Il California Consumer Privacy Act (CCPA) si applica alle aziende a scopo di lucro che raccolgono o elaborano i dati dei residenti della California, anche se si trovano fuori dallo stato. Poiché la California ha la più grande economia degli Stati Uniti, la legislazione ha avuto un impatto sulle imprese in tutto il paese e oltre da quando è entrata in vigore il 1 ° gennaio 2020.
Requisiti di conformità CCPA
I requisiti del CCPA mirano a dare ai consumatori californiani un maggiore controllo su come vengono utilizzati i loro dati, ad esempio avendo il diritto di sapere quando vengono raccolte le loro informazioni personali, accedere ai loro dati, correggerli, richiederne la cancellazione e rinunciare a consentire la vendita dei dati a terzi.
Cosa dovresti fare per assicurarti di rispettare il CCPA? Ecco una pratica guida dettagliata alla conformità.
Come rispettare il CCPA - Passo dopo passo
1. Verifica se il CCPA si applica alla tua attività
Il CCPA si applica a chiunque raccolga dati su cittadini californiani, soggetto ad alcuni criteri. L’attività deve essere svolta a scopo di lucro (anche se le organizzazioni senza scopo di lucro possono essere coperte dalle regole se sono possedute o controllate da un’azienda a scopo di lucro).
Anche se sei un’organizzazione a scopo di lucro, sarai esente dalla legge se soddisfi tre criteri:
- Ricavi lordi annui superiori a 35 milioni di dollari
- Ricevi o divulga dati su oltre 50.000 residenti in California ogni anno
- Generare il 50% o più di entrate annuali dalla vendita di dati sui residenti in California
2. Comprendere la definizione di dati personali
Le “informazioni personali” sono definite dalla legge ed è importante sapere quali informazioni rientrano nella definizione legale.
La definizione stabilisce che le informazioni personali sono quelle che: «identifica, si riferisce a, descrive, può essere associata o potrebbe ragionevolmente essere collegata direttamente o indirettamente a un determinato consumatore o abitazione».
Le informazioni personali raccolte includono dati ovvi come nome, indirizzo e numero di previdenza sociale, ma possono anche includere categorie di dati meno ovvie come nomi utente, indirizzo IP e cronologia di navigazione o acquisto.
3. Controlla i tuoi sistemi di dati
I tuoi sistemi devono essere in grado di identificare i residenti in California, gestire i loro dati in conformità con la legge e archiviare i loro dati in modo che sia possibile accedervi se ne richiedono la divulgazione, la cancellazione o la modifica in conformità con la legge.
Il sistema di inventario dei dati deve identificare e classificare correttamente i dati, mantenere la prova del consenso dell’utente ai cookie e alla raccolta dei dati. Nella maggior parte dei casi, avrai bisogno di una politica sui cookie sul tuo sito web.
Avrai anche bisogno di un sistema di tracciamento della politica sulla privacy per mostrare quale versione era in vigore al momento del consenso. Dovrebbe inoltre registrare i tipi di dati venduti, condivisi con terzi o utilizzati per scopi di marketing.
4. Comprendi quali sono i tuoi obblighi ai sensi del CCPA
Il CCPA prevede cinque diritti fondamentali dei consumatori:
- Il diritto di sapere come un’azienda raccoglie e vende le tue informazioni
- Il diritto di accedere ai dati che ti riguardano e come vengono utilizzati
- Il diritto di cancellare le tue informazioni personali, fatte salve alcune esenzioni
- Il diritto di rinunciare alla vendita di informazioni personali su
- Il diritto a non essere discriminati per l’esercizio dei diritti del CCPA
Una volta compresi questi diritti, è possibile creare un sistema per la conformità alla legge. La nostra pratica lista di controllo per la conformità al CCPA potrebbe aiutarti a capire cosa devi fare.
5. Aggiorna la tua politica sulla privacy
Il CCPA richiede alle aziende di avere una politica sulla privacy che stabilisca i diritti dei consumatori, come possono essere presentate le richieste di accesso ai dati e le categorie di informazioni personali che l’azienda ha raccolto nei 12 mesi precedenti.
Oltre a una solida politica sulla privacy, è anche necessario garantire che tutte le persone che gestiscono i dati dei consumatori nella propria azienda siano completamente formate in modo che lo facciano in modo sicuro e protetto. Questo dovrebbe essere aggiornato circa una volta all’anno. Garantire che la tua sicurezza informatica sia solida è anche una protezione importante.
6. Implementare i controlli di autorizzazione e accesso
Il tuo sito deve essere configurato per consentire ai cittadini californiani di esercitare i loro diritti CCPA, come essere informati di quali dati vengono raccolti ed elaborati, rinunciare ai dati raccolti e venduti e sapere come verranno utilizzati. Assicurati di soddisfare i requisiti di opt-out del CCPA per il tuo sito web in base alle richieste dei consumatori.
7. Creare una procedura per soddisfare le richieste di diritti dei consumatori
In che modo un consumatore farebbe a richiederti i propri dati ai sensi del CCPA? Hai bisogno di un sistema per soddisfare le richieste di diritti dei consumatori:
- In che modo i consumatori presentano una richiesta? È tramite e-mail dedicata, linea telefonica, modulo online? È necessario offrire due o più meccanismi di richiesta. Il tuo sito web e altri materiali forniscono informazioni chiare su come trovarlo?
- Come verificherete le richieste? Non puoi semplicemente fornire dati a chiunque lo chieda: devi essere in grado di confermare l’identità della persona che effettua la richiesta. Potrebbe essere necessario utilizzare un servizio di verifica di terze parti o un altro metodo di verifica sicuro.
- Fornire record di dati – questi dovrebbero coprire i 12 mesi precedenti la richiesta e le informazioni dovrebbero essere fornite in un formato adeguato, gratuitamente ed entro 45 giorni dalla presentazione della richiesta.
- Archiviazione dei record delle richieste: i dettagli delle richieste di dati devono essere conservati per 24 mesi per dimostrare la conformità e assistere in caso di controversia. I consumatori possono presentare solo due richieste in un periodo di 12 mesi, quindi i record possono aiutare a tenere il conteggio ed evitare di soddisfare le richieste che superano questo limite.
8. Manutenzione e conformità
La creazione di un sistema conforme al CCPA non è la fine della storia: dovresti pianificare revisioni regolari del tuo approccio per assicurarti di seguire le migliori pratiche. Ciò include la formazione regolare del personale, la revisione annuale della politica sulla privacy, il controllo per vedere se si conservano i dati inutilmente e l’attenzione a modifiche legali o precedenti.
CCPA e GDPR simili?
Il California Consumer Privacy Act (CCPA) e il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea rappresentano due delle normative sulla privacy più complete e influenti nel panorama digitale di oggi.
Entrambi condividono l’obiettivo comune di fornire alle persone un maggiore controllo sui propri dati personali, imponendo al contempo obblighi rigorosi alle organizzazioni che raccolgono, elaborano e archiviano tali informazioni.
Il CCPA, che si rivolge principalmente ai diritti dei residenti in California, condivide diverse somiglianze con il GDPR, come la concessione alle persone del diritto di accedere, eliminare e rinunciare alla vendita dei propri dati personali. Tuttavia, il GDPR va oltre, introducendo diritti aggiuntivi come la portabilità dei dati e il “diritto all’oblio”.
Sebbene il CCPA e il GDPR differiscano per portata e giurisdizione, entrambi riflettono una crescente consapevolezza globale dell’importanza della privacy dei dati e la necessità di solidi quadri normativi per proteggere i diritti degli individui nell’era digitale.
Lascia che CookieHub ti aiuti
Se hai bisogno di aiuto per assicurarti che i cookie del tuo sito web siano conformi al CCPA, contatta CookieHub. Possiamo aiutarti a gestire i tuoi cookie entro i requisiti di conformità CCPA, fornendo al contempo un’esperienza fluida e senza interruzioni per i tuoi clienti.