Nel settembre 2022, il rivenditore online Sephora ha accettato di pagare 1,2 milioni di dollari per aver violato il California Consumer Privacy Act (CCPA) – la prima volta che il procuratore generale della California ha intrapreso un’azione di applicazione pubblica dall’introduzione della legge nel 2020.
La mossa ha segnato la fine del periodo di insediamento per la legge sui dati e l’inizio di un approccio più duro all’applicazione. Se non sei sicuro che la tua organizzazione sia conforme al CCPA, è il momento di fare un passo avanti, altrimenti potresti incorrere in una sanzione.
Diamo un’occhiata alle conseguenze della violazione del CCPA e al modo migliore per soddisfare i requisiti di conformità del CCPA.
Sanzioni del CCPA
Il CCPA si applica alle aziende a scopo di lucro che raccolgono o elaborano i dati personali dei residenti in California.
Il CCPA stabilisce meccanismi per sanzionare il mancato rispetto della legge della California. Una violazione potrebbe includere:
– Non avere una politica sulla privacy conforme al CCPA
– Non rispondere a una richiesta del consumatore di divulgazione dei dati come richiesto dal CCPA
– Non fornire la giusta notifica dei dati personali raccolti
– Non consentire agli utenti di rinunciare alla vendita delle proprie informazioni personali
– Avere politiche discriminatorie nei confronti degli utenti che esercitano i diritti CCPA
È importante notare che un periodo di “cura” si applica alle violazioni del CCPA. Il procuratore generale è tenuto a concedere alle imprese 30 giorni per ottenere la conformità al CCPA. Se i problemi non vengono risolti entro questo periodo, possono essere applicate sanzioni. Ci sono state alcune critiche a questa disposizione, quindi state attenti a possibili cambiamenti in futuro.
Il CCPA distingue tra violazioni intenzionali e non intenzionali della legge. Una volta che un’azienda ha ricevuto una notifica ufficiale dal procuratore generale, la non conformità dopo il periodo di 30 giorni può essere interpretata come una violazione intenzionale.
Multe CCPA
Il CCPA stabilisce sanzioni in caso di inosservanza. Il procuratore generale della California è autorizzato ad agire contro coloro che violano il CCPA.
La sanzione civile massima per una violazione involontaria del CCPA è di $ 2.500 per violazione. Per violazioni intenzionali, la multa massima è di $ 7.500 per violazione. Non è fissato alcun limite all’importo totale delle ammende che possono essere riscosse.
Gli importi massimi delle multe potrebbero sembrare piuttosto modesti, ma se si scoprisse che un’azienda ha commesso intenzionalmente migliaia o addirittura centinaia di migliaia di violazioni intenzionali, ad esempio non soddisfacendo i requisiti di opt-out del CCPA, l’importo totale potrebbe essere enorme.
Va notato che $ 2.500 e $ 7.500 sono i livelli massimi stabiliti per le sanzioni. Nel considerare quali sanzioni dovrebbero essere applicate, il giudice prenderà in considerazione molteplici fattori come la natura, la gravità e la persistenza della condotta, se è stata intenzionale, il periodo durante il quale si sono verificate le violazioni, il numero di violazioni e i mezzi di pagamento del convenuto.
I cittadini hanno anche un diritto privato di azione quando si verifica una violazione dei diritti del CCPA che si traduce in accesso non autorizzato, furto o divulgazione di dati personali, laddove tale violazione sia il risultato di un mancato mantenimento di procedure e pratiche di sicurezza ragionevoli. Ciò che conta come “ragionevole” è giudicato in relazione alla natura delle informazioni personali del consumatore in questione.
Il CCPA consente ai consumatori di richiedere $ 750 per consumatore, per incidente, o di chiedere danni effettivi laddove si possa dimostrare che la perdita si è verificata a seguito della violazione. Ancora una volta, questa è una legge relativamente nuova e gli avvocati probabilmente cercheranno di contestare queste disposizioni, specialmente intorno alla possibilità di intentare azioni legali collettive, quindi fai attenzione agli sviluppi.
Anche in questo caso, quando i privati notificano una violazione, l’azienda ha 30 giorni per risolvere il problema senza dover affrontare ulteriori azioni.
Come evitare multe e sanzioni
Il modo più semplice per evitare di dover pagare sanzioni CCPA è comprendere e rispettare i requisiti della legge. Le sanzioni per la violazione del CCPA sono solo una delle conseguenze della non conformità: una violazione dei dati potrebbe causare danni molto più gravi alla tua azienda attraverso la perdita di clienti, pubblicità negativa, riduzione del rating del credito, mancanza di investitori e così via.
Per assicurarti di rispettare il CCPA, considera questi passaggi:
1. Aggiorna la tua politica sulla privacy – questa dovrebbe essere conforme al CCPA, con revisioni annuali per garantire che rimanga aggiornata
2. Effettuare una revisione interna: mappare il modo in cui le informazioni personali fluiscono attraverso la tua organizzazione per segnalare eventuali problemi
3. Controlla le tue avvertenze per i consumatori: fornisci informazioni sufficienti su come e quando raccogli le informazioni personali?
4. Assicurati di poter difendere i diritti del CCPA: ad esempio, puoi rispettare il termine di 45 giorni per soddisfare le richieste di divulgazione dei dati personali?
5. Mantenere un solido inventario dei dati – è necessario sapere esattamente quando e dove i dati entrano nei sistemi – un inventario automatizzato può aiutare con la conformità
6. Preparati alle violazioni dei dati: gli errori accadono e le violazioni dei dati possono verificarsi nonostante i migliori sforzi di un’organizzazione. La preparazione di una risposta può aiutare a ridurre al minimo il danno se si verifica una violazione
Dai un’occhiata al nostro pratico Lista di controllo per la conformità al CCPAper ulteriori informazioni. Puoi anche approfondire il nostro guida definitiva al CCPA. A questo punto,
Le notifiche dei cookie sono una parte importante della conformità CCPA: hai bisogno di aiuto per assicurarti che i tuoi siano all’altezza del lavoro? Mettiti in contatto con CookieHub (in inglese) per discutere le vostre esigenze.