Cosa richiede il CPRA per l'opzione ‘Do Not Sell or Share’?

La California Privacy Rights Act (CPRA) estende i diritti dei consumatori oltre la California Consumer Privacy Act (CCPA), imponendo alle aziende di fornire opzioni di opt-out esplicite sia per la vendita che per la condivisione delle informazioni personali. La CPRA stabilisce che:

“Un consumatore avrà il diritto, in qualsiasi momento, di richiedere a un'azienda che vende o condivide le sue informazioni personali con terze parti di non vendere o condividere tali informazioni. Questo diritto può essere definito come il diritto di opt-out dalla vendita o condivisione.” (CPRA §1798.120)

Questo emendamento introduce un doppio meccanismo di opt-out, estendendo gli obblighi precedenti che si concentravano esclusivamente sulla vendita di dati personali. La necessità di affrontare la condivisione riflette l'evoluzione dell'ecosistema dei dati, in cui le informazioni personali vengono spesso diffuse al di là delle vendite transazionali, come nel caso della condivisione di dati per la pubblicità comportamentale cross-contestuale.

I principali obblighi previsti dalla CPRA includono:

• Link chiaro ed evidente: Le aziende devono mostrare un link “Do Not Sell or Share My Personal Information” in modo prominente sui loro siti web, garantendo un facile accesso ai consumatori. Questo link deve essere visibile senza dover scorrere o navigare tra più pagine.

• Rispetto per i segnali di opt-out globali: La CPRA richiede alle aziende di rispettare i segnali di controllo della privacy globali come il Global Privacy Control (GPC). Tali segnali fungono da meccanismo standardizzato per consentire agli utenti di indicare la propria preferenza di opt-out dalla vendita o condivisione su più siti web.

L'effetto pratico è un ambito più ampio di controllo per il consumatore:

• I meccanismi di opt-out devono coprire sia la vendita che la condivisione.
• Le aziende devono implementare misure tecniche e procedurali per rilevare e rispettare le preferenze dell'utente comunicate tramite link web e segnali del browser.
• L'inadempienza può portare ad azioni esecutive da parte della California Privacy Protection Agency (CPPA), istituita ai sensi della CPRA.

Questo doppio requisito di opt-out è in linea con i risultati della ricerca sulla privacy, che sottolineano come la consapevolezza e il controllo del consumatore sui flussi di dati siano fondamentali per la tutela della privacy (Acquisti, Brandimarte, & Loewenstein, 2015). L'inclusione esplicita della condivisione da parte della CPRA colma le lacune identificate nelle leggi precedenti, in cui gli scambi di dati che non costituivano vendite erano al di fuori del controllo del consumatore (Englehardt & Narayanan, 2016).

Riepilogo dei requisiti ‘Do Not Sell or Share’ della CPRA:

• Mostrare un link chiaro ed evidente “Do Not Sell or Share My Personal Information” sui siti web.
• Fornire ai consumatori la possibilità di rinunciare sia alla vendita che alla condivisione delle loro informazioni personali.
• Rispettare i segnali di preferenza di opt-out globali, come il Global Privacy Control.
• Implementare sistemi per garantire la conformità con questi segnali di scelta in tempo reale.

Questo quadro normativo ampliato riflette un significativo cambiamento normativo volto a migliorare la trasparenza e a rafforzare i diritti alla privacy dei consumatori negli ambienti digitali.