Il California Consumer Privacy Act 2018 (CCPA) ha un impatto che va ben oltre i confini della California. Lo stato degli Stati Uniti ha un’economia da 4 trilioni di dollari; se la California fosse un paese, sarebbe la quarta economia più grande del pianeta.
Tutto questo commercio dà alla California una portata molto ampia in altre economie in tutto il mondo, il che significa che le aziende di tutto il mondo devono capire come CCPA si applica alle loro attività.
A chi si applica il CCPA?
Il CCPA si applica a qualsiasi azienda che intraprende transazioni con i californiani a scopo di lucro, ad esempio fornendo beni e servizi. Non è richiesta una presenza fisica nello stato.
Se operi come azienda a scopo di lucro e raccogli dati dai residenti della California, è probabile che tu debba sapere come rispettare il CCPA. La legge è in vigore dal 1 ° gennaio 2020 e ha molte somiglianze con GDPR, sebbene ci siano anche importanti differenze.
Quali sono i diritti stabiliti dal CCPA?
Il CCPA offre ai residenti della California il controllo su come i loro dati personali vengono gestiti online. Si basa su cinque diritti fondamentali:
- Il diritto di sapere – le persone dovrebbero essere informate quando i loro dati vengono raccolti e trattati
- Il diritto di cancellare – le persone possono chiedere che i dati personali vengano cancellati
- Il diritto di opt-out – gli individui dovrebbero essere in grado di rifiutare il permesso alle aziende di vendere i propri dati personali
- Il diritto di correggere – gli individui dovrebbero essere in grado di ottenere copie dei dati detenuti su di loro e correggere informazioni inesatte
- Il diritto di limitare l’uso – gli individui dovrebbero essere in grado di specificare che le informazioni personali possono essere utilizzate solo per scopi limitati
Le persone che esercitano diritti ai sensi del CCPA non dovrebbero essere soggette ad alcuna discriminazione di conseguenza.
Quali sono le sanzioni per la violazione del CCPA?
Il CCPA è applicato dal Procuratore Generale della California. Alle aziende viene inviata una lettera che notifica una potenziale violazione, dopodiché hanno 30 giorni per risolvere il problema e diventare conformi. Successivamente, possono essere applicate sanzioni di $ 2.500 per violazione ($ 7.500 per violazioni intenzionali).
I privati non possono citare in giudizio un’azienda per violazioni del CCPA, sebbene abbiano altri diritti di azione in caso di violazione dei dati e potrebbero ricevere danni civili di $ 750 per ogni violazione dei dati ai sensi del CCPA. Le violazioni dei dati su larga scala possono comportare azioni legali collettive.
Il CCPA si applica ad altri stati?
Gli Stati Uniti non hanno una legge federale sulla privacy dei dati che si applica a tutti gli stati. Come legge californiana, il CCPA si applica solo ai residenti della California, sebbene continui ad applicarsi quando viaggiano fuori dallo stato.
Il CCPA si applica alle organizzazioni non profit?
La regola di base è che il CCPA si applica solo alle imprese a scopo di lucro. Si tratta di persone giuridiche (ad esempio, ditta individuale, LLC o società) gestite per il profitto e il beneficio finanziario di azionisti e proprietari.
Tuttavia, in alcune situazioni le organizzazioni senza scopo di lucro potrebbero non essere esenti dal CCPA. Ciò include il caso in cui un’organizzazione senza scopo di lucro sia controllata da un’entità a scopo di lucro e condivida il marchio comune con l’azienda madre. Un’organizzazione senza scopo di lucro può anche rientrare nella legge se riceve informazioni personali attraverso una “vendita” come definito nel CCPA.
A chi non si applica il CCPA?
Le regole si applicano alle aziende al di fuori della California che soddisfano uno o più di questi criteri:
- Ricavi lordi annui di oltre 25 milioni di dollari
- Elabora (acquista, vende, riceve o condivide) informazioni personali di 50.000 o più residenti in California per scopi commerciali
- Oltre il 50% dei ricavi annuali deriva dalla vendita di informazioni personali
Come posso conformarmi?
Ci sono alcuni punti chiave da comprendere per garantire la conformità con CCPA:
Definizione CCPA di informazioni personali
La legislazione definisce le informazioni personali come “informazioni che identificano, si riferiscono a, descrivono, sono ragionevolmente in grado di essere associate a, o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, a un particolare consumatore o famiglia”.
Le informazioni personali possono essere classificate in diversi modi:
Identificatori diretti – nome, indirizzo postale, numero di previdenza sociale
Identificatori univoci – cookie, indirizzi IP, nomi utente
Dati biometrici – impronte digitali, facciali e registrazioni video
Dati di geolocalizzazione – informazioni sulla posizione e cronologia
Attività su Internet – cronologia di navigazione e ricerca
Informazioni sensibili: dati sanitari, caratteristiche personali, preferenze sessuali, fede religiosa, dati sull’occupazione.
Dati che possono essere utilizzati per dedurre l’identità – informazioni che potrebbero essere utilizzate per individuare un individuo o una famiglia
Controlli del sito web
È necessario informare gli utenti prima del punto di raccolta dei dati su ciò che si raccoglie e per quali scopi
È necessario disporre di un link “non vendere le mie informazioni personali” che consenta agli utenti di rinunciare alla vendita dei dati a terzi
Gli opt-in sono richiesti per gli utenti del sito di età inferiore ai 16 anni (e il consenso dei genitori per gli utenti di età inferiore ai 13 anni)
I diritti dei consumatori devono essere indicati nell’informativa sulla privacy del tuo sito web
L’informativa sulla privacy deve essere aggiornata annualmente per garantire che le categorie di informazioni personali raccolte rimangano aggiornate
Dovresti essere pronto a soddisfare le richieste dei consumatori di divulgazione delle informazioni personali che hai raccolto su di loro negli ultimi 12 mesi, gratuitamente.
È necessario assicurarsi di non discriminare un consumatore sulla base del fatto che esercita il diritto di richiedere la divulgazione, optare per le vendite, correggere o eliminare le informazioni.
Assicurati che le tue politiche sui cookie siano conformi al CCPA
I cookie raccolgono informazioni sugli utenti del sito Web, comprese le informazioni che potrebbero soddisfare la definizione CCPA di informazioni personali. Anche se le informazioni non sono identificative di per sé, potrebbero diventare personali se considerate in combinazione con altri dati.
I banner dei cookie sono spesso utilizzati per fornire agli utenti le informazioni richieste e confermare il consenso alla raccolta dei dati. Guardare alcuni esempi di banner sui cookie CCPA può darti un’idea di come un banner potrebbe funzionare sul tuo sito.
Ricorda, CCPA non è l’unica legislazione che si applica alla protezione dei dati per i residenti californiani, anche il California Privacy Rights Act (CPRA) è rilevante. Scopri di più sulle differenze tra CCPA e CPRA.
Elaborare i requisiti legali di diverse normative può essere un mal di testa. Lascia che CookieHub si prenda la tensione per te: possiamo aiutarti a garantire che i tuoi cookie siano conformi al CCPA e ad altre norme sulla protezione dei dati, dandoti tranquillità.