TheCalifornia Consumer Privacy Act (CCPA)è una legge sulla privacy dei dati emanata nello stato della California, USA, progettata per proteggere i diritti sulla privacy dei residenti in California dando loro maggiore controllo sulle loro informazioni personali. È entrato in vigore il 1° gennaio 2020. Di seguito è riportata una panoramica degli elementi chiave e delle disposizioni del CCPA:
1.Scopo del CCPA
Il CCPA mira a fornire ai residenti della California trasparenza su come le loro informazioni personali vengono raccolte, utilizzate e condivise dalle imprese. Offre agli individui la possibilità di accedere, cancellare e controllare i propri dati personali.
2.A chi si applica il CCPA?
Il CCPA si applica alle imprese a scopo di lucro che soddisfano uno o più dei seguenti criteri:
- Ricavi annui lordiosidi oltre 25 milioni di dollari.
- Acquista, vende o condivide informazioni personalidi 100.000 o più consumatori o famiglie della California.
- Deriva il 50% o più dei ricavi annualidalla vendita di informazioni personali dei consumatori California.
Anche le imprese al di fuori della California devono rispettare se soddisfano queste soglie ed elaborano i dati personali dei residenti in California.
3.Quali sono le informazioni personali sotto il CCPA?
Il CCPA definisce ampiamente le informazioni personali per includere qualsiasi informazione che possa essere collegata a un individuo o a una famiglia specifica. Ciò include, ma non è limitato a:
- Nome, indirizzo, numero di telefono, email.
- Numero di previdenza sociale, numero di patente di guida.
- Attività Internet, indirizzo IP e dati di geolocalizzazione.
- Cronologia degli acquisti, cronologia di navigazione.
- Informazioni sull'occupazione e sull'istruzione.
- Dati biometrici.
Include anche eventuali inferenze tratte dai dati che potrebbero creare un profilo sulle preferenze, le caratteristiche, le tendenze psicologiche e i comportamenti di un individuo.
4.Diritti dei consumatori sotto il CCPA
Il CCPA concede i seguenti diritti ai residenti della California:
a.Diritto di sapere
I consumatori hanno diritto di richiedere:
- Le categorie e le specifiche informazioni personali raccolte su di esse.
- Le categorie di fonti da cui sono state raccolte le loro informazioni.
- Lo scopo commerciale o commerciale per raccogliere o vendere le loro informazioni personali.
- Le categorie di terzi con i quali le loro informazioni sono condivise.
b.Diritto di eliminare
I consumatori possono richiedere che un'azienda cancellino le proprie informazioni personali raccolte, fatte salve determinate eccezioni (ad esempio, se i dati sono necessari per completare una transazione, adempiere a un obbligo legale o per scopi di sicurezza).
c.Diritto di opt-out della vendita di informazioni personali
I consumatori hanno il diritto di rinunciare alla vendita dei loro dati personali a terzi. Le aziende devono fornire un link chiaro e cospicuo link "Non vendere le mie informazioni personali" sul loro sito web per facilitare questo processo di opt-out.
d.Diritto alla non discriminazione
I consumatori non possono essere discriminati per l'esercizio dei loro diritti CCPA. Ciò significa che le imprese non possono:
- negare beni o servizi.
- Carica prezzi o tariffe diverse.
- Fornire un livello o una qualità del servizio diverso, a meno che le differenze non siano ragionevolmente correlate al valore dei dati del consumatore.
5.Obblighi per le imprese sotto il CCPA
Le imprese che rientrano nel CCPA devono rispettare diversi requisiti:
a.Fornire avvisi sulla privacy
Le aziende devono informare i consumatori, prima o prima del punto della raccolta dei dati, sui tipi di informazioni personali raccolti e sugli scopi per i quali verranno utilizzati. Queste informazioni sono solitamente presentate in una politica sulla privacy.
b.Rispondi alle richieste dei consumatori
- Le aziende sono tenute a verificare e rispondere alle richieste dei consumatori di accedere, eliminare o opt-out entro 45 giorni.
- Devono fornire un metodo per i consumatori per presentare tali richieste, come un numero verde o un modulo web.
c.Formazione e registrazione-Keeping
- I dipendenti che trattano le richieste dei consumatori sulla privacy devono essere formati su come rispettare il CCPA.
- Le imprese devono mantenere registri delle richieste dei consumatori e come sono state gestite per almeno 24 mesi.
d.Sicurezza dei dati
- Il CCPA impone alle imprese il dovere di attuare e mantenere procedure e pratiche di sicurezza ragionevoli per proteggere le informazioni personali dei consumatori.
6.multe e sanzioni
Il CCPA consente l'esecuzione da parte delProcuratore generale della California, così come cause private in circostanze specifiche:
- Violazioni intenzionalipuò portare a multe fino a $ 7.500 per violazione.
- Violazioni involontariepuò comportare multe di 2.500 dollari per violazione se non corrette entro 30 giorni dalla notifica della questione.
- I consumatori possono anche portare cause private se le loro informazioni personali sono esposte a causa della mancata attuazione di misure di sicurezza ragionevoli da parte di un'azienda, con danni legali che vanno da 100 a $ 750 per incidente o danni effettivi, a seconda di quale sia maggiore.
7.Legge sui diritti sulla privacy della California (CPRA)
Nel 2020, gli elettori della California hanno approvato ilLegge sui diritti sulla privacy della California (CPRA), che si espande sul CCPA. La RCPA entrò in vigore il 1° gennaio 2023 e introduce diversi diritti e obblighi aggiuntivi, tra cui:
- Diritto alla rettifica: I consumatori possono richiedere la correzione di informazioni personali inesatte.
- Diritto esteso di opt-out: I consumatori possono rinunciare non solo alla vendita di informazioni personali, ma anche alla condivisione di informazioni personali per pubblicità mirata.
- Informazioni personali sensibili: La RCP introduce nuove regole relative all'uso e alla divulgazione di informazioni personali sensibili (ad esempio, dati finanziari, razza, dati sanitari).
- Creazione della California Privacy Agency (CPPA): La CPRA istituisce questa agenzia per far rispettare le leggi sulla privacy e fornire indicazioni alle imprese e ai consumatori.
8.Confronti con il GDPR
Mentre il CCPA è una grande legge sulla privacy negli Stati Uniti, differisce dalRegolamento generale sulla protezione dei dati (GDPR)in diversi modi:
- Applicabilità: GDPR si applica a livello globale a qualsiasi organizzazione che elabori i dati personali dei residenti dell'UE, mentre CCPA si applica solo ai residenti in California.
- Consenso: GDPR richiede il consenso affermativo per la raccolta dei dati, mentre CCPA consente alle aziende di raccogliere e utilizzare informazioni personali a meno che il consumatore non decida.
- Diritti dei consumatori: GDPR concede diritti più ampi, come il diritto alla portabilità dei dati e protezioni più estese attorno al processo decisionale automatizzato.
Il CCPA è una delle leggi più complete sulla privacy dei dati negli Stati Uniti e rappresenta un cambiamento verso una maggiore trasparenza dei dati e controllo dei consumatori sulle informazioni personali. La legge pone le basi per la futura legislazione sulla privacy negli Stati Uniti ed è spesso paragonata alle leggi internazionali sulla protezione dei dati come il GDPR.