Nel 2020, la California ha promulgato il California Consumer Protection Act (CCPA), per far fronte alle crescenti preoccupazioni riguardo la raccolta e la vendita dei dati personali.
L’attuale CCPA garantisce diversi diritti ai residenti della California e regola le azioni delle aziende che raccolgono o vendono i dati personali. Tuttavia, non definisce bene le conseguenze del trattamento dei dati effettuato da terze parti. Questo ha portato a un emendamento del CCPA, che è ora conosciuto come il California Privacy Rights Act (CPRA).
💡 Il CPRA si basa sulle disposizioni del CCPA, stabilisce nuovi diritti per i consumatori e aggiunge ulteriori requisiti per le aziende che raccolgono i dati personali dei residenti della California.
📌 Aggiornamento della definizione di azienda nel CPRA
I criteri per essere considerati un’azienda sono stati aggiornati. Scopri se puoi classificarti come tale rispondendo alle domande qui sotto:
Sei una persona giuridica che opera per profitto?
Raccogli i dati personali di consumatori della California?
Sei tu a determinare le finalità e i mezzi del trattamento dei dati personali?
La tua azienda soddisfa almeno uno dei seguenti requisiti?
(A) Un fatturato annuo lordo superiore a 25 milioni di dollari ($25.000.000).
(B) Acquista, riceve, vende o condivide ogni anno le informazioni personali di 100.000 o più consumatori o famiglie, da sola o in combinazione.
(C) Deriva almeno il 50% del proprio fatturato dalla vendita di dati personali.
Se hai risposto sì, allora la tua organizzazione è considerata un’azienda per il CPRA.
Quali sono le conseguenza per la mia azienda?
Viste le modifiche a questi criteri, le entità soggette al CPRA potrebbero essere diverse da quelle a cui si applicava il CCPA.
📌 I dati personali sensibili per il CPRA
Il CPRA ha introdotto un’altra categoria di dati personali: i dati personali sensibili (SPI). L’idea si avvicina a quella dell’Articolo 9 del Regolamento generale sulla protezione dei dati (GDPR), che richiede un maggiore livello di protezione in presenza di dati sensibili.
Quali sono i dati personali sensibili secondo il CPRA? Dai un’occhiata qui per la lista completa (emendamento del 2020). I dati sensibili che sono “disponibili pubblicamente” non possono essere considerati informazioni personali sensibili o informazioni sensibili.
Il CPRA impone degli standard e delle limitazioni sui dati personali sensibili, garantendo ai consumatori un maggiore controllo su come le organizzazioni utilizzano le loro informazioni personali.
Tra i nuovi requisiti ci sono:
Nuovi obblighi di informativa: la tua azienda deve comunicare ai consumatori, attraverso la privacy policy, se le informazioni verranno vendute o condivise e la durata di archiviazione.
Limitazione delle finalità: devi comunicare ogni finalità aggiuntiva per cui i dati sensibili potrebbero essere utilizzati o venduti alle terze parti.
Opposizione all’uso dei dati (opt-out): fornisci un link ben visibile con la dicitura “Limita l’uso dei miei dati personali sensibili”, sulla tua homepage e un avviso sul diritto alla limitazione dell’uso e la diffusione dei dati personali sensibili.. Tuttavia, ci sono casi in cui un’azienda non ha bisogno di dare ai consumatori il diritto alla limitazione dell’uso dei SPI e mostrare un’informativa. In particolare, ogni volta che i dati personali sensibili sono trattati:
per offrire beni o servizi (solo per un uso ragionevolmente previsto per un consumatore medio);
per prevenire, individuare e indagare gli incidenti di sicurezza che compromettono la disponibilità, autenticità, integrità o segretezza delle informazioni personali conservate o trasmesse;
per far fronte a delle azioni disoneste, fraudolente o illegali, dirette all’organizzazione, e per perseguire i responsabili;
per assicurare la sicurezza fisica di individui;
per un uso limitato nel tempo, come (ma non limitato a) pubblicità non personalizzata mostrata come parte dell’interazione del consumatore con l’organizzazione, posto che le informazioni personali non siano condivise con terze parti o utilizzate per costruire un profilo del consumatore;
per fornire un servizio per conto dell’organizzazione (ad esempio, servizio clienti, elaborazione di ordini, transazioni, pagamenti, ecc.);
per verificare o mantenere la qualità o la sicurezza di un prodotto, un servizio o un dispositivo che sia di proprietà dell’organizzazione, sia creato da o per l’organizzazione, o controllato da essa; o per aggiornare o migliorare un servizio che sia di proprietà dell’organizzazione, sia creato da o per l’organizzazione, o controllato da essa; e
per finalità che non deducono caratteristiche del consumatore.
Quali sono le conseguenza per la mia azienda?
Con l’introduzione dei dati personali sensibili, il CPRA specifica che le aziende devono prestare particolare attenzione alla protezione dei dati e devono rispondere in modo adeguato alle richieste di opt-out degli utenti. Le aziende che intendono trattare i dati sensibili dei consumatori devono anche fissare degli standard aggiuntivi. Ad esempio, le aziende che raccolgono dati sensibili devono avere sui loro siti web un link chiaro e visibile chiamato “Limita l’utilizzo dei miei dati personali sensibili” (“Limit the Use of My Sensitive Personal Information”), che permetta agli utenti di limitare il trattamento dei loro dati.
📌 Nuovi diritti per i consumatori
Ci sono cinque diritti dei consumatori del CCPA che sono stati aggiornati nel CPRA.
Diritto di opporsi alla vendita e alla condivisione con terze parti:
CCPA: secondo il CCPA, i consumatori hanno la possibilità di opporsi alla vendita dei loro dati personali da parte delle aziende.
CPRA: il CPRA amplia questo diritto, includendo la condivisione dei dati personali alla vendita.
Diritto alla conoscenza
CCPA: per il CCPA, le aziende devono rispondere alle richieste dei consumatori riguardo i loro dati personali inviate nei 12 mesi precedenti.
CPRA: in caso di condizioni specifiche, il CPRA estende questo periodo, permettendo ai consumatori di accedere alle informazioni personali raccolte su di loro anche oltre il limite di 12 mesi. Le aziende devono informare i consumatori del loro diritto di conoscere quali dati personali sono venduti o condivisi e con chi.
Diritto alla cancellazione
CCPA: Il CCPA garantisce ai consumatori il diritto di richiedere la cancellazione di qualsiasi dato personale raccolto sul loro conto, se non sono più necessari a soddisfare i requisiti specificati nel Cal. Civ. Code Sec. 1798.105
CPRA: le aziende devono informare i consumatori del loro diritto alla cancellazione dei dati personali e portare a termine le richieste, a meno che le informazioni non siano necessarie per completare una transazione, adempiere a una garanzia, richiamare un prodotto o assicurare sicurezza e integrità.
Diritto al trasferimento dei dati
CCPA: il CCPA prevede il “diritto alla conoscenza”, che implica che il consumatore debba ricevere una copia dei loro dati personali via posta o online.
CPRA: un consumatore può richiedere che un’azienda trasferisca alcune sue informazioni personali a un’altra organizzazione.
Diritto all’opt-in (consenso preventivo per i minori)
CCPA: l’uso dei dati di minori è una preoccupazione generale per la legge, e il CCPA richiede alle aziende di ottenere l’autorizzazione prima di vendere i dati personali di utenti californiani che hanno meno di 16 anni.
CPRA: Le aziende devono aspettare 12 mesi per richiedere nuovamente l’autorizzazione di un minore che ha rifiutato la vendita o la condivisione dei propri dati.
Ora che abbiamo analizzato i cambiamenti ai diritti dei consumatori definiti nel CCPA, diamo un’occhiata ai quattro diritti aggiuntivi del CPRA (non inclusi nel CCPA):
Diritto alla correttezza dei dati: un consumatore ha il diritto di richiedere a un’azienda di correggere qualsiasi dato personale errato.
Diritto alla limitazione dell’uso e la diffusione dei dati personali sensibili: un consumatore ha il diritto di limitare l’uso e la diffusione dei suoi dati personali sensibili a “un uso che sia necessario all’esecuzione dei servizi o alla consegna di prodotti, in linea con le aspettative di un consumatore ordinario che richieda tali beni o servizi”.
Accesso alle informazioni riguardo i processi decisionali automatizzati: un consumatore ha il diritto di ottenere “le informazioni che riguardano la logica utilizzata in tali processi decisionali, così come la descrizione del risultato previsto in relazione al consumatore”.
Diritto di opporsi alle tecnologie che eseguono processi decisionali automatizzati: un consumatore ha il diritto di opporsi (opt-out) alle tecnologie che eseguono processi decisionali automatizzati.
Quali sono le conseguenza per la mia azienda?
Le aziende devono assicurarsi di essere pronte ad adeguarsi ai nuovi diritti del consumatore introdotti nel CPRA.
Dovranno stabilire dei sistemi e delle verifiche per dimostrare di essere in grado di rispondere velocemente alle richieste dei consumatori. Per adeguarsi al CPRA, molte aziende potrebbero aver bisogno di modificare le loro misure di sicurezza esistenti, assumere dei nuovi dipendenti, o affidarsi a servizi di terza parte.
👉 Attenzione: secondo il CPRA, le aziende devono aspettare almeno 12 mesi prima di chiedere nuovamente il consenso a un consumatore che si è opposto alla vendita o condivisione delle sue informazioni personali.
👉 Inoltre, in quanto azienda, devi fornire ai consumatori due o più metodi per presentare le loro richieste. Questi metodi possono variare da azienda ad azienda, ma devono includere almeno un numero verde e, se l’azienda ha un sito web, l’indirizzo del sito. Tuttavia, un’azienda può evitare di fornire un numero verde se “opera esclusivamente online”; e se ha un “rapporto diretto con un consumatore dal quale raccoglie informazioni personali”.
📌 Diritti dei minori
Il CPRA richiede di adeguarsi al COPPA, che governa i diritti sulla privacy dei minori, con riferimento specifico alla vendita e condivisione dei dati personali dei bambini.
Quindi, se la tua azienda vene o condivide i dati personali dei consumatori:
minori di 13 anni, devi tenere dei registri che dimostrano che il consenso alla vendita e condivisione dei dati personali del minore venga dai genitori o tutori.
di età compresa tra i 13 e i 16 anni, devi permettere all’utente l’opzione di prestare un consenso preventivo (opt-in) alla vendita o condivisione dei loro dati personali e tenere un registro di questi consensi. Quando ricevi una richiesta di opt-in, devi anche comunicare all’utente il suo diritto di opporsi (opt-out).
📌 Assimilazione dei principi del GDPR
I seguenti concetti non fanno parte del CCPA, ma sono stati inseriti nel CPRA:
Minimizzazione dei dati
Limitazione delle finalità
Limitazione della conservazione
Quali sono le conseguenza per la mia azienda?
Codificando questi principi all’interno del CPRA, la California ha creato le condizioni per applicarli ed eventualmente penalizzare le aziende che non:
limitano la raccolta dei dati personali alle informazioni che sono necessarie alla finalità stabilita, e;
limitano la conservazione dei dati al minor tempo possibile per adempiere alla finalità stabilità.
Di conseguenza, il CPRA include un nuovo requisito. Il permesso all’opt-in è richiesto a seguito di un precedente opt-out. La tua azienda deve permettere ai consumatori di:
prestare nuovamente il consenso (opt-in) alla vendita/condivisione dei loro dati personali dopo aver effettuato l’opt-out; e
avvisare i consumatori che hanno effettuato l’opt-out ogni volta che una transazione/tentativo di utilizzare un prodotto implica la vendita/condivisione dei dati personali e fornire delle istruzioni su come prestare il consenso.
📌 Espansione delle categorie di dati personali perseguibili in caso di violazione
CCPA: Nel caso di una violazione dei dati personali, i consumatori hanno il diritto di fare causa all’azienda se quest’ultima non ha messo in atto le misure di sicurezza adeguate, causando la diffusione di informazioni che non erano state né crittografate, né oscurate.
CPRA: questo diritto resta intatto, ma si aggiungono le password di accesso alla lista dei dati personali per i quali è possibile fare causa all’azienda.
Quali sono le conseguenza per la mia azienda?
Il fatto che il CPRA abbia esteso il suo campo di applicazione anche alle credenziali d’accesso potrebbe essere una reazione all’impennata di attacchi di autenticazione che colpiscono gli utenti. Molte aziende potrebbero scegliere di rendere l’autenticazione a più fattori obbligatoria, come misura di sicurezza aggiuntiva, insieme a una più avanzata crittografia dei dati.
📌 Requisiti di opt-out
Secondo il CPRA, le aziende devono anche permettere l’opt-out attraverso il segnale delle preferenze.
💡 Effettuare l’opt-out attraverso il segnale delle preferenze significa che un segnale inviato da una piattaforma, tecnologia o meccanismo da parte del consumatore comunica la sua scelta di opposi alla vendita e condivisione delle informazioni personali. Il segnale effettuerà l’opt-out automaticamente per tutti i siti web che l’utente visita, senza il bisogno di effettuare una nuova richiesta ogni volta.
📌 Privacy Policy
Il CPRA aggiunge dei requisiti a quelli del CCPA. Qui trovi tutte le informazioni che devi includere nella tua privacy policy.
Privacy Policy Checklist 👇
Includi le categorie di dati personali che la tua azienda ha venduto o condiviso con le terze parti negli ultimi 12 mesi, una lista delle terze parti e le finalità della tua azienda. Devi anche comunicare se non hai venduto o condiviso i dati degli utenti negli ultimi 12 mesi.
Comunica se la tua azienda vende o condivide i dati personali di utenti minori di 16 anni.
Includi le categorie di dati personali che la tua azienda ha diffuso a terze parti negli ultimi 12 mesi, una lista delle terze parti e le finalità della tua azienda. Devi anche comunicare se non hai diffuso i dati degli utenti negli ultimi 12 mesi.
Specifica se la tua azienda utilizza o comunica dati personali sensibiili per motivi diversi da quelli specificati nell’atto.
Fornisci tutti i link ai moduli o ai portali online per i tuoi utenti, per inviare richieste riguardo la raccolta, la diffusione o vendita dei loro dati personali.
Fornisci un modo agli utenti per richiedere la correzione di dati personali inaccurati.
Se la tua azienda utilizza o diffonde dati personali sensibili per motivi diversi da quelli specificati nell’atto, includi le informazioni riguardo il diritto dell’utente di limitare questo uso o diffusione.
Fornisci le informazioni riguardo il diritto di non essere discriminati per aver esercitato un proprio diritto.
Aggiungi una descrizione del processo che la tua azienda utilizza per verificare le richieste degli utenti per conoscere, eliiminare e correggere e, quando applicabile, anche le informazioni che l’utente deve fornire.
Spiega come viene trattato l’opt-out attraverso il segnale delle preferenze (ad esempio, se il segnale si applica al dispositivo, al browser, all’account del consumatore, e/o alle vendite offline e in quali circostanze) e come l’utente può utilizzare l’opt-out attraverso il segnale delle preferenze.
Fornisci i requisiti aggiuntivi (come per la sezione 7102 del regolamento), se la tua azienda raccoglie grandi quantità di dati personali.
Come preparasi per il CPRA?
Il CPRA diventa legge il 1 gennnaio 2023, ed entra pienamente in vigore il 1 luglio 2023.
Come sempre, noi di iubenda terremo d’occhio gli ultimi aggiornamenti e ci assicureremo che tutti i tuoi documenti e prodotti siano in linea, per aiutarti a essere conforme.
Se ti stai già adeguando al CCPA, potrebbe essere una buona idea iniziare a rivedere i procedimenti in atto e prendere nota di alcune cose:
Cerca di definire se nei dati che tratti ce ne siano alcuni che rientrano nella definizione di dato personale del CPRA.
Rivedi il procedimento che utilizzi per notificare gli utenti delle modifiche alla tua privacy policy. Assicurati di averne uno. Una volta aggiornata la tua privacy policy, dovrai avvertire i tuoi utenti.
Se lavori con dei responsabili per il trattamento, o loro svolgono parte del lavoro al tuo posto, potresti avvertirli di questi nuovi requisiti (soprattutto se non hanno sede negli Stati Uniti).
Come per ogni nuova legge, è bene rimanere informati di ogni cambiamento per adottare le misure adeguate. Noi siamo qui per assicurarci che questi cambiamenti vengano eseguiti senza problemi e ti terremo sempre aggiornato.
👋
Vuoi adeguarti oggi stesso?
Ancora meglio, una volta configurata la tua privacy policy, tutti gli aggiornamenti riguardanti il CPRA verranno inseriti automaticamente da noi.