Guida del consumatore al CCPA

Image of Iron Brands

Pubblicato il 16 ago 2023 e modificato il 18 set 2023 da Iron Brands

Gli Stati Uniti sono notoriamente privi di una legislazione federale completa sulla privacy. In questo contesto, il CCPA rappresenta un passo avanti e fa della California un precursore della privacy digitale nel panorama statunitense. Non sorprende che altri Stati abbiano utilizzato il CCPA come modello per la propria legislazione.

Ma quali sono i diritti alla privacy dei consumatori ai sensi del CCPA e come possono esercitarli? Scopriamolo!

  1. Quali sono i diritti dei consumatori ai sensi del CCPA?
  2. Il diritto di sapere
  3. Il diritto di cancellare o correggere
  4. Il diritto di opt-out
  5. Il diritto di limitare l'uso e la divulgazione di informazioni sensibili
  6. Come si confrontano questi diritti con il GDPR?
  7. Conclusioni
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Quali sono i diritti dei consumatori ai sensi del CCPA?

Il CCPA elenca diversi diritti dei consumatori:

  • il diritto di sapere quali informazioni personali vengono utilizzate da un'azienda e con quali modalità
  • il diritto di far cancellare le informazioni personali
  • il diritto di rinunciare alla vendita e alla condivisione delle informazioni personali
  • il diritto di non discriminazione per l'esercizio dei diritti previsti dal CCPA
  • il diritto di correggere informazioni inesatte
  • il diritto di limitare l'uso e la divulgazione di informazioni sensibili.

I primi quattro diritti sono sempre stati parte del CCPA. I diritti di correggere le informazioni e di limitare l'uso e la divulgazione di informazioni sensibili sono stati aggiunti nel 2020, quando il CCPA è stato modificato dal CPRA.

Il diritto di sapere

Ai sensi del CCPA, avete il diritto di richiedere informazioni sull'utilizzo dei vostri dati. Potete chiedere a un'azienda

  • quali categorie di informazioni personali sono state raccolte e utilizzate e per quale scopo
  • da quali fonti sono state raccolte le informazioni
  • quali informazioni sono state condivise e con chi

Potete anche richiedere informazioni specifiche che sono state raccolte. Le aziende devono rispondere alle richieste entro 90 giorni (con un termine "base" di 45 giorni, prorogabile di altri 45 giorni su preavviso).

Il diritto del consumatore di sapere non deve essere confuso con l'obbligo delle imprese di fornire un avviso al momento della raccolta. Sebbene entrambi mirino in ultima analisi a migliorare la trasparenza e il controllo degli utenti, gli avvisi al momento della raccolta devono essere forniti indipendentemente da qualsiasi richiesta in tal senso.

Se un'azienda vende o condivide informazioni personali, l'avviso al momento della raccolta deve includere un link "Non vendere o condividere" (si veda più avanti).

Il diritto di cancellare o correggere

I consumatori hanno il diritto di richiedere la cancellazione o la correzione delle loro informazioni personali. Esistono alcune eccezioni alla regola, come le informazioni disponibili al pubblico, le informazioni relative ai rapporti di credito e le informazioni necessarie per l'esercizio di azioni legali.

Le aziende devono adeguarsi entro 90 giorni (anche in questo caso si tratta di una scadenza di 45 giorni, più una proroga di 45 giorni su preavviso).

Il diritto di opt-out

Ai sensi del CCPA, i consumatori hanno il diritto di rinunciare alla vendita e alla condivisione di informazioni personali.

I siti web che vendono o condividono informazioni personali devono fornire l'opzione di opt-out attraverso un link visibile sul loro sito web. I siti web devono inoltre offrire un altro metodo di rinuncia, compreso il controllo globale della privacy offerto da alcuni browser.

In passato vi era una certa incertezza sul significato di "vendita" ai sensi del CCPA. La legge è stata successivamente modificata per fare riferimento alla vendita e alla condivisione di informazioni personali, al fine di coprire la condivisione di dati con terze parti come Google e Meta a scopo di web marketing e retargeting. Quindi non c'è dubbio che queste attività rientrino nelle norme sull'opting out!

Il diritto di limitare l'uso e la divulgazione di informazioni sensibili

Il CCPA elenca alcune categorie di dati come informazioni sensibili, tra cui identificatori come i numeri di previdenza sociale, dati precisi di geolocalizzazione, e-mail e messaggi di testo, dati sanitari, dati genetici, dati sulla vita sessuale/orientamento sessuale e così via. I consumatori hanno il diritto di limitare l'uso e la divulgazione di tali informazioni.

In pratica, questo diritto è simile al diritto di non condividere le informazioni personali. I siti web e i servizi che raccolgono informazioni sensibili devono rendere l'opzione visibile e disponibile sul loro sito web. Dopo aver ricevuto una richiesta di limitazione, le aziende possono trattare i dati sensibili solo nel modo strettamente necessario per fornire i beni e i servizi richiesti.

Come si confrontano questi diritti con il GDPR?

Alcuni diritti previsti dal CCPA hanno un chiaro parallelo nel GDPR: il diritto di sapere, il diritto alla cancellazione e il diritto alla correzione delle informazioni funzionano tutti in modo simile.

D'altro canto, non esiste una controparte del GDPR per il diritto di rinunciare alla vendita e alla condivisione di informazioni personali, né esiste una controparte per il diritto di limitare l'uso di dati sensibili. Ciò non significa che il GDPR sia più permissivo in questo senso, anzi.

Il GDPR opta per un approccio più rigoroso e prescrittivo, stabilendo requisiti severi per il trattamento dei dati personali. I diritti di opt-out giocano un ruolo relativamente minore nel regolamento, perché ci sono requisiti rigorosi per il trattamento dei dati personali in primo luogo. Ad esempio, il principio di liceità (di cui abbiamo parlato in questo blog) svolge un ruolo fondamentale nel GDPR e non trova paralleli nel CCPA.

D'altra parte, il CCPA cerca di responsabilizzare i consumatori dando loro il diritto di decidere sull'uso dei loro dati personali. Pertanto, le aziende godono di una certa libertà ai sensi del CCPA, a condizione che il consumatore non si opponga.

Ciascun approccio presenta pro e contro. La conformità al CCPA è sicuramente meno onerosa di quella al GDPR. Allo stesso tempo, far ricadere l'onere della privacy sul consumatore può essere rischioso. Immaginate di visitare 50 siti web al giorno e di dover rinunciare individualmente alla vendita dei vostri dati per ognuno di essi! Il Global Privacy Control dovrebbe aiutare in questo senso, ma il sistema non è stato ancora ampiamente implementato. Non esiste nemmeno una controparte del GPC per limitare l'uso dei dati sensibili.

Il GDPR adotta l'approccio opposto e sposta l'onere della privacy dal pubblico alle organizzazioni. L'idea alla base del GDPR è che le persone non debbano rinunciare manualmente alle pratiche invasive della privacy degli innumerevoli servizi che utilizzano. Per questo motivo il regolamento contiene molte regole severe e dettagliate su ciò che le aziende possono o non possono fare con i dati personali.

In un mondo in cui tutti utilizzano un centinaio di servizi diversi affamati di dati, e nessuno legge veramente gli avvisi sulla privacy o mette a punto le impostazioni sulla privacy, il controllo individuale sui dati è spesso poco più che una farsa. Per questo motivo, imporre l'onere della privacy alle organizzazioni e farle rispettare standard elevati è probabilmente un approccio più efficace rispetto a quello di lasciare che sia l'individuo a decidere. D'altro canto, questo approccio prescrittivo si traduce in norme molto tecniche e complesse, talvolta difficili da comprendere e rispettare per le aziende (soprattutto quelle più piccole).

È interessante anche confrontare la nozione di dati sensibili tra le leggi. Le informazioni sensibili ai sensi del CCPA comprendono dati come gli identificatori governativi, che potrebbero essere utilizzati per il furto di identità. Il CCPA considera sensibili anche i dati precisi di geolocalizzazione, il che è una buona idea da cui la legge dell'UE potrebbe prendere spunto.

Allo stesso tempo, il GDPR è molto più restrittivo nel limitare l'uso dei dati sensibili. Anche in questo caso, il CCPA adotta un approccio opt-out incentrato sul consumatore, mentre il GDPR segue un percorso prescrittivo.

Forse siamo di parte, ma riteniamo che il GDPR sia un chiaro vincitore per quanto riguarda i dati sensibili: un diritto di opt-out non è semplicemente sufficiente in questo caso.

Conclusioni

In fin dei conti, la privacy è importante indipendentemente dal luogo in cui ci si trova. Riteniamo che le aziende debbano tutelare la privacy dei propri clienti e visitatori, indipendentemente dal fatto che la legge lo imponga o meno.

Abbiamo costruito Simple Analytics per aiutare i nostri clienti di tutto il mondo a far crescere il loro pubblico in modo etico e rispettoso della privacy. Simple Analytics vi fornisce tutte le informazioni di cui avete bisogno senza utilizzare cookie, tracker o impronte digitali degli utenti. Non tracciamo i vostri visitatori e non raccogliamo alcun dato personale! Se vi sembra una buona idea, non esitate a provarci!

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni