Il GDPR, l'HIPAA e il CCPA sono alcune delle leggi più influenti e discusse nel settore della privacy, ma ovviamente ci sono importanti differenze tra di loro. Una molto ovvia è che il GPDR è una normativa dell'UE, mentre l'HIPAA e il CCPA sono leggi statunitensi. In particolare, l'HIPAA è una legge federale mentre il CCPA è una legge dello Stato della California. Ma le differenze sono più profonde.
- Di cosa trattano queste leggi?
- Qual è l'ambito di applicazione di queste leggi?
- A chi si applicano il GDPR, il CCPA e l'HIPAA?
- Come vengono applicate queste leggi?
- In che modo queste leggi proteggono i dati personali?
- In che modo queste leggi proteggono le informazioni sensibili?
- Queste leggi prevalgono su altre leggi?
- Conclusioni
Di cosa trattano queste leggi?
Il GDPR è il più semplice da spiegare: è una legge sulla privacy, pura e semplice. Il CCPA si colloca a metà strada tra la legge sulla privacy e quella sulla protezione dei consumatori, ed è per questo che si concentra principalmente sulle aziende.
Per quanto riguarda l'HIPAA, si tratta di una legge del settore medico che si applica solo ai fornitori di servizi sanitari e agli enti che lavorano con loro. A differenza del GDPR e del CCPA, l'HIPAA copre molto di più della privacy: è una legislazione settoriale che include standard di sicurezza, requisiti amministrativi e altro ancora.
Qual è l'ambito di applicazione di queste leggi?
Il GDPR ha il campo di applicazione più ampio dei tre, perché copre tutto il trattamento dei dati personali, con alcune eccezioni: per esempio, le indagini penali sono coperte da un'altra legge dell'UE (la direttiva sulle forze dell'ordine). Inoltre, il GDPR non copre la difesa nazionale perché la materia non rientra nel mandato dell'UE.
Il CCPA si applica solo alle informazioni personali dei consumatori, motivo per cui in genere si applica solo alle imprese.
Infine, l'HIPAA si applica solo alle informazioni sanitarie protette (PHI). La nozione di PHI è complessa: il fatto che i dati siano o meno PHI dipende non solo da cosa sono i dati, ma anche da chi li controlla. Per maggiori informazioni sulla nozione di PHI, consultate il nostro blog.
A chi si applicano il GDPR, il CCPA e l'HIPAA?
Il GDPR ha una portata generale e si applica praticamente a tutti, anche se contiene un'esenzione per le attività di natura esclusivamente personale. Quindi, non dovete preoccuparvi del GDPR quando pubblicate sulla vostra home di Facebook, ma dovete preoccuparvi quando pubblicate attraverso il profilo o la pagina aziendale della vostra azienda.
Il CCPA si applica solo ad alcune aziende. Queste sono:
- aziende con un fatturato annuo lordo di 25 milioni di dollari o più
- aziende che acquistano, vendono o condividono le informazioni personali di 100.000 o più residenti, famiglie o dispositivi della California
- aziende che ottengono metà o più delle loro entrate dalla vendita di informazioni personali di residenti californiani.
In altre parole, si tratta di grandi aziende o di aziende più piccole che trattano molte informazioni personali. La gastronomia della porta accanto probabilmente non ha bisogno di preoccuparsi del CCPA, ma una catena di supermercati potrebbe averne bisogno e i broker di dati sicuramente sì.
Le organizzazioni non profit sono generalmente esenti dal CCPA, anche se possono esserci delle eccezioni quando la proprietà e il marchio di un'organizzazione non profit possono essere legati a un'azienda.
Per quanto riguarda l'HIPAA, si applica alle entità coinvolte nell'assistenza sanitaria (ospedali, medici, fornitori di assicurazioni e così via). Si applica anche alle aziende che lavorano con loro (business associates), a condizione che raccolgano PHI.
Le regole sull'ambito di applicazione dell'HIPAA sono piuttosto complicate, quindi questa è una semplificazione grossolana. Per ulteriori informazioni, consultate il nostro blog sull'ambito di applicazione dell'HIPAA o il sito web dell'NHS.
Come vengono applicate queste leggi?
Il GDPR viene applicato sia dai tribunali che dalle autorità di protezione dei dati (DPA). I due ruoli sono leggermente diversi: come regola generale, i tribunali concedono i danni, mentre le DPA impongono multe.
Da un punto di vista pratico, le DPA sono spesso a corto di personale e questo tende a rappresentare un collo di bottiglia per l'applicazione del GDPR. Anche il sistema di gestione dei casi transfrontalieri nell'UE è lento e talvolta disordinato a causa delle differenze nelle norme procedurali tra gli Stati membri (un problema che l'UE sta cercando di risolvere).
Finora il CCPA è stato applicato dall'Avvocato generale della California. Nel 2024 l'Avvocato Generale sarà affiancato dalla California Privacy Protection Agency (CPPA - sì, gli acronimi confondono!).
L'HIPAA è applicato dall'Ufficio per i diritti civili dei servizi sanitari e umani.
In che modo queste leggi proteggono i dati personali?
Sia il GDPR che il CCPA riguardano essenzialmente ciò che si può o non si può fare con i dati, ma le due leggi hanno approcci diversi.
Il GDPR stabilisce regole severe per il trattamento dei dati personali. I dati personali possono essere raccolti e trattati solo su una base giuridica specifica e chi controlla i dati è soggetto ad alcuni obblighi generali.
È un mito comune che il GDPR richieda sempre il consenso. In realtà, il GDPR richiede sempre una base giuridica e il consenso non è l'unica opzione. Ma c'è un fondo di verità in questo mito, così come ci sono casi specifici in cui il consenso è l'unica opzione possibile.
Anche il CCPA stabilisce regole per il trattamento dei dati personali dei consumatori, ma sono un po' più permissive. Le aziende non hanno bisogno del consenso o di una base legale per raccogliere informazioni personali, ma devono offrire ai consumatori la possibilità di rinunciare alla vendita e alla condivisione delle loro informazioni personali e di limitare l'uso di informazioni sensibili. Nel complesso, il CCPA è meno prescrittivo del GDPR e si affida maggiormente ai sistemi di opt-out.
Per quanto riguarda l'HIPAA, i suoi principali principi in materia di privacy sono contenuti nella Privacy Rule. Secondo tale norma, alcune divulgazioni di informazioni sanitarie protette possono avvenire solo con il consenso scritto del paziente, mentre altre no. La CCPA consente la divulgazione senza consenso quando è strettamente necessaria per il funzionamento del sistema sanitario: ad esempio, la trasmissione della storia clinica di un paziente al suo nuovo ospedale o la divulgazione delle spese mediche al suo fornitore di assicurazione per scopi di fatturazione.
La norma sulla privacy si applica anche ai soci d'affari e limita l'uso che questi possono fare dei dati personali.
In che modo queste leggi proteggono le informazioni sensibili?
Sia il GDPR che il CCPA proteggono le informazioni sensibili, ma le definiscono in termini diversi e le proteggono in modi diversi.
I dati sensibili ai sensi del GDPR sono quelli di cui non si vuole abusare o che finiscono nelle mani sbagliate: dati sulla religione, la salute, la vita sessuale, l'appartenenza politica, l'origine etnica e così via. Questi dati possono essere trattati solo negli scenari specifici elencati dal GDPR - al di fuori di questi scenari, non possono essere toccati.
La nozione di dati sensibili ai sensi del CCPA è in qualche modo simile, ma comprende anche dati comunemente utilizzati per le frodi, come i numeri di previdenza sociale e le credenziali dei conti bancari.
A differenza del GDPR, il CCPA non richiede un motivo specifico per raccogliere questi dati. Tuttavia, le aziende devono offrire al consumatore la possibilità di limitare l'uso e la divulgazione di informazioni sensibili a quanto strettamente richiesto, in modo simile a come devono consentire l'opt-out dalla vendita e dalla condivisione di informazioni personali.
L'HIPAA non prevede regole specifiche per i dati sensibili. Questo ha senso: praticamente tutto ciò che è coperto dall'HIPAA sarebbe considerato un dato sensibile nella maggior parte delle legislazioni.
I dati sanitari raccolti al di fuori del settore sanitario godono di poca o nessuna protezione perché** non rientrano nell'ambito di applicazione dell'HIPAA**. Poiché non esiste una legge federale statunitense sulla protezione dei dati, le aziende sono libere di fare più o meno quello che vogliono con questi dati, a meno che la legislazione statale non lo vieti.
Si tratta di un enorme problema di privacy, soprattutto per le donne. L'anno scorso la Corte Suprema degli Stati Uniti, di orientamento repubblicano, con la sentenza Dobbs v. Jackson ha eliminato un divieto decennale di legislazione anti-aborto. Dopo i divieti legislativi sull'aborto negli Stati conservatori, le donne in cerca di cure riproduttive vengono perseguite in base alla loro impronta digitale, e il facile accesso ai dati sanitari rende l'applicazione fin troppo facile.
Queste leggi prevalgono su altre leggi?
In generale, il GDPR si applica direttamente e "prevale" sulle leggi degli Stati membri. Tuttavia, alcuni articoli lasciano spazio alle leggi degli Stati membri per aggiungere ulteriori garanzie.
Come regola generale, l'HIPAA prevale sulle leggi statali, a meno che queste non forniscano una protezione della privacy più forte. Le regole dell'HIPAA in materia di prelazione sono complesse, per cui si rimanda al sito web dell'NHS per maggiori dettagli.
Conclusioni
Il GDPR, il CCPA e l'HIPAA sono leggi importanti ma molto diverse tra loro. Speriamo che questo post abbia dato ai nostri lettori un'idea più chiara di queste leggi e del loro scopo.
Ci piace scrivere di privacy perché crediamo che sia importante. Questo è anche il motivo per cui abbiamo fatto della privacy la pietra miliare di Simple Analytics. Simple Analytics non raccoglie dati personali, non traccia i visitatori e non viola in alcun modo la loro privacy, pur fornendo al cliente tutte le informazioni di cui ha bisogno! Se vi sembra una buona idea, non esitate a provarci!