Il California Consumer Privacy Act (CCPA), codificato ai Cal. Civ. Code sections da 1798.100 a 1798.199.100, ha cambiato radicalmente il modo in cui le aziende devono gestire le informazioni personali dei residenti della California. Come emendato dal California Privacy Rights Act (CPRA) nel 2023, la legge impone requisiti specifici per le privacy policy che vanno ben oltre ciò a cui molte aziende sono abituate. Se il vostro sito web raccoglie informazioni personali da consumatori californiani, la vostra privacy policy deve soddisfare standard legali dettagliati o affrontare significative azioni di applicazione. Questa guida spiega esattamente cosa richiede il CCPA e come rendere conforme la vostra privacy policy.
Chi deve conformarsi al CCPA
Il CCPA non si applica a tutte le aziende. Si rivolge alle entità a scopo di lucro che operano in California e soddisfano almeno uno dei tre requisiti stabiliti dal Cal. Civ. Code section 1798.140(d):
1. Ricavi lordi annuali superiori a 25 milioni di dollari. Questa soglia si applica ai ricavi mondiali dell’azienda, non solo ai ricavi dalle operazioni californiane. Se la vostra azienda genera più di 25 milioni di dollari annualmente da qualsiasi fonte, il CCPA si applica al trattamento dei dati dei consumatori californiani.
2. Acquisto, vendita o condivisione di informazioni personali di 100.000 o più consumatori o nuclei familiari. Questa soglia è stata innalzata da 50.000 a 100.000 con le modifiche CPRA. Dato che le “informazioni personali” secondo il CCPA includono indirizzi IP, identificatori di dispositivi e cronologia di navigazione, molte aziende online con traffico californiano moderato possono raggiungere questo numero senza rendersene conto.
3. Derivare il 50% o più dei ricavi annuali dalla vendita o condivisione di informazioni personali. I broker di dati e le aziende dipendenti dalla pubblicità rientrano frequentemente in questa categoria.
Anche se la vostra azienda non ha sede in California, dovete conformarvi se soddisfate uno qualsiasi di questi requisiti e raccogliete informazioni personali da residenti californiani. La portata extraterritoriale del CCPA significa che un’azienda di e-commerce a Milano o una società SaaS a Roma può essere soggetta alla legge californiana sulla privacy.
Per le aziende italiane soggette anche al RGPD, è essenziale comprendere le differenze tra i due quadri normativi. Il Garante per la protezione dei dati personali applica il RGPD in Italia insieme al Codice Privacy (D.lgs. 196/2003, modificato dal D.lgs. 101/2018), con requisiti che differiscono dal CCPA sotto diversi aspetti.
Cosa deve divulgare la vostra privacy policy CCPA
Il CCPA stabilisce requisiti di informativa specifici ai Cal. Civ. Code sections 1798.100(a) e 1798.130(a). La vostra privacy policy deve includere i seguenti elementi:
Categorie di informazioni personali raccolte. Dovete elencare le categorie di informazioni personali che avete raccolto nei 12 mesi precedenti. Il CCPA definisce 12 categorie nella section 1798.140(v), tra cui identificatori (nome, email, indirizzo IP), informazioni commerciali (cronologia acquisti), attività Internet (cronologia navigazione, cronologia ricerche), dati di geolocalizzazione e informazioni professionali o lavorative.
Finalità della raccolta. Per ogni categoria di informazioni personali, divulgate la finalità commerciale per cui sono state raccolte. Dichiarazioni vaghe come “per migliorare i nostri servizi” sono insufficienti. Dovete essere specifici: “per elaborare ordini ed effettuare consegne”, “per fornire pubblicità mirata basata sul comportamento di navigazione”, “per rilevare incidenti di sicurezza”.
Categorie di terze parti con cui le informazioni sono condivise. Se condividete informazioni personali con terze parti, divulgate le categorie di destinatari: reti pubblicitarie, fornitori di analytics, processori di pagamento, servizi di cloud hosting. In base alle modifiche CPRA, dovete anche divulgare le categorie di terze parti a cui le informazioni vengono vendute o condivise per la pubblicità comportamentale cross-contesto.
Diritti dei consumatori e come esercitarli. La vostra policy deve spiegare i diritti dei consumatori californiani secondo il CCPA: il diritto di sapere, il diritto di cancellazione, il diritto di rifiutare la vendita o condivisione di informazioni personali, il diritto di correggere informazioni inesatte e il diritto di limitare l’uso di informazioni personali sensibili. Dovete fornire istruzioni chiare per presentare richieste, includendo almeno due metodi designati (un numero verde e un indirizzo web).
Periodi di conservazione. Il CPRA ha aggiunto il requisito di divulgare il periodo di conservazione per ogni categoria di informazioni personali, o i criteri utilizzati per determinare i periodi di conservazione.
Link “Non vendere o condividere le mie informazioni personali”. Se la vostra azienda vende o condivide informazioni personali, dovete fornire un link chiaramente etichettato sulla vostra homepage intitolato “Non vendere o condividere le mie informazioni personali”. Questo meccanismo di opt-out deve essere funzionale e facile da usare. Sotto il CPRA, questo si estende alla pubblicità comportamentale cross-contesto, non solo alle vendite tradizionali di dati. Un banner cookie gratuito può fornire questa funzionalità di opt-out insieme alla gestione del consenso RGPD.
Avviso di incentivo finanziario. Se offrite incentivi finanziari (sconti, programmi fedeltà) in cambio della raccolta, vendita o conservazione di informazioni personali, la vostra privacy policy deve descrivere i termini materiali del programma di incentivi e spiegare come i consumatori possono iscriversi o ritirarsi.
Informazioni personali sensibili sotto il CPRA
Il CPRA ha introdotto il concetto di “informazioni personali sensibili”, che include numeri di previdenza sociale, credenziali di conti finanziari, geolocalizzazione precisa, origine razziale o etnica, convinzioni religiose, contenuto di posta o messaggi di testo, dati genetici, informazioni biometriche, informazioni sanitarie e orientamento sessuale.
Se la vostra azienda raccoglie informazioni personali sensibili, la vostra privacy policy deve divulgarlo e fornire ai consumatori il diritto di limitarne l’uso alle finalità necessarie per fornire i beni o servizi richiesti. Dovete anche includere un link separato sulla vostra homepage: “Limita l’uso delle mie informazioni personali sensibili”.
Questa protezione rafforzata per le categorie di dati sensibili riflette disposizioni simili nel RGPD (Articolo 9) — applicato in Italia dal Garante per la protezione dei dati personali e dal Codice Privacy — riflettendo una tendenza globale verso un trattamento più rigoroso delle informazioni personali ad alto rischio.
Errori comuni di conformità
Molte aziende non rispettano il CCPA non per negligenza deliberata ma per incomprensione dei requisiti della legge. Ecco gli errori più frequenti:
Usare una privacy policy solo per il RGPD. Sebbene RGPD e CCPA si sovrappongano in alcune aree, una privacy policy progettata esclusivamente per la conformità al RGPD non soddisferà i requisiti del CCPA. Il CCPA ha le proprie categorie di informativa specifiche, il proprio quadro di diritti dei consumatori e i propri meccanismi di opt-out che differiscono sostanzialmente dal diritto europeo. Per le aziende italiane abituate ai requisiti del Garante e del Codice Privacy, è cruciale aggiungere gli elementi specifici del CCPA.
Mancato aggiornamento annuale. Cal. Civ. Code section 1798.130(a)(5) richiede alle aziende di aggiornare la privacy policy almeno una volta ogni 12 mesi. La data dell’ultimo aggiornamento deve essere visualizzata in modo prominente. Molte aziende creano una policy una volta e non la rivisitano mai, lasciandola obsoleta man mano che le pratiche sui dati evolvono.
Informative incomplete sulle categorie. Elencare “informazioni personali” come singola categoria non è sufficiente. Il CCPA richiede un’informativa granulare attraverso le sue 12 categorie enumerate. Esaminate i vostri flussi di dati effettivi, inclusi strumenti di analytics, pixel pubblicitari, integrazioni CRM e processori di pagamento, per assicurarvi che ogni categoria sia coperta.
Nessun meccanismo di opt-out funzionante. Avere un link “Non vendere” che porta a un modulo non funzionante, un indirizzo email non monitorato o una pagina di contatto generica è una violazione. L’opt-out deve funzionare, e dovete elaborare le richieste entro 15 giorni lavorativi.
Ignorare fornitori di servizi e appaltatori. Il CCPA distingue tra “fornitori di servizi” (che trattano dati per vostro conto in base a un contratto) e “terze parti” (che ricevono dati per proprie finalità). La vostra privacy policy deve caratterizzare con precisione queste relazioni, e i vostri contratti devono includere clausole di trattamento dati conformi al CCPA. In Italia, questa distinzione è parallela a quella del RGPD tra titolari e responsabili del trattamento (articoli 26 e 28).
Applicazione e sanzioni del CCPA
L’ufficio del procuratore generale della California applica attivamente il CCPA dal luglio 2020. Ai sensi del Cal. Civ. Code section 1798.155, le sanzioni includono:
- Fino a 2.500 $ per violazione non intenzionale. Dato che ogni record di consumatore può costituire una violazione separata, le sanzioni si accumulano rapidamente. Una violazione dei dati che colpisce 10.000 consumatori californiani potrebbe teoricamente risultare in 25 milioni di dollari di sanzioni.
- Fino a 7.500 $ per violazione intenzionale. Le violazioni consapevoli del CCPA o le violazioni che coinvolgono informazioni personali di minori sotto i 16 anni comportano la sanzione più elevata.
- Diritto di azione privata per violazioni dei dati. Ai sensi della section 1798.150, i consumatori possono citare direttamente in giudizio le aziende per violazioni dei dati risultanti dal mancato mantenimento di misure di sicurezza ragionevoli. I danni legali vanno da 100 $ a 750 $ per consumatore per incidente, o i danni effettivi, a seconda di quale importo sia maggiore.
La California Privacy Protection Agency (CPPA), istituita dal CPRA, condivide ora l’autorità di applicazione con il procuratore generale e sta attivamente emanando regolamenti e conducendo indagini. Per maggiori dettagli sui rischi di applicazione, leggete il nostro articolo sulle sanzioni CCPA e il nostro confronto CCPA vs RGPD.
Quattro approcci alla conformità della privacy policy CCPA
Assumere un avvocato specializzato in privacy
Costo: da 3.000 a 8.000 $ per una privacy policy CCPA completa e infrastruttura di opt-out. Tempistica: da 2 a 6 settimane.
Un avvocato specializzato in diritto della privacy californiano condurrà un esercizio dettagliato di mappatura dei dati, esaminerà i vostri accordi con i fornitori e redigerà una policy su misura per le vostre specifiche pratiche sui dati. Questo è raccomandato per aziende con flussi di dati complessi, alti volumi di dati o operazioni in più stati USA con proprie leggi sulla privacy. Per le aziende italiane, un avvocato esperto sia di RGPD/Codice Privacy che di CCPA è ideale.
Utilizzare uno strumento IA generico
Costo apparente: 0 $. Costo reale: potenzialmente significativo in termini di rischio di applicazione.
I chatbot IA generici possono produrre testo che somiglia a una privacy policy ma spesso mancano dei requisiti specifici del CCPA: le 12 categorie statutarie, il requisito del link di opt-out, le informative sulle informazioni personali sensibili e la frequenza di aggiornamento richiesta. Una policy che appare conforme ma manca di elementi obbligatori crea un falso senso di sicurezza.
Copiare un modello gratuito
Costo: 0 $. Rischio: elevato.
I modelli CCPA gratuiti trovati online sono tipicamente generici, obsoleti (molti sono antecedenti alle modifiche CPRA) e non adattati alla vostra azienda specifica. Raramente includono meccanismi di opt-out adeguati o informative sui fornitori di servizi. Utilizzare un modello senza una personalizzazione significativa è improbabile che soddisfi i requisiti del CCPA.
Utilizzare un generatore di documenti legali specializzato
Costo: 14,90 € a 49,90 €. Tempistica: meno di 10 minuti.
Un generatore di documenti legali specializzato pone domande specifiche sulle vostre attività commerciali, pratiche di raccolta dati e relazioni con terze parti, e poi produce una privacy policy che soddisfa i requisiti del CCPA. Questo approccio bilancia il rigore di conformità con l’accessibilità e il rapporto costo-efficacia per la maggior parte delle aziende online.
Conclusione
Il CCPA impone requisiti dettagliati e specifici alle privacy policy che vanno oltre le buone pratiche generali. Se la vostra azienda soddisfa uno qualsiasi dei tre requisiti di applicabilità, la vostra privacy policy deve elencare le categorie di informazioni personali che raccogliete, spiegare le vostre finalità, divulgare la condivisione con terze parti, descrivere i diritti dei consumatori e come esercitarli, e fornire meccanismi di opt-out funzionanti.
Iniziate con una scansione di conformità gratuita per valutare la vostra situazione attuale. Per le aziende italiane soggette al RGPD tramite il Garante per la protezione dei dati personali, il CCPA aggiunge un livello aggiuntivo di obblighi specifici. Con la CPPA che applica attivamente la legge e le sanzioni che si accumulano per violazione, il costo della non conformità supera di gran lunga il costo della messa in conformità della vostra privacy policy. Che assumiate un avvocato specializzato per situazioni complesse o usiate un generatore specializzato per esigenze di conformità semplici, il passo importante è agire ora. Ogni giorno senza una privacy policy conforme al CCPA è un giorno di esposizione legale non necessaria.