Se il CCPA è applicabile (potete fare una breve valutazione qui per vedere se è applicabile), potete usare la lista di controllo qui sotto per rivedere o valutare rapidamente la vostra conformità di base al CCPA.
Innanzitutto, ricapitoliamo, che cos’è il CCPA? Il California Consumer Privacy Act (CCPA) è la nuova legge californiana sulla privacy che mira a migliorare i diritti alla privacy dei consumatori residenti in California, Stati Uniti. Il CCPA stabilisce nuovi requisiti per il trattamento delle informazioni di identificazione personale e garantisce ai consumatori californiani ulteriori diritti.
Una delle azioni più importanti in materia di compliance è la revisione onesta dei processi e dei sistemi.
Ecco alcune domande per facilitare la valutazione. Potete spuntare le domande man mano che rispondete.
Quali categorie di dati personali raccolgo e con quali categorie di terzi li condivido?
Da quali fonti raccolgo queste informazioni e quali sono le loro categorie (ad esempio, analytics)?
Quali sono le ragioni o gli scopi della mia raccolta di dati?
Quali diritti dei consumatori del CPPA (se esistono) non si applicano alle mie attività di trattamento?
Quali eccezioni si applicano ragionevolmente e onestamente al mio scenario?
Sto tenendo traccia di tutti i fornitori di servizi* che accedono alle informazioni personali dei consumatori per mio conto?
Posso contattare in modo affidabile queste parti per soddisfare richieste di cancellazione?
Mantengo registrazioni affidabili delle informazioni e delle categorie di informazioni personali che raccolgo per ogni consumatore?
Ho i documenti (ad esempio informativa sulla privacy o termini e condizioni) Devo rendere disponibili sul mio sito web le informazioni richieste dalla legge?
*I fornitori di servizi sono entità che raccolgono informazioni personali per conto dell’azienda e non per scopi propri – è simile a un processore ai sensi del GDPR. Definizione completa ed eccezioni qui https://www.oag.ca.gov/sites/all/files/agweb/pdfs/privacy/ccpa-proposed-regs.pdf (pg.14)
Conservate registrazioni interne del tipo di trattamento che fate (compresi i fornitori di servizi) in modo da poter includere i dettagli pertinenti nella vostra politica sulla privacy e potenzialmente nel punto di raccolta dei dati (ad esempio un modulo di contatto), se applicabile.
Visualizzazione del linguaggio, delle informative e delle istruzioni relative al CCPA nella vostra informativa sulla privacy
Aggiornare l’informativa sulla privacy ogni 12 mesi
Have in place a way of retrieving information processed on specific consumers. Un approccio a questo proposito consiste semplicemente nel conoscere quali processi si applicano tipicamente a particolari gruppi di utenti o transazioni. Da qui è possibile effettuare un confronto con la privacy interna, le vendite, il database o registri di consenso per recuperare le informazioni pertinenti.
Disporre di mezzi per soddisfare le richieste di accesso per posta ordinaria o per via elettronica (come e-mail, download di file, ecc.) in un formato che sia facile da usare e che permetta di trasmettere facilmente le informazioni a un’altra persona o azienda senza ostacoli.
Visualizzare un avviso di raccolta CCPA;
Visualizzare un link “Non vendere i miei dati personali” (DNSMPI) che consente al consumatore di rinunciare
Facilitare effettivamente l’opt-out e interrompere l’azione di vendita per il consumatore specifico.
Assicurarsi che nei casi in cui si è a conoscenza del fatto che il consumatore è un minore di età inferiore ai 16 anni non si vendano le sue informazioni a meno che non sia esplicitamente autorizzato da un genitore o tutore (per i minori di 13 anni) o se esplicitamente autorizzato dal consumatore minorenne nei casi in cui il minore abbia un’età compresa tra i 13 e i 16 anni.
Non discriminate i consumatori che esercitano i loro diritti.