Sull’onda del regolamento europeo GDPR, operativo dal 25 maggio 2018, anche la California introdurrà, il prossimo Gennaio 2020, il CCPA (California Consumer Privacy Act), muovendo così i primi passi verso la tutela dei dati personali. Applaudita da molti consumatori e sostenitori della privacy, la legislazione impone nuovi requisiti e restrizioni onerose alle imprese che raccolgono e vendono informazioni personali dei residenti in California.

Ad oggi, nessun altro stato degli Stati Uniti ha fornito ai suoi cittadini protezioni ai dati personali che prevedano il diritto alla trasparenza e all’informazione da parte delle aziende e nei confronti dei consumatori rispetto ai dati raccolti e condivisi, offrendo loro la possibilità di accedervi per confermare o rinunciare alla loro diffusione.

Così come il GDPR ha rivisto il concetto di dato personale, che assume sempre più un significato rilevante nel quotidiano di ciascun individuo, così la CCPA californiana si propone di definire una serie di norme restrittive per proteggere i consumatori dalla gestione dei loro dati a fini pubblicitari.

Esaminiamo nello specifico tale normativa in quanto tutte le aziende che sono in contatto con persone abitanti in California, dovranno considerarla.

Che cos’è?

Il California Consumer Privacy Act (CCPA) è la prima legge statale completa negli Stati Uniti sulla protezione dei dati personali che definisce il modo in cui le aziende di tutto il mondo sono autorizzate a trattare le informazioni personali dei cittadini residenti in California. Essa si pone come obiettivo quello di offrire ai consumatori nuovi importanti diritti, rendendoli proprietari dei dati personali raccolti sul sito. Ai sensi del CCPA, i cittadini residenti in California (“consumatori”) acquisiranno il diritto di opposizione rispetto alla vendita dei propri dati a soggetti terzi e potranno richiedere la comunicazione dei dati precedentemente raccolti e la relativa cancellazione.

Quando?

La legge entrerà in vigore dal 1° gennaio 2020, ma la sua applicazione da parte dell’attorney general (AG) non avverrà prima del 1° luglio 2020.

A chi si rivolge?

Il CCPA troverà applicazione in tutte le società a scopro di lucro che si rivolgono ai residenti californiani (indipendentemente dal fatto che l’azienda abbia o meno sede in California), raccolgono le informazioni personali dei consumatori, ne determinano le finalità ed il metodo di trattamento.
Nello specifico, le società devono soddisfare almeno uno dei seguenti requisiti:

• Ha un fatturato annuo lordo superiore a 25 milioni di dollari ($25.000.000);

• Almeno il 50% del proprio fatturato deriva dalla vendita di dati personali;

• Acquista, riceve, vende o condivide ogni anno per finalità commerciali le informazioni personali di 50.000 o più consumatori. A tale riguardo è importante considerare che dal momento che gli indirizzi IP rientrano tra i dati personali e poiché per “finalità commerciali” si intendono interessi commerciali o economici è probabile che qualsiasi sito web che in un anno riceva dalla California almeno 50.000 visite uniche rientri in questo ambito.

E’ importane chiarire cosa, ai sensi della CCPA, si intende con la definizione di dati personali; essi considerano tutte “le informazioni che identificano, si riferiscono, descrivono, possono essere associate o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, a uno specifico consumatore o un nucleo familiare” (1798.140.o1; traduzione a cura di Cookiebot), quali:

• Informazioni personali (nome, indirizzo postale, ID personale, indirizzo IP, indirizzo e-mail, nome utente, numero di previdenza sociale, numero di patente di guida, numero di passaporto);

• Informazioni commerciali (registri di beni, prodotti o servizi acquistati, ottenuti o considerati, e altri storici o tendenze di acquisto o consumo);

• Dati biometrici;

• Informazioni sulle attività di rete (cronologia di navigazione, ricerche effettuate e dati relativi all’interazione con un sito web, un’app o un annuncio pubblicitario);

• Dati di geo-localizzazione;

• Informazioni di natura audio, elettronica, visuale, termica, olfattiva o simili;

• Informazioni professionali o relative all’impiego;

• informazioni sulla formazione professionale (eccetto quelle di pubblico dominio);

• Qualsiasi conclusione tratta dalle informazioni suddette che venga usata per tracciare il profilo di un consumatore in modo da rifletterne preferenze, caratteristiche, tendenze, predisposizioni, comportamenti, atteggiamenti, intelligenza, capacità e attitudine.

Cosa fare?

Le aziende che si interfacciano con i cittadini residenti in California saranno tenute ad apportare modifiche al loro sito internet per informare gli utenti circa la raccolta dei dati, al momento stesso della raccolta o prima, indicando le categorie di dati che verranno raccolte e le relative finalità di trattamento. All’utente dovrà essere data la possibilità di rifiutare la vendita delle proprie informazioni personali.
L’ azienda dovrà inoltre aggiornare l’informativa sulla privacy del suo sito includendo una descrizione dei diritti del consumatore e delle modalità di esercizio di tali diritti. L’informativa sulla privacy deve altresì contenere un elenco annualmente aggiornato delle categorie di dati personali che l‘azienda raccoglie, commercializza e diffonde.

Quindi le aziende dovranno:

• Individuare quali dati personali dei consumatori possiedono e dove essi risiedono;

• Determinare come le informazioni personali dei consumatori vengono codificate con terze parti e capire se le terze parti sono o meno soggette a restrizioni a rispetto del CCPA;

• Gestire il modo in cui i dati personali vengono usati e come accedervi;

• Stabilire continui controlli di sicurezza per rilevare eventuali violazioni;

• Redigere un documento sul programma di risposta alla violazione dei dati.

Il mancato rispetto del CCPA può comportare ammende per le imprese nella somma di 7500 dollari per violazione e di 750 dollari per utente interessato, in qualità di risarcimento per i danni civili.

Come si evince, il CCPA permetterà ai cittadini statunitensi di raggiungere finalmente e con piena consapevolezza l’importanza del valore del dato personale, del suo corretto trattamento e delle ineluttabili implicazioni sui diritti e libertà fondamentali degli individui.

Fonte: a cura di Exportiamo, di Giulia Rocchetti, redazione@exportiamo.it

© RIPRODUZIONE RISERVATA