Iubenda logo
Inizia la generazione

Documentazione

Indice dei contenuti

CPRA: introduzione al CCPA 2.0 e come ti riguarda

Nel 2020, la California ha promulgato il California Consumer Protection Act (CCPA), per far fronte alle crescenti preoccupazioni riguardo la raccolta e la vendita dei dati personali.

L’attuale CCPA garantisce diversi diritti ai residenti della California e regola le azioni delle aziende che raccolgono o vendono i dati personali. Tuttavia, non definisce bene le conseguenze del trattamento dei dati effettuato da terze parti. Questo ha portato a un emendamento del CCPA, che è ora conosciuto come il California Privacy Rights Act (CPRA).

💡 Il CPRA si basa sulle disposizioni del CCPA, stabilisce nuovi diritti per i consumatori e aggiunge ulteriori requisiti per le aziende che raccolgono i dati personali dei residenti della California.

1. Aggiornamento della definizione di azienda nel CPRA

I criteri per essere considerati un’azienda sono stati aggiornati. Scopri se puoi classificarti come tale rispondendo alle domande qui sotto:

  1. Sei una persona giuridica che opera per profitto?
  2. Raccogli i dati personali di consumatori della California?
  3. Sei tu a determinare le finalità e i mezzi del trattamento dei dati personali?

La tua azienda soddisfa almeno uno dei seguenti requisiti?

(A) Un fatturato annuo lordo superiore a 25 milioni di dollari ($25.000.000).

(B) Acquista, riceve, vende o condivide ogni anno le informazioni personali di 100.000 o più consumatori o famiglie, da sola o in combinazione.

(C) Deriva almeno il 50% del proprio fatturato dalla vendita di dati personali.

Se hai risposto sì, allora la tua organizzazione è considerata un’azienda per il CPRA.

Quali sono le conseguenza per la mia azienda?

Viste le modifiche a questi criteri, le entità soggette al CPRA potrebbero essere diverse da quelle a cui si applicava il CCPA.

2. I dati personali sensibili per il CPRA

Il CPRA ha introdotto un’altra categoria di dati personali: i dati personali sensibili (SPI). L’idea si avvicina a quella dell’Articolo 9 del Regolamento generale sulla protezione dei dati (GDPR), che richiede un maggiore livello di protezione in presenza di dati sensibili.

Quali sono i dati personali sensibili secondo il CPRA? Dai un’occhiata qui per la lista completa (emendamento del 2020).

Il CPRA impone degli standard e delle limitazioni sui dati personali sensibili, garantendo ai consumatori un maggiore controllo su come le organizzazioni utilizzano le loro informazioni personali. Tra i nuovi requisiti ci sono:

  • Nuovi obblighi di informativa
  • Limitazione delle finalità
  • Opposizione all’uso dei dati (opt-out)
  • Richiesta di una nuova autorizzazione (opt-in) a seguito di una precedente opposizione (opt-out)
Quali sono le conseguenza per la mia azienda?

Con l’introduzione dei dati personali sensibili, il CPRA specifica che le aziende devono prestare particolare attenzione alla protezione dei dati e devono rispondere in modo adeguato alle richieste di opt-out degli utenti. Le aziende che intendono trattare i dati sensibili dei consumatori devono anche fissare degli standard aggiuntivi. Ad esempio, le aziende che raccolgono dati sensibili devono avere sui loro siti web un link chiaro e visibile chiamato “Limita l’utilizzo dei miei dati personali sensibili” (“Limit the Use of My Sensitive Personal Information”), che permetta agli utenti di limitare il trattamento dei loro dati.

3. Nuovi diritti per i consumatori

Ci sono cinque diritti dei consumatori del CCPA che sono stati aggiornati nel CPRA.

  1. Diritto di opporsi alla vendita e alla condivisione con terze parti:
    1. CCPA: secondo il CCPA, i consumatori hanno la possibilità di opporsi alla vendita dei loro dati personali da parte delle aziende.
    2. CPRA: il CPRA amplia questo diritto, includendo la condivisione dei dati personali alla vendita.
  2. Diritto alla conoscenza
    1. CCPA: per il CCPA, le aziende devono rispondere alle richieste dei consumatori riguardo i loro dati personali inviate nei 12 mesi precedenti.
    2. CPRA: in caso di condizioni specifiche, il CPRA estende questo periodo, permettendo ai consumatori di accedere alle informazioni personali raccolte su di loro anche oltre il limite di 12 mesi.
  3. Diritto alla cancellazione
    1. CCPA: Il CCPA garantisce ai consumatori il diritto di richiedere la cancellazione di qualsiasi dato personale raccolto sul loro conto, se non sono più necessari a soddisfare i requisiti specificati nel Cal. Civ. Code Sec. 1798.105
    2. CPRA: il CPRA obbliga le aziende a comunicare la richiesta di cancellazione anche alle terze parti che hanno acquistato o ricevuto i dati personali del consumatore, in modo che possano distruggere i dati in loro possesso (esistono delle eccezioni).
  4. Diritto al trasferimento dei dati
    1. CCPA: il CCPA prevede il “diritto alla conoscenza”, che implica che il consumatore debba ricevere una copia dei loro dati personali via posta o online.
    2. CPRA: un consumatore può richiedere che un’azienda trasferisca alcune sue informazioni personali a un’altra organizzazione.
  5. Diritto all’opt-in (consenso preventivo per i minori)
    1. CCPA: l’uso dei dati di minori è una preoccupazione generale per la legge, e il CCPA richiede alle aziende di ottenere l’autorizzazione prima di vendere i dati personali di utenti californiani che hanno meno di 16 anni.
    2. CPRA: Le aziende devono aspettare 12 mesi per richiedere nuovamente l’autorizzazione di un minore che ha rifiutato la vendita o la condivisione dei propri dati.

Ora che abbiamo analizzato i cambiamenti ai diritti dei consumatori definiti nel CCPA, diamo un’occhiata ai quattro diritti aggiuntivi del CPRA (non inclusi nel CCPA):

  1. Diritto alla correttezza dei dati: un consumatore ha il diritto di richiedere a un’azienda di correggere qualsiasi dato personale errato.
  2. Diritto alla limitazione dell’uso e la diffusione dei dati personali sensibili: un consumatore ha il diritto di limitare l’uso e la diffusione dei suoi dati personali sensibili a “un uso che sia necessario all’esecuzione dei servizi o alla consegna di prodotti, in linea con le aspettative di un consumatore ordinario che richieda tali beni o servizi”.
  3. Accesso alle informazioni riguardo i processi decisionali automatizzati: un consumatore ha il diritto di ottenere “le informazioni che riguardano la logica utilizzata in tali processi decisionali, così come la descrizione del risultato previsto in relazione al consumatore”.
  4. Diritto di opporsi alle tecnologie che eseguono processi decisionali automatizzati: un consumatore ha il diritto di opporsi (opt-out) alle tecnologie che eseguono processi decisionali automatizzati.
Quali sono le conseguenza per la mia azienda?

Le aziende devono assicurarsi di essere pronte ad adeguarsi ai nuovi diritti del consumatore introdotti nel CPRA.

Dovranno stabilire dei sistemi e delle verifiche per dimostrare di essere in grado di rispondere velocemente alle richieste dei consumatori. Per adeguarsi al CPRA, molte aziende potrebbero aver bisogno di modificare le loro misure di sicurezza esistenti, assumere dei nuovi dipendenti, o affidarsi a servizi di terza parte.

4. Assimilazione dei principi del GDPR

I seguenti concetti non fanno parte del CCPA, ma sono stati inseriti nel CPRA:

  • Minimizzazione dei dati
  • Limitazione delle finalità
  • Limitazione della conservazione
Quali sono le conseguenza per la mia azienda?

Codificando questi principi all’interno del CPRA, la California ha creato le condizioni per applicarli ed eventualmente penalizzare le aziende che non:

  1. limitano la raccolta dei dati personali alle informazioni che sono necessarie alla finalità stabilita, e;
  2. limitano la conservazione dei dati al minor tempo possibile per adempiere alla finalità stabilità.

5. Espansione delle categorie di dati personali perseguibili in caso di violazione

CCPA: Nel caso di una violazione dei dati personali, i consumatori hanno il diritto di fare causa all’azienda se quest’ultima non ha messo in atto le misure di sicurezza adeguate, causando la diffusione di informazioni che non erano state né crittografate, né oscurate.

CPRA: questo diritto resta intatto, ma si aggiungono le password di accesso alla lista dei dati personali per i quali è possibile fare causa all’azienda.

Quali sono le conseguenza per la mia azienda?

Il fatto che il CPRA abbia esteso il suo campo di applicazione anche alle credenziali d’accesso potrebbe essere una reazione all’impennata di attacchi di autenticazione che colpiscono gli utenti. Molte aziende potrebbero scegliere di rendere l’autenticazione a più fattori obbligatoria, come misura di sicurezza aggiuntiva, insieme a una più avanzata crittografia dei dati.

Come preparasi per il CPRA?

Dal momento che il testo del CPRA non è stato ancora adottato, qualsiasi persona interessata può partecipare al processo di creazione della legge, fino al 23 agosto 2022. Qui puoi trovare più informazioni su come condividere i tuoi commenti.

Come sempre, noi di iubenda terremo d’occhio gli ultimi aggiornamenti e ci assicureremo che tutti i tuoi documenti e prodotti siano in linea, per aiutarti a essere conforme.

Se ti stai già adeguando al CCPA, potrebbe essere una buona idea iniziare a rivedere i procedimenti in atto e prendere nota di alcune cose:

  1. Cerca di definire se nei dati che tratti ce ne siano alcuni che rientrano nella definizione di dato personale del CPRA.
  2. Rivedi il procedimento che utilizzi per notificare gli utenti delle modifiche alla tua privacy policy. Assicurati di averne uno. Una volta aggiornata la tua privacy policy, dovrai avvertire i tuoi utenti.
  3. Se lavori con dei responsabili per il trattamento, o loro svolgono parte del lavoro al tuo posto, potresti avvertirli di questi nuovi requisiti (soprattutto se non hanno sede negli Stati Uniti).

Come per ogni nuova legge, è bene rimanere informati di ogni cambiamento per adottare le misure adeguate. Noi siamo qui per assicurarci che questi cambiamenti vengano eseguiti senza problemi e ti terremo sempre aggiornato.