CCPA: come mostrare l’avviso di raccolta dati e il link “Non vendere le mie informazioni personali”

In questa guida ti mostreremo come soddisfare con la Cookie Solution i requisiti di raccolta dati e di opt-out previsti dal California Consumer Privacy Act (CCPA).

Funzionalità

Mostra l’avviso di raccolta dati

La nostra soluzione ti permette di mostrare un avviso che informa gli utenti californiani del fatto che stai raccogliendo i loro dati personali e che hanno la possibilità di opporsi. Come richiesto dalla normativa, tale avviso prevede anche un link “Non vendere le mie informazioni personali”.

Mostra il link “Non vendere le mie informazioni personali”

Come richiesto dalla legge, la nostra soluzione prevede un link DNSMPI (“Non vendere le mie informazioni personali”) all’interno dell’avviso e ti permette di aggiungere questo link anche al tuo sito per un facile accesso dell’utente.

Facilita l’opt-out

Il CCPA richiede inoltre di facilitare le richieste di opt-out dei consumatori. Ecco come la nostra soluzione soddisfa questo requisito:

• Segnala lo stato di opt-out a terze parti che aderiscono allo IAB CCPA Compliance Framework. La Cookie Solution integra la funzionalità CCPA del CCPA Compliance Framework e consente di segnalare lo stato di opt-out di un consumatore all’intera rete di fornitori che supportano il Framework di IAB (ad esempio Google e AdRoll) .
• Blocca manualmente gli script che non aderiscono allo IAB CCPA Compliance Framework. Grazie al tagging manuale, la nostra soluzione ti permette di bloccare gli script a cui l’utente sceglie di opporsi.

Rileva la posizione e applica automaticamente gli standard corretti (anche quando sono più di uno)

La nostra soluzione ti consente di applicare allo stesso utente gli standard previsti dal CCPA, dal GDPR o da entrambe le normative.

Supporto a Facebook sulla limitazione dell’utilizzo dei dati per le persone in California

Facebook ha rilasciato una funzione di utilizzo limitato dei dati (Limited Data Use – LDU) che va incontro ai proprietari di siti web che utilizzano i loro servizi per scopi di promozione o sui loro siti. Questa funzione dà maggiore controllo alle aziende sull’utilizzo dei loro dati su Facebook e ne limita l’utilizzo per le persone in California.

Secondo quanto riportato da Facebook (inglese):

Se riceviamo il segnale che un utente ha rifiutato la vendita dei propri dati (ai sensi del CCPA), Facebook elabora i dati in conformità con il proprio ruolo di provider di servizi, nel rispetto delle informazioni personali segnalate dalle persone in California. L’utilizzo limitato dei dati è applicabile solo alle persone che si trovano in California. Se un’azienda non imposta i parametri per gli Stai Uniti e la California, determineremo se una persona si trova in California o no sulla base di alcuni segnali disponibili, come l’indirizzo IP o l’ID delle inserzioni, se disponibili. Quando l’utilizzo limitato dei dati è abilitato, un’azienda potrebbe notare un impatto sulle prestazioni e l’efficacia delle campagne. Inoltre, le funzionalità di retargeting e misurazione sono limitate.

In linea generale, ci sono due modi nei quali Facebook identifica in quali casi applicare queste impostazioni:

• Facebook traccia la geo- localizzazione dell’utente per conto delle aziende e applica la limitazione dell’utilizzo dei dati.
• Le aziende tracciano la provenienza dell’utente tramite la CMP che hanno adottato e passano i dati al pixel di Facebook, permettendo l’attivazione della limitazione dell’utilizzo dei dati solo per gli utenti in California che hanno già rifiutato la vendita dei propri dati attraverso le impostazioni del Cookie banner.

La seconda opzione è sicuramente preferibile alla prima in quanto dà alle aziende più controllo sul tracciamento dei dati dell’utente.

Siamo lieti di annunciare che la nostra Cookie Solution supporta la nuova funzione di Facebook sulla limitazione dell’utilizzo dei dati.

Per impostare la tua Cookie Solution in modo che passi i dati a Facebook secondo la LDU, guarda questo esempio di codice:

See the Pen Facebook Limited Data Use by iubenda (@iubenda) on CodePen.

Questa configurazione ti permette di inviare automaticamente le variabili corrette ogni volta che gli utenti rifiutano la vendita dei proprio dati ai sensi del CCPA.

Come attivare la funzionalità CCPA

A seguire le istruzioni per:

• Mostrare un avviso di raccolta dati ai sensi del CCPA
• Mostrare il link “Non vendere le mie informazioni personali” all’interno dell’avviso
• Beneficiare del supporto del CCPA Compliance Framework di IAB

Supporto al CCPA Compliance Framework di IAB

Prima dello script iubenda_cs.js aggiungi:

<script src="//cdn.iubenda.com/cs/ccpa/stub.js"></script>

Assicurati che questi siano i primi script della pagina (ad esempio includendoli subito dopo l’apertura del tag head).

Scenario 1: applica il CCPA ma non il GDPR

Esempio: hai sede fuori dall’UE, hai utenti californiani e nessun utente europeo.

Questo scenario prevede due casi:

Applica il CCPA a tutti i tuoi utenti

Se vuoi applicare gli standard CCPA a tutti i tuoi utenti, ma non applicare il GDPR a nessuno di essi, seleziona “Applica CCPA” e “Applica sempre il CCPA“:

Allo script di configurazione della Cookie Solution sarà quindi aggiunto:

"enableCcpa": true,
"ccpaApplies": true,
"enableGdpr": false,
"gdprApplies": false,
"gdprAppliesGlobally": false,

Applica il CCPA solo agli utenti con sede in California

Se vuoi applicare gli standard CCPA solo agli utenti della California, rilevando automaticamente i visitatori che si collegano da quello stato, seleziona “Applica CCPA” e “Rileva automaticamente quando applicare CCPA in base alla posizione dell’utente“:

Parametri:

"enableCcpa": true,
"countryDetection": true,
"gdprAppliesGlobally": false,

Demo

Vedi la demo su CodePen

Scenario 2: applica il CCPA agli utenti californiani e il GDPR agli europei

Esempio: non hai sede nell’UE, ma hai utenti sia nell’UE che in California.

Grazie alla funzionalità di rilevamento del paese applicherai il CCPA agli utenti che si collegano dalla California e il GDPR a quelli che si collegano dall’UE. Seleziona “Applica CCPA” e “Rileva automaticamente quando applicare CCPA in base alla posizione dell’utente“:

In “Opzioni avanzate” spunta “Richiedi il consenso solo agli utenti UE“:

Parametri:

"enableGdpr": true, //non strettamente necessario in quanto true di default
"enableCcpa": true,
"gdprAppliesGlobally": false,
"countryDetection": true,

Scenario 3: applica il CCPA agli utenti californiani e il GDPR a tutti

Esempio: hai sede nell’UE e utenti anche in California.

Importante: se hai sede nell’UE sei obbligato ad offrire gli standard di protezione previsti dal GDPR a tutti i tuoi utenti.

Seleziona “Applica entrambi” e “Rileva automaticamente quando applicare CCPA in base alla posizione dell’utente“:

Parametri:

"enableGdpr": true, //non strettamente necessario in quanto true di default
"enableCcpa": true,
"gdprAppliesGlobally": true,
"countryDetection": true,

In questo caso gli utenti californiani vedranno un avviso in linea sia con i requisiti del CCPA che con quelli del GDPR, mentre gli utenti fuori dalla California riceveranno solo gli standard previsti dal GDPR.

Demo per gli scenari 2 e 3

CCPA e GDPR attivi:

Vedi la demo su CodePen

CCPA, GDPR e IAB Transparency and Consent Framework attivi:

Vedi la demo su CodePen

Scenario 4: applica il GDPR ma non il CCPA

Esempio: hai sede nell’UE ma non hai utenti californiani.

Se non rientri nell’ambito di applicazione del CCPA, puoi utilizzare il codice di integrazione predefinito della Cookie Solution.

Come assicurarsi di onorare il diritto degli utenti di opporsi

Ci sono tre modi per rispettare la scelta dell’utente di impedire la vendita dei propri dati personali:

• nel caso di una vendita effettuata da un fornitore che aderisce al CCPA Compliance Framework, quest’ultimo si occuperà di notificare il fornitore dell’avvenuto opt-out.
• nel caso di una vendita effettuata da un servizio/fornitore che fornisce una configurazione specifica per segnalare che l’utente ha fatto opt-out, andranno seguite le istruzioni indicate dal fornitore stesso. È questo ad esempio il caso di Google, che consente di inviare un segnale ogni volta che si verifica un opt-out (qui le istruzioni per Google Ads e Google Analytics).
• se la vendita è effettuata da un servizio/fornitore che non aderisce al CCPA Compliance Framework e non fornisce un modo per comunicare l’opt-out, dovrai applicare la classe _iub_cs_activate al suo script, cambiare l’attributo type da text/javascript a text/plain e aggiungere l’attributo data-iub-blockifccpaoptout:

<script class="_iub_cs_activate" type="text/plain" data-iub-blockifccpaoptout src="...">
    ...
</script>

Google Tag Manager

Questa demo di CodePen mostra come utilizzare Google Tag Manager per il CCPA e il GDPR.

Aggiungi il link “Non vendere le mie informazioni personali”

Come requisito per il diritto di recesso del consumatore, è necessario mostrare sul tuo sito un link con la dicitura “Non vendere le mie informazioni personali” che sia facilmente accessibile e ben visibile.

Grazie alle istruzioni indicate precedentemente mostrerai tale link all’interno dell’avviso, ma ti diamo la possibilità di offrire anche un link separato grazie alla classe iubenda-ccpa-opt-out. Si raccomanda di aggiungere tale link al tuo sito (in genere a piè di pagina) in modo che gli utenti possano fare opt-out anche dopo aver chiuso l’avviso (richiesto per legge).

Ad esempio, potresti aggiungere a footer:

<a href="javascript:void(0)" class="iubenda-ccpa-opt-out">Non vendere le mie informazioni personali</a>

Quando premuto, questo link mostrerà una finestra di dialogo in cui l’utente può confermare la sua intenzione di opporsi alla vendita dei suoi dati personali.

Non mostrare l’avviso

Se preferisci non informare gli utenti riguardo il CCPA e nascondere il relativo avviso, aggiungi ccpaNoticeDisplay: false allo script di configurazione della Cookie Solution (in alternativa puoi spuntare l’opzione “Aggiungi solo un link alla privacy policy in ogni pagina” nel configuratore).

Segnale di presa visione dell’informativa

Puoi scegliere di:

• mostrare l’avviso e inviare il segnale di presa visione dell’informativa solo quando l’utente chiude il banner (ccpaAcknowledgeOnDisplay: false, default);
• mostrare l’avviso e inviare il segnale di presa visione dell’informativa al semplice caricamento del banner, senza bisogno di azioni da parte dell’utente (ccpaAcknowledgeOnDisplay: true); oppure
• non mostrare l’avviso e aggiungere un link ad ogni pagina, inviando il segnale di presa visione quando la pagina è stata caricata.

Queste impostazioni sono disponibili anche attraverso il configuratore.

Altre impostazioni

ccpaCookie: { expireAfter: 365 } – Permette di personalizzare la scadenza del cookie che memorizza la presa visione dell’avviso.

privacyPolicyUrl: "https://iltuosito.com/privacypolicy" – Permette di personalizzare il link della privacy policy. Nel configuratore (sezione “Opzioni avanzate”):

ccpaLspa: true / false / undefined (default) – Permette di specificare se l’operazione deve essere eseguita sulla base del Limited Service Provider Agreement (LSPA) di IAB.

Callback

onCcpaAcknowledged – Invocata quando l’utente ha preso visione dell’informativa.

onCcpaFirstAcknowledged – Invocata la prima volta che l’utente ha preso visione dell’informativa.

onCcpaOptOut – Invocata quando l’utente effettua l’opt-out.

onCcpaFirstOptOut – Invocata la prima volta in cui l’utente ha fatto opt-out.

Metodi

_iub.cs.api.ccpaApplies() – Restituisce se gli standard CCPA si applicano all’utente corrente.

_iub.cs.api.askCcpaOptOut() – Apre la finestra di dialogo per richiedere conferma dell’opt-out della vendita dei dati.

_iub.cs.api.isCcpaAcknowledged() – Restituisce se l’avviso CCPA è stato mostrato.

_iub.cs.api.isCcpaOptedOptedOut() – Restituisce se l’utente ha fatto opt-out.

Leggi anche

• Guida al CCPA
• Come applicare alla privacy policy gli standard previsti dal CCPA