August 11, 2025
5 min read
Care sunt diferențele dintre GDPR și CCPA?
| Aspect | GDPR (Regulamentul General privind Protecția Datelor) | CCPA (Legea Privind Confidențialitatea Consumatorilor din California) |
|---|---|---|
| Arie geografică | Rezidenți UE (indiferent de locația companiei) | Rezidenți din California (indiferent de locația companiei) |
| Temei juridic | Necesită temei juridic pentru prelucrarea datelor | Nu este necesar un temei juridic pentru colectarea datelor |
| Aplicabilitate pentru companii | Toate companiile care îndeplinesc temeiul juridic | Companii cu venituri anuale >$25M sau alte criterii |
| Drepturile consumatorului | Acces, rectificare, ștergere, restricționare, opoziție, portabilitate | Acces, ștergere, renunțare la vânzare, nediscriminare |
| Date sensibile | Specifice: includ date genetice/biometrice | Generale: sub umbrela “informațiilor cu caracter personal” |
| Amenzi/Aplicare | Până la 20 de milioane € sau 4% din cifra de afaceri globală | Până la 7.500 $ pe încălcare, posibile litigii civile |
| Datele copiilor | Consimțământ parental sub 16 ani | Consimțământ parental sub 13 ani |
| Vânzarea datelor | Nicio prevedere explicită de “vânzare”, dar acoperă transferurile | Dreptul de a renunța la vânzarea informațiilor cu caracter personal |
GDPR și CCPA reprezintă două cadre legislative semnificative în domeniul confidențialității datelor, dar ele diferă fundamental în ceea ce privește domeniul de aplicare, cerințele și aplicarea. Aceste distincții modelează strategiile de conformitate pentru companiile care operează la nivel internațional sau în Statele Unite.
GDPR impune companiilor să aibă un temei juridic clar înainte de a prelucra orice date cu caracter personal ale rezidenților UE. Regulamentul identifică șase temeiuri legale pentru prelucrare, cum ar fi consimțământul, necesitatea contractuală sau interesele legitime. În schimb, CCPA nu necesită un temei juridic înainte de a colecta sau prelucra informații cu caracter personal. Acest lucru creează un prag mai înalt pentru conformitatea cu GDPR, în special pentru organizațiile care gestionează categorii de date sensibile.
CCPA se aplică numai anumitor companii: celor cu venituri anuale brute de peste 25 de milioane $, celor care cumpără/vând informațiile cu caracter personal a 50.000 sau mai mulți consumatori/gospodării/dispozitive sau care obțin cel puțin 50% din veniturile anuale din vânzarea informațiilor cu caracter personal ale consumatorilor. GDPR se aplică oricărei organizații (indiferent de mărime) care prelucrează date cu caracter personal ale rezidenților UE, dacă îndeplinește cerința temeiului juridic.
Drepturile consumatorilor în ambele legi sunt robuste, dar cu accente diferite. GDPR acordă persoanelor drepturi precum accesul, rectificarea, ștergerea (“dreptul de a fi uitat”), restricționarea prelucrării, portabilitatea datelor și opoziția la prelucrare. CCPA oferă drepturi precum cunoașterea informațiilor colectate și vândute, ștergerea (cu excepții), renunțarea la vânzarea informațiilor cu caracter personal și protecția împotriva discriminării la exercitarea acestor drepturi. După cum prevede CCPA:
“O companie nu poate discrimina un consumator pentru că acesta și-a exercitat oricare dintre drepturile conferite de acest titlu.”
În ceea ce privește datele sensibile, GDPR este mai specific. Acesta definește și reglementează categorii speciale precum “date genetice”, “date biometrice” și “date privind sănătatea.” Prelucrarea acestor tipuri de date necesită consimțământ explicit sau un alt temei juridic specific. CCPA folosește un termen mai larg — “informații cu caracter personal” — care acoperă o gamă largă de identificatori, dar nu evidențiază datele genetice sau biometrice cu aceeași claritate.
Aplicarea și sancțiunile diferă semnificativ. Încălcările GDPR pot duce la amenzi de până la 20 de milioane € sau 4% din cifra de afaceri globală (oricare dintre acestea este mai mare). Acțiunile recente de aplicare sugerează că autoritățile de reglementare sunt dispuse să impună penalități substanțiale pentru încălcări grave. Deși amenzile legale CCPA sunt mai mici (până la 7.500 $ pe încălcare intenționată), acesta permite în mod unic consumatorilor să inițieze procese civile pentru anumite încălcări, ceea ce poate duce la înțelegeri semnificative sau costuri de acțiune colectivă.
Datele copiilor beneficiază de protecție suplimentară în ambele legi, dar cu praguri de vârstă diferite: GDPR necesită în general consimțământul părinților pentru prelucrarea datelor persoanelor sub 16 ani (statele membre pot reduce acest prag la 13 ani), în timp ce CCPA necesită consimțământul părinților pentru “vânzarea” datelor copiilor sub 13 ani.
O distincție cheie este conceptul de “vânzare” în CCPA, care oferă consumatorilor dreptul de a solicita companiilor să nu le vândă informațiile cu caracter personal. GDPR nu utilizează această terminologie, dar reglementează toate formele de partajare și transfer de date între organizații.
În concluzie, deși există asemănări — cum ar fi accentul pe transparență și drepturile individuale — GDPR este în general mai larg în aplicare și mai strict în cerințe, în special în ceea ce privește temeiul juridic și protecția datelor sensibile. CCPA, deși mai restrâns ca domeniu de aplicare și aplicabilitate, introduce concepte unice precum dreptul de a renunța la vânzarea datelor și protecția împotriva discriminării la exercitarea drepturilor de confidențialitate. Organizațiile supuse ambelor legi trebuie să analizeze cu atenție obligațiile de conformitate, recunoscând că îndeplinirea cerințelor uneia nu garantează conformitatea cu cealaltă. Pe măsură ce reglementările privind confidențialitatea continuă să evolueze, înțelegerea acestor diferențe fundamentale este crucială pentru gestionarea riscurilor și pentru consolidarea încrederii consumatorilor.
