Volete impostare il vostro sito web o la vostra app in modo che sia pienamente conforme alla recente modifica del California Consumer Privacy Act(CCPA)?
Di seguito, vi presento una lista di controllo per la conformità al CCPA facile da seguire e vi fornisco suggerimenti per semplificare la conformità a una delle leggi sulla privacy dei dati più severe degli Stati Uniti.
- Lista di controllo per la conformità CCPA (aggiornata con i requisiti CPRA)
- I requisiti della lista di controllo CCPA spiegati
- Suggerimenti per la conformità con il CCPA e il CPRA
- Sanzioni in caso di mancata osservanza del CCPA
- FAQ sulla conformità CCPA
- Come Termly aiuta la vostra azienda a rispettare il CCPA
- Riassunto
Lista di controllo per la conformità CCPA (aggiornata con i requisiti CPRA)
Di seguito è riportata una lista di controllo facile da seguire che copre tutti gli aspetti della conformità CCPA per le aziende applicabili a siti web e app, con tutti gli emendamenti CPRA inclusi.
|
Parte 1 - Verifica del sito web o dell'applicazione
Soluzione: Controllare manualmente le informazioni che raccogliete e usare il nostro Cookie Scanner per individuare i cookie utilizzati. |
Fonte |
|
Le imprecisioni nella raccolta dei dati possono portare a multe per mancata conformità. |
|
Parte 2 - Cosa si DEVE comunicare al momento o prima della raccolta dei dati
Soluzione: Creare un'informativa sulla privacy conforme al CCPA e includere... |
Fonte |
|
1798.100 (a) |
|
1798.105 (b) |
|
1798.106 (b) |
|
1798.110 (c) (1-5) |
|
1798.100 (c) |
|
Parte 3 - Obblighi contrattuali per la condivisione o la vendita di informazioni personali
Soluzione: Creare un accordo per il trattamento dei dati(DPA) che voi e la terza parte dovete firmare e che stabilisce quanto segue: |
Fonte |
|
1798.100 (d) |
|
Parte 4 - Diritti di opt-out dei consumatori, limitazione della vendita e della condivisione di informazioni personali e non discriminazione
Soluzione: Utilizzare link conformi alla legge, rispettare le preferenze di consenso del browser e pubblicare un modulo DSAR o SAR. |
Fonte |
|
1798.120 (a - d) |
|
1798.121 (a - d) |
|
1798.125 (1) (a-e), (2) e (3) |
|
Parte 5 - Richieste verificabili dei consumatori e obblighi dell'azienda
Soluzione: Fornire agli utenti opzioni come un modulo DSAR, un indirizzo e-mail specifico e onorare i controlli globali sulla privacy (GPC). |
Fonte |
|
1798.130(a)(1)(A) |
|
1798.130(1)(2)(A) |
|
Parte 6 - Requisiti relativi alle procedure e alle pratiche di sicurezza
Soluzione: Implementare protocolli di sicurezza ragionevoli in base alla natura delle informazioni raccolte. |
Fonte |
|
1798.100 (e) |
|
Parte 7 - Mostrare l'informativa sulla privacy
Soluzione: Rendete evidente agli utenti la vostra politica sulla privacy. |
Fonte |
|
1798.100 (b) |
I requisiti della lista di controllo CCPA spiegati
In seguito, spiegherò ulteriormente i requisiti citati nella lista di controllo CCPA di cui sopra.
Cosa si intende per informazioni personali ai sensi del CCPA?
La sezione 1798.140(v)(1) del CCPA modificato definisce le informazioni personali, in parte, come:
"... informazioni che identificano, si riferiscono a, descrivono, sono ragionevolmente associabili a, o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, a un particolare consumatore o famiglia...".
La legge mantiene questa definizione ampia per tenere conto della tecnologia attuale e futura.
Di seguito è riportato un elenco di tutte le informazioni personali attualmente elencate nel testo del CCPA:
- Nomi reali
- Alias
- Indirizzo postale
- Identificatore personale unico
- Identificato online
- Indirizzo IP
- Indirizzo e-mail
- Nome del conto
- Numero di previdenza sociale
- Numero di patente di guida
- Numero di passaporto
- Altri identificatori simili
- Caratteristiche protette dalla legge californiana o federale
- Informazioni commerciali
- Registri di proprietà personale
- Informazioni biometriche
- Informazioni sull'attività di Internet o di altre reti elettorali
- Cronologia di navigazione
- Storia della ricerca
- Informazioni sull'interazione dei consumatori con un sito web, un'applicazione o una pubblicità.
- Dati di geolocalizzazione
- Informazioni audio, elettroniche, visive, termiche, olfattive o simili.
- Informazioni professionali o relative al lavoro
- Informazioni sull'istruzione
- Inferenze tratte da qualsiasi informazione contenuta in questo elenco utilizzata per creare un profilo del consumatore
- Informazioni personali sensibili
Tuttavia, il testo evidenziato nella schermata sottostante mostra ciò che non si qualifica come informazione personale secondo questa legge:
La definizione legale di informazioni pubbliche indica tutto ciò che viene reso disponibile per legge dagli archivi delle amministrazioni federali, statali o locali. Sono comprese anche le informazioni che i consumatori scelgono di rendere disponibili, purché non abbiano limitato i dati a un pubblico specifico.
Informazioni personali sensibili
Gli emendamenti del CPRA al CCPA hanno introdotto nella legge la categoria dei dati personali sensibili, che comprende:
- Numeri di previdenza sociale
- Numeri di patente di guida
- Numeri della carta d'identità dello Stato
- Numeri di passaporto
- Informazioni sul conto di accesso o informazioni sul conto finanziario, carta di credito o di debito in combinazione con qualsiasi codice di sicurezza o di accesso o credenziali richieste.
- Geolocalizzazione precisa
- Origine razziale o etnica
- Credenze religiose o filosofiche
- Adesione al sindacato
- Contenuto della posta, delle e-mail o dei messaggi di testo di un consumatore
- Dati genetici
- Dati sulla salute
- Vita sessuale o orientamento sessuale
I consumatori hanno il diritto di limitare l'uso delle loro informazioni sensibili in qualsiasi momento e possono chiedere che vengano trattate solo per quanto ragionevolmente necessario per eseguire i servizi o fornire i beni.
Ai sensi della Sezione 1798.121, dovete onorare le richieste di non utilizzare o divulgare i loro dati sensibili, e qualsiasi fornitore di servizi o appaltatore che vi assiste deve fare lo stesso.
In che modo il CCPA definisce la condivisione?
In base al CCPA modificato, i consumatori hanno il diritto di rinunciare alla vendita e alla condivisione dei loro dati personali.
È importante capire come la legge definisce la condivisione e il suo rapporto con la vendita quando si compila la lista di controllo CCPA, perché le definizioni legali non corrispondono a come usiamo questi termini nelle conversazioni quotidiane.
Condividere, ai sensi della Sezione 1798.140 (ah), significa intraprendere una qualsiasi delle seguenti azioni relative alle informazioni personali dei consumatori:
- Condivisione
- Noleggio
- Rilascio
- Divulgazione
- Diffusione
- Messa a disposizione
- Trasferimento
- Comunicando altrimenti oralmente, per iscritto o con mezzi elettronici
Il CCPA non si preoccupa se tra la vostra azienda e una terza parte si verifica una transazione monetaria quando si condividono informazioni personali.
Non è necessario che ci sia uno scambio di valore di alcun tipo. Un utente può comunque scegliere di non utilizzare i propri dati per attività come la pubblicità comportamentale cross-context, anche se non c'è alcuno scambio di denaro.
Informazioni sulle valutazioni del rischio conformi alla CCPA
Se elaborate informazioni che potrebbero rappresentare un rischio significativo per la privacy o la sicurezza dei consumatori, dovete eseguire regolarmente audit di cybersecurity e presentare valutazioni del rischio alla California Privacy Protection Agency(CPPA).
Gli emendamenti del CPRA a questa legge hanno introdotto il CPPA come agenzia di applicazione amministrativa, sostituendo quello che era il compito dell'Ufficio del Procuratore Generale della California.
Nell'ambito della valutazione dei rischi, è necessario
- Includere se si trattano dati personali sensibili
- Identificare e soppesare i benefici derivanti dal trattamento delle informazioni per la vostra azienda, per il consumatore, per le altre parti interessate e per il pubblico.
- Confrontare i benefici con i rischi per i diritti del consumatore in merito al trattamento delle informazioni.
- Mantenere l'obiettivo di limitare e vietare il trattamento delle informazioni se i rischi superano i benefici.
Il CPPA è responsabile di fornire al pubblico un rapporto che riassume tutte le valutazioni del rischio depositate presso l'agenzia.
Requisiti di sicurezza CCPA
La California ha introdotto la sezione 1798.81.5 del Codice Civile per fornire indicazioni su come le aziende possono implementare misure di sicurezza ragionevoli in merito alle informazioni personali raccolte.
Secondo la sezione 1798.150 del CCPA modificato, è vostra responsabilità mantenere al sicuro le informazioni personali dei vostri utenti, altrimenti questi ultimi potranno intraprendere un'azione civile contro di voi se:
- Le loro informazioni personali non crittografate e non riservate sono accessibili o esfiltrate senza autorizzazione, rubate o divulgate a causa di protocolli di sicurezza inadeguati.
- Il loro indirizzo e-mail - in combinazione con la loro password, le risposte alle domande di sicurezza o qualsiasi altra risposta che consenta l'accesso a un account - è accessibile o esfiltrabile senza autorizzazione, viene rubato o divulgato come risultato di pratiche di sicurezza inadeguate.
Dovete implementare misure di sicurezza ragionevoli e adeguate per evitare che le informazioni personali dei consumatori siano oggetto di accesso, distruzione, uso, modifica o divulgazione non autorizzati.
Suggerimenti per la conformità con il CCPA e il CPRA
Per impostare la vostra azienda in modo che sia conforme al CCPA e al CPRA, vi consiglio di seguire i seguenti suggerimenti.
Suggerimento 1
Pubblicate un'informativa sulla privacy conforme al CCPA che spieghi quali informazioni personali e sensibili raccogliete, utilizzate, condividete o vendete e che informi i consumatori sui loro diversi diritti in materia di privacy dei dati.
Suggerimento 2
Pubblicare un link all'informativa sulla privacy in una posizione ben visibile sulla homepage del sito web o dell'app, oppure divulgare queste informazioni al momento della raccolta dei dati o prima di essa.
Suggerimento 3
Utilizzare una gestione del consenso platform che consenta ai consumatori californiani di esercitare tutti i diritti di opt-out.
Suggerimento 4
Utilizzate una DPA conforme per soddisfare gli obblighi contrattuali con qualsiasi terza parte con cui lavorate che abbia accesso alle informazioni personali dei vostri consumatori.
Suggerimento 5
Pubblicate un link "Non vendete o condividete le mie informazioni personali", un link "Limitate l'uso delle mie informazioni personali sensibili" e assicuratevi di rispettare le impostazioni di consenso degli utenti in base ai loro browser.
Suggerimento 6
Pubblicare un modulo di richiesta di accesso ai dati(DSAR o SAR) per consentire agli utenti di esercitare facilmente i propri diritti di accesso, cancellazione o correzione delle informazioni personali.
Suggerimento 7
Implementare procedure e pratiche di sicurezza ragionevoli in relazione alla natura dei dati raccolti.
Sanzioni in caso di mancata osservanza del CCPA
Le sanzioni per il mancato rispetto del CCPA, anche per errore, comprendono:
- $2.500 per violazione non intenzionale
- 7.500 dollari per violazione intenzionale o per qualsiasi reato che coinvolga un minore di 16 anni.
Non esiste più un periodo di grazia per sanare le violazioni del CCPA ora che sono in vigore gli emendamenti del CPRA.
l'agenzia per la protezione della privacy della California(CPPA) decide invece su base individuale quanto tempo ha a disposizione ogni azienda per correggere i propri errori e valuterà se l'azienda:
- Violazione intenzionale del CCPA
- Si è adoperato per porre rimedio alla presunta violazione
I consumatori possono anche intraprendere un'azione privata contro le imprese se:
- Le informazioni personali non crittografate e non redatte vengono compromesse
- I loro indirizzi e-mail, in combinazione con una password o altri dettagli che consentono l'accesso a un account, vengono violati.
FAQ sulla conformità CCPA
Volete maggiori informazioni sulla conformità al CCPA? Di seguito trovate alcune delle domande più frequenti che ci vengono rivolte su questa legge sulla privacy dei dati.
Che cos'è il CCPA?
Il CCPA è una legge statale approvata in California che delinea gli obblighi aziendali per le entità che raccolgono ed elaborano le informazioni personali degli utenti e descrive i diritti dei cittadini.
Quando è stata attivata la CCPA?
È entrato in vigore il 1° gennaio 2020 ed è stato modificato dal Consumer Privacy Rights Act (CPRA) a partire dal 1° gennaio 2023.
Tutte le parti del CCPA non interessate dagli emendamenti del CPRA rimangono in vigore.
Chi protegge il CCPA?
Il CCPA protegge solo le persone fisiche della California. Se non siete residenti in California, non vi sono garantiti i diritti sulla privacy dei dati delineati dal CCPA.
A chi si applica il CCPA?
Il CCPA si applica alle entità che operano in California e che soddisfano una delle seguenti soglie:
- Ha realizzato 25 milioni di dollari di fatturato annuo lordo a partire dal 1° gennaio dell'anno solare precedente.
- Annualmente acquista, vende o condivide le informazioni personali di 100.000 o più consumatori o famiglie della California
- Il 50% o più del vostro fatturato annuo lordo è derivato dalla vendita o dalla condivisione di informazioni personali.
Qual è la differenza tra CCPA e CPRA?
Il CPRA è una serie di emendamenti scritti per adattare e aggiornare parti del CCPA. Entrambi sono ora in vigore e vengono indicati collettivamente come semplicemente il CCPA, il CCPA modificato o il CCPA emendato.
Come Termly aiuta la vostra azienda a rispettare il CCPA
I nostri strumenti, generatori e soluzioni di consenso supportati da leggi possono aiutare la vostra azienda a conformarsi completamente a tutti gli aspetti del CCPA e degli emendamenti del CPRA.
Offriamo tutte le seguenti risorse aziendali necessarie:
- Generatore di Informativa sulla Privacy
- modello di informativa sulla privacy
- gestione del consenso PlatformCMP)
- Moduli di richiesta di accesso ai dati (DSAR o SAR)
- "link "Non vendere o condividere le mie informazioni personali
- "Link "Limitare l'uso dei miei dati personali
In seguito, vi illustrerò come potete affidarvi a ciascuno di questi strumenti per ottenere la piena conformità alla CCPA.
Generatori di politiche e modelli
Potete utilizzare il nostro generatore di informativa sulla privacy e il modello gratuito per creare un'informativa sulla privacy conforme al CCPA in pochi minuti.
Grazie al nostro team legale e ai nostri esperti di privacy, le nostre soluzioni includono le clausole e le informazioni richieste dalle recenti modifiche del CPRA.
Inoltre, coprono quanto segue:
- Regolamento generale sulla protezione dei dati (GDPR)
- Il GDPR del Regno Unito
- Legge sulla protezione della privacy online in California(CalOPPA)
- Legge sulla protezione dei dati dei consumatori della Virginia(CDPA)
- Legge sulla protezione delle informazioni personali e dei documenti elettronici(PIPEDA)
Con il nostro generatore di informativa sulla privacy, tutto ciò che dovete fare è rispondere ad alcune semplici domande sulla vostra attività e i nostri strumenti creeranno per voi una politica conforme e di facile lettura.
Nessun problema, nessuno stress, solo facilità.
Di seguito è riportata una schermata del nostro generatore conforme alla CCPA.
Potete anche scaricare e personalizzare il nostro modello gratuito e sostituire semplicemente le sezioni vuote del documento con i dettagli della vostra azienda.
Vedi un esempio di quello che è il nostro modello di informativa sulla privacy è riportato qui di seguito.
Qualunque sia la soluzione scelta, potete fidarvi del fatto che il nostro team legale e i nostri esperti di privacy hanno verificato tutti i nostri generatori e modelli. In questo modo, potete stare tranquilli sapendo che la vostra azienda è impostata per una conformità alla privacy di successo.
Consent Management Platform (CMP)
La nostra gestione del consenso Platform, supportata dal nostro team legale e da esperti di privacy, può essere facilmente configurata per soddisfare tutti i requisiti di consenso CCPA.
Secondo la legge, i consumatori hanno il diritto di rinunciare a determinati tipi di trattamento dei dati e il nostro centro di consenso accessibile soddisfa questo requisito legale.
Inoltre, è possibile personalizzare un cookie banner e creare un'accurata politica sui cookie per tenere adeguatamente informati i consumatori californiani.
Di seguito, un esempio di come si presentano i nostri strumenti CMP .
Ricordate che i cookie e altri tracker si qualificano come informazioni personali ai sensi del CCPA e i consumatori hanno il diritto di sapere quali informazioni vengono tracciate. Utilizzate lo strumento Cookie Scanner del nostro sito web per verificare il vostro sito e individuare tutti i cookie attualmente utilizzati.
Moduli di richiesta di accesso ai dati (DSAR o SAR)
Come parte del nostro CMP, avrete accesso a un modulo DSAR o SAR in modo che i vostri consumatori possano facilmente far valere i loro diritti di richiedere l'accesso, la correzione o la cancellazione dei loro dati personali.
Link "Non vendere o condividere le mie informazioni personali" e "Limitare l'uso delle mie informazioni personali".
La nostra gestione del consenso platform vi fornisce anche la dicitura "Non vendere o condividere i miei dati personali", che potete inserire nel piè di pagina del vostro sito web o della vostra applicazione per soddisfare i requisiti delineati dalla sezione 1798.135(a)(3) della legge, riportata nella schermata sottostante.
Per semplificare il processo con cui gli utenti possono esercitare i loro diritti in materia di privacy, il CCPA prevede che possiate combinare questo link con il link "Limita l'uso delle mie informazioni personali sensibili", purché entrambe le funzioni siano disponibili per i consumatori.
Riassunto
Potete utilizzare la nostra lista di controllo per impostare la vostra azienda in modo da garantire la conformità al CCPA.
Ricordate che avrete bisogno di una politica sulla privacy e sui cookie, di una gestione del consenso platform consenso conforme, di un modulo DSAR o di altri mezzi per consentire agli utenti di esercitare i propri diritti e di DPA per alcuni tipi di trattamento.
Potete scrivere voi stessi queste policy, utilizzare dei modelli o rendere l'intero processo ancora più semplice accedendo alla nostra suite completa di generatori di policy e soluzioni di consenso per siti web conformi al CCPA.
Per saperne di più su chi scrive
Scritto da Josh Langeland, CIPM
Ciao, sono Josh! Sono un ingegnere della privacy appassionato dell'uso della tecnologia per rispettare la privacy degli utenti. Mi trovo a mio agio nell'intersezione tra la tecnologia complessa e le leggi sulla privacy in continua evoluzione. Se non sto redigendo una revisione del progetto o riarchitettando un sistema, potrei trovarmi a leggere una biografia o a fare un'escursione nel parco nazionale più vicino. Per saperne di più su chi scrive
