Un requisito del California Consumer Protection Act (CCPA) è quello di fornire ai consumatori un link "Non vendere o condividere le mie informazioni personali" in modo che possano rinunciare alla vendita o alla condivisione dei loro dati, a volte indicato come una pagina "Non vendere i miei dati".
Di seguito, spiego i requisiti di una pagina "Non vendere o condividere i miei dati personali", quando utilizzarla e dove collocarla sul vostro sito web.
- What Does The CCPA "Do Not Sell or Share" Rule Mean?
- E se non vendete o condividete informazioni personali?
- What are Examples of Compliance with the “Do Not Sell or Share My Personal Information" Rule?
- How Do I Create a “Do Not Sell or Share My Personal Information" Page?
- What Should Be Included on a “Do Not Sell or Share My Personal Information" Page?
- Where Should the “Do Not Sell or Share My Personal Information" Page Be Displayed for Compliance?
- How Did the CPRA Amendments Impact the CCPA "Do Not Sell My Personal Data" Link Requirements?
What Does The CCPA “Do Not Sell or Share” Rule Mean?
Per raccogliere e vendere legittimamente le informazioni personali dei vostri consumatori ai sensi del CCPA, dovete seguire determinate regole.
Che cos'è la regola "Non vendere o condividere"?
Ai sensi del CCPA, la "regola di non vendere o condividere" si riferisce al diritto dei vostri utenti di rinunciare alla vendita o alla condivisione delle loro informazioni personali.
Dovete fornire ai vostri utenti uno o più modi per esercitare questo diritto, e il testo del CCPA raccomanda di aggiungere un link "Non vendete o condividete le mie informazioni personali" nel footer del vostro sito web.
Se non seguite questa linea guida, potreste incorrere in dure sanzioni da parte del Procuratore Generale della California, con conseguenti multe e sanzioni gravi.
Cosa sono le informazioni personali?
Vediamo poi cosa il CCPA considera informazioni personali.
Le informazioni personali sono definite come informazioni che possono identificare, riguardare, descrivere, associare o collegare direttamente o indirettamente a un consumatore o a una famiglia e comprendono quanto segue:
- Identificatori
- Tutte le categorie di informazioni personali descritte nella sottodivisione (e) della sezione 1798.80
- Caratteristiche delle classificazioni protette dalla legge californiana o federale
- Informazioni commerciali (come lo storico degli acquisti)
- Informazioni biometriche
- Informazioni sull'attività di Internet o di altre reti elettroniche
- Dati di geolocalizzazione
- Informazioni audio, elettroniche, visive, termiche, olfattive o simili.
- Informazioni professionali o relative al lavoro
- Informazioni sull'istruzione non disponibili pubblicamente
- Inferenze da una qualsiasi delle informazioni identificate in questa suddivisione per creare un profilo su un consumatore
- Informazioni personali sensibili
Le informazioni personali non includono:
- Informazioni de-identificate o aggregate
- Informazioni pubblicamente disponibili, come i documenti del governo federale, statale o locale.
What are the Requirements of the “Do Not Sell or Share” Rule?
Ecco cosa c'è da sapere sulla regola "Non vendere o condividere" e come rispettarla:
- Accessibilità e comprensione: Il link alla pagina "Non vendere o condividere i miei dati personali" deve essere "chiaro e visibile" e "ragionevolmente accessibile" a tutti i consumatori.
- Posizione: Fornisci l'accesso all'opt-out sulla homepage, sulla pagina dell'informativa sulla privacy conforme al CCPA e su qualsiasi pagina che raccolga informazioni personali.
- Due metodi: Dovete fornire alle persone due metodi per inviare richieste di "non vendere o condividere le mie informazioni personali" e uno di questi metodi deve essere un modulo web interattivo accessibile dalla pagina "non vendere". l'altro metodo può essere un numero verde, un'e-mail designata o altri metodi.
- Account: I consumatori non hanno bisogno di creare un account per esercitare il loro diritto di rinunciare alla vendita delle loro informazioni personali.
- Astensione: Dovete rispettare la decisione di un consumatore di rinunciare alla vendita delle sue informazioni personali per almeno 12 mesi. Al termine di questo periodo, potrete ricontattare il consumatore e chiedergli di scegliere di tornare.
- Formazione: È necessario fornire una formazione al personale responsabile dell'elaborazione di queste richieste. Il personale deve conoscere le disposizioni del CCPA e sapere come orientarsi nella politica aziendale.
- Non è possibile chiedere un documento di identità: Le aziende non possono chiedere di verificare l'identità delle persone che presentano la richiesta di non vendita.
E se non vendete o condividete informazioni personali?
La regola "Non vendere o condividere" si applica solo alle aziende che vendono o condividono informazioni personali.
Il CCPA definisce la vendita come:
... vendere, affittare, rilasciare, divulgare, rendere disponibile, trasferire o comunicare in altro modo, oralmente, per iscritto o con mezzi elettronici o di altro tipo, le informazioni personali di un consumatore da parte dell'azienda a una terza parte in cambio di un corrispettivo monetario o di altro valore.
Definisce la condivisione come:
... condividere, affittare, rilasciare, divulgare, diffondere, rendere disponibile, trasferire o comunicare in altro modo, oralmente, per iscritto o con mezzi elettronici o di altro tipo, le informazioni personali di un consumatore da parte dell'azienda a una terza parte per la pubblicità comportamentale intercontestuale, sia in cambio di un corrispettivo monetario o di altro valore, comprese le transazioni tra un'azienda e una terza parte per la pubblicità comportamentale intercontestuale a beneficio di un'azienda in cui non viene scambiato denaro.
Se non svolgete nessuna di queste attività, allora non state vendendo o condividendo le informazioni personali dei vostri clienti e non avete bisogno di una pagina "Non vendere o condividere le mie informazioni personali".
Tuttavia, è possibile che si voglia far sapere agli utenti che non si vendono le loro informazioni, come evidenziato in alcuni degli esempi che seguono.
What are Examples of Compliance with the “Do Not Sell or Share My Personal Information” Rule?
Di seguito sono riportati alcuni esempi di come le aziende si conformano alla regola "Non vendere o condividere" del CCPA:
Modulo "Non vendere o condividere le mie informazioni personali" di T Mobile
T Mobile ha un buon esempio di modulo "Non vendete o condividete i miei dati personali" che è collegato al piè di pagina del loro sito web.
Come mostrato di seguito, il link porta a una pagina che descrive chiaramente i diritti degli utenti sulle loro informazioni, compreso il diritto di rinunciare alla vendita o alla condivisione dei loro dati.
Gli utenti possono selezionare un pulsante per rinunciare al trattamento dei dati e controllare le proprie preferenze di privacy anche su altri account T Mobile.
Quando create una di queste pagine per il vostro sito, cercate di essere il più esaurienti possibile, in modo che sia molto facile per i vostri utenti californiani capire quali passi devono compiere per rispettare adeguatamente i loro diritti alla privacy.
How Do I Create a “Do Not Sell or Share My Personal Information” Page?
Ecco tre esempi di come creare una pagina "Non vendere o condividere le mie informazioni personali" per il vostro sito web.
Use a Managed Solution (Termly)
Creare un'informativa sulla privacy utilizzando il nostro generatore di informativa sulla privacy - è necessario specificare che si vuole essere conformi al CCPA.
Il generatore crea automaticamente la pagina "Non vendere o condividere i miei dati personali".
Modello
Potete anche creare la vostra pagina "Non vendete o condividete i miei dati personali" seguendo un modello e compilando le informazioni pertinenti, specifiche per la vostra azienda.
FAI DA TE
È sempre possibile creare manualmente la pagina "Non vendere o condividere i miei dati personali".
Tuttavia, se lo fate, assicuratevi di includere tutte le sezioni pertinenti per evitare eventuali sanzioni.
What Should Be Included on a “Do Not Sell or Share My Personal Information” Page?
Se decidete di avere bisogno di una pagina "Non vendete o condividete i miei dati personali", ecco uno schema di ciò che dovete includere in essa.
Diritto di recesso
Dovreste spiegare il diritto di opt-out dalla vendita o dalla condivisione di informazioni personali previsto dalla CCPA, in modo che il consumatore possa decidere con cognizione di causa se esercitare il proprio diritto.
Dare ai consumatori la possibilità di scegliere quali tipi di informazioni personali vengono vendute o condivise.
Ad esempio, potrebbero non avere problemi a vendere la cronologia delle loro transazioni passate, ma non vogliono che vengano venduti i loro dati di localizzazione e biometrici.
La fornitura di opzioni consente ai consumatori di controllare quali informazioni personali consentono di condividere e vendere a livello granulare, il che è utile per le operazioni commerciali.
Come rinunciare
Dovete spiegare come i consumatori possono esercitare il loro diritto di rinunciare alla vendita o alla condivisione delle loro informazioni personali.
Il CCPA richiede che gli utenti dispongano di un modulo web per l'invio delle richieste di opt-out.
Dovete quindi fornire un secondo modo per le persone di presentare le loro richieste, che potrebbe essere:
- un'e-mail
- Un numero verde
- Un controllo globale della privacy
Where Should the “Do Not Sell or Share My Personal Information” Page Be Displayed for Compliance?
Ricordate che il CCPA richiede che il link alla pagina "Non vendere o condividere i miei dati personali" sia visualizzato in parti specifiche del vostro sito web:
- Sulla homepage del suo sito web
- In tutte le pagine che raccolgono informazioni personali
- Nella pagina dell'informativa sulla privacy
- Nella pagina di download dell'applicazione o nella pagina della piattaforma dell'applicazione.
Il link deve essere "chiaro e visibile" e facile da trovare per i consumatori.
Footer del sito web
Gli utenti sono abituati a trovare le informazioni e le pagine legali di un'azienda all'interno del footer, quindi inserire un link alla pagina "Non vendere o condividere le mie informazioni" è una scommessa sicura.
consenso ai cookie Informativa
Un altro punto in cui includere il link "Non vendere o condividere i miei dati personali" è il banner dei cookie. cookie banner che appare quando gli utenti visitano per la prima volta il vostro sito web.
Tuttavia, poiché questa pagina appare solo la prima volta che il consumatore visita il vostro sito web, assicuratevi di avere il link "Non vendere o condividere i miei dati personali" in altre parti del vostro sito web.
All'interno dell'informativa sulla privacy
Dovreste anche inserire il link "Non vendete o condividete i miei dati personali" nella vostra informativa sulla privacy, poiché gli utenti tendono ad andare lì per qualsiasi problema di privacy.
Come il piè di pagina del sito web, anche l'informativa sulla privacy è una posizione appropriata.
How Did the CPRA Amendments Impact the CCPA “Do Not Sell My Personal Data” Link Requirements?
The CCPA was enacted in January 2020 and regulated the following:
- I metodi che le aziende possono utilizzare per raccogliere, elaborare, conservare e vendere le informazioni e i dati personali dei residenti californiani.
- I diritti che i residenti in California possono esercitare per proteggere le loro informazioni personali.
- Le conseguenze per le aziende che violano le disposizioni del CCPA.
È stato modificato nel gennaio 2023 dal California Privacy Rights Act(CPRA), che ha introdotto:
- A new legal threshold,
- The concept of sharing personal data,
- The addition of the category of sensitive personal data,
- New consumer rights,
- Lievi modifiche ai requisiti aziendali.
Both are now in full effect, and the amended law is still called the CCPA.
Quali sono i diritti del CCPA?
Il CCPA garantisce una maggiore trasparenza nella raccolta dei dati dei residenti in California e offre loro un maggiore controllo su ciò che accade alle loro informazioni, concedendo loro i seguenti diritti.
Diritto di sapere
Il consumatore ha il diritto di richiedere la divulgazione delle seguenti informazioni:
- Categorie e parti specifiche di informazioni personali che raccogliete
- Finalità della raccolta di tali informazioni personali
- Categorie di terzi con cui condividete le informazioni personali
- Categorie di informazioni personali che condividete con terze parti
Diritto di cancellare
I consumatori hanno il diritto di richiedere la cancellazione delle informazioni personali raccolte su di loro.
Diritto di recesso
I diritti di opt-out previsti dal CCPA consentono ai consumatori di:
- Richiedere che non vengano vendute o condivise le loro informazioni personali, ad esempio fornendo una pagina "Non vendere le mie informazioni personali".
- Richiedere che non vengano raccolti i loro dati personali sensibili
- Rinuncia al processo decisionale automatizzato e alla profilazione
Fatte salve le eccezioni, se ricevete una richiesta di opt-out da parte di un consumatore, il CCPA vi impone di attendere almeno 12 mesi prima di chiedere nuovamente al consumatore di aderire.
Bambini e informazioni personali
Il CCPA prevede requisiti speciali per la privacy dei bambini che dovete rispettare se e quando vendete le informazioni personali dei bambini:
- Bambini di età inferiore ai 16 anni: Se un bambino rientra in questa fascia d'età, non è possibile vendere o condividere le sue informazioni personali a meno che il genitore o il tutore non lo autorizzi, acconsentendo alla vendita delle informazioni.
- Bambini di età compresa tra i 13 e i 16 anni: Se un bambino rientra in questa fascia d'età, è necessario ottenere un'autorizzazione esplicita alla vendita o alla condivisione dei suoi dati personali, ma tale autorizzazione può provenire dal bambino stesso.
Diritto alla non discriminazione
Non è possibile negare a un consumatore un bene o un servizio, offrire un prezzo diverso o fornire una qualità diversa di un bene o di un servizio se questi esercita i propri diritti ai sensi del CCPA.
È necessario conformarsi al CCPA?
un'azienda, indipendentemente dalla sua ubicazione nel mondo, deve conformarsi al CCPA se soddisfa i seguenti criteri:
- Opera a scopo di lucro;
- Raccoglie le informazioni personali dei propri clienti;
- Determina lo scopo e i mezzi del trattamento dei dati;
- Servizi ai residenti in California E soddisfa uno dei seguenti requisiti:
- Il fatturato lordo annuale supera i 25 milioni di dollari;
- Acquista, riceve, vende o condivide, per scopi commerciali, le informazioni personali di 100.000 o più consumatori, famiglie o dispositivi, OPPURE
- Ricava più del 50% delle sue entrate annuali dalla vendita o dalla condivisione delle informazioni personali dei suoi consumatori.
Le organizzazioni senza scopo di lucro e le agenzie governative sono esenti dal CCPA.
In base al CCPA, i residenti in California hanno ora un maggiore controllo sui propri dati personali e sul modo in cui le aziende possono raccoglierli e gestirli.
The “Do Not Sell or Share My Personal Information” page is the mechanism for which consumers can exercise their right to opt out of the sale or sharing of their personal information.
It must be clear, conspicuous, easy for your consumers to find, and linked in more than one location.
Assicurarsi che il personale che gestisce le richieste sia adeguatamente formato per soddisfare tali richieste e rispettare i requisiti del CCPA.
Per saperne di più su chi scrive
Scritto da Ali Talip Pınarbaşı, CIPP/E, & LLM
Ali è avvocato specializzato in diritto della privacy con sede a Londra. Ha conseguito un Master in diritto della privacy dell’UE al King’s College di Londra. Ha sei anni di esperienza nel fornire consulenza alle aziende su come conformarsi alle normative sulla protezione dei dati. Per saperne di più su chi scrive
