Il CCPA è una legge ben nota e influente nel panorama della protezione dei dati. È facile capire perché: molte aziende tecnologiche basate sui dati hanno sede nella Silicon Valley, compresi giganti come Apple, Google e Meta. Pertanto, il CCPA è di gran lunga la legge statale di maggior impatto per l'economia digitale. Scopriamo di più sul CCPA e su come influenza la protezione dei dati all'interno e all'esterno della California!
- Che cos'è il CCPA?
- Cosa si intende per informazioni personali ai sensi del CCPA?
- Come si applica il CCPA ai cookie?
- Qual è l'impatto del CCPA sul marketing diretto?
- Che impatto ha il CCPA sull'uso delle informazioni sensibili?
- Il CCPA in azione: il caso Sephora
- Oltre il CCPA: La legge sulla privacy in California
- Il futuro della protezione dei dati secondo il CCPA
Che cos'è il CCPA?
Il CCPA è il California Consumer Privacy Act del 2018. La legge conferisce ai residenti in California alcuni diritti, come la cancellazione dei propri dati personali e la rinuncia alla vendita dei propri dati.
Il CCPA è stato emendato più volte e ha subito ampie modifiche nel 2020 con il CPRA (California Privacy Rights Act). Il CCPA è applicato dal Procuratore generale della California e dall'Agenzia per la protezione della privacy della California (CPPA).
Il CCPA conferisce diritti solo ai residenti in California, ma si applica anche alle organizzazioni al di fuori della California e persino degli Stati Uniti. La legge si applica solo alle grandi aziende e alle imprese che controllano grandi quantità di informazioni personali dei residenti in California. Non si applica alle agenzie governative e alle organizzazioni non profit, con alcune eccezioni per le organizzazioni non profit legate alle imprese.
Cosa si intende per informazioni personali ai sensi del CCPA?
Il CCPA definisce le informazioni personali come "informazioni che identificano, si riferiscono, descrivono, possono essere associate o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, a un particolare consumatore o famiglia".
Si tratta di una definizione ampia, che non comprende solo gli identificatori diretti come nomi, indirizzi e codici di sicurezza sociale. Ad esempio, ** gli identificatori unici** come quelli presenti nei cookie sono informazioni personali ai sensi del CCPA, perché possono essere ragionevolmente collegati a un dispositivo e quindi al suo utente.
In conclusione, non siate troppo avventati nel ritenere che la vostra azienda non controlli informazioni personali!
Come si applica il CCPA ai cookie?
Il CCPA non prevede regole per i cookie, ma le sue norme sulla condivisione dei dati da parte di terzi hanno un impatto sulla web analytics.
In base alla legge, i residenti in California hanno il diritto di rinunciare alla vendita delle loro informazioni personali. La definizione di "vendita" nel CCPA è sempre stata ampia ed è diventata ancora più ampia con il CPRA. Di conseguenza, la condivisione di informazioni personali con Google Analytics o altri fornitori di analisi web può costituire una vendita ai sensi della legge. In pratica, ciò significa che i residenti in California hanno il diritto di essere informati e devono avere la possibilità di rinunciare.
Pertanto, le aziende che rientrano nel CCPA devono fornire pop-up informativi relativi ai cookie analitici e di marketing sui loro siti web e fornire un'opzione di opt-out ben visibile sotto forma di pulsante o link.
Inoltre, il CCPA richiede il consenso alla vendita dei dati personali dei minori. Le aziende sono tenute a raccogliere il consenso dei minori di 16 anni prima di vendere consapevolmente i loro dati personali.
Il CCPA richiede anche che le aziende rispettino il Global Privacy Control (GPC). Il GPC è uno standard tecnico attraverso il quale i browser richiedono ai siti web di non vendere o condividere i loro dati. In altre parole, il GPC è il modo in cui i browser inviano richieste di opt-out automatiche, in modo che gli utenti non debbano rinunciare manualmente alla vendita dei dati per ogni singolo sito web che visitano.
Qual è l'impatto del CCPA sul marketing diretto?
Il CCPA non si occupa specificamente di marketing diretto, ma alcune delle sue regole sono importanti per il marketing diretto.
Le norme sulla vendita e la condivisione dei dati personali non si applicano al marketing diretto in sé, ma possono limitare la disponibilità di dati di terzi per il marketing diretto. La legge sulla cancellazione probabilmente limiterà ulteriormente la disponibilità dei dati, il che è una cattiva notizia per molte aziende di marketing che si affidano a dati di terzi e per tutte le aziende che arricchiscono i loro database con dati di terzi.
Inoltre, i consumatori che ricevono marketing diretto hanno il diritto di sapere quali informazioni personali vengono trattate. Le aziende impegnate nel marketing diretto dovrebbero stabilire procedure efficienti per gestire queste richieste. Idealmente, dovrebbero tenere un registro delle loro operazioni per poter dire ai consumatori di quali dati dispongono, da dove provengono e se sono stati ricevuti o condivisi con terzi.
Non è chiaro se il diritto di cancellazione previsto dal CCPA si applichi anche ai dati di terzi. Probabilmente la futura applicazione della legge chiarirà questo punto. Nel frattempo, le aziende che si occupano di marketing dovrebbero essere prudenti e onorare le richieste di cancellazione dei dati di terzi.
Che impatto ha il CCPA sull'uso delle informazioni sensibili?
Le informazioni sensibili sono informazioni personali come la vita sessuale e l'orientamento sessuale, i dati genetici, i dati etnici e così via. Anche i numeri di previdenza sociale, i dati delle carte di credito/debito, le e-mail e i dati precisi di geolocalizzazione sono informazioni sensibili ai sensi del CCPA (per un elenco più preciso e completo, si rimanda al sito web dell'Office of the Attorney General of California).
Ai sensi del CCPA, i consumatori hanno il diritto di limitare l'uso e la condivisione delle loro informazioni sensibili a quanto strettamente necessario (ad esempio, per fornire un servizio).
In una certa misura, questo diritto si sovrappone a quello di rinunciare alla vendita di informazioni personali. Ma è anche più ampio, perché copre l'uso di prima parte dei dati e i casi di condivisione dei dati che non rientrano nella definizione di vendita o condivisione.
Il CCPA in azione: il caso Sephora
L'applicazione del CCPA sta raggiungendo le aziende e il caso Sephora è un ottimo esempio di cosa non fare.
L'azienda francese Sephora è una multinazionale che vende prodotti di bellezza. Ha avuto problemi con il procuratore generale per una lunga serie di violazioni del CCPA relative alle sue analisi web. L'azienda non ha rivelato che stava vendendo informazioni personali, non ha rispettato le richieste degli utenti di rinunciare alla vendita e non ha posto rimedio alle violazioni entro il periodo di 30 giorni previsto dalla legge.
Il caso si è concluso con un accordo di ** 1,2 milioni di dollari** tra l'azienda e il procuratore generale. In pratica, è comune che le violazioni del CCPA si concludano con un accordo. Una multa vera e propria sarebbe stata probabilmente molto più costosa.
È interessante notare che Sephora non vendeva informazioni personali a broker di dati e simili. Come innumerevoli altre aziende, Sephora si occupava di web marketing e analisi attraverso un famoso fornitore di analisi web (il nome del fornitore non è stato reso noto).
Quindi, anche il web marketing e il re-targeting possono essere una vendita ai sensi del CCPA. Questo è un punto molto importante da sottolineare: molte aziende credono di non vendere i dati dei consumatori, ma lo fanno e possono essere ritenute responsabili se non rispettano gli obblighi che la vendita comporta.
Vale anche la pena di notare che l'Avvocato generale ha applicato la norma sul controllo globale della privacy contro Sephora. Solo il tempo ci dirà quanto ruolo avrà il GPC nella pratica, ma l'applicazione delle regole del GPC in questo caso costituisce un precedente promettente.
Oltre il CCPA: La legge sulla privacy in California
Oltre al CCPA, vi sono altri sviluppi promettenti nella legislazione californiana.
Abbiamo già menzionato il Delete Act. Questa legge consente ai residenti di richiedere a tutti gli intermediari di dati di cancellare le loro informazioni personali presentando un'unica richiesta. In altre parole, si tratta di una sorta di sistema a sportello unico.
Se applicata rigorosamente, la legge sulla cancellazione potrebbe far valere efficacemente i diritti alla privacy contro gli intermediari di dati e limitare la quantità di informazioni personali disponibili per la pubblicità basata sulla sorveglianza e l'arricchimento dei dati da parte di terzi. Vale anche la pena di notare che la legge californiana prevede l'obbligo di registrazione per gli intermediari di dati, il che potrebbe rendere più facile l'applicazione del Delete Act.
Vale anche la pena di notare che la legge californiana sulla privacy limita le ricerche con parole chiave inverse e il geofencing.
Il geofencing è l'uso dei dati di localizzazione per creare un confine virtuale intorno a un luogo e registrare tutte le persone che vi si trovano. Le ricerche con parole chiave inverse sono un tipo di ordine del tribunale spesso utilizzato dalle forze dell'ordine.
Sia il geofencing che le ricerche con parole chiave inverse sono spesso utilizzati per monitorare e perseguire le donne che cercano assistenza sanitaria riproduttiva dopo la sentenza Dobbs v. Jackson della Corte Suprema degli Stati Uniti (è una lunga storia, ne abbiamo scritto qui).
Washington è stato il primo Stato a limitare le ricerche geofencing e reverse-keyword con la legge My Health My Data, dal nome suggestivo. La California, da tempo Stato santuario per l'assistenza sanitaria riproduttiva, ha seguito a breve l'esempio.
Il futuro della protezione dei dati secondo il CCPA
Il CCPA ha già avuto un impatto tangibile sulla privacy digitale all'interno e all'esterno della California. Il suo impatto futuro dipenderà dall'applicazione della normativa e dai prossimi regolamenti del CPPA. Ma la variabile più importante per il futuro della legge californiana sulla privacy è, ovviamente, il futuro della legge statunitense sulla privacy in generale.
Negli Stati Uniti non esiste una legge federale sulla privacy. La prima legislazione federale sulla protezione dei dati (ADPPA) è attualmente in fase di elaborazione, ma i negoziati sono in fase di stallo al Congresso. Settori specifici come la sanità e la finanza hanno le loro regole sulla privacy, ma non esiste una legge federale generale e completa sulla privacy online.
Leleggi statali come il CCPA sono un tentativo di colmare questo vuoto. Tuttavia, se da un lato le leggi statali offrono importanti tutele ai residenti di alcuni Stati, dall'altro creano un panorama legale frammentato in tutti gli Stati Uniti. Attualmente, le aziende devono comprendere e rispettare la legislazione di ogni Stato per poter operare a livello nazionale.
Questa frammentazione giuridica è anche un ostacolo al processo legislativo alla base dell'ADPPA. Gli Stati con leggi sulla privacy non vogliono che l'ADPPA comprometta i diritti alla privacy di cui i loro cittadini già godono, e alcuni di essi si sono opposti alle bozze dell'ADPPA che prevarrebbero la loro legislazione.
Per farla breve, è difficile dire se la bozza dell'ADPPA diventerà mai legge e quale ruolo giocherebbero in questo scenario leggi statali come il CCPA.
Noi teniamo alla privacy. Per questo facciamo del nostro meglio per fornire al nostro pubblico informazioni di qualità e prive di gergo sulle novità in materia di privacy.
La nostra passione per la privacy è alla base di Simple Analytics. Il nostro prodotto offre alle organizzazioni tutte le informazioni di cui hanno bisogno, senza raccogliere alcun dato personale. Se siete alla ricerca di uno strumento di analisi web etico e potente, non esitate a provare Simple Analytics.