Approvata nel 2018, la legge sulla privacy dei consumatori della California è stata la prima legge sulla privacy dei dati dei consumatori a livello statale approvata negli Stati Uniti e ha ispirato oltre venticinque altri Stati ad approvare leggi simili, e non solo.
Il CCPA delinea diverse linee guida che le aziende devono seguire per raccogliere, elaborare e utilizzare le informazioni personali dei residenti e delle famiglie della California.
Di seguito, descrivo gli obblighi aziendali delineati dal CCPA, compresi i soggetti obbligati a rispettarlo, le informazioni che protegge e l'impatto sulle aziende e sui consumatori.
Che cos'è il California Consumer Privacy Act (CCPA)?
Il CCPA è l'originale e la più severa legge sulla privacy dei dati a livello statale negli Stati Uniti.
Il documento delinea i requisiti e le linee guida per la raccolta, l'utilizzo e l'elaborazione dei dati personali dei cittadini californiani.
Talvolta chiamata " GDPRdella California", questa legge statale presenta alcune analogie con il Regolamento generale sulla protezione dei dati europeo, come la concessione di diritti simili ai consumatori.
Tuttavia, il suo campo di applicazione non è così ampio come il GDPR e le sue linee guida sono più favorevoli alle imprese.
Termini e definizioni chiave di CCPA
Per aiutarvi a comprendere meglio il CCPA, di seguito ho riportato alcuni termini chiave e le loro definizioni così come appaiono nel testo della legge.
Ogni volta che questi termini vengono utilizzati in questa guida, si tiene conto delle definizioni di cui sopra.
Date importanti
Il CCPA è entrato in vigore il 1° gennaio 2020.
È stato ufficialmente modificato dal California Privacy Rights Act (CPRA) il 1° gennaio 2023.
Le modifiche al CPRA hanno introdotto nuovi diritti per gli utenti in merito ai loro dati personali sensibili e hanno aumentato la soglia di raccolta dei dati prevista dalla legge.
Ha inoltre introdotto il concetto di condivisione dei dati, che gli utenti hanno il diritto di rifiutare.
Chi protegge il CCPA?
Il CCPA protegge le informazioni personali delle persone fisiche che sono residenti in California, come definito nella sezione 17014 del titolo 18 del Codice dei regolamenti della California.
Chi deve rispettare il CCPA?
Tutte le aziende a scopo di lucro che operano in California e che soddisfano una delle seguenti soglie devono conformarsi al CCPA:
- Ha realizzato un fatturato lordo annuale di 25.000.000 dollari nell'anno solare precedente,
- Acquista, vende o condivide le informazioni personali di 100.000 o più consumatori o famiglie californiane,
- Ricava il 50% o più delle entrate annuali dalla vendita o dalla condivisione di informazioni personali dei consumatori californiani.
Diritti dei consumatori sulla privacy
Il CCPA conferisce ai consumatori californiani i seguenti diritti sulle loro informazioni personali:
- Richiesta di accesso a tutti i dati raccolti da un'azienda su di loro
- Richiesta di correzione di inesattezze nei dati
- Richiesta di cancellazione dei propri dati
- Rinunciare alla vendita o alla condivisione dei propri dati
- Rifiuto del trattamento dei dati per la pubblicità mirata
- Rifiuto della profilazione
- Non discriminazione per il rispetto dei propri diritti alla privacy
Hanno anche il diritto di intraprendere un'azione civile contro un'azienda che raccoglie i loro dati personali e che li fa trapelare o vi accede illegalmente.
Requisiti aziendali CCPA
Di seguito, descrivo i principali requisiti aziendali delineati dalla CCPA.
Linee guida sulla privacy
Il CCPA richiede che le aziende coperte presentino ai consumatori un'informativa sulla privacy che includa le seguenti informazioni:
- Una descrizione dei diritti alla privacy del consumatore,
- Due o più modi per i consumatori di far valere i propri diritti,
- Un elenco delle categorie di dati personali raccolti,
- Lo scopo della raccolta, vendita o condivisione dei dati dei consumatori,
- Le categorie di soggetti terzi con cui i dati vengono condivisi.
- La data dell'ultimo aggiornamento dell'informativa sulla privacy
La polizza deve essere aggiornata almeno una volta ogni 12 mesi, quindi è necessario inserire nella polizza la data dell'ultimo aggiornamento.
l'azienda deve pubblicare e mantenere l'informativa sulla privacy attraverso un link che contenga la parola "privacy", ad esempio "Informativa sulla privacy".
Conservare le vecchie versioni in un archivio in caso di audit sulla privacy.
Gestione del consenso
Le aziende ai sensi del CCPA devono gestire le preferenze di consenso degli utenti in modo legalmente conforme per determinati tipi di trattamento dei dati.
Ad esempio, la legge dà ai consumatori il diritto di:
- Rinunciare alla vendita o alla condivisione dei propri dati
- Rinuncia alla pubblicità mirata
- Limitare l'uso dei loro dati personali sensibili
Dovreste presentare agli utenti un banner di consenso ai cookie conforme con una politica sui cookie in modo che possano leggere i cookie che il vostro sito utilizza e scegliere se acconsentire o meno al loro utilizzo.
La legge richiede inoltre che nel footer del vostro sito siano presenti i seguenti link che conducono a pagine specifiche per consentire ai californiani di far valere i propri diritti:
- "NON vendere o condividere le mie informazioni personali".
- "Limitare l'uso dei miei dati personali sensibili".
È consentito utilizzare un unico link che conduce a un modulo in cui gli utenti possono esercitare entrambi i diritti di opt-out.
Obblighi contrattuali
Le aziende ai sensi del CCPA devono utilizzare accordi conformi se stipulano un contratto con una terza parte ai fini del trattamento dei dati.
Il contratto deve essere firmato da entrambe le parti e deve contenere le seguenti disposizioni:
- Specificare che i dati personali sono venduti/divulgati solo per uno scopo limitato e specifico,
- Obbligare la terza parte a rispettare gli obblighi e i requisiti di sicurezza delineati dal CCPA,
- concedere all'azienda il diritto di adottare misure ragionevoli per garantire che la terza parte utilizzi le informazioni personali in modo coerente con i requisiti del CCPA,
- Richiedere alla terza parte di informare l'azienda se ritiene di non poter più soddisfare i requisiti CCPA,
- Concedere all'azienda il diritto di adottare misure per interrompere e porre rimedio all'uso non autorizzato delle informazioni personali,
- Richiedere alla terza parte di implementare ragionevoli procedure di sicurezza per proteggere le informazioni da accessi non autorizzati.
Richieste verificabili dei consumatori
Le aziende devono disporre di un processo per verificare le richieste dei consumatori di dare seguito ai loro diritti alla privacy.
Tecnicamente, i consumatori possono presentare queste richieste attraverso qualsiasi canale scelto, tra cui:
- Un modulo web online
- I social media
- Posta
- Telefono
Per verificare la loro identità, confrontate le informazioni che vi forniscono con quelle che avete già raccolto su di loro.
Non dovreste chiedere ulteriori dettagli a meno che non sia assolutamente necessario.
È meglio impostare un flusso di lavoro per la ricezione di queste richieste, perché la vostra azienda deve tenere traccia delle richieste elaborate.
Inoltre, rende il processo più semplice per i vostri consumatori.
Controlli globali della privacy abilitati dall'utente
Ai sensi del CCPA, i consumatori possono esercitare i loro diritti di opt-out attraverso controlli globali della privacy abilitati dall'utente e le aziende devono soddisfare tali richieste.
Ad esempio, possono utilizzare il Global Privacy Controls (GPC) sul loro browser per indicare che vogliono rinunciare alla pubblicità mirata.
Il sistema invia quindi la loro preferenza di consenso alla gestione del consenso platform di gestione del consenso platform del vostro sito web, rispettando automaticamente la loro scelta e impedendo la distribuzione dei cookie associati.
Per saperne di più, potete leggere le note di orientamento CCPA fornite dall'ufficio del Procuratore Generale della California.
Linee guida per la sicurezza dei dati
Il CCPA impone alle aziende di mantenere tutti i dati personali raccolti al sicuro da accessi illegali e non autorizzati, fughe di notizie, violazioni o altri tipi di perdita.
Gli utenti californiani possono intraprendere un'azione civile contro la vostra azienda se i loro dati vengono violati mentre sono in vostro possesso.
La legge non stabilisce come si debbano proteggere i dati, ma i metodi più comuni includono:
- Crittografia dei dati
- Firewall
- Limitare l'accesso
- Assicurarsi che i dati siano protetti da password utilizzando l'autenticazione a più fattori.
Sanzioni in caso di violazione del CCPA
Una violazione del CCPA può comportare le seguenti ammende:
- $2.500 per ogni residente californiano colpito per violazioni non intenzionali.
- 7.500 dollari per ogni residente della California colpito da violazioni intenzionali.
È applicata dalla California Privacy Protection Agency (CPPA) e dall'ufficio del Procuratore Generale della California.
I consumatori hanno anche un diritto di azione privata ai sensi della legge sulla privacy della California.
Possono intraprendere un'azione civile contro di voi se alcune informazioni che li riguardano vengono violate o consultate senza autorizzazione.
Utilizzo di Termly per la conformità al CCPA
Termly fornisce soluzioni di conformità per aiutare le aziende a semplificare il rispetto dei requisiti del CCPA.
Il nostro generatore di informativa sulla privacy include tutti i dettagli necessari come indicato dalla legge. Tutto ciò che dovete fare è rispondere a semplici domande sulla vostra attività, dichiarare che volete che la vostra politica sia conforme al CCPA e rispondere onestamente alle domande.
In base alle risposte fornite, viene creata una politica unica che può essere incorporata nel sito web.
Forniamo anche una gestione del consenso Platform configurabile per soddisfare tutti i requisiti di consenso previsti dal CCPA. È persino dotata di impostazioni di supporto regionali specifiche per i vostri utenti californiani.
Viene inoltre fornito un modulo DSAR gratuito che potete incorporare nel vostro sito web, in modo che i vostri utenti possano inviare più facilmente richieste verificabili per far valere i loro diritti alla privacy.
Riassunto
Il CCPA è una delle leggi sulla privacy dei consumatori più severe degli Stati Uniti.
Le aziende che rientrano in questa legge devono assicurarsi di avere una politica sulla privacy conforme e una gestione del consenso platform configurata per soddisfare i requisiti di opt-out descritti dalla legge.
È inoltre una buona pratica aggiungere un modulo DSAR al vostro sito web per aiutare gli utenti a rispettare più facilmente i loro diritti alla privacy.
Per semplificare la conformità al CCPA, iscrivetevi alla suite completa di soluzioni per la privacy di Termly.
Per saperne di più su chi scrive
Scritto da Josh Langeland, CIPM
Ciao, sono Josh! Sono un ingegnere della privacy appassionato dell'uso della tecnologia per rispettare la privacy degli utenti. Mi trovo a mio agio nell'intersezione tra la tecnologia complessa e le leggi sulla privacy in continua evoluzione. Se non sto redigendo una revisione del progetto o riarchitettando un sistema, potrei trovarmi a leggere una biografia o a fare un'escursione nel parco nazionale più vicino. Per saperne di più su chi scrive
