Che cos’è la CCPA e come rispettarla
Indice
- Che cos'è la CCPA
- Quali sono i principali obiettivi della normativa CCPA?
- Cosa si intende per personal information?
- Quali sono gli obblighi per le aziende?
- Cosa sono "l'Opt out" e l"Opt in"?
- Quali sono i soggetti maggiormente interessati dalla CCPA?
- Vuoi rendere il tuo sito aderente alla CCPA?
Che cos'è la CCPA
Sulla scia dell’entrata in vigore della GDPR europea, anche negli Usa si stanno muovendo i primi passi sul fronte privacy e della protezione dei dati personali: è scattata infatti a partire da gennaio 2020 l’entrata in vigore della CCPA (California Consumer Privacy Act).
L’introduzione della CCPA è ovviamente un fattore di rilevanza per tutte quelle aziende, italiane e europee, che svolgono attività di business anche sul mercato USA e in particolare nello stato della California.
Quali sono i principali obiettivi della normativa CCPA?
I principali obiettivi che il CCPA intende raggiungere a vantaggio dei consumatori, ovvero delle persone fisiche residenti in California, possono essere così identificati rispetti ai diritti che la normativa intende tutelare:
- Il diritto dei consumatori di conoscere le proprie informazioni personali che le aziende raccolgono
- Il diritto alla cancellazione delle informazioni personali (con alcune eccezioni)
- L’esercizio del diritto di “opt out”, che consente al consumatore di impedire la vendita (comunque consentita se la normativa CCPA viene rispettata) dei propri dati personali a terzi
Cosa si intende per personal information?
l CCPA definisce i dati personali (personal information) come quelli che
“identificano, si riferiscono a, descrivono, possono essere associati o potrebbero ragionevolmente essere collegati, direttamente o indirettamente, con un particolare consumatore o famiglia“.
Qualche esempio di informazioni specifiche che devono essere considerate dati personali?
Indirizzi IP, cookie, beacon e pixel tag che possono essere utilizzati per riconoscere online un soggetto interessato e tracciarlo con la finalità di utilizzare questi dati per campagne di digital ADV di diversa tipologia, oltre che i c.d. “identificatori persistenti o probabilistici” (persistent or probabilistic identifier).
Quali sono gli obblighi per le aziende?
Il CCPA prevede che le aziende abbiano l’obbligo di fornire preventivamente, oppure al momento della raccolta dei dati personali, tutte le informazioni specifiche mediante privacy policies.
Le imprese saranno quindi tenute ad informare i consumatori circa l’esistenza e la tipologia dei diritti loro spettanti, le categorie di informazioni personali raccolte e le relative finalità, oltre alle categorie di informazioni personali vendute o diffuse nei dodici mesi precedenti all’entrata in vigore della normativa.
Leggi anche: Come rendere un sito conforme al GDPR?
Cosa sono "l'Opt out" e l"Opt in"?
Le aziende che vendono i dati dei consumatori a terzi saranno quindi obbligate ad informare gli stessi consumatori in merito a tale attività, garantendo loro la possibilità di rinunciare alla vendita mediante la creazione di un link, ben visibile all’interno del sito web aziendale intitolato: “Do Not Sell My Personal Information” (opt out).
La normativa prevede inoltre che un’impresa non possa vendere le informazioni personali di consumatori di età inferiore ai 16 anni senza il consenso affermativo del consumatore o, per i consumatori di età inferiore ai 13 anni, senza il consenso del genitore o del tutore (opt in).
Secondo la direttiva CCPA i consumatori avranno anche il diritto di richiedere determinate informazioni alle aziende sui dati raccolti e in particolare:
- la fonte dalla quale sono stati ottenuti
- le finalità per le quali vengono utilizzati
- l’esistenza di soggetti terzi ai quali vengono divulgati o venduti
Quali sono i soggetti maggiormente interessati dalla CCPA?
Pur essendo una normativa che si estende a tutte le aziende operanti in California, i principali soggetti sui quali gravano gli obblighi sono sostanzialmente le imprese che posseggono almeno uno dei seguenti requisiti:
- fatturato lordo superiore a 25 milioni di dollari
- oltre il 50% delle entrate annue derivanti dalla vendita delle informazioni personali dei consumatori
- ricezione, su base annuale, d’informazioni personali di oltre 50.000 consumatori, dispositivi o famiglie