Il California Privacy Rights Act (CPRA) ha ufficialmente modificato alcune parti del California Consumer Privacy Act (CCPA) ed è entrato in vigore il 1° gennaio 2023.
Di seguito, chiarisco ogni confusione su come il CCPA e il CPRA interagiscono e influiscono sugli obblighi delle aziende e sui diritti dei consumatori e spiego cosa è cambiato.
Le principali modifiche apportate dal CPRA al CCPA:
- Le modifiche al CPRA hanno introdotto una nuova soglia legale.
- Ha introdotto il concetto di condivisione delle informazioni personali e la categoria delle informazioni personali sensibili.
- Ha delineato i nuovi diritti dei consumatori e ha modificato i requisiti aziendali.
- Breve riepilogo del CCPA e del CPRA
- Il CCPA e il CPRA spiegati
- Il CPRA ha sostituito il CCPA?
- Quali cambiamenti ha portato il CPRA?
- Le differenze tra CPRA e CCPA
- Chi deve rispettare il CPRA e il CCPA?
- Come assicurarsi che la propria azienda sia conforme a entrambe le leggi
- Come può aiutare Termly
- Domande frequenti su CPRA e CCPA
- Riassunto
Breve riepilogo del CCPA e del CPRA
Ecco un breve riepilogo di come gli emendamenti al CPRA hanno modificato e influenzato la versione originale del CCPA:
- Il CPRA aumenta la soglia legale che si applica alle aziende che acquistano, vendono o condividono informazioni personali a 100.000 consumatori o famiglie (in precedenza 50.000 secondo il CCPA originale).
- Il CPRA introduce una nuova categoria di dati personali, i dati personali sensibili, che sono soggetti a linee guida più severe.
- I consumatori ottengono nuovi e più ampi diritti dal CPRA, come i diritti di opt-out, un accesso più robusto ai dati personali e il diritto di limitare la condivisione di informazioni personali sensibili.
- Il CPRA introduce nuovi obblighi legali in materia di condivisione delle informazioni personali, ovvero lo scambio di dati per scopi diversi dal guadagno monetario.
Continuate a leggere per una descrizione più completa di come il CPRA modifica il CCPA.
Il CCPA e il CPRA spiegati
Il CPRA è entrato in vigore il 1° gennaio 2023, modificando alcune parti del CCPA, che è in vigore dal 1° gennaio 2020, e tutte le parti del CCPA non interessate dalle revisioni del CPRA sono ancora applicabili.
Tecnicamente non si tratta di due leggi diverse, ma di un'unica legge, il CCPA, con una serie di revisioni introdotte dal CPRA. Per questo motivo, molti enti governativi e agenzie indipendenti della California si riferiscono a entrambe le leggi come al solo CCPA o al CCPA modificato.
Nelle sezioni che seguono, illustro le linee guida sulla privacy delineate dal CCPA originale, per poi spiegare come il CPRA abbia modificato tali requisiti quando è entrato in vigore.
CCPA
Il 1° gennaio 2020, il California Consumer Protection Act(CCPA) è diventato una delle prime leggi sulla privacy dei dati negli Stati Uniti. Ha introdotto alcuni dei requisiti più severi in materia di privacy dei dati e di tutela dei consumatori negli Stati Uniti.
Questa legge ha delineato gli standard per la raccolta dei dati, le conseguenze per le aziende che non proteggono adeguatamente i dati degli utenti e i nuovi diritti che i californiani possono esercitare sulle loro informazioni personali.
Soglia legale CCPA
Sebbene il CPRA abbia modificato le soglie legali per il CCPA, inizialmente si applicava a qualsiasi azienda a scopo di lucro che raccoglieva dati dai residenti in California e che soddisfaceva una delle seguenti condizioni:
- Generato 25 milioni di dollari di fatturato lordo annuale
- Annualmente hanno acquistato, ricevuto, venduto o condiviso le informazioni personali di 50.000 o più consumatori o famiglie
- ha ricavato il 50% o più dei suoi ricavi annui lordi dalla vendita di informazioni personali dei consumatori
Diritti dei consumatori ai sensi del CCPA
Il CCPA ha inoltre concesso ai consumatori californiani i seguenti diritti:
- Sapere quali informazioni vengono raccolte su di loro
- Sapere se i propri dati personali vengono venduti o condivisi e con quali terze parti.
- Per rinunciare alla vendita di informazioni personali
- Per acconsentire alla vendita di informazioni personali, se di età compresa tra i 13 e i 16 anni.
- Per accedere e cancellare i propri dati personali
- A parità di servizio e di prezzo, anche se decidono di esercitare i loro diritti alla privacy
Per onorare questi diritti, le aziende ai sensi del CCPA devono fornire a qualsiasi consumatore che faccia una "richiesta verificabile" di accesso ai propri dati un registro delle informazioni raccolte.
Una "richiesta verificabile" significa che è stata fatta da:
- Un consumatore
- Un consumatore per conto di un minore
- Una persona legalmente autorizzata ad agire per conto di un consumatore che si rivolge a registri raccolti in modo verificabile da o sull'individuo
Le aziende devono fornire ai consumatori, entro 45 giorni dalla richiesta, informazioni dettagliate sugli ultimi 12 mesi di raccolta dei dati, compresa la condivisione, l'utilizzo e la vendita delle informazioni personali.
Requisiti CCPA per le aziende
Il CCPA ha delineato i seguenti requisiti per le aziende, molti dei quali sono ancora in vigore o sono stati ampliati dagli emendamenti del CPRA:
- Informare i consumatori della raccolta di dati personali
- Fornire ai consumatori un modo per rinunciare alla raccolta dei dati utilizzando impostazioni di privacy visibili.
- Rispondere tempestivamente alle richieste dei consumatori.
- Doppia verifica dell'identità dei consumatori che desiderano controllare o cancellare le proprie informazioni personali.
- Informare i consumatori su quanto si guadagna con i dati e sul loro valore.
- Conservare la documentazione per almeno due anni
Per soddisfare questi requisiti, è necessario pubblicare un'informativa sulla privacy e un'informativa sui cookie conformi alla California, che spieghi quali dati personali vengono raccolti e che sia ancora applicabile ai sensi del CPRA.
Potete soddisfare le richieste dei consumatori di accedere e cancellare le loro informazioni utilizzando un modulo di richiesta di accesso ai dati (Data Subject Access Request, DSAR), che potete inserire nel vostro sito web.
Ai sensi della sezione 1798.120(a) della legge, dovete anche inserire un link visibile "Non vendere i miei dati personali" sulla homepage del vostro sito che consenta agli utenti di rinunciare alla vendita dei loro dati.
Tuttavia, il CPRA ha modificato queste linee guida introducendo il concetto di condivisione dei dati personali, di cui parlo in modo più dettagliato più avanti nell'articolo.
Sanzioni ai sensi del CCPA
Se si riscontra una non conformità ai sensi del CCPA, le sanzioni includono:
- 2.500 dollari per ogni violazione
- 7.500 dollari per ogni violazione intenzionale
Originariamente, le aziende avevano un periodo di cura di 30 giorni, il che significa che avevano 30 giorni per rispondere per iscritto di aver sanato tutte le violazioni e dichiarare che le violazioni non si sarebbero più verificate. Tuttavia, questo periodo di grazia non si applica ai sensi del CPRA.
l'ufficio del procuratore generale della California applicava queste sanzioni, ma con il CPRA il potere di applicazione passa a un nuovo gruppo chiamato California Privacy Protection Agency o CPPA.
I consumatori hanno anche il diritto di citare in giudizio le aziende per la perdita della loro privacy a seguito di una violazione dei dati, per cui è possibile incorrere in ulteriori sanzioni derivanti da cause private.
Con l'aggiunta degli emendamenti del CPRA, le ragioni per intraprendere un'azione legale privata contro un'azienda si sono ulteriormente ampliate, imponendo alle imprese responsabilità ancora maggiori per la protezione dei dati degli utenti.
CPRA
Il 1° gennaio 2023 sono entrati in vigore i requisiti di legge del California Privacy Rights Act(CPRA), che ha modificato alcune parti del CCPA.
Tuttavia, la data di entrata in vigore delle norme di applicazione è cambiata più volte:
- Inizialmente, l'entrata in vigore delle norme era prevista per il 1° gennaio 2023, con uno sguardo al 1° gennaio 2022.
- Tuttavia, il CPPA ha tardato a stabilire le regole di applicazione, quindi i tribunali della California hanno prorogato la data di applicazione al 29 marzo 2024.
- Il CPPA ha fatto ricorso contro questa decisione e il 9 febbraio 2024 è stato annunciato che la Corte d'Appello del Terzo Distretto della California si è schierata con il CPPA.
- Oggi, tutti gli emendamenti del CPRA sono ufficialmente in vigore con uno sguardo al 1° luglio 2023.
Questa legge introduce nuove categorie di dati, aggiorna le soglie legali, fornisce maggiori diritti ai consumatori e amplia gli obblighi delle imprese precedentemente delineati dal CCPA.
Soglia legale CPRA
Il CPRA ha introdotto una nuova soglia legale che ora si applica al CCPA, per cui la vostra azienda ricade sotto la giurisdizione di entrambe le leggi se svolgete attività in California e soddisfate una delle seguenti condizioni:
- Ha realizzato 25 milioni di dollari di fatturato annuo lordo a partire dal 1° gennaio dell'anno solare precedente.
- Annualmente acquista, vende o condivide le informazioni personali di 100.000 o più consumatori o famiglie della California
- Il 50% o più del vostro fatturato annuo lordo è derivato dalla vendita o dalla condivisione di informazioni personali.
Il concetto di condivisione dei dati è stato introdotto di recente dal CPRA e si riferisce a tutti i seguenti elementi:
- Noleggio di dati personali
- Divulgazione dei dati personali
- Diffusione dei dati sulle persone
- Rendere disponibili i dati personali
- Trasferimento dei dati personali
- Comunicare oralmente o per iscritto informazioni sui dati personali.
- Comunicazione di informazioni sui dati personali per via elettronica o con altri mezzi
Come ho detto in precedenza, a causa della portata extraterritoriale di queste leggi, non è necessario che la vostra azienda abbia sede in California per rientrare nella sua giurisdizione legale.
Diritti dei consumatori ai sensi del CPRA
Il CPRA ha inoltre ampliato alcuni diritti dei consumatori stabiliti dal CCPA e ne ha introdotti di nuovi.
In base a questa legge, i consumatori hanno ora il diritto di:
- Rinunciare alla vendita o alla condivisione dei propri dati personali utilizzando un link "Non vendere o condividere i miei dati personali" o rispettando le preferenze di consenso opt-out del browser dei consumatori
- Limitare l'uso e la divulgazione dei propri dati personali sensibili.
- Correggere e cancellare le informazioni personali inesatte dopo aver presentato una richiesta verificata da parte del consumatore.
- Richiedere l'accesso ai dati raccolti su di loro oltre il periodo di riferimento di 12 mesi, a meno che ciò non sia impossibile o richieda uno sforzo sproporzionato.
- Opt-out del processo decisionale automatizzato e della profilazione
Le informazioni personali sensibili sono una nuova categoria di dati personali definita dal CPRA e comprendono uno qualsiasi dei seguenti dettagli:
- Numeri di patente di guida
- Numeri di sicurezza sociale (SSN)
- Numeri identificativi dello Stato
- Adesione al sindacato
- Numeri di passaporto
- Credenziali dell'utente, come nomi utente e password
- Dati biometrici e genetica
- Origini etniche o razziali
- Geolocalizzazioni precise
- Credenze religiose o filosofiche
- Informazioni sull'orientamento sessuale, la vita sessuale o la salute di un consumatore.
- Contenuto dei testi, della posta e delle e-mail di un consumatore
Le aziende devono ora inserire nel proprio sito web un link "Limita l'uso delle mie informazioni personali sensibili", facile da trovare per gli utenti, in modo che questi ultimi possano avvalersi di questo nuovo diritto alla privacy. Tuttavia, la legge offre la possibilità di rispettare le impostazioni di opt-out del browser impostate dal consumatore al posto del link.
Il CPRA ha inoltre modificato il diritto all'azione privata, ampliando le linee guida stabilite inizialmente dal CCPA. I consumatori possono ora citare in giudizio le aziende se:
- Gli indirizzi e-mail in combinazione con una password o altre domande di sicurezza vengono violati, consentendo l'accesso a un account.
- Le informazioni personali non crittografate e non cancellate sono compromesse a causa dell'incapacità dell'azienda di implementare e mantenere misure di sicurezza ragionevoli.
Queste revisioni hanno anche ampliato i diritti dei consumatori minorenni e le aziende devono ora:
- Ottenere un consenso esplicito prima di condividere o vendere le informazioni personali di un consumatore di età inferiore ai 16 anni.
- Stabilire un modo per consentire a un minore o al suo genitore/tutore di specificare che il consumatore ha tra i 13 e i 16 anni o che ha meno di 13 anni.
Requisiti CPRA per le aziende
Il CPRA prevede anche obblighi aziendali nuovi e più ampi, tra cui requisiti di sicurezza e obblighi contrattuali.
Le aziende devono implementare attivamente "procedure e pratiche di sicurezza ragionevoli" per proteggere le informazioni personali.
Se si prevede che un'azienda possa creare un rischio significativo per la privacy, è necessario eseguire controlli annuali sulla cybersicurezza e presentare i risultati alla California Privacy Protection Agency (CPPA), una nuova agenzia istituita per attuare le due leggi sulla privacy dei dati.
Per quanto riguarda i nuovi obblighi contrattuali, se condividete, vendete o divulgate informazioni personali ad appaltatori, terze parti o fornitori di servizi, dovete creare un contratto in cui siano indicati tutti i seguenti elementi:
- Specificare le finalità per cui tali informazioni vengono divulgate, vendute e condivise con l'altra entità.
- rendere necessario che l'altra parte si conformi anche al CPRA e fornisca lo stesso livello di protezione della privacy richiesto dalla legge
- La controparte deve essere tenuta a notificarvi se non è più in grado di adempiere ai propri obblighi CPRA.
- Dovete informare l'altra parte che avete il diritto di prendere misure appropriate e ragionevoli per fermare qualsiasi uso non autorizzato delle informazioni personali.
Ci sono anche nuove limitazioni alla conservazione e linee guida per la minimizzazione dei dati stabilite dal CPRA, spesso confrontate con le linee guida della legge sulla privacy dei dati dell'Unione Europea (UE), il Regolamento generale sulla protezione dei dati (GDPR).
Si legge che è possibile solo:
- Raccogliere informazioni personali quando è richiesto o ragionevolmente necessario.
- Archiviare e conservare le informazioni personali per il tempo necessario allo scopo per cui sono state raccolte.
Il CPRA limita inoltre l'utilizzo di alcune difese da parte delle aziende in caso di violazione dei dati e di azioni private nei loro confronti. In particolare, ora specifica che l'implementazione di misure di sicurezza ragionevoli dopo una violazione non è più considerata una difesa adeguata.
Sanzioni ai sensi del CPRA
Le sanzioni sono state aggiornate ai sensi del CPRA e comprendono:
- $2.500 per violazione non intenzionale
- 7.500 dollari per violazione intenzionale o per reati che coinvolgono informazioni personali di minori di 16 anni
Ma il periodo di grazia di 30 giorni per correggere le violazioni non si applica più. Sarà invece il CPPA a decidere il tempo a disposizione di ogni azienda per correggere i propri errori, prendendo in considerazione i seguenti fattori:
- Se l'azienda intendeva violare il CPRA
- Se l'azienda si è adoperata per porre rimedio alla presunta violazione
Inoltre, come ho detto in precedenza, i consumatori possono ora intraprendere un'azione privata contro un'azienda per i seguenti due motivi:
- Vengono compromesse informazioni personali non criptate e non redatte.
- Vengono violati gli indirizzi e-mail in combinazione con la password o altri dettagli che consentono l'accesso a un account.
Il CPRA ha sostituito il CCPA?
No, il CPRA non ha sostituito il CCPA, ma ne modifica alcune parti e le parti rimaste invariate si applicano ancora alle imprese e ai consumatori.
Per questo motivo, luoghi come il CPPA, l'agenzia responsabile dell'applicazione del CPRA, si riferiscono alle leggi come il CCPA, il CCPA modificato o i regolamenti CCPA.
Quali cambiamenti ha portato il CPRA?
Il CPRA ha apportato diverse modifiche al CCPA, in particolare ha ampliato i diritti degli utenti, ha introdotto nuovi concetti e ha previsto ulteriori obblighi per le aziende.
Alcune delle principali modifiche introdotte dal CPRA includono:
- Nuove soglie legali - Alcune aziende che soddisfacevano i criteri del CCPA per l'acquisto, la vendita o la condivisione dei dati di 50.000 consumatori potrebbero non rientrare più in queste leggi se non soddisfano il requisito aggiornato di 100.000 consumatori.
- Nuova categoria di dati - La nuova legge riconosce la categoria delle informazioni personali sensibili che devono essere altamente protette e i consumatori possono chiedere di limitare o rinunciare alla vendita, alla condivisione o al trattamento di queste informazioni vulnerabili.
- Diritti dei consumatori nuovi e ampliati - Il CPRA amplia alcuni diritti dei consumatori delineati dal CCPA e concede loro il nuovo diritto di correggere le proprie informazioni, di limitare l'uso di dati sensibili, di accedere alle informazioni sul processo decisionale automatizzato e di rinunciare alla tecnologia decisionale automatizzata.
- Nuovi concetti - Questa legge ha introdotto il concetto di condivisione delle informazioni personali, che si riferisce allo scambio di dati tra aziende e terze parti, ma non necessariamente per scopi monetari.
- Nuova incorporazione dei principi del GDPR - Come il GDPR, il CPRA adotta principi simili per la minimizzazione dei dati, la limitazione delle finalità e la limitazione della conservazione.
- Nuovi diritti privati per intraprendere azioni legali - I consumatori possono ora intraprendere azioni legali private contro le aziende che espongono le loro credenziali di accesso come parte di una violazione dei dati.
- Nuova creazione di un'agenzia per l'applicazione della privacy - l'agenzia per la protezione della privacy della California (CPPA) è stata creata per far rispettare le nuove leggi sulla privacy dei dati, una responsabilità che in precedenza spettava all'Ufficio del Procuratore Generale della California.
Le differenze tra CPRA e CCPA
Esistono alcune differenze sfumate tra la versione originale del CCPA e le attuali norme in vigore dopo l'entrata in vigore ufficiale del CPRA, pertanto ho creato per voi alcuni grafici di confronto tra CCPA e CPRA.
CPRA vs. CCPA: Definizioni
Un modo significativo in cui il CPRA ha influito sul CCPA è la modifica, l'aggiornamento e l'introduzione di nuovi termini e definizioni legali, che si trovano nella sezione 1798.40 della legge.
Nel grafico seguente è possibile confrontare alcune definizioni legali nuove e ampliate introdotte dal CPRA con le definizioni originali delineate dal CCPA.
| Termine | CPRA | CCPA |
| Informazioni personali sensibili | Informazioni personali altamente vulnerabili che sono soggette a maggiori requisiti di conformità e comprendono:
|
La versione originale del CCPA non prevedeva una categoria di dati personali sensibili. |
| Condivisione | La divulgazione di informazioni personali a terzi nell'ambito della pubblicità comportamentale comprende la condivisione gratuita, il guadagno monetario o qualsiasi altro valore. | La versione originale del CCPA non faceva riferimento alla condivisione di informazioni personali. |
| Contraente | Un individuo a cui un'organizzazione ha reso disponibili le informazioni personali di un consumatore per scopi commerciali stabiliti da un contratto scritto. | La versione originale del CCPA non definiva l'appaltatore |
| Informazioni disponibili al pubblico | Qualsiasi informazione resa legalmente disponibile da documenti di governi federali, statali o locali.
Qualsiasi informazione che un'azienda ritenga ragionevolmente essere stata resa legalmente disponibile al pubblico in generale da mezzi di comunicazione ampiamente diffusi o dal consumatore. E qualsiasi informazione fornita da una persona a cui il consumatore ha comunicato le informazioni, a condizione che non abbia limitato le informazioni a un gruppo o a persone specifiche. |
La versione originale del CCPA definiva le informazioni disponibili al pubblico solo come tutto ciò che è reso legalmente disponibile dai documenti del governo federale, statale o locale. |
| Link al testo legale originale | 1798,40 con modifiche CPRA | 1798,40 dal testo originale del CCPA |
* Tutti gli altri termini legali che non sono stati toccati dagli emendamenti del CPRA sono interpretati come quando il CCPA li ha definiti inizialmente.
CPRA vs. CCPA: Soglie legali
A causa delle revisioni introdotte dal CPRA, le soglie legali sono cambiate rispetto a quelle originariamente previste dal CCPA, con un impatto sulle imprese che rientrano nella giurisdizione di queste leggi.
Il grafico seguente mette a confronto i nuovi requisiti stabiliti dal CPRA e le soglie legali originariamente delineate dal CCPA, contenute nella sezione 1798.140 della legge.
| CPRA | CCPA |
Qualsiasi entità a scopo di lucro che svolge la propria attività in California e che soddisfa una delle seguenti condizioni:
|
Qualsiasi entità a scopo di lucro che svolge la propria attività in California, che raccoglie dati da residenti in California e che soddisfa una delle seguenti condizioni:
|
| 1798.140 con modifiche al CPRA | 1798.140 dal testo originale CCPA |
Ricordate che attualmente le soglie legali delineate dal CPRA sono gli unici requisiti in vigore. Se soddisfate tali condizioni, la vostra azienda deve rispettare sia il CCPA che le linee guida sulla privacy dei dati del CPRA.
CPRA vs. CCPA: Diritti dei consumatori
Alcuni dei diritti alla privacy inizialmente concessi ai consumatori dal CCPA sono stati ampliati dagli emendamenti del CPRA, oltre all'introduzione di alcune nuove libertà.
Il grafico seguente evidenzia le differenze tra i nuovi ed estesi diritti derivanti dal CPRA e i diritti iniziali dei consumatori derivanti dal CCPA, che si trovano nelle sezioni da 1798.100 a 1798.125 della legge.
| CPRA | CCPA |
| I consumatori hanno il diritto di sapere quali informazioni personali vengono raccolte su di loro, come vengono utilizzate e se vengono vendute o condivise con terzi. | I consumatori avevano lo stesso diritto di sapere quali informazioni personali vengono raccolte su di loro, come vengono utilizzate e se vengono vendute o condivise con terzi nella versione originale del CCPA. |
| I consumatori hanno il diritto di richiedere l'accesso ai dati raccolti su di loro oltre il periodo di riferimento di 12 mesi e le aziende possono negare la richiesta solo se ciò è impossibile o richiede uno sforzo sproporzionato. | Nella versione originale del CCPA, i consumatori avevano il diritto di richiedere l'accesso ai propri dati personali solo per gli ultimi 12 mesi. |
| I consumatori hanno il diritto di rifiutare la vendita o la condivisione delle loro informazioni personali. | I consumatori avevano il diritto di rinunciare alla vendita delle loro informazioni personali solo nella versione originale del CCPA. |
| I consumatori hanno il diritto alla non discriminazione nei servizi e possono rifiutare ilprocesso decisionale automatizzato e la profilazione in un contesto lavorativo | I consumatori avevano diritto alla non discriminazione nei servizi e nei prezzi solo nella versione originale del CCPA. |
| I consumatori hanno il diritto di rettifica e possono chiedere di accedere, modificare, correggere o cancellare i propri dati personali. | I consumatori avevano solo il diritto di richiedere l'accesso o la cancellazione delle proprie informazioni, che non doveva essere rispettato, ma le aziende dovevano rispondere tempestivamente secondo la versione originale del CCPA. |
| I consumatori hanno il diritto di limitare l'uso e la divulgazione dei loro dati personali sensibili . | In precedenza i consumatori non avevano questo diritto e non esisteva una categoria di dati personali sensibili nella versione originale del CCPA. |
| 1798.100 con modifiche al CPRA | 1798.100 dal testo originale CCPA |
* Tutti gli altri diritti dei consumatori menzionati nel CCPA che non sono stati toccati dalle modifiche delineate dal CPRA rimangono in vigore e si applicano ancora.
CPRA vs. CCPA: Obblighi aziendali
A seguito degli emendamenti del CPRA, le aziende che rientrano nella giurisdizione di queste leggi devono rispettare nuovi requisiti per raccogliere, conservare, elaborare e utilizzare legalmente le informazioni personali.
Poiché non si tratta tecnicamente di due leggi distinte con linee guida completamente diverse, il grafico che segue è diverso dagli altri. Il grafico illustra i principali obblighi aziendali ufficialmente in vigore con l'entrata in vigore del CPRA e fornisce suggerimenti su come conformarsi ai requisiti.
| Obblighi delle aziende ai sensi del CPRA e del CCPA | Come conformarsi |
| Informare i consumatori che le informazioni personali vengono raccolte, come, perché e a chi vengono condivise o vendute. |
|
| Onorare i diritti dei consumatori e facilitare le richieste fornendo ai consumatori un modo per rinunciare alla raccolta dei dati utilizzando impostazioni di privacy visibili, compreso il diritto di limitare l'uso delle loro informazioni personali sensibili. |
|
| Creare un contratto che segua linee guida specifiche se si condividono, vendono o divulgano informazioni personali ad appaltatori, terze parti o fornitori di servizi. | I contratti devono contenere tutti i seguenti elementi:
|
| Implementare procedure e pratiche di sicurezza ragionevoli per proteggere le informazioni personali. |
|
| Adempiere ai nuovi obblighi di divulgazione e conservazione dei dati |
|
| Fornire un avviso sui diritti dei consumatori |
|
l'abbiamo detto più volte, ma come promemoria, tutte le altre linee guida, i requisiti o le clausole delineate dal CCPA non influenzate dagli emendamenti del CPRA rimangono in vigore.
Quindi, se rientrate nella giurisdizione di queste leggi, dovete anche seguire tutti gli standard legali.
CPRA vs. CCPA: Sanzioni in caso di non conformità
Il mancato rispetto delle linee guida sulla privacy dei dati stabilite dal CPRA e dal CCPA comporta delle conseguenze e gli emendamenti al CPRA hanno modificato le responsabilità delle aziende in tribunale.
Il grafico seguente mette a confronto le nuove sanzioni CPRA per la non conformità con le ripercussioni originarie delineate dal CCPA, che figurano nella sezione 1798.150 della legge.
| CPRA | CCPA |
|
|
I consumatori possono citare in giudizio un'azienda in una causa sulla privacy se:
I consumatori possono recuperare danni compresi tra 100 e 750 dollari per incidente o danni effettivi, a seconda di quale sia il valore più alto. |
I consumatori possono citare in giudizio un'azienda in una causa privata se:
|
| 1798.150 con modifiche al CPRA | 1798.150 dal testo originale CCPA |
In definitiva, le modifiche al CPRA attribuiscono alle aziende una maggiore responsabilità nel mantenere le informazioni personali degli utenti - e le loro credenziali di accesso - al sicuro da esposizioni, fughe e violazioni di dati.
Chi deve rispettare il CPRA e il CCPA?
A partire dal 1° gennaio 2023, la vostra azienda dovrà conformarsi sia al CCPA che al CPRA se svolge attività in California e soddisfa una delle seguenti condizioni:
- Ha realizzato 25 milioni di dollari di fatturato annuo lordo a partire dal 1° gennaio dell'anno solare precedente.
- Annualmente acquista, vende o condivide le informazioni personali di 100.000 o più consumatori o famiglie della California
- Il 50% o più del vostro fatturato annuo lordo è derivato dalla vendita o dalla condivisione di informazioni personali.
Tutte le norme di applicazione del CPPA sono ora ufficialmente applicabili con uno sguardo al luglio 2023.
Come assicurarsi che la propria azienda sia conforme a entrambe le leggi
Per garantire che la vostra azienda sia conforme al CPRA e al CCPA, dovrete implementare quanto segue:
- Pubblicate sul vostro sito web un'informativa sulla privacy conforme al CCPA.
- Inoltre, pubblicate sul vostro sito web una politica sui cookie ben scritta che illustri come questi tracker raccolgono, memorizzano e utilizzano le informazioni personali.
- Inserite un link "Non vendete o condividete i miei dati personali" nel piè di pagina del vostro sito web.
- Inserite anche un link "Limita l'uso dei miei dati personali" nel piè di pagina del vostro sito web.
- Oppure, al posto dei link, rispettate le impostazioni di opt-out che i consumatori inseriscono nei loro browser.
- Implementare ragionevoli misure di sicurezza per proteggere i dati personali dei consumatori da violazioni o hacking.
- Facilitare le richieste degli utenti pubblicando un modulo di richiesta di accesso ai dati o DSAR sul vostro sito web.
- Fornire un avviso sui diritti dei consumatori aggiungendo una clausola alla vostra politica sulla privacy conforme
- Conservare i dati personali dei consumatori solo per il tempo ragionevolmente necessario.
- Divulgare i dati personali dei consumatori a terzi solo se necessario e creare ogni volta contratti conformi.
Può sembrare una lunga lista di controllo, ma la conformità non deve essere complicata, soprattutto con l'aiuto giusto. Nella prossima sezione scoprirete come semplificare la conformità alla privacy dei dati.
Come può aiutare Termly
La conformità al CCPA e agli emendamenti del CPRA può sembrare intimidatoria all'inizio, ma Termly può aiutarvi a liberarvi di questi oneri.
Offriamo generatori di politiche e una soluzione di consenso che soddisfa gli standard del CCPA e le modifiche del CPRA, tra cui:
- Generatore di Informativa sulla Privacy
- Generatore di Informativa sui Cookie
- Cookie Consent Manager
- Moduli DSAR
I nostri generatori vi guidano attraverso l'intero processo di creazione di una polizza facendovi rispondere a semplici domande sulla vostra attività, come mostrato nella schermata sottostante.
In ogni pagina sono presenti anche consigli utili e risposte alle domande più comuni, come mostrato nella schermata sottostante. Inoltre, potrete accedere al nostro team di assistenza se vi trovate in difficoltà o avete bisogno di assistenza.
Noi di Termly siamo orgogliosi di essere sempre al passo con i tempi, ed è per questo che il nostro team legale e i nostri esperti di privacy dei dati hanno lavorato con i nostri ingegneri di prodotto per aggiornare i nostri strumenti in modo da seguire tutte le linee guida e i requisiti stabiliti dalle due leggi della California e da più di 20 leggi aggiuntive di altre parti del mondo.
Pensate a noi come al vostro partner per la conformità alla privacy, sempre pronto ad aiutarvi per qualsiasi esigenza in materia di privacy dei dati.
Domande frequenti su CPRA e CCPA
Siete ancora un po' confusi su queste leggi sulla privacy della California? Consultate le domande più frequenti che ci vengono poste sul CPRA e sul CCPA per avere maggiori chiarimenti.
Quando è entrato in vigore il CPRA?
I requisiti di legge del CPRA sono entrati in vigore il 1° gennaio 2023. Le norme di applicazione del CPPA sono entrate in vigore il 1° luglio 2023.
Il CPRA sostituisce il CCPA?
Il CPRA non sostituisce il CCPA, ma ne modifica alcune parti. Tutti gli aspetti del CCPA non interessati dalle modifiche del CPRA rimangono invariati e si applicano ancora alle aziende.
Per questo motivo, alcune agenzie governative e altri enti, tra cui il CPPA, si riferiscono a entrambe le leggi come al CCPA, al CCPA modificato o ai regolamenti CCPA.
Devo rispettare sia il CCPA che il CPRA?
Sì, dovete rispettare sia il CCPA che il CPRA se gestite un'azienda a scopo di lucro che opera in California e che soddisfa uno o più dei seguenti criteri:
- Ha realizzato 25 milioni di dollari di fatturato lordo annuale al 1° gennaio dell'anno solare precedente.
- Vende, acquista o condivide le informazioni personali di 100.000 consumatori o famiglie californiane.
- Ricava il 50% o più delle entrate annuali dalla vendita o dalla condivisione di informazioni personali
Chi applica il CCPA e il CPRA?
Per l'applicazione del CCPA e degli emendamenti al CPRA è stata creata una nuova commissione denominata California Privacy Protection Agency (CPPA). In precedenza, la responsabilità dell'applicazione era affidata all'Ufficio del Procuratore Generale della California.
Riassunto
Il CPRA ha ampliato il CCPA quando è entrato in vigore, garantendo ai consumatori maggiori diritti e aumentando i requisiti che le aziende devono rispettare per raccogliere, elaborare e utilizzare legalmente le informazioni personali.
Per conformarsi alle modifiche apportate dal CPRA al CCPA, aggiornate la vostra politica sulla privacy, fornite i link pertinenti per consentire agli utenti di agire in base ai loro diritti sulla privacy e implementate protocolli di sicurezza adeguati per mantenere al sicuro le informazioni personali dei consumatori.
Per saperne di più su chi scrive
Scritto da Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha è una specialista in sicurezza delle informazioni e trattamento dei dati nonché Certified Data Protection Officer. Negli ultimi sei anni ha lavorato come Data Protection Officer, aiutando piccole e medie imprese a raggiungere la conformità legale. È stata anche mentore della conformità alla privacy per molti acceleratori d'impresa internazionali. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD). Ha studiato Legge all'Università di Belgrado e superato l'esame di abilitazione alla professione forense nel 2016. Per saperne di più su chi scrive
