Mentre la maggior parte delle persone che lavorano nel campo della protezione dei dati ha sentito parlare del GDPR, il CCPA riceve molta meno attenzione. Approvato dalla legislatura dello Stato della California, il CCPA tenta di dare ai consumatori un maggiore controllo sui loro dati personali.
Il CCPA e il GDPR condividono molte somiglianze, poiché entrambi gli atti legislativi mirano ad affrontare le stesse questioni. Vale a dire le numerose violazioni dei dati personali da parte di grandi aziende e la raccolta segreta di dati personali senza supervisione normativa.
In questo articolo, esploreremo cos’è il CCPA, chi regola e come diventare conformi. Quindi, se sei un’azienda con collegamenti con la California, devi continuare a leggere.
Che cos'è il CCPA?
Il California Consumer Privacy Act (CCPA) è stato redatto e convertito in legge dalla legislatura dello Stato della California il 28 giugno 2018. Questa legge storica conferisce ai consumatori della California molti nuovi diritti alla privacy, tra cui:
- Il diritto di sapere quando vengono raccolti i propri dati personali.
- Il diritto di cancellare i dati personali che sono stati raccolti.
- Il diritto di rinunciare alla vendita dei propri dati personali.
- Il diritto alla non discriminazione nell’esercizio dei propri diritti ai sensi del CCPA.
Inoltre, i consumatori californiani hanno anche il diritto di sapere quando i loro dati personali vengono venduti e a chi e possono accedere ai loro dati personali su richiesta.
Per coloro che hanno familiarità con le basi del GDPR, gran parte di quanto sopra sembrerà familiare. In effetti, il quadro dei due regolamenti è simile.
Quali sono le differenze tra il CCPA e il GDPR?
A differenza del GDPR, la differenza principale è che mentre il GDPR si applica anche ai residenti temporanei, lo stesso non vale per il CCPA. Piuttosto, per qualificarsi come “consumatore californiano”, un individuo deve aver risieduto nello stato abbastanza a lungo da registrarsi per pagare le tasse.
In caso contrario, non sono coperti da questa protezione legislativa.
Chi è tenuto a rispettare il CCPA?
Anche in questo caso, a differenza del GDPR, il CCPA si applica esclusivamente a un’azienda a scopo di lucro che raccoglie e utilizza i dati personali dei consumatori californiani. Per soddisfare tale definizione, un’impresa deve soddisfare almeno una delle seguenti soglie:
- Ricavi lordi annuali superiori a 25 milioni di dollari
- Ricevere o divulgare i dati personali di 50.000 o più consumatori, famiglie o dispositivi californiani all’anno
- Guadagna il 50% o più di entrate annuali dalla vendita dei dati personali dei residenti in California
Poiché le organizzazioni non profit e le aziende più piccole non soddisfano queste soglie, spesso non devono conformarsi al CCPA. Questo è l’esatto opposto dell’UE, dove ai sensi del GDPR, tutte le organizzazioni che utilizzano i dati dei cittadini dell’UE devono conformarsi (con alcune esenzioni per le aziende con meno di 250 dipendenti).
Le aziende situate al di fuori della California devono conformarsi?
Una delle principali contese con il GDPR dell’UE e del Regno Unito sono gli “effetti extraterritoriali”. Ciò significa che le aziende situate al di fuori dell’UE o del Regno Unito devono comunque conformarsi al GDPR, purché si rivolgano ai cittadini dell’UE. Ad esempio, un venditore online in California deve seguire il GDPR quando raccoglie e utilizza i dati dei clienti dell’UE.
Tuttavia, non è vero il contrario.
Attualmente, il CCPA disciplina solo le società a scopo di lucro con sede in California o che si qualificano indirettamente (come le società madri e le filiali di società con sede in California). Pertanto, le organizzazioni situate al di fuori dello Stato non devono conformarsi al CCPA.
In che modo il CCPA definisce i dati personali?
Ai sensi del CCPA, i dati personali sono definiti in senso lato come:
“… informazioni che identificano, si riferiscono a, descrivono, possono essere associate a, o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, a un particolare consumatore o famiglia”.
Ciò include numeri di previdenza sociale, numeri di patente di guida, cronologia degli acquisti, identificatori personali univoci, nome, indirizzo, numeri di telefono e altro ancora.
Si tratta di una definizione significativamente più ampia che si trova tipicamente nelle leggi sulla protezione dei dati, anche nel GDPR dell’UE.
Come diventare conformi al CCPA
Il CCPA è un atto legislativo complesso con molte sfaccettature. È quindi comprensibile che molte aziende californiane trovino la conformità confusa e problematica.
Tuttavia, non dovrebbe essere così.
La mancata conformità può comportare multe fino a $ 2.500 per violazione. E le violazioni intenzionali possono comportare multe fino a $ 7.500 per violazione. I consumatori possono anche citare in giudizio le aziende per violazioni, recuperando danni da $ 100 a $ 750 per incidente o danni effettivi, a seconda di quale sia il maggiore. Questo senza considerare i costi indiretti per la reputazione e la posizione di un marchio.
Pertanto, la conformità è essenziale. Ecco i modi migliori per diventare conformi al CCPA:
- Informa sempre i consumatori su come e quando i loro dati personali vengono gestiti, utilizzati o condivisi.
- Ricevi sempre l’autorizzazione dai consumatori prima di raccogliere i loro dati.
- Mantenere un’informativa sulla privacy aggiornata che viene rivista annualmente.
- Consenti ai consumatori di accedere ai propri dati.
- Consentire ai consumatori di richiedere la cancellazione dei propri dati personali.
- Fornire una spiegazione completa a un consumatore in merito al CCPA e al modo in cui regola i suoi diritti alla privacy dei dati.
- Le aziende che vendono dati personali devono creare una pagina Non vendere i miei dati personali.
Si tratta di un elenco di controllo completo per aiutarti a dare il via ai tuoi sforzi di conformità. Tuttavia, non è esaustivo. Sono disponibili anche pacchetti software che aiutano a supportare la conformità al CCPA.
E puoi anche fare riferimento alla legislazione stessa qui.
Conclusione
Come altre leggi sulla protezione dei dati, come il GDPR, il CCPA regola la raccolta e l’utilizzo dei dati personali. Attualmente è limitato solo ai residenti in California e non si applica alle aziende situate al di fuori della California.
Per tali aziende, garantire l’allineamento al CCPA è fondamentale per evitare multe e danni alla reputazione di un’azienda.
Fonti:
https://www.truevault.com/ccpa-guide/ccpa-enforcement-and-penalties
https://www.pacificdataintegrators.com/insights/ccpa-compliance
https://contractbook.com/blog/what-is-ccpa-and-how-do-you-become-compliant
https://www.oag.ca.gov/privacy/ccpa
https://en.wikipedia.org/wiki/California_Consumer_Privacy_Act
https://www2.deloitte.com/us/en/pages/advisory/articles/ccpa-compliance-readiness.html
https://www.cpomagazine.com/data-protection/ccpa-vs-gdpr-spot-the-difference/
https://www.oag.ca.gov/privacy/ccpa
https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5