HomeRisorseElenchi di controlloRequisiti di conformità CPRA in 7 fasi...

Lista di controllo dei requisiti di conformità CPRA in 7 fasi

A cura di: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP | Updated on: January 15, 2026

Elenco di controllo CPRA

Il California Privacy Rights Act(CPRA) è entrato in vigore il 1° gennaio 2023, modificando alcune parti del California Consumer Privacy Act(CCPA).

Oggi gli emendamenti al CPRA sono interamente in vigore, comprese tutte le norme di applicazione stabilite dalla California Privacy Protection Agency (CPPA), il gruppo responsabile dell'applicazione della legge.

I siti web soggetti alle modifiche del CPRA e del CCPA possono seguire i passaggi indicati di seguito per far fronte agli obblighi previsti dalla legge.

Indice dei contenuti
  1. Lista di controllo della conformità CPRA: Passo dopo passo
  2. FAQ sui requisiti CPRA

Lista di controllo della conformità CPRA: Passo dopo passo

Parte 1: Eseguire una verifica della privacy

Per adempiere agli obblighi previsti dal CCPA, così come modificato dal CPRA, iniziate a condurre una verifica della privacy in modo da poterne essere certi:

  • Tutte le informazioni personali che la vostra azienda accumula
  • Da dove viene
  • Come viene raccolto

Ad esempio, potreste acquisire i dati direttamente dagli utenti attraverso i moduli internet, distribuendo i cookie sui loro browser o da fonti pubblicamente disponibili.

Se non conoscete tutte queste informazioni, non potete dire di essere pienamente conformi al CCPA, come modificato dal CPRA, e la vostra azienda rischia di essere multata per violazione della legge.

Per eseguire il proprio inventario dei dati, prendere in considerazione le seguenti tecniche:

Parte 2: Requisiti di notifica della privacy

Le aziende devono rispettare specifici obblighi di notifica della privacy nell'ambito dei requisiti del CPRA.

Per tenere conto delle modifiche del CPRA, pubblicate sul vostro sito web un'informativa sulla privacy pronta per il CCPA che includa tutti i seguenti dettagli:

  • Le categorie di dati personali raccolti
  • Le fonti da cui sono stati raccolti i dati.
  • Lo scopo per cui raccogliete, utilizzate, vendete o condividete i dati personali.
  • Se condividete o vendete i dati personali a terzi.
  • Le categorie di soggetti terzi che hanno accesso ai dati.
  • La durata della conservazione di ciascuna categoria di dati personali.
  • I criteri utilizzati per determinare la durata della conservazione dei dati.
  • Informazioni sui diritti dei consumatori a richiedere la cancellazione dei propri dati personali.
  • Informazioni sui diritti dei consumatori a richiedere la correzione dei propri dati personali.

È possibile raccogliere, utilizzare, conservare e condividere i dati solo nel modo ritenuto ragionevolmente necessario per raggiungere gli scopi dichiarati nell'informativa sulla privacy.

Come richiesto dalla legge, prevedete di aggiornare la vostra informativa sulla privacy almeno una volta ogni 12 mesi.

Parte 3: Ottenere il consenso adeguato dei consumatori per un trattamento specifico dei dati

Implementate un gestore diconsenso ai cookie sul vostro sito per fornire agli utenti californiani scelte di consenso adeguate per specifici tipi di trattamento dei dati, come richiesto dal CCPA/CPRA.

Se condividete o vendete informazioni personali, applicate quanto segue:

Se si desidera raccogliere informazioni personali sensibili, attuare quanto segue:

  • Spiegate che desiderate raccogliere informazioni personali sensibili su un banner di consenso e consentite agli utenti di rinunciare.
  • Informare i consumatori del loro diritto di limitare l'uso dei loro dati sensibili solo a quanto ragionevolmente necessario per la prestazione di servizi o la fornitura di beni.
  • Aggiungete al vostro sito web un link conforme "Limita l'uso dei miei dati personali sensibili".
  • Rispettare le preferenze di consenso stabilite dall'individuo utilizzando meccanismi universali di opt-out.

Parte 4: Obblighi contrattuali per la condivisione o la vendita di dati personali

Ai sensi del CCPA, come modificato dal CPRA, le aziende che condividono o vendono informazioni personali stabiliscono e implementano contatti che soddisfano i seguenti obblighi:

  • Specificare quali dati personali vengono condivisi o venduti.
  • Spiegare per quanto tempo il terzo ha accesso ai dati.
  • Specificare le finalità specifiche della condivisione o della vendita dei dati personali.
  • Obbligare la terza parte a rispettare tutti gli obblighi applicabili per fornire lo stesso livello di sicurezza richiesto dal CCPA/CPRA.
  • Dare alla vostra azienda il diritto di adottare misure ragionevoli e appropriate per aiutare la terza parte a utilizzare i dati personali in modo conforme a tutti gli obblighi aziendali CCPA/CPRA.
  • Richiedere alla terza parte di informare la vostra azienda se non è in grado di soddisfare le linee guida CCPA/CPRA delineate dal contratto.
  • Dare alla vostra azienda il diritto di adottare misure ragionevoli e appropriate per fermare e rimediare all'uso non autorizzato dei dati personali.

Dovete anche assicurarvi che la vostra azienda e il terzo firmino il contratto.

Parte 5: Diritti dei consumatori e richieste verificabili dei consumatori

Le aziende ai sensi del CCPA, come modificato dal CPRA, devono rispettare i diritti dei consumatori a richiedere quanto segue:

  • Accedere ai propri dati personali
  • Correggere o modificare i propri dati personali
  • Cancellare i propri dati personali
  • Rinunciare alla vendita o alla condivisione dei propri dati
  • Limitare l'uso dei propri dati personali sensibili

Questi consumatori hanno anche il diritto di non essere discriminati per aver agito in base ai loro diritti alla privacy.

Ad esempio, ciò significa che non è possibile:

  • Negare a un consumatore beni o servizi.
  • Applicare prezzi o tariffe diverse, facendo intendere che si tratta di una penalità.
  • Fornire un diverso livello di servizio o di qualità dei beni, implicando una penalità.
  • Suggerire che i consumatori riceveranno un prezzo, una tariffa o una qualità dei beni diversi per aver agito in base ai loro diritti.
  • Fare ritorsioni nei confronti di dipendenti, candidati o appaltatori che esercitano i loro diritti alla privacy.

Ma è possibile:

  • Addebitare un prezzo alternativo o una diversa qualità legale o di servizio ragionevolmente correlata al valore fornito dalle informazioni personali.
  • Offrire ai consumatori programmi di fidelizzazione, premi e club o funzioni e sconti premium per aver fornito le loro informazioni personali.

Per ottemperare a questa parte della legge, è necessario fornire ai consumatori due o più metodi per far valere i loro diritti alla privacy, che possono includere:

  • Pubblicate sul vostro sito un modulo di richiesta di accesso ai dati(DSAR).
  • Rispettare le meccaniche di opt-out universale (UOOM) impostate sui browser degli utenti o da un'estensione del browser, come Global Privacy Controls (GPC).
  • Collegamento a un indirizzo e-mail specifico o a un indirizzo fisico a cui inviare le richieste.

Dovete quindi divulgare e consegnare gratuitamente le informazioni richieste entro 45 giorni dal ricevimento di una richiesta verificabile del consumatore.

Parte 6: Procedure e pratiche di sicurezza

Il CCPA, come modificato dal CPRA, richiede alle aziende di implementare misure e protocolli di sicurezza ragionevoli in base alla natura e alla quantità di dati personali raccolti.

Sebbene la legge non specifichi quali misure di sicurezza si debbano utilizzare, essa richiede di proteggere i dati da misure non autorizzate o illegali:

  • Accesso
  • Distruzione
  • Utilizzo
  • Modifica
  • Divulgazione

Il CPRA conferisce ai consumatori californiani diritti più ampi per intraprendere azioni private contro le aziende che raccolgono i loro dati, nel caso in cui questi vengano violati o compromessi.

Parte 7: Raccolta e trattamento dei dati personali dei bambini

Il CPRA ha introdotto dei requisiti che le aziende devono rispettare se vogliono raccogliere ed elaborare i dati dei bambini ai sensi del CCPA, tra cui:

  • Ottenere un consenso esplicito prima di vendere o condividere i dati personali di un minore di 16 anni.
  • Stabilire un modo per consentire ai minori o ai loro tutori legali di specificare che il consumatore ha un'età compresa tra i 13 e i 16 anni o inferiore ai 13 anni.

FAQ sui requisiti CPRA

Dopo aver consultato la lista di controllo della conformità al CPRA, esaminiamo alcune delle domande più frequenti sul CPRA.

Il CPRA si applica alla mia azienda?

Il CCPA, come modificato dal CPRA, si applica alla vostra attività se avete sede in California o se soddisfate una delle seguenti linee guida:

  • Avete guadagnato 25 milioni di dollari di entrate annuali lorde al 1° gennaio dell'anno solare precedente.
  • Ogni anno acquistate, vendete o condividete le informazioni personali di 100.000 o più consumatori o famiglie californiane (da 50.000 prima dell'entrata in vigore degli emendamenti del CPRA).
  • Ricavate il 50% o più del vostro fatturato annuo lordo dalla vendita o dalla condivisione di informazioni personali.

Quando è entrato in vigore il CPRA?

La maggior parte dei requisiti statutari del CPRA è entrata in vigore il 1° gennaio 2023, ma le norme di applicazione sono entrate in vigore il 1° luglio 2023.

In origine, le norme di applicazione avrebbero dovuto considerare i dati raccolti a partire dal 1° gennaio 2022, ma il CPPA non ha finalizzato le proprie raccomandazioni in tempo.

Di conseguenza, i tribunali californiani hanno rinviato l'applicazione al 29 marzo 2024, ma il CPPA ha fatto ricorso contro la decisione.

Il 9 febbraio 2024 è stato annunciato che la Corte d'Appello del Terzo Distretto della California ha dato ragione al CPPA, riportando la data di entrata in vigore al 1° luglio 2023.

La legge modificata è ora interamente in vigore e le aziende devono assicurarsi di rispettare tutti gli obblighi relativi ai dati raccolti a partire dal 1° luglio 2023.

In che modo il CPRA ha modificato il CCPA?

Il CPRA ha introdotto le seguenti modifiche principali al CCPA:

  • Ha ampliato la soglia legale della legge, rendendola più favorevole alle piccole imprese.
  • Ha introdotto il concetto di condivisione delle informazioni personali.
  • Ha aggiunto la categoria dei dati personali sensibili.
  • Ha introdotto nuovi diritti per i consumatori, tra cui il diritto di non condividere i loro dati e di limitare l'uso dei loro dati personali sensibili.
  • Ha modificato e ampliato gli obblighi aziendali, introducendo anche requisiti di sicurezza e obblighi contrattuali.
  • Ha introdotto il CPPA come agenzia responsabile dell'applicazione e dell'attuazione della legge.
  • Ha eliminato il periodo di cura di 30 giorni per le violazioni, consentendo al CPPA di determinare se un'azienda può ottenere un periodo di grazia caso per caso.

Chi applica il CPRA?

Il CCPA/CPRA è applicato dalla California Privacy Protection Agency o CPPA, un gruppo indipendente creato dagli emendamenti al CPRA.

Creano regole e linee guida per l'applicazione e sono anche responsabili dell'insegnamento al pubblico delle migliori pratiche di conformità.

Il CPPA ha sostituito il Procuratore generale della California, che in precedenza era responsabile dell'applicazione del CCPA.

Quali sono le sanzioni per la violazione del CPRA?

Se violate il CCPA/CPRA, potreste ricevere le seguenti ammende:

  • $2.500 per violazione non intenzionale
  • 7.500 dollari per violazione intenzionale o per qualsiasi reato che coinvolga un minore di 16 anni.

Non esiste un periodo di grazia o di cura specifico per correggere le violazioni del CCPA/CPRA. Al contrario, il CPPA può fornirne uno se lo ritiene necessario.

I consumatori possono anche intraprendere un'azione privata contro le aziende che violano il CCPA/CPRA se:

  • I loro dati personali non crittografati e non redatti vengono compromessi o violati.
  • Il loro indirizzo e-mail, in combinazione con una password o altri dettagli che consentono l'accesso a un account, viene compromesso o violato.

Termly può aiutare a garantire la conformità alla CCPA/CPRA?

Avete bisogno di aiuto per soddisfare i requisiti della legge sulla privacy della California? Utilizzate Termlygeneratore di informativa sulla privacy per creare una politica che vi aiuti ad allinearvi agli standard CCPA, come modificati dal CPRA. Supportato dal nostro team legale e da esperti di privacy, il generatore di informazioni sulla privacy di Termly pone domande di base sulla vostra attività e crea una politica unica in base alle vostre risposte.

Offriamo anche una gestione del consenso Platform (CMP) configurabile per presentare agli utenti californiani opzioni di consenso adeguate in base ai requisiti del CCPA/CPRA. Include l'accesso a un modulo DSAR che potete incorporare nel vostro sito per aiutare i vostri utenti a presentare richieste verificabili da parte dei consumatori.

Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Per saperne di più su chi scrive

Scritto da Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha è una specialista in sicurezza delle informazioni e trattamento dei dati nonché Certified Data Protection Officer. Negli ultimi sei anni ha lavorato come Data Protection Officer, aiutando piccole e medie imprese a raggiungere la conformità legale. È stata anche mentore della conformità alla privacy per molti acceleratori d'impresa internazionali. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD). Ha studiato Legge all'Università di Belgrado e superato l'esame di abilitazione alla professione forense nel 2016. Per saperne di più su chi scrive
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Generare un'informativa sulla privacy CPRA

Rispondete a poche semplici domande per generare in pochi minuti la vostra polizza conforme al CPRA!
Generare l'informativa sulla privacy CPRA

Articoli correlati

  1. Informativa sulla privacy per gli annunci Facebook 01
    Informativa sulla privacy per gli annunci Facebook: come crearne una
    Articoli

    19 dicembre 2025
    Natasha Piirainen
  2. Informativa sulla privacy per React 01
    Informativa sulla privacy per React: come crearne una
    Articoli

    19 dicembre 2025
    Natasha Piirainen
  3. Informativa sulla privacy per Next.js 01
    Informativa sulla privacy per Next.js: come crearne una
    Articoli

    18 dicembre 2025
    Natasha Piirainen
  4. 9-Tipi-di-dati-più-comunemente-raccolti-01
    I 9 tipi di dati più comunemente raccolti e cosa dovresti sapere su di essi
    Articoli

    16 dicembre 2025
    Natasha Piirainen
  5. Le 7 violazioni più comuni della privacy dei dati 01
    Le 7 violazioni più comuni della privacy dei dati e come evitarle
    Articoli

    15 dicembre 2025
    Natasha Piirainen
  6. Informativa sulla privacy per TikTok Shop 01
    Informativa sulla privacy per TikTok Shop: come crearne una
    Articoli

    15 dicembre 2025
    Hanna De La Garza
  7. Le 10 idee sbagliate piùGDPR- 01
    GDPR 10 GDPR più comuni GDPR e la verità che si cela dietro di essi
    Articoli

    10 dicembre 2025
    Natasha Piirainen
  8. Risposte DSAR positive e negative-01
    Risposte DSAR positive e negative: come si presentano
    Articoli

    9 dicembre 2025
    Hanna De La Garza
  9. Informativa sulla privacy per un'azienda SaaS 01
    Informativa sulla privacy per un'azienda SaaS: come crearne una
    Articoli

    4 dicembre 2025
    Hanna De La Garza

Guarda le altre risorse