Iubenda logo

Documentazione

Indice dei contenuti

Come applicare alla privacy policy gli standard previsti dal CCPA

💡 Dubbi sul CCPA? Ecco cosa fare:

  1. Scopri se rientri nell’ambito di applicazione del CCPA col nostro quiz (in inglese)
  2. Leggi la nostra guida completa al CCPA
  3. Crea o aggiorna la tua privacy policy per includere le clausole previste dal CCPA (questo articolo)
  4. Mostra l’avviso di raccolta dati e il link “Non vendere le mie informazioni personali”

Il California Consumer Privacy Act (CCPA) è la più recente legge californiana sulla privacy che entrerà in vigore il 1° gennaio 2020. Tutte le privacy policy generate con iubenda sono conformi al CCPA, in quanto contengono la possibilità di applicare facilmente gli standard previsti da questa normativa agli utenti californiani.

Quando si utilizza questa opzione, il testo e le disposizioni relative al CCPA saranno aggiunti ai documenti generati e applicati solo agli utenti interessati. Quando si attiva l’opzione CCPA inoltre, il generatore indica quali servizi rientrano nel concetto di vendita secondo quanto definito dal CCPA.

A chi si applica il CCPA?

Il CCPA si applica alle attività commerciali che si rivolgono (o potrebbero rivolgersi) a utenti residenti in California e che soddisfano almeno una delle seguenti condizioni:

  • trattano (acquistano, ricevono, vendono o condividono) ogni anno i dati personali di 50mila o più consumatori californiani per finalità commerciali (poiché gli indirizzi IP rientrano tra i dati personali, è probabile che qualsiasi sito web che in un anno riceva dalla California almeno 50mila visite uniche rientri in questo ambito); oppure
  • almeno il 50% del loro fatturato deriva dalla condivisione di informazioni personali (ad esempio gli indirizzi IP) con terzi. Questo può includere Google Analytics o il retargeting degli annunci; oppure
  • hanno un fatturato annuo lordo superiore a 25 milioni di dollari.

Scopri di più sul California Consumer Privacy Act.

Come abilitare le clausole del CCPA per gli utenti della California

Se sei un’azienda che potrebbe avere utenti con sede in California, ti suggeriamo vivamente di applicare i livelli di protezione previsti dal CCPA alle tue policy.

Per farlo:

  • accedi alla tua dashboard e seleziona il relativo progetto
  • fai click su Modifica in “Privacy e Cookie Policy”
  • alla voce “Abilita le clausole CCPA per gli utenti della California” seleziona Abilita
Abilita le clausole del CCPA per gli utenti della California

L’opzione è disabilitata di default, così da permetterti di valutare se abilitarla o meno, a seconda del caso.

Come attivare/modificare la dichiarazione di vendita di un servizio all’interno del generatore

Come detto, una volta abilitati gli standard del CCPA, il generatore evidenzierà i servizi che ai sensi del CCPA possono costituire vendita di dati personali – in quanto i consumatori devono essere in grado fare opt-out.

Quest’opzione si attiva di default una volta abilita gli standard di protezione del CCPA. Nel pannello dei servizi, ogni volta che aggiungi un servizio che potrebbe essere considerato come vendita di dati personali, visualizzerai questa checkbox (se il servizio prevede dei campi che richiedono di essere personalizzati, tale checkbox sarà inclusa nella schermata di personalizzazione mostrata dopo l’aggiunta del servizio):

Considera come vendita di dati personali in base al CCPA

Per modificare un servizio dopo l’inserimento ti basterà fare click sull’icona della matita e attivare o disattivare l’opzione secondo necessità.

Modifica di un servizio incluso nella privacy policy
Attenzione

Poiché la definizione di vendita che dà il CCPA è piuttosto complessa, abbiamo adottato delle impostazioni predefinite che prevedono l’attivazione della vendita. Ti suggeriamo di fare tutte le verifiche del caso sulla base della tua situazione specifica, eventualmente anche rivolgendoti a un legale.

Informazioni personali riguardanti minori

Se le tue attività di trattamento sono considerate una vendita ai sensi del CCPA, e tale trattamento può includere dati personali di minori, dovrai prevedere ulteriori clausole selezionando uno tra questi servizi all’interno del generatore:

  1. Nessuna raccolta di informazioni personali riguardanti minori di 16 anni – non raccogli informazioni personali di consumatori di età inferiore ai 16 anni. Il servizio da aggiungere alla privacy policy si chiama “CCPA: Raccolta di informazioni personali riguardanti minori“.
  2. Per i minori di età compresa tra i 13 e i 16 anni – raccogli informazioni personali di consumatori di età compresa tra i 13 e i 16 anni e non vende i tali dati a meno che tali consumatori non abbiano prestato il consenso. Il servizio da aggiungere alla privacy policy si chiama “CCPA: Raccolta di informazioni personali riguardanti consumatori di età compresa tra i 13 e i 16 anni“.
  3. Minori di età inferiore a 13 anni – raccogli informazioni personali di consumatori di età inferiore a 13 anni e non vendi i suoi dati a meno che i genitori/tutori non abbiano prestato il consenso. Il servizio da aggiungere alla privacy policy si chiama “CCPA: Raccolta di informazioni personali di consumatori di età inferiore ai 13 anni“.

Si prega di notare che i punti 2) e 3) non si escludono a vicenda, ma possono essere utilizzati contemporaneamente. Ti invitiamo inoltre a rivedere i tuoi processi per assicurarti di soddisfare i requisiti di consenso preventivo del CCPA per quanto riguarda i minori.

Altri requisiti del CCPA

Indicazione del numero verde

Se gestisci un’azienda che non opera esclusivamente online e che si interfaccia direttamente con i propri clienti, devi indicare due o più metodi per la presentazione delle richieste relative il CCPA. Uno di questi deve essere un numero verde. Puoi aggiungere queste informazioni tramite il campo “Titolare del sito web” all’interno del generatore.

Aggiornamento della privacy policy ogni 12 mesi

Altri requisiti del CCPA:

  • devi mostrare la data dell’ultimo aggiornamento della privacy policy (iubenda inserisce tale data in fondo al documento);
  • le informazioni contenute nella privacy policy devono essere aggiornate almeno ogni 12 mesi. Qualora vengano apportate modifiche alla privacy policy, iubenda aggiorna automaticamente la data indicata in fondo al documento. Se non vengono applicate modifiche nel corso degli ultimi 12 mesi, ti consigliamo di forzare l’aggiornamento della data della privacy policy per indicare ai tuoi utenti che le informazioni contenute sono aggiornate.

Cambiamenti apportati al testo della policy

In aggiunta a quanto appena indicato, ecco un riassunto delle modifiche introdotte per soddisfare i requisiti del CCPA:

  • clausole in un linguaggio semplice e chiaro, come raccomandato dalla legge degli Stati Uniti;
  • una sezione contenente informazioni in ottica CCPA che:
    • delineano le finalità del trattamento;
    • delineano le fonti da cui provengono i dati raccolti;
    • descrivono le categorie di dati personali raccolti negli ultimi 12 mesi;
    • includono i diritti applicabili e le modalità di esercizio da parte degli utenti;
    • indicano come e quando saranno onorati i diritti degli utenti;
    • indicano agli utenti come possono esercitare l’opt-out;
  • indicazioni dei servizi considerati come vendita di dati personali secondo il CCPA all’interno della privacy policy;
  • indicazioni sulla categoria di informazioni personali riguardante una particolare attività; e
  • altre terminologie e definizioni secondo il CCPA.

Una volta attivata e salvata all’interno del generatore, la tua privacy policy si aggiornerà automaticamente con i testi relativi al CCPA – non dovrai inserire nuovamente il codice di integrazione sul tuo sito.

Per saperne di più sul CCPA e sui suoi requisiti ti invitiamo a leggere Come adeguarsi al CCPA, sezione inclusa nella nostra guida completa alla normativa.

Leggi anche