Che cos'è la CCPA?

La California Consumer Privacy Act del 2018 (CCPA) rappresenta un cambiamento fondamentale nella regolamentazione della privacy dei dati, in particolare per le aziende con sede negli Stati Uniti e le entità globali che gestiscono le informazioni dei residenti della California. I risultati di analisi recenti indicano diversi esiti chiave:

• Ambito e applicabilità: La CCPA si applica a qualsiasi entità a scopo di lucro che svolge attività commerciali in California e che soddisfa almeno uno di questi criteri: ricavi lordi annui superiori a 25 milioni di dollari; raccoglie, acquista, riceve o vende le informazioni personali di 50.000 o più consumatori, nuclei familiari o dispositivi; ricava il 50% o più dei suoi ricavi annui dalla vendita delle informazioni personali dei consumatori (Testo della CCPA, Cal. Civ. Code §§ 1798.100–1798.199).

• Disposizioni sui diritti dei consumatori: Studi empirici dimostrano una maggiore consapevolezza ed esercizio da parte dei consumatori dei seguenti diritti:

  • Diritto di sapere: I consumatori possono richiedere la divulgazione delle categorie e dei dati personali specifici raccolti.
  • Diritto di cancellazione: I consumatori possono richiedere la cancellazione dei dati personali raccolti.
  • Diritto di opposizione (opt-out): I consumatori possono richiedere a un'azienda di non vendere le loro informazioni personali.
  • Diritto alla non discriminazione: Alle aziende è vietato discriminare i consumatori che esercitano i loro diritti.

• Impatto sulle aziende: Uno studio di Schwartz e Peifer (2019) ha rilevato che i “costi di conformità per le aziende interessate sono aumentati in modo significativo”, con notevoli investimenti nella mappatura dei dati, nei meccanismi di richiesta dei consumatori e nella formazione dei dipendenti.

  • Le sfide di implementazione includono limitazioni tecniche nell'identificazione dei dati dei nuclei familiari rispetto a quelli dei singoli dispositivi.
  • La definizione di informazioni personali è ampia e comprende identificatori come l'indirizzo IP, la cronologia di navigazione e le inferenze tratte dai dati.

• Vendita e divulgazione dei dati: I ricercatori hanno osservato che le aziende hanno revisionato le politiche sulla privacy per chiarire le pratiche relative alla vendita o alla divulgazione di informazioni personali. I meccanismi di opt-out, come i link “Do Not Sell My Personal Information” (Non vendere le mie informazioni personali), sono ora caratteristiche standard sulla maggior parte dei principali siti web rivolti ai residenti della California.

• Applicazione e sanzioni: L'applicazione da parte del Procuratore Generale della California (California Attorney General) è iniziata il 1° luglio 2020. Le sanzioni includono multe civili fino a 2.500 $ per violazione o 7.500 $ per violazione intenzionale. Sebbene l'applicazione iniziale si concentrasse sulle notifiche di non conformità, le azioni legali hanno da allora evidenziato la necessità di quadri di conformità rigorosi.

In sintesi, la CCPA ha stabilito un nuovo standard legale per la privacy dei consumatori negli Stati Uniti, influenzando le strategie di governance dei dati e la consapevolezza dei diritti dei consumatori in tutti i settori. I risultati evidenziano sia una maggiore trasparenza sia oneri di conformità significativi per le entità interessate.