Se il vostro sito web serve utenti sia nell’Unione Europea che in California, siete probabilmente soggetti a due delle normative sulla privacy più influenti al mondo: il Regolamento Generale sulla Protezione dei Dati (RGPD) e il California Consumer Privacy Act (CCPA), come modificato dal California Privacy Rights Act (CPRA). Sebbene entrambe le leggi mirino a proteggere i dati personali, differiscono fondamentalmente nel loro approccio, ambito e applicazione. Comprendere queste differenze non è facoltativo — è essenziale per costruire una strategia di conformità che soddisfi entrambi i quadri senza duplicazioni inutili o lacune. Questo articolo offre una prospettiva particolare per le aziende italiane, dove il Garante per la protezione dei dati personali applica il RGPD insieme al Codice Privacy.
Fondamenti filosofici: opt-in vs opt-out
La differenza più fondamentale tra RGPD e CCPA risiede nel loro modello di consenso predefinito.
Il RGPD opera su base opt-in. Ai sensi dell’articolo 6 del RGPD, il trattamento dei dati personali richiede una base giuridica prima di qualsiasi raccolta. Per molti tipi di trattamento — in particolare marketing, profilazione e analytics — deve essere ottenuto il consenso esplicito dell’interessato prima della raccolta dei dati. Ciò significa che quando un utente europeo visita il vostro sito per la prima volta, non potete impostare cookie non essenziali, attivare pixel di tracciamento o raccogliere dati comportamentali fino a quando l’utente non acconsente affermativamente. In Italia, il Garante ha emanato linee guida particolarmente dettagliate sui cookie e sul consenso, con sanzioni significative per le violazioni.
Il CCPA opera su base opt-out. Le aziende possono raccogliere e utilizzare informazioni personali senza ottenere consenso preventivo (con alcune eccezioni per i minori di 16 anni). Il CCPA conferisce invece ai consumatori il diritto di rifiutare la vendita o la condivisione delle loro informazioni personali a posteriori. L’azienda deve fornire un link “Non vendere o condividere le mie informazioni personali”, ma può trattare i dati per impostazione predefinita fino a quando il consumatore non esercita tale diritto.
Questa distinzione ha profonde implicazioni pratiche. Un sito web conforme al RGPD che blocca ogni tracciamento fino al consenso soddisferà anche i requisiti meno restrittivi del CCPA. Ma un sito conforme al CCPA che traccia gli utenti per impostazione predefinita e si basa sull’opt-out violerà il RGPD se serve utenti europei senza consenso preventivo.
Ambito e applicabilità
Chi è protetto
RGPD: Qualsiasi “interessato” che si trovi nell’Unione Europea, indipendentemente dalla nazionalità o residenza. Un turista americano che naviga su un sito web durante una visita a Roma è protetto dal RGPD durante quella visita. Il regolamento protegge gli individui (persone fisiche), non le aziende.
CCPA: I “consumatori” californiani, definiti come persone fisiche residenti in California. La protezione segue la residenza della persona, non la sua posizione fisica. Un residente californiano che naviga su un sito web durante una vacanza a Tokyo è ancora protetto dal CCPA.
Quali aziende devono conformarsi
RGPD: Qualsiasi organizzazione, ovunque nel mondo, che tratti dati personali di individui nell’UE, a condizione che offra beni o servizi a residenti dell’UE o ne monitori il comportamento (Articolo 3). Non c’è soglia di fatturato, nessun minimo di volume dati. Un blog personale che raccoglie indirizzi email da visitatori dell’UE deve conformarsi. Il Garante ha confermato questo approccio con numerosi provvedimenti.
CCPA: Aziende a scopo di lucro che operano in California e soddisfano almeno uno di tre requisiti: fatturato lordo annuale superiore a 25 milioni di dollari; acquisto, vendita o condivisione di informazioni personali di 100.000 o più consumatori o nuclei familiari; o derivare il 50% o più dei ricavi annuali dalla vendita o condivisione di informazioni personali. Le organizzazioni senza scopo di lucro e gli enti governativi sono esentati.
Definizione di dati personali
RGPD: “Dati personali” indica qualsiasi informazione relativa a una persona fisica identificata o identificabile (Articolo 4, paragrafo 1). Ciò include nomi, indirizzi email, indirizzi IP, identificatori di cookie, dati di localizzazione, identificatori online e persino dati pseudonimizzati se la re-identificazione è possibile.
CCPA: “Informazioni personali” sono definite in modo più ampio per certi aspetti, coprendo informazioni che “identificano, si riferiscono a, descrivono, sono ragionevolmente associabili a, o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, a un particolare consumatore o nucleo familiare”. L’aggiunta di “nucleo familiare” estende la copertura oltre l’individuo. Tuttavia, le informazioni pubblicamente disponibili sono esplicitamente escluse dalla definizione del CCPA, mentre il RGPD non fa tale esclusione.
Diritti dei consumatori/interessati
Entrambe le leggi conferiscono agli individui diritti sui propri dati personali, ma i dettagli differiscono:
| Diritto | RGPD | CCPA/CPRA |
|---|---|---|
| Diritto di accesso/conoscenza | Articolo 15: diritto di ottenere conferma e copia di tutti i dati personali | Sezione 1798.100: diritto di conoscere le categorie e gli elementi specifici raccolti negli ultimi 12 mesi |
| Diritto di cancellazione | Articolo 17: diritto alla cancellazione (“diritto all’oblio”) con ampie eccezioni | Sezione 1798.105: diritto di cancellazione con eccezioni specificate |
| Diritto alla portabilità | Articolo 20: diritto di ricevere i dati in formato leggibile da macchina | Nessun equivalente nel CCPA |
| Diritto di rettifica | Articolo 16: diritto di rettifica | Sezione 1798.106 (aggiunta dal CPRA): diritto di correggere informazioni inesatte |
| Diritto di rifiuto della vendita | Non direttamente applicabile (modello basato sul consenso) | Sezione 1798.120: diritto di rifiutare la vendita e la condivisione |
| Diritto di limitare i dati sensibili | Articolo 9: categorie speciali richiedono consenso esplicito | Sezione 1798.121 (CPRA): diritto di limitare l’uso di informazioni personali sensibili |
| Diritto alla non discriminazione | Implicito nei principi generali | Sezione 1798.125: divieto esplicito di discriminare i consumatori che esercitano i propri diritti |
| Tempo di risposta | 1 mese (prorogabile a 3) | 45 giorni (prorogabile a 90) |
Non sapete quali normative si applicano al vostro sito? Lo scanner di conformita gratuito di WebLegal analizza il vostro sito e identifica i documenti legali e i requisiti di privacy da gestire.
Basi giuridiche del trattamento
Qui i due quadri divergono più nettamente.
RGPD: L’articolo 6 richiede una delle sei basi giuridiche per ogni attività di trattamento: consenso, esecuzione di un contratto, obbligo legale, interessi vitali, compito di interesse pubblico o interessi legittimi. La scelta della base giuridica deve essere documentata e comunicata agli interessati. Per le categorie speciali di dati (Articolo 9), deve essere soddisfatta una condizione aggiuntiva, generalmente il consenso esplicito. Il Garante e il Codice Privacy italiano forniscono orientamenti specifici sulla scelta della base giuridica appropriata.
CCPA: Non esiste il concetto di “base giuridica” nel CCPA. Le aziende possono raccogliere e trattare informazioni personali per qualsiasi finalità commerciale dichiarata. La legge regola l’informativa e i diritti di opt-out piuttosto che richiedere una giustificazione affermativa per ogni attività di trattamento.
Per le aziende soggette a entrambe le leggi, i requisiti di base giuridica del RGPD diventano effettivamente lo standard prevalente.
Applicazione e sanzioni
Applicazione del RGPD
L’applicazione è assicurata dalle autorità di protezione dei dati in ogni Stato membro dell’UE. In Italia, il Garante per la protezione dei dati personali è particolarmente attivo. Le sanzioni massime ai sensi dell’articolo 83 sono:
- Fino a 10 milioni di euro o il 2% del fatturato annuo mondiale per infrazioni minori
- Fino a 20 milioni di euro o il 4% del fatturato annuo mondiale per infrazioni gravi
Il Garante ha imposto sanzioni significative, comprese multe multimilionarie a grandi aziende tecnologiche. Le autorità possono anche emettere ordini di cessazione del trattamento, vietare trasferimenti di dati e richiedere misure correttive specifiche.
Applicazione del CCPA
L’applicazione è condivisa tra il procuratore generale della California e la CPPA:
- Fino a 2.500 $ per violazione non intenzionale
- Fino a 7.500 $ per violazione intenzionale o che coinvolga minori
- Diritto di azione privata per violazioni dei dati: da 100 $ a 750 $ per consumatore per incidente
Trasferimenti di dati
RGPD: I trasferimenti di dati personali al di fuori dell’UE/SEE sono limitati dal capitolo V del RGPD. I trasferimenti richiedono una decisione di adeguatezza, clausole contrattuali standard (CCS), norme vincolanti d’impresa o un altro meccanismo di trasferimento approvato. La sentenza Schrems II ha invalidato il Privacy Shield UE-USA, e il quadro di protezione dei dati UE-USA che lo ha sostituito resta sotto esame giuridico continuo.
CCPA: Non vi sono restrizioni sui trasferimenti internazionali di dati nel CCPA. La legge regola come i dati vengono raccolti, utilizzati, venduti e condivisi, ma non limita dove vengono archiviati o elaborati geograficamente.
Strategia pratica di conformità per aziende bi-giurisdizionali
Se il vostro sito web serve sia utenti dell’UE che della California, ecco un approccio pratico per le aziende italiane:
1. Partite dalla conformità al RGPD. I requisiti del RGPD sono generalmente più stringenti. Un’informativa sulla privacy, un meccanismo di consenso e pratiche di trattamento dati conformi al RGPD soddisferanno la maggior parte dei requisiti del CCPA. Seguite le linee guida del Garante per i cookie e il consenso.
2. Aggiungete gli elementi specifici del CCPA. Aggiungete le informative e i meccanismi che il CCPA richiede e il RGPD non richiede: il link “Non vendere o condividere”, il quadro informativo a 12 categorie, l’opt-out per le informazioni personali sensibili e l’aggiornamento annuale con data.
3. Implementate il consenso basato sulla geolocalizzazione. Utilizzate una piattaforma di gestione del consenso che rilevi la posizione dell’utente e applichi il modello di consenso appropriato: opt-in per i visitatori dell’UE, diritti di opt-out per i visitatori californiani. Il banner cookie gratuito di WebLegal gestisce il consenso GDPR e puo servire come base per il vostro approccio multi-giurisdizione.
4. Mantenete registri separati. Il RGPD richiede registri delle attività di trattamento (Articolo 30). Il CCPA richiede documentazione delle richieste dei consumatori e delle risposte. Mantenete entrambi. In Italia, il Garante verifica regolarmente la tenuta del registro dei trattamenti.
5. Rivedete i contratti con i fornitori. Assicuratevi che i contratti con i responsabili del trattamento (RGPD) e i fornitori di servizi (CCPA) soddisfino i requisiti di entrambi i quadri. La terminologia differisce, ma l’obbligo sottostante — controllare come le terze parti gestiscono i dati dei vostri utenti — è lo stesso.
Conclusione
RGPD e CCPA rappresentano due approcci distinti alla regolamentazione della privacy: il consenso comprensivo europeo versus la trasparenza mirata californiana. Nessuno dei due sussume l’altro. Un’azienda che serve utenti in entrambe le giurisdizioni necessita di una strategia di conformità che affronti i requisiti di consenso del RGPD, il quadro delle basi giuridiche e le restrizioni sui trasferimenti di dati, insieme alle categorie informative specifiche del CCPA, ai meccanismi di opt-out e alla struttura sanzionatoria per violazione.
Il costo della doppia non conformità è sostanziale. Il costo di costruire una strategia di privacy unificata che soddisfi entrambi i quadri è gestibile — e molto inferiore al rischio di applicazione di sbagliare. Per le aziende italiane sorvegliate dal Garante ed esposte al CCPA, la priorità è affrontare entrambi i quadri ora piuttosto che retroattivamente dopo un’azione di applicazione.