Ca­li­for­nia Consumer Privacy Act (CCPA): la nuova normativa made in Ca­li­for­nia in materia di privacy

In un mondo glo­ba­liz­za­to e sempre più in­ter­con­nes­so, dove i grandi giganti di Internet ricoprono sempre più un ruolo rilevante, la tutela della privacy acquista un aspetto centrale. Con il GDPR è stato dato un forte segnale per la pro­te­zio­ne dei dati personali e ora si muove qualcosa anche negli Stati Uniti, nello specifico in Ca­li­for­nia, paese in cui finora è stata data una minore at­ten­zio­ne al tema della privacy.

Da gennaio 2020 è entrato in vigore il Ca­li­for­nia Consumer Privacy Act (CCPA), una normativa che mira a tutelare la privacy dei cittadini ca­li­for­nia­ni. Di che cosa si tratta esat­ta­men­te? A chi si rivolge e cosa cambia per gli am­mi­ni­stra­to­ri dei siti web? Quali sono le dif­fe­ren­ze con il GDPR? Diamo una risposta a queste domande nei prossimi paragrafi.

"Un piccolo passo per un uomo, un grande passo per l'umanità": anche se non si tratta di una svolta epocale come quando Neil Armstrong ha messo piede sulla luna, il Ca­li­for­nia Consumer Privacy Act, ab­bre­via­to in CCPA, rap­pre­sen­ta comunque un passo im­por­tan­te in merito alla privacy degli utenti ca­li­for­nia­ni, da sempre soggetti alle meno ferree regole sta­tu­ni­ten­si. Grazie a questa normativa, che prende spunto dal GDPR emanato dal­l'U­nio­ne Europea (pur di­stan­zian­do­se­ne, come vedremo suc­ces­si­va­men­te), si cerca di tutelare i con­su­ma­to­ri dello Stato della Ca­li­for­nia, limitando il potere delle grandi aziende.

Grazie al CCPA, entrato in vigore il 1° gennaio 2020, vengono in­tro­dot­ti nuovi requisiti per il trat­ta­men­to dei dati personali e i con­su­ma­to­ri sono di con­se­guen­za più tutelati, ac­qui­sen­do nuovi diritti. A partire dal 1° luglio 2020 la norma sarà pie­na­men­te ap­pli­ca­bi­le.

È tenuto ad applicare il CCPA chiunque svolga un'at­ti­vi­tà com­mer­cia­le e si rivolga a utenti ca­li­for­nia­ni, anche se l'azienda in questione non ha sede negli Stati Uniti. Inoltre è ne­ces­sa­rio attenersi al CCPA se l'azienda è in possesso di almeno uno di questi requisiti:

• ha un fatturato annuo lordo che supera i 25 milioni di dollari;
• almeno il 50% del proprio fatturato deriva dalla vendita di dati personali;
• acquista, riceve, vende o condivide an­nual­men­te le in­for­ma­zio­ni personali di 50.000 o più con­su­ma­to­ri con chiari intenti com­mer­cia­li.

Con il Ca­li­for­nia Consumer Privacy Act si mira a pro­teg­ge­re il con­su­ma­to­re, che gode in questo modo di una maggiore tutela dei propri diritti. In par­ti­co­la­re, si prevede per l'utente ca­li­for­nia­no:

• il diritto a essere informati: gli utenti devono essere informati prima o durante la raccolta sul trat­ta­men­to dei loro dati. L'azienda è quindi tenuta a spe­ci­fi­ca­re i tipi di dati personali che raccoglie, condivide o vende, spe­ci­fi­can­do con chi vende o condivide queste in­for­ma­zio­ni (terze parti);
• il diritto di accesso: tramite richiesta ufficiale l'utente deve poter accedere ai propri dati personali. A tal proposito, l'azienda deve pre­di­spor­re un numero verde apposito e un indirizzo del sito web per per­met­te­re al­l'u­ten­te di ef­fet­tua­re la richiesta;
• il diritto alla por­ta­bi­li­tà: si ricollega al diritto di accesso e consente al­l'u­ten­te di ricevere le in­for­ma­zio­ni raccolte da parte di un'a­zien­da in un formato leggibile e fa­cil­men­te tra­sfe­ri­bi­le ad altri;
• il diritto alla can­cel­la­zio­ne: l'utente ha il diritto di ri­chie­de­re la can­cel­la­zio­ne dei propri dati. In questo caso l'azienda è tenuta a can­cel­la­re tutte le in­for­ma­zio­ni raccolte e sul­l'u­ten­te e al­tret­tan­to devono fare i servizi a questa correlati. Anche qui la richiesta deve avvenire tramite il numero verde o l'in­di­riz­zo e-mail preposto allo scopo;
• il diritto di opporsi: l'op­po­si­zio­ne si riferisce alla vendita dei propri dati, che può essere negata tramite co­mu­ni­ca­zio­ne al­l'a­zien­da. È ne­ces­sa­rio quindi avvisare della vendita dei propri dati nel­l'in­for­ma­ti­va sulla privacy e dare anche la pos­si­bi­li­tà di poter negare questo consenso con un mec­ca­ni­smo di opt-out. Si deve quindi inserire un link con la dicitura “DNSMPI”, acronimo di “Do Not Sell My Personal In­for­ma­tion” (in italiano: “Non vendere i miei dati personali”). Da questo momento l'azienda dovrà quindi attenersi alla volontà del con­su­ma­to­re, che, qualora dovesse cambiare idea, potrà con­sen­ti­re questa procedura con il mec­ca­ni­smo contrario di opt-in. L'azienda stessa può ri­chie­de­re questa au­to­riz­za­zio­ne solo un'altra volta e dopo 12 mesi dall'opt-out;
• il diritto all'opt-in per i minori: in linea di massima le aziende non possono vendere i dati personali di un minore sotto i 16 anni. Tuttavia, un'ec­ce­zio­ne alla regola è possibile se il con­su­ma­to­re con un'età compresa tra i 13 e i 16 anni ha ef­fet­tua­to per­so­nal­men­te l'opt-in, o se un genitore/tutore ha ef­fet­tua­to l'opt-in al posto del minore con meno di 13 anni;
• il diritto a non essere di­scri­mi­na­ti: infine le aziende non possono di­scri­mi­na­re i con­su­ma­to­ri che vogliono eser­ci­ta­re questi diritti previsti per legge. Ciò significa che non possono negare loro beni e servizi, applicare diversi prezzi per gli stessi beni o servizi, fornire beni o servizi con una diversa qualità o implicare al con­su­ma­to­re che dopo l'e­ser­ci­zio di questi diritti riceverà beni e servizi a un altro prezzo o con un'altra qualità.

Se le aziende non ri­spet­ta­no la nuova normativa, vanno incontro a sanzioni. Infatti i con­su­ma­to­ri hanno il diritto di citare in giudizio le aziende che violano la legge, per le quali saranno previste multe comprese tra 100 e 750 dollari. L'importo può però variare in base al­l'en­ti­tà del danno.

Nel caso in cui sia lo Stato ad ac­cor­ger­si di­ret­ta­men­te della vio­la­zio­ne, le aziende rischiano fino a 2.500 dollari di multa, qualora si è tra­sgre­di­to il CCPA in­vo­lon­ta­ria­men­te, o fino a 7.500 dollari nel caso la norma sia stata tra­sgre­di­ta con­sa­pe­vol­men­te.

Le sanzioni si ap­pli­che­ran­no poi per singola vio­la­zio­ne e per con­su­ma­to­re, cosa che potrebbe far lievitare no­te­vol­men­te il conto da pagare. Tuttavia, è ra­gio­ne­vo­le pensare che fino a luglio ci saranno alcune con­ces­sio­ni per dare il tempo ai siti in­te­res­sa­ti di im­ple­men­ta­re ade­gua­ta­men­te le misure previste dal CCPA.

Il Ca­li­for­nia Consumer Privacy Act prende le mosse dal GDPR, entrato in vigore a maggio 2018. Tuttavia, vi sono alcune dif­fe­ren­ze e il Re­go­la­men­to generale sulla pro­te­zio­ne dei dati risulta in generale più estensivo e det­ta­glia­to sotto molti aspetti.

La prima prin­ci­pa­le dif­fe­ren­za risiede nell’ap­pli­ca­zio­ne: mentre il GDPR si indirizza a tutti gli utenti (aziende comprese) che trattano dati dei cittadini dell’Unione Europea, il CCPA si rivolge esclu­si­va­men­te a persone fisiche residenti in Ca­li­for­nia. In­te­res­sa­ti sono perciò le aziende sta­tu­ni­ten­si ma anche quelle che svolgono attività com­mer­cia­li in Ca­li­for­nia, a patto che pre­sen­ti­no de­ter­mi­na­ti requisiti (il­lu­stra­ti sopra nel paragrafo “Chi deve applicare il CCPA?”).

Entrambe le normative mirano a tutelare mag­gior­men­te la privacy degli utenti, ma il GDPR prevede molti più diritti, tra cui il diritto all’oblio, il diritto alla rettifica dei dati personali e il diritto di non essere soggetti a una decisione basata esclu­si­va­men­te su un trat­ta­men­to au­to­ma­tiz­za­to, che non sono invece con­tem­pla­ti dal CCPA.

Sof­fer­man­do­ci sull’aspetto sicurezza, il GDPR appare più preciso e prevede che vengano im­ple­men­ta­te misure di sicurezza adeguate e in linea con gli standard più recenti, mentre il CCPA rimane più vago, senza spe­ci­fi­ca­re quali procedure vadano im­ple­men­ta­te.

Infine, anche le multe previste per il GDPR sono di gran lunga superiori a quelle del CCPA, che arrivano a un massimo di 7500 dollari per singola vio­la­zio­ne contro i 20 milioni di euro o a un massimo del 4% del fatturato mondiale annuo indicati dal GDPR. Senza contare che oltre alle sanzioni pe­cu­nia­rie, il Re­go­la­men­to generale sulla pro­te­zio­ne dei dati prevede richiami, verifiche pe­rio­di­che e ri­sar­ci­men­ti danni.

Per con­clu­de­re, ri­ca­pi­to­lia­mo le prin­ci­pa­li misure da adottare per con­for­mar­si al Ca­li­for­nia Consumer Privacy Act (CCPA).

Prima di tutto è ne­ces­sa­rio sapere che questa normativa si applica solo per le aziende che svolgono attività com­mer­cia­li e che sono in­di­riz­za­te a utenti ca­li­for­nia­ni. Affinché questo risulti rilevante per un'a­zien­da italiana, deve ricevere almeno 50.000 visite uniche da utenti ca­li­for­nia­ni. Se così fosse, è ne­ces­sa­rio fare presente nel­l'in­for­ma­ti­va sulla privacy del trat­ta­men­to dei dati personali del­l'u­ten­te e in caso di vendita degli stessi, andrà im­ple­men­ta­to un link “DNSMPI”, ovvero “Do Not Sell My Personal In­for­ma­tion”, che permetta ai con­su­ma­to­ri di negare il proprio consenso alla vendita. Questo link dovrà rein­di­riz­za­re a una pagina apposita con il mec­ca­ni­smo di opt-out e opt-in. Inoltre, dato che dovrebbe essere ben visibile, è in genere rac­co­man­da­to di inserire il link non solo nel­l'in­for­ma­ti­va sulla privacy ma anche con un avviso sul sito, ad esempio nel piè di pagina.

In caso di dif­fi­col­tà pratiche con l'im­ple­men­ta­zio­ne, a seconda del CMS in uso è sempre possibile affidarsi a servizi specifici a pagamento che vi aiu­te­ran­no con il processo o potete provare i plug-in di­spo­ni­bi­li, anche gra­tui­ta­men­te, ad esempio sulla pagina dei plug-in di Wordpress.