritti dei consumatori per i residenti dello stato della California (Stati Uniti). Il CCPA entrerà in vigore il 1° gennaio 2020 e diventerà pienamente applicabile il 1° luglio 2020.

Questa normativa introduce nuovi requisiti per il trattamento delle informazioni personali e garantisce ai consumatori nuovi diritti in merito. È lecito quindi attendersi un impatto significativo sia sui processi che sui profili di responsabilità aziendali.

Quando si applica il CCPA?

Rientri nell’ambito di applicazione del CCPA quando valgono entrambe queste condizioni:

  • hai un’attività commerciale; e
  • ti rivolgi a utenti californiani.

Definizioni

Consumatore

Ai sensi del California Consumer Privacy Act, per consumatore si intende una persona fisica residente in California.

Azienda

Nell’ambito di applicazione del CCPA, per azienda si intende un’organizzazione a scopo di lucro che raccoglie le informazioni personali dei consumatori, ne determina le finalità e il metodo di trattamento, si rivolge ai residenti californiani (indipendentemente dal fatto che l’azienda abbia o meno sede in California) e soddisfi almeno uno dei seguenti requisiti:

  • ha un fatturato annuo lordo superiore a 25 milioni di dollari ($25.000.000); oppure
  • almeno il 50% del proprio fatturato deriva dalla vendita di dati personali; oppure
  • acquista, riceve, vende o condivide ogni anno per finalità commerciali le informazioni personali di 50.000 o più consumatori. Poiché gli indirizzi IP rientrano tra i dati personali – e poiché per “finalità commerciali” si intendono interessi commerciali o economici – è probabile che qualsiasi sito web che in un anno riceva dalla California almeno 50.000 visite uniche rientri in questo ambito.

Dati personali

Ai sensi del CCPA, per dati personali si intendono “informazioni che identificano, si riferiscono, descrivono, possono essere associate o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, a uno specifico consumatore o un nucleo familiare”.

Esempi di dati personali includono (ma non si limitano a):

  • nome, pseudonimo, indirizzo postale, ID personale, indirizzo IP, indirizzo e-mail, nome utente, numero di previdenza sociale, numero di patente di guida, numero di passaporto e altri dati identificativi simili;
  • informazioni commerciali compresi i registri di beni, prodotti o servizi acquistati, ottenuti o considerati, e altri storici o tendenze di acquisto o consumo;
  • dati biometrici;
  • informazioni sulle attività di rete (Internet o altro), comprese la cronologia di navigazione, le ricerche effettuate e i dati relativi all’interazione con un sito web, un’app o un annuncio pubblicitario;
  • dati di geolocalizzazione;
  • informazioni di natura audio, elettronica, visuale, termica, olfattiva o simili;
  • informazioni professionali o relative all’impiego;
  • informazioni sulla formazione professionale (eccetto quelle di pubblico dominio); oppure
  • qualsiasi conclusione tratta dalle informazioni suddette che venga usata per tracciare il profilo di un consumatore in modo da rifletterne preferenze, caratteristiche, tendenze, predisposizioni, comportamenti, atteggiamenti, intelligenza, capacità e attitudine.

Altre definizioni

Vendita

Riferendosi ai dati personali, il CCPA dà questa definizione di vendita: “vendere, cedere, rilasciare, rendere pubblico, divulgare, diffondere, rendere disponibili, trasferire o comunque comunicare oralmente, per iscritto o con mezzi elettronici o di altro tipo i dati personali di un consumatore da parte di un’azienda a un’altra azienda o a terzi, a titolo oneroso o per valuable consideration”.

Il California Consumer Privacy Act non spiega cosa intende per “valuable consideration”, tuttavia il diritto contrattuale californiano lo definisce come “ciascun beneficio conferito (o concordato che sia conferito) da un terzo al promittente non giuridicamente titolato, oppure ciascun pregiudizio sofferto (o concordato che sia sofferto) da tale terzo che comporti un vantaggio per il promittente (e diverso da ciascun altro pregiudizio che, al momento del consenso, il terzo è legalmente vincolato a sopportare) costituisce una valida motivazione giuridica per un contratto” (Cal. Civ. Code § 1605, nostra traduzione).

In questo contesto quindi, per “valuable consideration” si possono intendere tutti gli accordi in cui vengono scambiati dati personali e l’entità trasferente trae un beneficio che in assenza di tale accordo le sarebbe precluso.

Importante

Il CalOPPA (California Online Privacy Protection Act) non è stato abrogato dal CCPA e continua ad essere applicabile. Tieni presente che anche se non rientri in una delle definizioni sopra esposte, potresti comunque dover rispettare il CalOPPA o entrambe le normative.

Per saperne di più sul CalOPPA leggi la nostra panoramica sui requisiti della normativa statunitense.

I diritti dei consumatori secondo il CCPA

Esattamente cosa richiede il California Consumer Privacy Act?

Il diritto ad essere informati

Ai sensi della CCPA, i consumatori hanno il diritto di essere informati sulle modalità di trattamento dei loro dati prima o durante l’atto di raccolta degli stessi.

Andranno quindi specificati:

  • le categorie di dati personali che l’azienda raccoglie, vende o condivide;
  • le tipologie di terze parti con cui l’azienda condivide i dati personali;
  • le varie fonti da cui provengono tali informazioni;
  • le finalità commerciali e di business per la raccolta o la vendita dei dati personali;
  • i diritti dei consumatori e le modalità con cui possono essere esercitati; e
  • nel caso in cui i dati personali vengano venduti, le modalità con cui il consumatore può opporsi alla vendita delle proprie informazioni tramite il link “Non vendere i miei dati personali”.

Il diritto di accesso

Ai sensi del CCPA, i consumatori che fanno una richiesta verificabile* hanno il diritto di accedere ai propri dati personali. In particolare, possono accedere a:

  • le categorie di dati raccolti negli ultimi 12 mesi;
  • le informazioni specifiche raccolte su di loro;
  • le varie fonti da cui provengono tali informazioni;
  • le finalità della raccolta o della vendita dei dati;
  • le categorie delle terzi parti con cui vengono condivisi i dati;
  • le categorie di dati venduti e le categorie di terze parti a cui sono stati venduti;
  • le categorie di dati personali comunicati a fini commerciali.

* Per richiesta verificabile si intende una richiesta avanzata da un consumatore (per proprio conto o per quello di un figlio minorenne), da una persona fisica o da una persona registrata presso la Segreteria di Stato, autorizzata dal consumatore ad agire per suo conto, e che l’azienda può verificare … essere il consumatore di cui ha raccolto dati personali. Cal. Civ. Code § 1798.140(y)

È necessario fornire ai consumatori almeno due mezzi per presentare tali richieste di accesso, tra cui il numero verde e, ove presente, l’indirizzo del sito web. Va inoltre compiuto ogni ragionevole sforzo per verificare che il richiedente sia effettivamente il consumatore di cui sono state raccolte le informazioni, o che si tratti comunque di una persona da lui autorizzata.

Il diritto alla portabilità dei dati

Ai sensi del CCPA, il diritto alla portabilità dei dati è unito al diritto di accesso, vedi il punto 1798.100 (d).

Nel caso in cui un’azienda esaudisca la richiesta di accesso in formato elettronico, le informazioni devono essere fornite al consumatore in un “formato facilmente utilizzabile, portatile e, per quanto tecnicamente fattibile, che consenta al consumatore di trasmettere queste informazioni ad un’altra azienda senza difficoltà”.

Le richieste (verificabili) devono essere soddisfatte gratuitamente entro 45 giorni dalla loro ricezione. Se necessario, è possibile ottenere una proroga di ulteriori 45 giorni, purché il consumatore venga informato nel giro di 45 giorni dalla sua richiesta. I dati forniti in risposta dovrebbero coprire i 12 mesi antecedenti la richiesta.

Formato

Le aziende devono rispondere per posta ordinaria o in formato elettronico (e-mail, download di file, ecc.). In caso di spedizione in formato elettronico, la legge prevede che i dati debbano essere “portatili”, cioè in un formato facile da usare e che ne consenta la trasmissione ad un’altra azienda senza impedimenti di sorta.

Eccezioni e limitazioni

  • I consumatori possono avanzare massimo 2 richieste in 12 mesi.
  • Le attività di trattamento una tantum sono escluse se:
    • le informazioni in oggetto non sono vendute o conservate dall’azienda, oppure
    • non vengono utilizzate per identificare nuovamente quella persona.
  • Se l’azienda non ha raccolto informazioni sul consumatore in questione non è necessaria alcuna risposta.

Il diritto alla cancellazione

Il CCPA garantisce ai consumatori il diritto di richiedere la cancellazione di qualsiasi dato personale raccolto su loro conto. Una volta ricevuta una richiesta (verificabile) di cancellazione, è necessario cancellare i dati personali del consumatore dai propri registri e chiedere a tutti i fornitori di servizi correlati di fare altrettanto.

È necessario fornire ai consumatori almeno due mezzi per presentare questo genere di richiesta, tra cui il numero verde e, ove presente, l’indirizzo del sito web. Va inoltre compiuto ogni ragionevole sforzo per verificare che il richiedente sia effettivamente il consumatore di cui sono state raccolte le informazioni, o che si tratti comunque di una persona da lui autorizzata.

Le richieste (verificabili) devono essere soddisfatte gratuitamente entro 45 giorni dalla loro ricezione. Se necessario, è possibile ottenere una proroga di ulteriori 45 giorni, purché il consumatore venga informato nel giro di 45 giorni dalla sua richiesta.

Eccezioni e limitazioni

Le aziende non sono tenute a soddisfare la richiesta di cancellazione se i dati servono a:

  • completare l’operazione per la quale sono stati raccolti i dati personali;
  • la fornitura di un bene o di un servizio richiesto dal consumatore, o per concludere un accordo tra l’azienda e il consumatore;
  • individuare problemi di sicurezza, tutelarsi da attività malevoli, ingannevoli, fraudolente o illegali, o perseguirne i responsabili;
  • individuare e correggere eventuali errori;
  • esercitare il diritto alla libertà di parola (proprio o di un altro consumatore);
  • rispettare il California Electronic Communications Privacy Act (CalECPA);
  • ricerche scientifiche, storiche o statistiche di interesse pubblico o sottoposte a peer review nell’interesse pubblico;
  • adempiere a un obbligo legale;
  • consentire usi esclusivamente interni che siano in linea con le aspettative del consumatore sulla base del proprio rapporto con l’azienda;
  • uso esclusivamente interno in modo lecito e compatibile con il contesto in cui il consumatore ha fornito i propri dati personali.

Il diritto di opporsi (negare la vendita dei propri dati)

Ai sensi del CCPA, il consumatore ha il diritto di impedire – in ogni momento e con una semplice comunicazione all’azienda – la vendita dei propri dati personali a terzi.

Che cosa intende il CCPA per “vendita” e come si vendono i dati personali?

Come già indicato in precedenza, “vendere” o “vendita” per il CCPA significano “vendere, cedere, rilasciare, rendere pubblico, divulgare, diffondere, rendere disponibili, trasferire o comunque comunicare oralmente, per iscritto o con mezzi elettronici o di altro tipo i dati personali di un consumatore da parte di un’azienda a un’altra azienda o a terzi, a titolo oneroso o per valuable consideration.

Due esempi meno ovvi di cosa potrebbe* intendere il CCPA con “vendita” (di dati personali) sono:

  • condividere i dati degli utenti con network pubblicitari e terze parti per mostrare annunci mirati al fine di trarne un beneficio (anche economico); oppure
  • usare uno strumento terzo di analisi statistiche per fare retargeting o comunque profilare un utente con l’obiettivo di vendergli beni o servizi.

* Tieni presente che in questa fase alcuni aspetti potrebbero cambiare via via che la legge viene affinata.

Devi informare i tuoi consumatori del fatto che vendi i loro dati personali a terzi, precisando inoltre che hanno il diritto di opporsi a tale pratica (analogamente al diritto ad essere informati).

Un consumatore che vuole fare opt-out non deve essere costretto a creare un account. Al contrario, questo processo dovrebbe essere agevolato da un link con la dicitura “Non vendere i miei dati personali” (“DNSMPI”, acronimo di “Do Not Sell My Personal Information”) sul tuo sito web o sulla tua privacy policy.

Una volta ricevuto l’ordine di non vendere i dati personali, l’azienda deve attenersi alla richiesta salvo successiva rettifica del consumatore che autorizza espressamente la vendita delle proprie informazioni (opt-in).

Le aziende possono chiedere nuovamente l’autorizzazione ai consumatori solo un’altra volta, e solo dopo 12 mesi che questi hanno effettuato l’opt-out.

Il diritto all’opt-in (consenso preventivo per i minori)

Le aziende non possono vendere i dati personali di un consumatore di età inferiore ai 16 anni a meno che:

  • il consumatore abbia tra i 13 e i 16 anni e abbia effettuato l’opt-in; oppure
  • il consumatore ha meno di 13 anni, ma un suo genitore/tutore ha effettuato l’opt-in in sua vece.

Il diritto a non essere discriminati (anche se il consumatore esercita i propri diritti alla privacy)

Il California Consumer Privacy Act vieta alle aziende di discriminare i consumatori per aver esercitato i diritti conferiti loro dalla legge. Non è quindi possibile:

  • negare loro beni o servizi;
  • applicare prezzi o tariffe diverse per gli stessi beni o servizi;
  • fornire beni o servizi con un diverso livello di qualità;
  • suggerire che il consumatore riceverà beni o servizi a un prezzo o a una qualità diversi da prima.

Eccezioni e limitazioni

Un’azienda può applicare o offrire prezzi, tariffe, livelli, qualità dei beni o servizi diversi solo nei casi in cui tale differenza è ragionevolmente correlata al valore fornito dai dati del consumatore.

Prendiamo come esempio un’azienda che per incentivare il consumatore a riacquistare un prodotto offre uno sconto del 30% un mese dopo il primo acquisto. Durante questo periodo il consumatore esercita il diritto alla cancellazione e chiede che i suoi dati personali vengano cancellati. In questo caso, poiché l’azienda non dispone più dei dati che dimostrano che il consumatore ha precedentemente acquistato il prodotto, non gli potrà offrire lo sconto del 30%.

Un’azienda può offrire incentivi di natura economica (compreso il pagamento), per la raccolta, la vendita o la cancellazione di informazioni personali. In questi casi tali incentivi andranno comunicati agli utenti attraverso l’homepage del sito e all’interno della privacy policy.

Alle aziende è vietato utilizzare pratiche di incentivi che siano “ingiuste, irragionevoli, coercitive o di natura usuraria”.

CCPA e GDPR a confronto

CCPA GDPR
Organo preposto all’applicazione della legge Il procuratore generale dello stato della California (USA). Autorità responsabili della protezione dei dati a livello nazionale (stati membri dell’UE).
A chi si applica Tutte le organizzazioni a scopo di lucro che si rivolgono a utenti californiani e che:
  • trattano dati personali di almeno 50mila consumatori californiani (gli indirizzi IP sono considerati dati personali, questo significa che un sito web che riceve almeno 50mila visite l’anno da utenti californiani rientra nell’ambito di applicazione del CCPA); oppure
  • devono almeno il 50% del proprio fatturato alla vendita/diffusione/trasferimento (a titolo oneroso o per benefici di altro genere) di dati personali di utenti californiani; oppure
  • hanno un fatturato annuo lordo superiore a 25 milioni di dollari.
Qualunque realtà – organizzazioni (anche senza scopo di lucro), persone fisiche, enti pubblici, etc. – che abbia sede nell’Unione Europea e offra beni o servizi a cittadini dell’UE.
Quali dati protegge Tutte le informazioni che si riferiscono o che possono essere associate a un particolare consumatore o nucleo famigliare, ad eccezione dei registri pubblici. Tutte le informazioni che possono portare all’identificazione di un individuo.
Gli indirizzi IP sono considerati dati personali
Richiesta del consenso prima del trattamento Solo per i minori e nei casi di precedente opt-out. Sì, a meno che non sia applicabile un’altra base giuridica.
Obbligo di dare agli utenti la possibilità di opporsi o di revocare il consenso Sì, le richieste di opt-out vanno onorate tramite un link DNSMPI. Gli utenti hanno sia il diritto di revocare il consenso che quello di opporsi al trattamento (applicabile anche nei casi in cui il trattamento è giustificato da una base giuridica diversa dal consenso).
Protezioni applicabili anche in un contesto B2B No, il CCPA tutela esclusivamente i consumatori. Il GDPR non fa distinzione tra B2B e B2C, ma applica semplicemente le sue protezioni agli “interessati”, cioè a qualsiasi “persona fisica identificabile” residente nell’UE.
Requisiti di sicurezza Il CCPA non prevede requisiti di sicurezza specifici, ma dà ai consumatori il diritto di intentare un’azione legale per danni derivati dalla mancata attuazione di adeguate misure di sicurezza da parte di un’azienda. Il GDPR richiede sia ai titolari che ai responsabili del trattamento di implementare misure di sicurezza adeguate e in linea con gli standard più recenti.
Conseguenze del mancato adeguamento Sanzioni fino a 7500 dollari per singola violazione. Inoltre i consumatori hanno il diritto di citare in giudizio le aziende che violano la legge. Multe fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo (a seconda di quale dei due sia maggiore), richiami ufficiali, verifiche periodiche sulla protezione dei dati e risarcimento danni da responsabilità. Il GDPR dà inoltre agli interessati il diritto di intentare un’azione legale in caso di violazione dei loro diritti.
Diritti degli utenti in sintesi
Essere informati
Accesso
Portabilità
Rettifica ×
Cancellazione
Opporsi Previsto dall’opt-out

Le conseguenze del mancato adeguamento al CCPA

I consumatori hanno il diritto di citare in giudizio le aziende che violano la legge (questo vale solo per le aziende stesse e non per i fornitori di servizi che agiscono per loro conto). Le multe saranno comprese tra 100 e 750 dollari, o qualsiasi importo superiore relativo ai danni effettivi (laddove possono essere provati danni maggiori).

Lo stato può comminare sanzioni fino a 2.500 dollari per le aziende che violano involontariamente il CCPA, fino a 7.500 dollari se la violazione è intenzionale.

Nota: se queste sanzioni non sembrano particolarmente elevate (soprattutto a confronto con quelle previste da altre normative), tieni presente che vanno intese per singola violazione e per consumatore. Per un’azienda con pochi clienti possono quindi arrivare a costituire una somma considerevole.

Come adeguarsi al CCPA

Analogamente ad altre leggi sulla privacy, la conformità al California Consumer Privacy Act è un processo articolato che comporta un’onesta valutazione, una buona pianificazione e una concreta implementazione sia dal punto di vista tecnico che legale. Il più delle volte la fase che si dimostra più impegnativa è proprio quella dell’implementazione.

È qui che entra in gioco iubenda. Offriamo potenti soluzioni software – supportate dal nostro team legale internazionale e personalizzabili quando necessario – che in pochi click ti permettono di gestire anche le situazioni più complesse (qui trovi una panoramica delle nostre soluzioni).

Indipendentemente dalle scelte che prenderai sul fronte dell’implementazione, ci sono anche altri aspetti fondamentali di cui occuparsi. Eccoli a seguire, assieme al restante processo di implementazione.

Valuta e verifica

Uno dei passi più importanti è forse quello di rivedere e valutare in piena franchezza i propri processi e sistemi. Ecco alcune domande da porsi:

  • Quali categorie di dati personali raccolgo e con che tipologie di terze parti li condivido?
  • Da quali fonti provengono queste informazioni e a quali categorie appartengono (ad es. analisti statistiche)?
  • Quali sono le ragioni o le finalità della mia raccolta dati?
  • Quali sono i diritti dei consumatori applicabili secondo il CCPA alle mie attività di trattamento?
  • Sono tecnicamente in grado di soddisfare le richieste inerenti il diritto alla cancellazione e all’accesso?
    • Come posso sapere quando tali richieste sono state soddisfatte?
    • Sto tenendo traccia di tutti i fornitori di servizi che accedono ai dati personali dei consumatori per mio conto?
    • Posso contattare queste parti per soddisfare eventuali richieste di cancellazione?
    • Conservo un registro dei dati personali (e delle relative categorie) che raccolgo per ogni consumatore?
  • Ho a disposizione i documenti necessari per fornire le informazioni richieste dalla legge?
  • Quali eccezioni si applicano verosimilmente al mio caso?

Fornisci le informazioni richieste

Basandoti sulle risposte alle domande precedente, redigi e includi le clausole pertinenti nella tua privacy policy e, se applicabile, nei punti di raccolta dei dati (come il form di contatto ad esempio).

Assicurati di includere:

  • le categorie di dati personali che hai raccolto, venduto o condiviso negli ultimi 12 mesi;
  • le tipologie di terze parti con cui hai condiviso e/o potresti condividere le informazioni personali;
  • le categorie di fonti da cui provengono i dati personali dei tuoi consumatori;
  • le finalità commerciali e di business per la raccolta o la vendita dei dati personali;
  • i diritti applicabili e che possono essere esercitati dai consumatori.

Rispetta i diritti dei consumatori

I diritti di accesso, portabilità e cancellazione devono essere onorati, senza alcun costo per il consumatore, entro 45 giorni dal ricevimento di una richiesta verificabile. Se necessario, puoi prorogare il termine (una sola volta) di altri 45 giorni, a condizione che il consumatore ne sia informato.

Per soddisfare le richieste di accesso e di portabilità, le informazioni restituite al consumatore devono essere fornite in un formato facile da usare e da trasmettere.

Quando un consumatore esercita il diritto di recesso (si oppone cioè alla vendita dei propri dati), devi attenerti alla richiesta al momento del ricevimento. Non si possono vendere le informazioni personali dei consumatori con meno di 16 anni, a meno che non sia ci sia l’autorizzazione di un genitore/tutore (per i minori di 13 anni) o non sia stato il minore stesso (di età compresa tra i 13-16 anni) a prestare esplicitamente l’autorizzazione.

Come requisito per il diritto di recesso del consumatore, è necessario fornire un link facilmente accessibile, ben visibile e recante la dicitura “Non vendere i miei dati personali” (“DNSMPI”, acronimo di “Do Not Sell My Personal Information”) sull’homepage del tuo sito e all’interno della tua privacy policy (corredato di informazioni sul relativo diritto del consumatore). Il link deve portare l’utente ad una pagina dove può scegliere di non vendere i propri dati personali.

Laddove tecnicamente possibile, è consentito reindirizzare i residenti della California a una pagina separata provvista di link “DNSMPI”.

Non discriminare i consumatori che hanno esercitato i propri diritti

Il servizio, la qualità, i livelli e/o i prezzi offerti ai consumatori non devono dipendere dal fatto che abbiano o meno scelto di esercitare i propri diritti. Le uniche eccezioni a questa regola sono nei casi in cui il valore del servizio o del bene offerto si basi sui dati raccolti sul consumatore (vedi l’esempio citato sopra).

È possibile offrire incentivi economici ai consumatori in cambio dell’accesso ai loro dati personali. Tali incentivi devono però essere equi, ragionevoli, non coercitivi e non estorsivi. I consumatori andranno messi al corrente dell’esistenza di tali incentivi attraverso l’homepage del tuo sito web.

Rivedi periodicamente i tuoi processi

Le leggi, come le persone, i bisogni e gli ideali a cui sottostanno, sono soggette a cambiamenti. Allo stesso modo, le tue finalità, i tuoi partner e i processi interni alla tua azienda possono cambiare nel tempo. Per questo motivo è di vitale importanza rivedere e valutare periodicamente i processi interni, gli aspetti tecnici e i documenti legali, e mantenerli aggiornati con quanto richiesto dalle normative.