California Consumer Privacy Act (CCPA): la nuova normativa made in California in materia di privacy

In un mondo globalizzato e sempre più interconnesso, dove i grandi giganti di Internet ricoprono sempre più un ruolo rilevante, la tutela della privacy acquista un aspetto centrale. Con il GDPR è stato dato un forte segnale per la protezione dei dati personali e ora si muove qualcosa anche negli Stati Uniti, nello specifico in California, paese in cui finora è stata data una minore attenzione al tema della privacy.

Da gennaio 2020 è entrato in vigore il California Consumer Privacy Act (CCPA), una normativa che mira a tutelare la privacy dei cittadini californiani. Di che cosa si tratta esattamente? A chi si rivolge e cosa cambia per gli amministratori dei siti web? Quali sono le differenze con il GDPR? Diamo una risposta a queste domande nei prossimi paragrafi.

"Un piccolo passo per un uomo, un grande passo per l'umanità": anche se non si tratta di una svolta epocale come quando Neil Armstrong ha messo piede sulla luna, il California Consumer Privacy Act, abbreviato in CCPA, rappresenta comunque un passo importante in merito alla privacy degli utenti californiani, da sempre soggetti alle meno ferree regole statunitensi. Grazie a questa normativa, che prende spunto dal GDPR emanato dall'Unione Europea (pur distanziandosene, come vedremo successivamente), si cerca di tutelare i consumatori dello Stato della California, limitando il potere delle grandi aziende.

Grazie al CCPA, entrato in vigore il 1° gennaio 2020, vengono introdotti nuovi requisiti per il trattamento dei dati personali e i consumatori sono di conseguenza più tutelati, acquisendo nuovi diritti. A partire dal 1° luglio 2020 la norma sarà pienamente applicabile.

È tenuto ad applicare il CCPA chiunque svolga un'attività commerciale e si rivolga a utenti californiani, anche se l'azienda in questione non ha sede negli Stati Uniti. Inoltre è necessario attenersi al CCPA se l'azienda è in possesso di almeno uno di questi requisiti:

• ha un fatturato annuo lordo che supera i 25 milioni di dollari;
• almeno il 50% del proprio fatturato deriva dalla vendita di dati personali;
• acquista, riceve, vende o condivide annualmente le informazioni personali di 50.000 o più consumatori con chiari intenti commerciali.

Con il California Consumer Privacy Act si mira a proteggere il consumatore, che gode in questo modo di una maggiore tutela dei propri diritti. In particolare, si prevede per l'utente californiano:

• il diritto a essere informati: gli utenti devono essere informati prima o durante la raccolta sul trattamento dei loro dati. L'azienda è quindi tenuta a specificare i tipi di dati personali che raccoglie, condivide o vende, specificando con chi vende o condivide queste informazioni (terze parti);
• il diritto di accesso: tramite richiesta ufficiale l'utente deve poter accedere ai propri dati personali. A tal proposito, l'azienda deve predisporre un numero verde apposito e un indirizzo del sito web per permettere all'utente di effettuare la richiesta;
• il diritto alla portabilità: si ricollega al diritto di accesso e consente all'utente di ricevere le informazioni raccolte da parte di un'azienda in un formato leggibile e facilmente trasferibile ad altri;
• il diritto alla cancellazione: l'utente ha il diritto di richiedere la cancellazione dei propri dati. In questo caso l'azienda è tenuta a cancellare tutte le informazioni raccolte e sull'utente e altrettanto devono fare i servizi a questa correlati. Anche qui la richiesta deve avvenire tramite il numero verde o l'indirizzo e-mail preposto allo scopo;
• il diritto di opporsi: l'opposizione si riferisce alla vendita dei propri dati, che può essere negata tramite comunicazione all'azienda. È necessario quindi avvisare della vendita dei propri dati nell'informativa sulla privacy e dare anche la possibilità di poter negare questo consenso con un meccanismo di opt-out. Si deve quindi inserire un link con la dicitura “DNSMPI”, acronimo di “Do Not Sell My Personal Information” (in italiano: “Non vendere i miei dati personali”). Da questo momento l'azienda dovrà quindi attenersi alla volontà del consumatore, che, qualora dovesse cambiare idea, potrà consentire questa procedura con il meccanismo contrario di opt-in. L'azienda stessa può richiedere questa autorizzazione solo un'altra volta e dopo 12 mesi dall'opt-out;
• il diritto all'opt-in per i minori: in linea di massima le aziende non possono vendere i dati personali di un minore sotto i 16 anni. Tuttavia, un'eccezione alla regola è possibile se il consumatore con un'età compresa tra i 13 e i 16 anni ha effettuato personalmente l'opt-in, o se un genitore/tutore ha effettuato l'opt-in al posto del minore con meno di 13 anni;
• il diritto a non essere discriminati: infine le aziende non possono discriminare i consumatori che vogliono esercitare questi diritti previsti per legge. Ciò significa che non possono negare loro beni e servizi, applicare diversi prezzi per gli stessi beni o servizi, fornire beni o servizi con una diversa qualità o implicare al consumatore che dopo l'esercizio di questi diritti riceverà beni e servizi a un altro prezzo o con un'altra qualità.

Se le aziende non rispettano la nuova normativa, vanno incontro a sanzioni. Infatti i consumatori hanno il diritto di citare in giudizio le aziende che violano la legge, per le quali saranno previste multe comprese tra 100 e 750 dollari. L'importo può però variare in base all'entità del danno.

Nel caso in cui sia lo Stato ad accorgersi direttamente della violazione, le aziende rischiano fino a 2.500 dollari di multa, qualora si è trasgredito il CCPA involontariamente, o fino a 7.500 dollari nel caso la norma sia stata trasgredita consapevolmente.

Le sanzioni si applicheranno poi per singola violazione e per consumatore, cosa che potrebbe far lievitare notevolmente il conto da pagare. Tuttavia, è ragionevole pensare che fino a luglio ci saranno alcune concessioni per dare il tempo ai siti interessati di implementare adeguatamente le misure previste dal CCPA.

Il California Consumer Privacy Act prende le mosse dal GDPR, entrato in vigore a maggio 2018. Tuttavia, vi sono alcune differenze e il Regolamento generale sulla protezione dei dati risulta in generale più estensivo e dettagliato sotto molti aspetti.

La prima principale differenza risiede nell’applicazione: mentre il GDPR si indirizza a tutti gli utenti (aziende comprese) che trattano dati dei cittadini dell’Unione Europea, il CCPA si rivolge esclusivamente a persone fisiche residenti in California. Interessati sono perciò le aziende statunitensi ma anche quelle che svolgono attività commerciali in California, a patto che presentino determinati requisiti (illustrati sopra nel paragrafo “Chi deve applicare il CCPA?”).

Entrambe le normative mirano a tutelare maggiormente la privacy degli utenti, ma il GDPR prevede molti più diritti, tra cui il diritto all’oblio, il diritto alla rettifica dei dati personali e il diritto di non essere soggetti a una decisione basata esclusivamente su un trattamento automatizzato, che non sono invece contemplati dal CCPA.

Soffermandoci sull’aspetto sicurezza, il GDPR appare più preciso e prevede che vengano implementate misure di sicurezza adeguate e in linea con gli standard più recenti, mentre il CCPA rimane più vago, senza specificare quali procedure vadano implementate.

Infine, anche le multe previste per il GDPR sono di gran lunga superiori a quelle del CCPA, che arrivano a un massimo di 7500 dollari per singola violazione contro i 20 milioni di euro o a un massimo del 4% del fatturato mondiale annuo indicati dal GDPR. Senza contare che oltre alle sanzioni pecuniarie, il Regolamento generale sulla protezione dei dati prevede richiami, verifiche periodiche e risarcimenti danni.

Per concludere, ricapitoliamo le principali misure da adottare per conformarsi al California Consumer Privacy Act (CCPA).

Prima di tutto è necessario sapere che questa normativa si applica solo per le aziende che svolgono attività commerciali e che sono indirizzate a utenti californiani. Affinché questo risulti rilevante per un'azienda italiana, deve ricevere almeno 50.000 visite uniche da utenti californiani. Se così fosse, è necessario fare presente nell'informativa sulla privacy del trattamento dei dati personali dell'utente e in caso di vendita degli stessi, andrà implementato un link “DNSMPI”, ovvero “Do Not Sell My Personal Information”, che permetta ai consumatori di negare il proprio consenso alla vendita. Questo link dovrà reindirizzare a una pagina apposita con il meccanismo di opt-out e opt-in. Inoltre, dato che dovrebbe essere ben visibile, è in genere raccomandato di inserire il link non solo nell'informativa sulla privacy ma anche con un avviso sul sito, ad esempio nel piè di pagina.

In caso di difficoltà pratiche con l'implementazione, a seconda del CMS in uso è sempre possibile affidarsi a servizi specifici a pagamento che vi aiuteranno con il processo o potete provare i plug-in disponibili, anche gratuitamente, ad esempio sulla pagina dei plug-in di Wordpress.