Nel novembre 2020, gli abitanti della California hanno votato la legge sui diritti alla privacy della California (CPRA), una modifica e un ampliamento della legge sulla privacy dei consumatori della California(CCPA) del 2018.
Il CPRA è entrato in vigore il 1° gennaio 2023 ed è ora pienamente in vigore.
Le organizzazioni dovrebbero apportare modifiche alle loro pratiche di privacy e commerciali il prima possibile. In caso contrario, potrebbero esporsi al rischio di rimanere indietro e di finire nei guai per non aver implementato le modifiche alla politica.
Continuate a leggere per saperne di più sul CPRA, su come può influire sulla vostra organizzazione e su come potete conformarvi ad esso. Potete anche leggere il nostro confronto completo tra CCPA e CPRA.
Che cos'è il CPRA?
Il CPRA, acronimo di California Privacy Rights Act, ha modificato il CCPA e ha introdotto diverse modifiche alle norme sulla privacy.
Rispetto al suo predecessore, questa legge è più favorevole alle piccole imprese. Tuttavia, è anche:
- Garantisce ai consumatori maggiori diritti
- Istituisce un'agenzia per l'attuazione e l'applicazione del CPRA.
- Richiede nuovi requisiti alle organizzazioni
Attualmente è interamente in vigore con uno sguardo al 1° luglio 2023, ma questo non era il piano originale.
Inizialmente, l'entrata in vigore delle modifiche era prevista per il 1° gennaio 2023, con uno sguardo al gennaio 2022. Tuttavia, l'agenzia californiana per la protezione della privacy (CCPA) ha tardato a finalizzare le regole ufficiali di applicazione.
Di conseguenza, i tribunali californiani hanno esteso la data di applicazione al 29 marzo 2024 e solo i requisiti di legge sono stati considerati applicabili.
Il 9 febbraio 2024, la Corte d'Appello del Terzo Distretto della California ha dato ragione al CPPA, riportando la data di applicazione al 1° luglio 2023.
A quali organizzazioni si applica il CPRA?
Il CPRA si applica alle organizzazioni a scopo di lucro che operano nello Stato della California e che soddisfano uno o più dei seguenti criteri:
- Avere 25 milioni di dollari di ricavi lordi annuali al 1° gennaio dell'anno solare precedente.
- Vendere, acquistare o condividere le informazioni personali di 100.000 famiglie o consumatori californiani.
- ricavare il 50% o più dei propri ricavi dalla condivisione (termine di recente definizione) o dalla vendita di informazioni personali
Queste nuove soglie esentano alcune piccole imprese dalle norme del CPRA. Tuttavia, esse ampliano anche l ›ambito di applicazione, poiché anche le aziende che ricavano il 50% o più delle loro entrate dalla condivisione di informazioni personali rientrano nel campo di applicazione della legge.
Anche i seguenti tipi di enti saranno soggetti al CPRA:
- Joint venture o partnership in cui ciascuna azienda detiene almeno il 40% di partecipazione - ogni azienda in questo rapporto sarà considerata una singola azienda separata
-
Entità comunemente controllate, che sono entità che:
- Controllato o controllato un'azienda coperta
- Condividere un marchio comune con l'azienda
- avere accesso alle informazioni personali dei consumatori dell'azienda coperta
- Qualsiasi azienda che voglia conformarsi al CPRA, anche se non rientra nelle soglie di cui sopra
Esenzioni CPRA
I dati personali delle seguenti persone sono ora esenti dalle disposizioni del CPRA:
- Persone che partecipano a sperimentazioni cliniche o alla ricerca biomedica
- Fornitori di servizi sanitari, compresi i dati medici protetti dalla legge sulla riservatezza delle informazioni mediche.
Il CPRA ha inoltre esteso le esenzioni concesse ai dati business-to-business (B2B) e all'occupazione fino al 1° gennaio 2023.
Applicazione del CPRA
Uno dei cambiamenti più significativi introdotti dal CPRA è l'istituzione della California Privacy Protection Agency (CPPA).
l'agenzia avvia azioni attraverso il Tribunale di diritto amministrativo per applicare, regolamentare e implementare il CPRA. A differenza del sistema giudiziario statale - che in precedenza applicava il CCPA - il tribunale amministrativo fornisce udienze indipendenti e neutrali, meno formali e più trasparenti.
Questa modifica sposta la responsabilità dell'applicazione del CPRA dall'Office of the Attorney General al CPPA. Il CPPA è anche responsabile dell'educazione del pubblico sui diritti dei consumatori e sulla privacy.
Il CPPA è stato istituito nel marzo 2021 ed è composto da un consiglio di cinque membri esperti in diritti dei consumatori, tecnologia e privacy.
Definizioni nuove e ampliate nel CPRA
Il CPRA aggiunge definizioni e concetti nuovi e ampliati alle leggi sulla privacy della California.
Condivisione
Il CPRA definisce la condivisione come la divulgazione di informazioni personali a terzi per la pubblicità comportamentale cross-context. Ciò include la condivisione a titolo gratuito, in cambio di un guadagno monetario o di qualsiasi altro corrispettivo di valore.
Le aziende che condividono informazioni personali devono fornire ai consumatori un link evidente "Non condividere le mie informazioni personali" e un'opzione per rinunciare alla condivisione. Il link "Non condividere" può essere combinato con il link "Non vendere".
Informazioni personali sensibili (SPI)
Il CPRA ha mantenuto la definizione di informazioni personali data dal suo predecessore, ma ha anche aggiunto una nuova categoria denominata informazioni personali sensibili (SPI), che ha aumentato i requisiti di conformità e comprende:
- Numeri di patente di guida
- Numeri di sicurezza sociale (SSN)
- Numeri identificativi dello Stato
- Adesione al sindacato
- Numeri di passaporto
- Credenziali dell'utente, come nomi utente e password
- Dati biometrici e genetica
- Origini etniche o razziali
- Geolocalizzazioni precise
- Credenze religiose o filosofiche
- Informazioni sull'orientamento sessuale, la vita sessuale o la salute di un consumatore.
- Contenuto dei testi, della posta e delle e-mail di un consumatore
Se la vostra azienda tratta SPI di qualsiasi tipo, fate attenzione a dove conservate queste informazioni e a cosa ne fate. In base alle modifiche del CPRA, i consumatori hanno il diritto di limitare l'uso e la divulgazione degli SPI da parte dell'azienda e possono chiedervi di utilizzarli solo quando necessario.
Appaltatori
Il CPRA definisce un contraente come un individuo a cui un'organizzazione ha reso disponibili le informazioni personali di un consumatore per uno scopo commerciale stabilito da un contratto scritto.
Gli appaltatori devono certificare di aver compreso e di voler rispettare i requisiti del CPRA. Devono informare l'azienda se non sono in grado di conformarsi.
Profilazione
Per profilazione si intende qualsiasi trattamento automatizzato di informazioni personali che un'azienda effettua per fare previsioni sulla situazione economica, le preferenze, la salute, l'affidabilità, l'ubicazione, il comportamento, gli spostamenti e le prestazioni lavorative di un individuo.
Ad esempio, un'azienda fa profiling se utilizza un software per colloqui di intelligenza artificiale per osservare gli attributi personali e il comportamento di un candidato e prevedere come si comporterà sul posto di lavoro.
Informazioni disponibili al pubblico
Il CPRA ha ampliato la definizione di informazioni "disponibili al pubblico". Ora include:
- Informazioni che un'azienda ragionevolmente ritiene siano state legittimamente rese disponibili al pubblico in generale da mezzi di comunicazione ampiamente diffusi o dal consumatore.
- Informazioni fornite da una persona a cui il consumatore ha divulgato le informazioni - se il consumatore non ha limitato le informazioni a un gruppo specifico di persone
Questo aggiornamento semplifica la conformità per le aziende che raccolgono dati da fonti in cui gli utenti non limitano l'accesso ai loro contenuti.
Ne sono un esempio le piattaforme di social media come Instagram, Facebook e YouTube.
Diritti dei consumatori ampliati
Inoltre, il CPRA conferisce ai consumatori alcuni diritti nuovi e più ampi, che includono
Possibilità di rifiutare la condivisione di informazioni personali
I consumatori hanno ora il diritto di rinunciare sia alla vendita che alla condivisione di informazioni personali. Hanno questo diritto a prescindere dal fatto che la condivisione delle informazioni personali comporti o meno uno scambio di denaro o di un altro corrispettivo di valore.
Diritto di correggere e cancellare le informazioni personali inesatte
Il CPRA conferisce ai consumatori il diritto di correggere e cancellare le informazioni personali inesatte. Le aziende coperte devono inoltre informare i consumatori di questo diritto e compiere sforzi ragionevoli per correggere o cancellare gli errori dopo aver ricevuto una richiesta verificata da parte dei consumatori.
Il diritto di accesso ai dati
A differenza della legislazione attuale, il CPRA consente ai consumatori di richiedere le informazioni raccolte oltre un periodo di riferimento di 12 mesi. l'unica eccezione a questa regola è se ciò è impossibile o richiede uno "sforzo sproporzionato". Il CPPA determinerà il significato di "sforzo sproporzionato" attraverso la sua attività di regolamentazione.
Il diritto di opporsi al processo decisionale automatizzato e alla profilazione
I consumatori hanno il diritto di conoscere e rifiutare qualsiasi tipo di processo decisionale automatizzato. Pertanto, le aziende devono fornire al pubblico informazioni adeguate sul funzionamento del processo decisionale automatizzato e sul suo probabile esito.
Un diritto d'azione privato ampliato
I consumatori hanno ora un diritto di azione privata contro le aziende quando si verificano violazioni dei dati e i seguenti sono esposti o compromessi:
- Indirizzo e-mail in combinazione con una password o una domanda e risposta di sicurezza che consenta l'accesso all'account.
- Informazioni personali non criptate e non cancellate a causa della negligenza dell'azienda nell'implementare e mantenere procedure di sicurezza ragionevoli.
Diritti ampliati per i consumatori minorenni
Questa legislazione rafforza anche i diritti dei consumatori minorenni. Ad esempio, le aziende devono ottenere un consenso esplicito prima di condividere o vendere le informazioni personali di un consumatore di età inferiore ai 16 anni.
Le aziende devono inoltre stabilire un modo per consentire a un consumatore minorenne o al suo genitore/i di specificare che il consumatore ha un'età compresa tra i 13 e i 16 anni o inferiore ai 13 anni.
Obblighi ampliati per le imprese
Per tutelare i diritti dei consumatori, il CPRA ha anche ampliato gli obblighi per le aziende, che comprendono:
Requisiti per l'implementazione della sicurezza
Il CPRA richiede alle aziende di implementare attivamente "procedure e pratiche di sicurezza ragionevoli" per proteggere le informazioni personali. Se si prevede che la vostra attività crei un rischio significativo per la privacy dei consumatori, dovete eseguire controlli annuali sulla sicurezza informatica e presentare i risultati al CPPA.
Una bozza di questi requisiti di audit sulla cybersecurity è stata pubblicata dal CPPA nel dicembre 2023.
Nuovi obblighi contrattuali
Per proteggere ulteriormente i diritti dei consumatori, il CPRA impone obblighi più ampi alle aziende che condividono, vendono o divulgano informazioni personali ad appaltatori, terze parti e fornitori di servizi.
Se lavorate con una di queste parti, nei contratti scritti che stipulate con loro dovete rispettare quanto segue:
- Specificare che le informazioni divulgate o vendute dalla vostra azienda sono solo per scopi specifici e limitati.
- Rendere necessario che si conformino al CPRA e "forniscano lo stesso livello di protezione della privacy" richiesto
- Richiedere di informare l'azienda se non è più in grado di soddisfare gli obblighi del CPRA.
- Informare che si ha il diritto di adottare misure appropriate e ragionevoli per bloccare l'uso non autorizzato delle informazioni personali.
Difese limitate a seguito di violazioni di dati
Il CPRA limita inoltre le imprese dal perseguire determinate difese nelle azioni private.
In particolare, il mantenimento e l'implementazione di pratiche e procedure di sicurezza ragionevoli dopo una violazione dei dati non sarà considerato una difesa o una "cura" adeguata per tale violazione.
Limitazione dell'archiviazione e minimizzazione dei dati
Infine, ma non meno importante, questa legge stabilisce i concetti di limitazione della conservazione e di minimizzazione dei dati.
Come il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea, il CPRA stabilisce che le aziende possono raccogliere informazioni personali solo quando sono richieste o "ragionevolmente necessarie" per lo scopo per cui vengono raccolte.
Inoltre, le aziende non possono conservare le informazioni personali più a lungo di quanto sia necessario per lo scopo per cui sono state raccolte.
Sanzioni e multe CPRA
Il CPRA ha aggiunto una nuova sanzione: È ora possibile pagare multe amministrative fino a 7.500 dollari per violazioni intenzionali o per violazioni che coinvolgono informazioni personali di persone di età inferiore ai 16 anni.
Il CPRA eliminerà anche il periodo di cura di 30 giorni che inizia automaticamente dopo l'imputazione di una presunta violazione. Sarà invece il CPPA a decidere quanto tempo avete a disposizione per correggere i vostri errori. Prenderà in considerazione i seguenti fattori:
- Se intendevate violare il CPRA
- Se vi siete adoperati per porre rimedio alla presunta violazione
Consigli generali per la conformità al CPRA
Nel complesso, il CPRA ha apportato molte modifiche e aggiunte all'attuale legge sulla privacy dei dati della California ed è ora pienamente applicabile.
Poiché il CPRA si applica a tutte le informazioni personali raccolte a partire dal 1° luglio 2023, tenete a mente i seguenti suggerimenti per garantire la conformità della vostra organizzazione alle norme:
1. Verificate se il CPRA si applica alla vostra azienda.
Poiché le soglie sono cambiate, alcune società non sono più coperte dalla legge modificata.
Inoltre, tenete presente che la conformità al CPRA si estende anche al di fuori della California. Quindi, finché i residenti in California possono accedere al vostro sito web e soddisfate i criteri del CPRA, dovete conformarvi al CPRA.
2. Aggiornare l'informativa sulla privacy.
Assicuratevi che la vostra informativa sulla privacy sia conforme al CPRA. Ricordate di includere le sezioni relative a:
- Diritti dei consumatori
- Come i consumatori possono richiedere l'accesso, la cancellazione o la modifica delle informazioni personali
- Come i minori e i loro genitori possono dare il consenso alla condivisione o alla vendita delle informazioni personali dei consumatori minorenni con un modulo di consenso
Siate il più dettagliati possibile, in modo che i consumatori conoscano i loro diritti prima di fornire informazioni personali. Se le modifiche da apportare sono troppe, prendete in considerazione la possibilità di riscrivere la vostra informativa sulla privacy o di utilizzare un generatore di informativa sulla privacy
3. Aggiornare i contratti.
Leggete le disposizioni contrattuali del CPRA e iniziate a modificare i contratti e i modelli di contratto per terzi, appaltatori e fornitori di servizi. Verificate quindi se sono in grado di soddisfare questi nuovi requisiti. In caso contrario, potrebbe essere necessario trovare nuovi fornitori in grado di rispettare il CPRA.
4. Aggiornate il vostro sito web.
Per conformarsi al diritto ampliato del CPRA di non condividere le informazioni personali con terzi a scopo pubblicitario, è necessario aggiungere un link "Non vendere le mie informazioni personali" sulla propria homepage.
È inoltre necessario aggiungere un link "Limita l'uso dei miei dati personali sensibili" per conformarsi alla limitazione dell'uso dei dati sensibili dei consumatori prevista dal CPRA.
Per entrambi i link, è necessario utilizzare un carattere grande e leggibile, che sia facilmente leggibile sulle versioni mobile e desktop del sito web.
