Home  ›  Articoli  ›  Quanto è costato il CCPA alle aziende? Analisi dettagliata delle multe per violazione della privacy pari a 23,2 milioni di dollari

Quanto è costato il CCPA alle aziende? Analisi dettagliata delle multe per violazione della privacy pari a 23,2 milioni di dollari

Scritto da: Natasha Piirainen Natasha Piirainen | Aggiornato il: 12 maggio 2026

Recensito da: Amanda LeeAmanda Lee

Le multe più elevate inflitte finora ai sensi del CCPA-01

Di seguito analizziamo le sanzioni per la violazione della privacy, pari a 23,2 milioni di dollari, inflitte finora alle aziende per aver violato il California Consumer Privacy Act (CCPA) e illustriamo quali sono state le loro azioni che hanno comportato la violazione di questa importante legge sulla privacy.

Scopri inoltre come Termly aiutare la tua azienda ad adeguarsi facilmente al CCPA e alle altre normative sulla protezione dei dati in vigore in tutto il mondo.

Indice dei contenuti
  1. Qual è l'importo complessivo delle sanzioni CCPA comminate finora?
  2. Quali sono le 10 multe più elevate inflitte finora ai sensi del CCPA?
  3. Un tema ricorrente: le aziende non rispettano i requisiti di rinuncia previsti dal CCPA
  4. In che modo Termly le aziende ad adeguarsi al CCPA
  5. La multa più alta mai inflitta finora ai sensi del CCPA: domande frequenti
  6. Riferimenti bibliografici

Qual è l'importo complessivo delle sanzioni CCPA comminate finora?

Ad oggi, le sanzioni previste dal CCPA ammontano complessivamente ad almeno 23.205.881 dollari (dati aggiornati a maggio 2026).

Il Procuratore Generale della California tiene un elenco di tutti i provvedimenti adottati nel " Privacy Enforcement Tracker ", accessibile al pubblico sul proprio sito web.

Si prevede che questo dato continui a crescere, soprattutto ora che il CCPA è pienamente in vigore e che le aziende hanno avuto diversi anni di tempo per adeguarsi completamente e conformarsi a questa rigorosa normativa sulla privacy.

Quali sono le 10 multe più elevate inflitte finora ai sensi del CCPA?

Le leggi sulla privacy negli Stati Uniti sono relativamente recenti, ma hanno conseguenze di enorme portata.

Secondo Gartner, nel 2025 le multe inflitte in base alle leggi statunitensi sulla privacy ammontavano a un totale stimato di 3,425 miliardi di dollari.

Ecco le principali sanzioni e violazioni comminate a diverse aziende per aver violato il California Consumer Privacy Act (CCPA), considerato una delle leggi sulla privacy più severe del Paese.

1. General Motors – Multa di 12.750.000 dollari

Nel maggio 2026, l'Agenzia californiana per la tutela della privacy (CalPrivacy o CPPA) ha annunciato un accordo con General Motors che ha portato alla più alta sanzione nella storia del CCPA. L'importo ha raggiunto la cifra record di 12,75 milioni di dollari, poiché l'azienda avrebbe violato il CCPA vendendo illegalmente i dati personali di milioni di californiani.

Si tratta inoltre del primo caso di minimizzazione dei dati nella storia del diritto.

Questo caso, che è ancora soggetto all'approvazione del tribunale, oltre alla sanzione pecuniaria, imporrebbe alla società di limitare l'utilizzo dei dati di guida dei consumatori e vieterebbe la vendita di tali informazioni a società di intermediazione dati.

Il procuratore generale della California Rob Bonta ha commentato l'accordo, affermando:

«General Motors ha venduto i dati degli automobilisti californiani all’insaputa e senza il consenso di questi ultimi, nonostante le numerose dichiarazioni con cui aveva rassicurato gli automobilisti che non lo avrebbe fatto.»

Ha aggiunto:«L'accordo odierno impone alla General Motors di abbandonare queste pratiche illegali e sottolinea l'importanza del principio di minimizzazione dei dati nella legislazione californiana sulla privacy: le aziende non possono semplicemente conservare i dati per poi utilizzarli in un secondo momento per altri scopi».

Questo accordo definisce le modalità di applicazione delle leggi sulla privacy alle automobili moderne, che sono diventate dispositivi mobili di raccolta dati.

AVVISO LEGALE: L'accordo è ancora soggetto all'approvazione del tribunale.

2. The Walt Disney Company – Multa di 2.750.000 dollari

Nel febbraio 2026, la Disney è stata multata per aver violato i requisiti di opt-out previsti dal CCPA, con una sanzione pari a 2.750.000 dollari.

In particolare, l'azienda non ha rispettato le richieste di cancellazione degli utenti su tutti i servizi e dispositivi, tra cui Disney+, Hulu ed ESPN+.

Il procuratore generale Rob Bonta fu citato all'epoca dall'Ufficio del Procuratore Generale (OAG) con queste parole:

«I consumatori non dovrebbero essere costretti a fare i salti mortali per far valere i propri diritti alla privacy.»

Ciò è dovuto al fatto che l'Agenzia per la tutela della privacy della California ha riscontrato che le opzioni di rinuncia offerte dalla Disney all'epoca presentavano diverse lacune che consentivano all'azienda di continuare a vendere e condividere i dati dei consumatori.

Quando gli utenti utilizzavano l'opzione di disattivazione, la richiesta veniva applicata solo al servizio di streaming specifico che stavano guardando e, spesso, solo sul dispositivo effettivamente in uso.

Ciò ha fatto sì che i loro dati continuassero a essere venduti o condivisi da altri servizi di streaming di proprietà della Disney su diversi dispositivi collegati ai loro account.

Hanno inoltre messo a disposizione un modulo online per la disattivazione, ma questo impediva la condivisione dei dati solo attraverso la piattaforma pubblicitaria e i servizi di Disney.

L'azienda continuava comunque a vendere e a condividere i dati con società terze specializzate in tecnologie pubblicitarie.

Hanno inoltre limitato le richieste di disattivazione provenienti dalle impostazioni del Controllo globale della privacy a dispositivi specifici, indipendentemente dal fatto che l'utente avesse effettuato l'accesso al proprio account.

Di conseguenza, la Disney è stata condannata a pagare una multa multimilionaria ed è stata costretta ad adottare misure di opt-out che impediscano effettivamente e completamente la vendita e la condivisione dei dati dei consumatori.

3. Healthline Media – Multa di 1.550.000 dollari

Nel luglio 2025, Healthline Media LLC è stata multata per aver violato le linee guida relative al diritto di rinuncia previste dal CCPA, in particolare per quanto riguarda le richieste di rinuncia alla pubblicità mirata e alla condivisione dei dati con terzi.

L'accordo definitivo prevedeva una sanzione civile pari a 1.550.000 dollari e disposizioni imposte dal tribunale che vietavano alla società di divulgare i titoli degli articoli rivelanti la diagnosi di un consumatore, impedendole inoltre di procedere a questo tipo di raccolta dati.

Il procuratore generale Bonta ha dichiarato in merito:

«L'accordo raggiunto con Healthline sottolinea che i californiani godono, ai sensi del CCPA, di diritti fondamentali in materia di privacy per contrastare la sorveglianza online, anche da parte dei gestori di siti web.»

Secondo il sito web dell'OAG, Healthline.com è uno dei 40 siti web più visitati al mondo e genera entrate tramite la pubblicità.

Tuttavia, hanno abilitato cookie e pixel che raccoglievano dati sui propri lettori e li trasmettevano a terzi, alcuni dei quali potevano essere utilizzati per identificare in modo univoco le persone.

È emerso che decine di tracker erano attivi e condividevano dati già nei primi millisecondi del caricamento delle pagine web.

Oltre alla pesante sanzione, alla società è stato anche imposto di garantire l'effettivo funzionamento dei meccanismi di rinuncia e di cessare la divulgazione di informazioni che possano collegare un utente al titolo di un articolo specifico, lasciando intendere che gli sia stata diagnosticata una malattia, oltre ad altri obblighi correttivi.

4. Jam City – Multa di 1.400.000 dollari

Nel novembre 2025, la piattaforma di giochi per app mobili Jam City è stata multata di 1.400.000 dollari per aver violato il CCPA, in particolare per non aver rispettato gli obblighi di opt-out e per aver trattato in modo improprio i dati di minori identificati.

L'azienda è nota per la realizzazione di giochi ispirati a vari franchise molto amati dai bambini, tra cui Harry Potter, Frozen e altri.

Ma questo caso è diverso da alcuni degli altri perché dimostra che anche le app mobili sono soggette ai rigidi requisiti del CCPA.

Il procuratore generale Bonta avrebbe dichiarato:

«A molti californiani piace rilassarsi dopo una lunga giornata giocando sul cellulare. Anche nel caso delle app, la legge californiana obbliga le aziende a fornire ai consumatori la possibilità di opporsi alla vendita e alla condivisione dei propri dati personali.»

Oltre alle sanzioni pecuniarie, alla società è stato imposto di fornire all'interno del gioco la possibilità di rifiutare la vendita o la condivisione dei dati e le è stato vietato di vendere i dati dei consumatori di età compresa tra i 13 e i 16 anni senza il loro consenso esplicito.

5. Tractor Supply Company – Multa di 1.350.000 dollari

Nel settembre 2025, la Tractor Supply Company è stata multata dalla CPPA per un importo di 1.350.000 dollari per non aver rispettato le richieste di rinuncia e per non aver adottato un'informativa sulla privacy che informasse i consumatori e i candidati alle assunzioni dei loro diritti.

Inoltre, è emerso che avevano divulgato dati personali ad altre società senza stipulare contratti che prevedessero misure di tutela della privacy.

Oltre alla pesante sanzione pecuniaria, al principale rivenditore nazionale di articoli per la vita rurale è stato inoltre imposto di attuare ampie misure correttive per regolarizzare le proprie attività di trattamento dei dati, tra cui l'obbligo per un dirigente o un amministratore di certificarne la conformità entro quattro anni.

All'epoca, si trattava della multa più alta nella storia della CPPA.

È stata inoltre la prima decisione a sottolineare l'importanza delle informative sulla privacy e dei diritti alla privacy dei candidati.

6. Sephora – Multa di 1.200.000 dollari

Nell'agosto 2022, la catena di negozi di cosmetici Sephora è stata multata per 1.200.000 dollari per non aver comunicato la cessione dei dati personali e per non aver rispettato i diritti di opposizione previsti dal CCPA.

In particolare, l'azienda non ha dato seguito alle richieste di rinuncia presentate dai consumatori tramite tecnologie come il Global Privacy Control.

All'azienda è stato inoltre ordinato di chiarire le proprie informative online e la propria politica sulla privacy, includendo la dichiarazione che effettua la vendita di dati, fornendo ai consumatori meccanismi di rinuncia e confermando la conformità dei propri accordi con i fornitori di servizi ai requisiti del CCPA, oltre ad altre misure correttive.

All'epoca, il procuratore generale Bonta aveva dichiarato quanto segue:

«Spero che l'accordo raggiunto oggi invii un messaggio forte alle aziende che continuano a non rispettare la legge californiana sulla privacy dei consumatori. Il mio ufficio sta vigilando e vi riterremo responsabili.»

A distanza di quasi quattro anni, e con milioni di dollari di multe ormai inflitte ad altre aziende, è chiaro che faceva sul serio.

Fonte: https://oag.ca.gov/news/press-releases/attorney-general-bonta-announces-settlement-sephora-part-ongoing-enforcement

7. PlayOn Sports – Multa di 1.100.000 dollari

Nel marzo 2026, la società di media sportivi per giovani PlayOn Sports è stata multata per aver violato il CCPA a causa dell'uso di "dark patterns" e dell'utilizzo improprio dei dati degli studenti.

Utilizzata dalle scuole di tutta l'America per vendere biglietti per eventi sportivi scolastici, spettacoli teatrali e altre attività extrascolastiche, tra cui il ballo di fine anno e l'homecoming, l'azienda ricorreva a tecnologie di tracciamento per inviare illegalmente pubblicità mirate ai possessori di biglietti e ad altri utenti dei suoi servizi.

Il responsabile dell'applicazione delle norme di CalPrivacy, Michael Macko, è stato citato in merito dal sito privacy.ca.gov con queste parole:

«Gli studenti che vogliono andare al ballo di fine anno o a una partita di football del liceo non dovrebbero essere costretti a rinunciare al proprio diritto alla privacy».

Oltre alla sanzione, alla società è stato inoltre ordinato di effettuare valutazioni dei rischi, fornire informazioni adeguate, chiare e di facile comprensione, e attuare protocolli di rinuncia alle operazioni per conto proprio.

8. Ford Motor Company – Multa di 375.703 dollari

Nel marzo 2026, la Ford Motor Company è stata multata per 375.703 dollari per aver violato i diritti di rinuncia e aver implementato meccanismi non conformi ai requisiti del CCPA.

In particolare, Ford ha richiesto ai clienti di completare una procedura di verifica tramite e-mail prima di consentire loro di opporsi alla vendita o alla condivisione dei propri dati personali.

All'azienda è stato inoltre ordinato di modificare le proprie pratiche di trattamento dei dati, tra cui l'obbligo di fornire ai consumatori un modo semplice per presentare richieste di rinuncia e di effettuare una verifica delle proprie tecnologie di tracciamento.

Tom Kemp, direttore esecutivo di CalPrivacy, era stato citato all'epoca sul sito web privacy.ca.gov con queste parole:

«Questo caso dimostra che la Divisione per l'applicazione della legge adotterà tutte le misure del caso qualora le pratiche non rispettino i requisiti di legge.»

9. DoorDash – Multa di 375.000 dollari

Nel febbraio 2024, DoorDash è stata multata di 375.000 dollari per aver condiviso in modo improprio dati personali senza informarne chiaramente i consumatori e per non aver messo a disposizione adeguate opzioni di rinuncia.

La vendita dei dati, in particolare, è avvenuta a favore di una cooperativa di marketing di cui non è stato reso noto il nome, che utilizza i dati personali dei consumatori dei propri membri per pubblicizzare i prodotti gli uni agli altri.

All'epoca, il procuratore generale Bonta aveva dichiarato:

«La partecipazione di DoorDash a una cooperativa di marketing costituisce una cessione ai sensi del CCPA e viola i diritti dei suoi consumatori sanciti dalla nostra storica legge statale sulla privacy.»

Oltre alla sanzione, a DoorDash è stato inoltre ordinato di conformarsi pienamente al CCPA e al CalOPPA, di rivedere tutti i contratti con i fornitori di servizi di marketing e analisi dei dati e di presentare relazioni annuali al Procuratore Generale.

10. Todd Snyder – Multa di 345.178 dollari

Nel maggio 2025, il marchio di abbigliamento Todd Snyder è stato multato per 345.178 dollari per violazioni relative ai cookie e al tracciamento ai sensi del CCPA.

La divisione incaricata dell'applicazione della legge della CPPA ha riscontrato che l'azienda non aveva configurato correttamente il proprio portale sulla privacy, con la conseguenza che non ha dato seguito alle richieste dei consumatori di non consentire la vendita o la condivisione dei propri dati.

L'azienda era inoltre finita sotto accusa per aver richiesto ai consumatori di fornire più informazioni del necessario per l'elaborazione delle richieste relative alla privacy, compresa la verifica della loro identità prima di consentire loro di opporsi alla vendita o alla condivisione dei propri dati.

Macko, responsabile dell'applicazione della legge presso CalPrivacy, all'epoca lanciò un chiaro monito a tutte le imprese soggette a questa normativa:

«Le aziende dovrebbero esaminare attentamente le proprie soluzioni di gestione della privacy per assicurarsi che siano conformi alla legge e funzionino come previsto, poiché la responsabilità ricade sulle aziende che le utilizzano.»

Ha aggiunto: «L'utilizzo di una gestione del consenso platform esonera dall'obbligo di conformità».

Ciò sottolinea quanto sia fondamentale per le aziende garantire che qualsiasi soluzione di gestione del consenso utilizzata sia sicura, abbia un fondamento giuridico e funzioni correttamente, in piena conformità con le leggi sulla privacy.

Un tema ricorrente: le aziende non rispettano i requisiti di rinuncia previsti dal CCPA

C'è un filo conduttore che accomuna le nove violazioni del CCPA trattate in questo articolo:

Queste aziende continuano a non rispettare i requisiti di rinuncia previsti dal CCPA, volti a tutelare i consumatori e a consentire loro di esercitare i propri diritti alla privacy.

Il CCPA garantisce chiaramente ai californiani il diritto di opporsi al trattamento dei dati per:

  1. Pubblicità mirata,
  2. la condivisione o la vendita dei propri dati,
  3. limitare l'uso dei loro dati personali sensibili,
  4. Devono essere rispettate anche le richieste di disattivazione a livello di browser impostate da strumenti come Global Privacy Control.

È evidente che l'Ufficio del Procuratore Generale della California e la CPPA non hanno alcuna intenzione di rallentare il ritmo quando si tratta di condurre indagini e sanzionare le violazioni della privacy.

Assicurati di fare pubblicità mirata e di condividere e vendere i dati in modo conforme a tutte le leggi sulla protezione dei dati che riguardano la tua attività, oppure preparati ad affrontarne le conseguenze.

In che modo Termly le aziende ad adeguarsi al CCPA

Il tuo sito web può evitare sanzioni previste dal CCPA assicurandosi di rispettare tutte le linee guida in materia di consenso e trasparenza stabilite dalla legge.

Strumenti come gestione del consenso PlatformTermly e generatore di informativa sulla privacy rendono tutto estremamente semplice, soprattutto grazie a funzionalità come il blocco automatico degli script, il consenso cross-domain e le regole di consenso regionali.

Con il supporto del nostro team legale e dei nostri esperti in materia di protezione dei dati, i nostri strumenti sono stati sviluppati per garantire la conformità alle leggi sulla privacy della California, a tutte le altre normative statali statunitensi attualmente in vigore e alle normative internazionali quali il GDPR, il POPIA e altre ancora.

Elimina le incertezze e il timore di incorrere in sanzioni relative alla conformità provando Termly !

La multa più alta mai inflitta finora ai sensi del CCPA: domande frequenti

Di seguito sono riportate le risposte alle domande più frequenti relative alle sanzioni previste dal CCPA.

Qual è la sanzione prevista in caso di violazione del CCPA?

 

Le sanzioni per la violazione del CCPA possono arrivare fino a 7.500 dollari per ogni singola violazione. I consumatori hanno inoltre il diritto di intentare un'azione legale a titolo individuale ai sensi di questa legge.

 

Posso finire nei guai se violo il CCPA?

 

Se sei soggetto alle disposizioni del CCPA e sei oggetto di un'indagine da parte del Procuratore Generale o di CalPrivacy e viene accertata la tua non conformità alla legge, potresti trovarti in difficoltà, soprattutto se non provvedi a porre rimedio alla situazione in modo tempestivo.

 

Riferimenti bibliografici

Tra le fonti citate in questo articolo figurano:

  1. https://cppa.ca.gov/
  2. https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5
  3. https://oag.ca.gov/news/press-releases/when-it-comes-data-privacy-consumers-must-be-driver%E2%80%99s-seat-attorney-general
  4. https://oag.ca.gov/news/press-releases/california-wont-let-it-go-attorney-general-bonta-announces-275-million
  5. https://oag.ca.gov/news/press-releases/attorney-general-bonta-announces-largest-ccpa-settlement-date-secures-155
  6. https://oag.ca.gov/news/press-releases/attorney-general-bonta-secures-14-million-settlement-mobile-app-gaming-company
  7. https://cppa.ca.gov/announcements/2025/20250930.html
  8. https://oag.ca.gov/news/press-releases/attorney-general-bonta-announces-settlement-sephora-part-ongoing-enforcement
  9. https://privacy.ca.gov/2026/03/youth-sports-media-company-to-pay-1-1-million-fine-change-practices-over-privacy-violations/
  10. https://privacy.ca.gov/2026/03/ford-to-change-practices-pay-fine-for-adding-unnecessary-friction-to-opt-out-process/
  11. https://oag.ca.gov/news/press-releases/attorney-general-bonta-announces-settlement-doordash-investigation-finds-company
  12. https://cppa.ca.gov/announcements/2025/20250506.html

AVVISO: Il contenuto del presente articolo si basa su informazioni di dominio pubblico disponibili al 12 maggio 2026, ma potrebbe non rispecchiare l'ammontare effettivo di tutte le sanzioni e gli accordi transattivi relativi al CCPA/CPRA attualmente in corso.

Natasha Piirainen

Scritto da Natasha Piirainen

Natasha Piirainen è una scrittrice specializzata in privacy con una laurea in inglese e filosofia conseguita presso il Wheaton College e oltre 10 anni di esperienza professionale nello sviluppo di contenuti basati sulla ricerca.

Leggi tutti i post di Natasha Piirainen
Amanda Lee

Recensione di Amanda Lee

Amanda è una specialista della documentazione e professionista della privacy certificata (USA). Si occupa di convertire la documentazione dei prodotti in prodotti di facile comprensione per i clienti di Termly. Possiede inoltre una solida conoscenza delle leggi e dei regolamenti sulla privacy negli Stati Uniti, contribuendo a mantenere aggiornate le politiche dei clienti in un momento in cui gli Stati americani emanano sempre più leggi sulla privacy.

Leggi tutti i post recensiti da Amanda Lee
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Generare un'informativa sulla privacy CCPA

Rispondete a poche semplici domande per generare in pochi minuti la vostra polizza conforme alla CCPA!
Generare l'informativa sulla privacy CCPA

Articoli correlati

  1. Legge dell'Alabama sulla protezione dei dati dei consumatori - 01
    Legge dell'Alabama sulla protezione dei dati personali: prima analisi e sintesi
    Articoli

    4 maggio 2026
    Natasha Piirainen
  2. Legge dell'Oklahoma sulla protezione dei dati dei consumatori - 01
    Legge sulla protezione dei dati dei consumatori dell'Oklahoma: prima analisi e sintesi
    Articoli

    4 maggio 2026
    Natasha Piirainen
  3. Semplici consigli per rispettare la normativa durante la raccolta di indirizzi e-mail-01
    Semplici consigli per rispettare la normativa quando raccogli indirizzi e-mail sul tuo sito web
    Articoli

    20 aprile 2026
    Duncan Elder
  4. Termly contro Transcend - 01
    Termly Transcend: confronto tra caratteristiche e vantaggi
    Confronti

    27 marzo 2026
    Ali Talip Pınarbaşı, CIPP/E e LLM
  5. Termly contro Didomi - 01
    Termly Didomi: confronto tra caratteristiche e vantaggi
    Confronti

    27 marzo 2026
    Ali Talip Pınarbaşı, CIPP/E e LLM
  6. Termly
    Termly PrivacyPolicies.com: confronto tra caratteristiche e vantaggi
    Confronti

    27 marzo 2026
    Ali Talip Pınarbaşı, CIPP/E e LLM
  7. Consenso all'uso dei cookie per startup e aziende che utilizzano l'intelligenza artificiale 01
    consenso ai cookie startup e aziende di intelligenza artificiale
    Articoli

    20 febbraio 2026
    Natasha Piirainen
  8. Gli 8 servizi di terze parti più comuni sui siti web e i relativi rischi per la privacy - 01
    Gli 8 servizi di terze parti più comuni sui siti web e i relativi rischi per la privacy
    Articoli

    20 febbraio 2026
    Hanna De La Garza
  9. Guida alle leggi e alle normative sulla privacy dei dati per il 2026-01
    Guida alle leggi e alle normative sulla privacy dei dati per il 2026
    Articoli

    27 gennaio 2026
    Natasha Piirainen

Guarda le altre risorse