CCPA vs GDPR: somiglianze e differenze chiave che le aziende devono comprendere

Table of Contents

Il regolamento generale sulla protezione dei dati dell’Unione europea (UE) (GDPR) e il California Consumer Privacy Act (CCPA), presentano molte analogie: sono stati introdotti nello stesso periodo, entrambi conferiscono ai consumatori maggiori diritti sui loro dati ed entrambi hanno un impatto su scala globale, ma vi sono anche importanti differenze.

Quindi, quali sono alcune delle principali differenze tra GDPR e CCPA? Come puoi essere sicuro che il tuo sito web sia conforme?

Confronto tra CCPA e GDPR

AreaCCPAGDPR
ScopeFor-profit business trading in California with gross annual revenue over $25 million, or processing data of over 50,000 consumers, households or devices or deriving over 50% of annual revenue from selling consumer data

Non-profits controlled by a for-profit parent company are also covered
Data controllers and processors either established in the EU or located outside the EU but processing the data of EU data subjects in connection with selling goods or services or monitoring consumer behavior in the EU
Beneficiaries of protectionCalifornia residents, including where they are travelling out of stateData subjects, meaning where data relates to identified or identifiable individuals.
Type of informationPersonal information - this identifies, relates to, describes or is capable of being associated with, or may reasonably be linked (directly or indirectly) to a particular consumer or household. Some categories of personal information are identified as falling within the definitionPersonal data - information relating to an identified or identifiable subject. Some categories of personal data can only be processed if a lawful justification can be found
Privacy noticePrivacy notice must confirm what categories of personal data are collected and for what intended purpose. Third parties must give consumer the opportunity to opt out of their data being re-soldData controllers must provide detailed information about how data is collected and processed, including whether third parties are involved
Right to accessConsumers can request disclosure of their data, which must be provided free of charge in a portable formatData subjects can access their data following a written request, which must be provided in a portable format
Right to deleteConsumers can request the deletion of their data, although there are some grounds for organizations to refuseData subjects can request erasure of personal data if it falls within one of six circumstances
Right to correctConsumers can ask for incorrect data about them to be correctedData subjects can ask for incorrect data about them to be corrected
Right to refuseConsumers can opt out of their data being processed for particular purposes such as direct marketing, profiling and researchConsent must be given before personal data is collected and this can be withdrawn subsequently
Right to opt out of third party salesUsers must be given the opportunity to opt out of consumers’ personal information being sold on to third partiesNo specific right to opt out of third party sales but data subjects can opt out of processing data for marketing and withdraw consent for data processing
Freedom from discriminationIndividuals have the right to freedom from discrimination where they exercise CCPA rights, for example withholding services if an individual opts out of data collectionThe right not to be discriminated against is not explicitly stated
Security controlsData security requirements are not contained in the CCPA but if a business violates its duty to implement reasonable security practices, individuals may be able to seek damagesData controllers and processors are required to select appropriate technical and organizational measures to manage security risk
EnforcementBreaches can be punished by a fine applied by the California Attorney General of up to $2,500 per violation or $7,500 for intentional violations. There is no cap on the total fine amount. Businesses are given 30 days to rectify breaches before fines are assessed. Individuals can only bring a lawsuit privately where businesses can be shown to be in violation of their duty to implement reasonable security procedures and only for a specific category of personal information, which excludes redacted or encrypted dataFines are capped at €20 million or 4% of annual global turnover. Individuals can also take court action seeking compensation from a data controller or processor

I diritti delle persone fisiche per il CCPA e il GDPR

Sebbene le due leggi si applichino a giurisdizioni diverse, condividono alcune somiglianze in termini di diritti che forniscono agli individui.

Diritto di essere informato

Sia il CCPA che il GDPR richiedono alle aziende di informare le persone sulla raccolta, l’uso e la condivisione delle loro informazioni personali. Ciò include la fornitura di un’informativa sulla privacy e la specifica delle finalità per le quali i dati saranno elaborati.

Diritto di accesso

Gli individui hanno il diritto di richiedere l’accesso alle proprie informazioni personali detenute da un’azienda ai sensi del CCPA e del GDPR. Ciò consente loro di vedere quali dati vengono elaborati e verificarne l’accuratezza.

Diritto di rettifica

Per conformarsi al GDPR, gli individui hanno il diritto di richiedere la correzione di informazioni personali inesatte o incomplete. Sebbene il CCPA non fornisca esplicitamente questo diritto, le aziende potrebbero comunque dover correggere i dati inesatti per conformarsi ad altri requisiti del CCPA.

Diritto di cancellazione/cancellazione

Sia il CCPA che il GDPR concedono alle persone il diritto di richiedere la cancellazione delle proprie informazioni personali in determinate circostanze, ad esempio quando i dati non sono più necessari per lo scopo per cui sono stati raccolti o se l’individuo ritira il consenso.

Diritto alla portabilità dei dati

Il GDPR fornisce agli individui il diritto di ottenere le proprie informazioni personali in un formato strutturato, comunemente usato e leggibile da una macchina, consentendo loro di trasmetterle a un altro controllore. Il CCPA non offre esplicitamente questo diritto, ma consente alle persone di richiedere le proprie informazioni personali in un formato facilmente utilizzabile.

Diritto di opposizione/limitazione del trattamento

Ai sensi del GDPR, le persone possono opporsi al trattamento delle loro informazioni personali per scopi specifici, come il marketing diretto, e possono richiedere restrizioni al trattamento in determinate situazioni. Il CCPA non fornisce un diritto equivalente, ma richiede alle aziende di onorare le richieste “Non vendere le mie informazioni personali” da parte dei consumatori.

Diritto di rinunciare alla vendita di informazioni personali

Il CCPA conferisce ai consumatori il diritto di rinunciare alla vendita delle proprie informazioni personali da parte di un’azienda. Il GDPR non ha una specifica disposizione equivalente, ma i singoli possono esercitare il loro diritto di opporsi al trattamento basato su interessi legittimi o per scopi di marketing diretto, che possono ottenere un risultato simile.

Diritto alla non discriminazione

Sia il CCPA che il GDPR vietano alle aziende di discriminare le persone che esercitano i loro diritti alla privacy. Ciò include l’addebito di prezzi diversi, la fornitura di diversi livelli di servizio o la negazione totale di beni e servizi.

È importante notare che questi diritti non sono assoluti e possono essere soggetti a eccezioni, a seconda delle circostanze specifiche e dei requisiti legali.

Capisci le differenze tra CCPA e GDPR?

CCPA e GDPR coprono molto dello stesso territorio, ma ci sono alcune importanti differenze tra i due regimi. Man mano che sempre più paesi preparano la propria legislazione sui dati, è fondamentale essere aggiornati sui dettagli di ciò che è necessario fare per soddisfare i requisiti CCPA, rispettare i requisiti di consenso GDPR e qualsiasi altra regola applicabile alle operazioni. Puoi anche leggere la nostra guida definitiva al CCPA.

Perché non lasciare che CookieHub ti aiuti a gestire le tue politiche sui cookie, in modo da poter essere sicuro di soddisfare i requisiti in luoghi diversi?

Sales & Support