Cos’è il CCPA? Guida al California Consumer Privacy Act
Il California Consumer Privacy Act (CCPA) è la legge sulla privacy a livello statale più significativa degli Stati Uniti. Da quando è entrato in vigore il 1° gennaio 2020 – e ha subito un sostanziale rafforzamento con il California Privacy Rights Act (CPRA) nel 2023 – ha stabilito il punto di riferimento per la protezione dei dati dei consumatori negli USA.
Se il tuo sito web riceve visitatori dalla California, il CCPA probabilmente si applica a te. Con una popolazione di quasi 40 milioni di abitanti e una quota di traffico internet statunitense superiore alla media, la maggior parte degli editori con un pubblico americano deve conoscere questa legge. Questa guida spiega cos’è il CCPA, cosa richiede, come il CPRA lo ha modificato e cosa devono fare gli editori per essere conformi.
Cos’è il CCPA?
CCPA è l’acronimo di California Consumer Privacy Act. È stato firmato in legge nel giugno 2018 e diventato eseguibile il 1° gennaio 2020. È stata la prima legge completa sulla privacy dei consumatori negli Stati Uniti, conferendo ai residenti in California diritti specifici sulle proprie informazioni personali e imponendo obblighi alle aziende che le raccolgono.
La legge è stata una risposta diretta alle crescenti preoccupazioni riguardo al modo in cui le aziende – in particolare le grandi piattaforme tecnologiche – raccolgono, vendono e condividono i dati personali. È stata in parte ispirata dal Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea, pur adottando un approccio tipicamente americano, incentrato sul diritto di opposizione anziché sul requisito del consenso preventivo.
Il CCPA è applicato dal Procuratore Generale della California e, a seguito delle modifiche del CPRA, dalla California Privacy Protection Agency (CPPA) – il primo organismo statale dedicato all’applicazione della privacy negli USA.
A chi si applica il CCPA?
Il CCPA si applica alle imprese a scopo di lucro che raccolgono informazioni personali dei residenti in California e soddisfano almeno una delle seguenti soglie:
- Ricavi annui lordi superiori a 25 milioni di dollari.
- Volume di dati – l’azienda acquista, vende o condivide le informazioni personali di 100.000 o più consumatori, nuclei familiari o dispositivi californiani all’anno.
- Ricavi dai dati – l’azienda ricava il 50% o più dei propri ricavi annui dalla vendita o dalla condivisione delle informazioni personali dei consumatori.
Per gli editori, la soglia dei ricavi è il criterio più comune. Se il tuo sito web genera più di 25 milioni di dollari di ricavi annui e serve visitatori californiani, il CCPA si applica. Gli editori di dimensioni minori potrebbero essere soggetti alla legge se servono un volume sufficiente di traffico californiano da soddisfare la soglia sul volume dei dati, oppure se la condivisione di dati tramite la pubblicità programmatica costituisce una quota significativa dei ricavi.
Vale la pena sottolineare che il CCPA non richiede che un’azienda abbia sede in California – o anche negli Stati Uniti. Qualsiasi entità a scopo di lucro che svolga attività commerciale in California e soddisfi le soglie previste è soggetta alla legge.
Cosa sono le informazioni personali secondo il CCPA?
Il CCPA definisce le informazioni personali in modo ampio: qualsiasi informazione che “identifica, si riferisce a, descrive, è ragionevolmente in grado di essere associata a, o potrebbe ragionevolmente essere collegata, direttamente o indirettamente, a un particolare consumatore o nucleo familiare.”
Per gli editori, le categorie più rilevanti includono:
- Identificatori – nomi, indirizzi email, indirizzi IP, nomi account
- Attività internet – cronologia di navigazione, cronologia delle ricerche, interazioni con un sito web o un annuncio
- Dati di geolocalizzazione – posizione approssimativa ricavata dagli indirizzi IP
- Identificatori di dispositivo – cookie, ID pubblicitari, impronte digitali del dispositivo
- Inferenze – profili creati dai dati raccolti che riflettono preferenze, comportamenti o interessi
Questa definizione ampia significa che gran parte dei dati raccolti nelle normali operazioni ad tech – tracciamento basato su cookie, segmentazione del pubblico, segnali di real-time bidding – rientra nell’ambito del CCPA.
I diritti dei consumatori previsti dal CCPA
Il CCPA riconosce ai consumatori californiani una serie di diritti sulle proprie informazioni personali. Questi diritti sono stati ampliati dalle modifiche del CPRA, rendendo il quadro attuale più completo rispetto alla versione originale del 2020.
Diritto di conoscere
I consumatori possono richiedere a un’azienda di comunicare quali informazioni personali ha raccolto su di loro, le fonti da cui provengono, la finalità aziendale per cui le ha raccolte, le categorie di terzi con cui sono state condivise e i dati specifici raccolti.
Diritto alla cancellazione
I consumatori possono richiedere a un’azienda di cancellare le informazioni personali raccolte su di loro. Le aziende devono anche disporre che i loro fornitori di servizi cancellino i dati, con eccezioni limitate (come il completamento di una transazione, il rilevamento di incidenti di sicurezza o l’adempimento di un obbligo legale).
Diritto di opposizione alla vendita o alla condivisione
Questa è la disposizione cardine del CCPA. I consumatori hanno il diritto di chiedere a un’azienda di cessare la vendita o la condivisione delle proprie informazioni personali. Con le modifiche del CPRA, la “condivisione” è stata aggiunta accanto alla “vendita” per coprire esplicitamente il trasferimento di dati personali per la pubblicità comportamentale cross-context – direttamente rilevante per la pubblicità programmatica.
Le aziende che vendono o condividono informazioni personali devono fornire un link ben visibile “Do Not Sell or Share My Personal Information” sul loro sito web.
Diritto di rettifica
Introdotto dal CPRA, i consumatori possono richiedere a un’azienda di correggere le informazioni personali inesatte in suo possesso.
Diritto di limitare l’uso delle informazioni personali sensibili
Anch’esso introdotto dal CPRA, i consumatori possono disporre che le aziende limitino l’uso e la divulgazione delle informazioni personali sensibili – come la geolocalizzazione precisa, la razza, i dati sanitari o le informazioni finanziarie – a quanto strettamente necessario per fornire il servizio richiesto.
Diritto alla non discriminazione
Le aziende non possono discriminare i consumatori che esercitano i propri diritti previsti dal CCPA – ad esempio, applicando prezzi più elevati, fornendo un servizio inferiore o negando l’accesso ai servizi.
Cos’è il CPRA? Come ha modificato il CCPA
Il California Privacy Rights Act (CPRA) è stato approvato dagli elettori californiani nel novembre 2020 come Proposizione 24. È entrato in vigore il 1° gennaio 2023, modificando e ampliando il CCPA originale senza sostituirlo. La legge combinata è spesso denominata “CCPA come modificato dal CPRA” o semplicemente “CCPA/CPRA.”
Le principali novità introdotte dal CPRA:
- Nuova categoria: la “condivisione” – Il CPRA ha aggiunto la “condivisione” delle informazioni personali come attività regolamentata accanto alla “vendita.” La condivisione indica il trasferimento di dati per la pubblicità comportamentale cross-context, indipendentemente da scambi di denaro. Questo riguarda direttamente i flussi di dati nella pubblicità programmatica.
- Informazioni personali sensibili – Il CPRA ha creato una nuova categoria di dati sensibili (numeri di previdenza sociale, geolocalizzazione precisa, origine razziale o etnica, dati sanitari) con ulteriori diritti dei consumatori per limitarne l’uso.
- Diritto di rettifica – I consumatori hanno acquisito il diritto di richiedere correzioni alle informazioni personali inesatte.
- Minimizzazione dei dati – Le aziende devono limitare la raccolta e la conservazione dei dati a quanto “ragionevolmente necessario e proporzionato” alla finalità dichiarata.
- California Privacy Protection Agency (CPPA) – Il CPRA ha istituito un’agenzia di applicazione dedicata con poteri normativi, integrandosi con i poteri del Procuratore Generale della California.
- Requisiti contrattuali ampliati – Regole più stringenti per i contratti con fornitori di servizi, appaltatori e terze parti che trattano informazioni personali.
- Valutazioni del rischio – Le aziende devono condurre audit sulla cybersicurezza e valutazioni del rischio periodiche per le attività di trattamento ad alto rischio.
CCPA vs GDPR: differenze principali
Il CCPA e il GDPR sono entrambe leggi complete sulla privacy, ma adottano approcci fondamentalmente diversi. Comprendere le differenze è essenziale per gli editori che servono pubblici sia in California sia in Europa.
| Aspetto | CCPA/CPRA | GDPR |
|---|---|---|
| Modello di consenso | Opt-out (i consumatori devono scegliere attivamente di interrompere la vendita/condivisione dei dati) | Opt-in (le aziende devono ottenere il consenso prima del trattamento) |
| Ambito di applicazione | Imprese a scopo di lucro che soddisfano le soglie di ricavi/dati | Tutte le organizzazioni che trattano dati personali di persone nell’UE/SEE |
| Chi è tutelato | Residenti in California (“consumatori”) | Chiunque si trovi nell’UE/SEE (“interessati”) |
| Definizione di dati personali | Include i dati a livello di nucleo familiare | Limitata alle persone fisiche identificate o identificabili |
| Base giuridica per il trattamento | Non richiesta – le aziende possono trattare i dati salvo opposizione del consumatore | Una delle sei basi giuridiche richieste (consenso, contratto, legittimo interesse, ecc.) |
| Dati sensibili | Diritto di limitare l’uso (CPRA) | Trattamento generalmente vietato senza consenso esplicito |
| Applicazione | Procuratore Generale della California + CPPA; diritto d’azione privato per violazioni dei dati | Autorità nazionali per la protezione dei dati; sanzioni fino al 4% del fatturato globale |
| Sanzioni | Fino a 2.500 dollari per violazione; fino a 7.500 dollari per violazione intenzionale | Fino a 20 milioni di euro o al 4% del fatturato annuo globale |
La differenza più importante per gli editori riguarda il modello di consenso. Ai sensi del GDPR, è necessario ottenere il consenso preventivo prima di impostare cookie pubblicitari o condividere dati con i vendor dell’ad tech. Con il CCPA, è possibile trattare i dati per impostazione predefinita, ma occorre fornire ai consumatori la possibilità di opporsi alla vendita o alla condivisione delle proprie informazioni.
In pratica, gli editori che servono entrambi i pubblici devono supportare entrambi i modelli: opt-in per i visitatori europei e opt-out per i californiani. Una consent management platform (CMP) che gestisce entrambi i framework semplifica notevolmente questo aspetto.
Conformità al CCPA per gli editori
Soddisfare i requisiti del CCPA richiede diversi passaggi pratici. Ecco cosa gli editori devono predisporre.
1. Verificare se il CCPA si applica alla propria attività
Verificare le soglie di applicabilità: 25 milioni di dollari di ricavi annui, dati di 100.000 o più consumatori californiani trattati, oppure il 50% o più dei ricavi derivante dalla vendita o condivisione di informazioni personali. Se si soddisfa anche solo uno di questi criteri, l’obbligo di conformità scatta.
Anche qualora si rimanga al di sotto delle soglie, è bene tenere presente che altre leggi sulla privacy statali USA (come quelle di Virginia, Colorado, Connecticut e altri stati) potrebbero comunque applicarsi, e molte seguono un modello di opt-out simile.
2. Fornire i link di opt-out richiesti
Se si vendono o condividono informazioni personali – e la pubblicità programmatica in genere qualifica come “condivisione” ai sensi della definizione CPRA – è obbligatorio pubblicare sul proprio sito web un link “Do Not Sell or Share My Personal Information.” Questo link deve essere chiaramente visibile e funzionante.
È inoltre necessario rispettare il segnale del Global Privacy Control (GPC). Il GPC è un’impostazione a livello di browser che comunica automaticamente la preferenza di opt-out dell’utente. Ai sensi delle normative CCPA, le aziende devono trattare un segnale GPC come una richiesta di opt-out valida a tutti gli effetti.
3. Aggiornare l’informativa sulla privacy
Il CCPA richiede specifiche comunicazioni nell’informativa sulla privacy, tra cui:
- Le categorie di informazioni personali raccolte negli ultimi 12 mesi
- Le finalità per cui ciascuna categoria viene raccolta e utilizzata
- Le categorie di terzi con cui le informazioni personali vengono condivise
- Se le informazioni personali vengono vendute o condivise, e le categorie coinvolte
- I diritti dei consumatori previsti dal CCPA e le modalità per esercitarli
- Il periodo di conservazione per ciascuna categoria di informazioni personali (introdotto dal CPRA)
L’informativa sulla privacy deve essere aggiornata almeno una volta ogni 12 mesi.
4. Gestire le richieste dei consumatori
È necessario fornire almeno due metodi attraverso cui i consumatori possono inviare richieste (ad esempio, un numero verde e un modulo web). Le richieste devono ricevere risposta entro 45 giorni, con la possibilità di estendere il termine di altri 45 giorni per i casi complessi.
È inoltre necessario disporre di un processo per verificare l’identità dei consumatori che presentano richieste, al fine di prevenire accessi non autorizzati alle informazioni personali.
5. Implementare una Consent Management Platform
Per gli editori che gestiscono pubblicità programmatica, una consent management platform è indispensabile per la conformità al CCPA. Una CMP gestisce il meccanismo di opt-out, elabora i segnali GPC, gestisce la funzionalità “Do Not Sell or Share” e garantisce che i vendor dell’ad tech rispettino le scelte dei consumatori.
Clickio Consent supporta le leggi statali USA sulla privacy attraverso il framework National della Global Privacy Platform (GPP) di IAB. Offre supporto integrato per l’opt-out dalla pubblicità mirata, il riconoscimento del segnale GPC, l’opt-out dal trattamento dei dati sensibili e le protezioni per i dati dei minori. È possibile configurarlo per coprire solo gli stati che richiedono legalmente meccanismi di opt-out, oppure applicarlo a livello nazionale per una conformità più ampia.
6. Verificare gli accordi con i fornitori di servizi e gli appaltatori
Il CCPA/CPRA richiede clausole contrattuali specifiche con qualsiasi fornitore di servizi, appaltatore o terza parte che tratti informazioni personali per conto dell’editore. Questi contratti devono limitare le modalità di utilizzo dei dati da parte del destinatario e richiedere il rispetto degli obblighi previsti dal CCPA.
Sanzioni e applicazione del CCPA
L’applicazione del CCPA è affidata a due organismi: il Procuratore Generale della California e la California Privacy Protection Agency (CPPA).
Le sanzioni per la non conformità includono:
- Fino a 2.500 dollari per violazione non intenzionale
- Fino a 7.500 dollari per violazione intenzionale
- Fino a 7.500 dollari per violazione relativa ai dati dei minori (ai sensi del CPRA, per queste violazioni non è previsto alcun periodo di grazia)
Queste sanzioni si applicano per violazione, per consumatore – il che significa che un inadempimento sistematico che interessa migliaia di consumatori californiani può comportare sanzioni considerevoli. Il CPRA ha inoltre eliminato il periodo di grazia di 30 giorni previsto dal CCPA originale, sebbene la CPPA possa ancora concederlo a propria discrezione.
Inoltre, il CCPA prevede un diritto d’azione privato in caso di violazioni dei dati. Se un’azienda omette di implementare misure di sicurezza ragionevoli e una violazione dei dati espone le informazioni personali dei consumatori, i consumatori interessati possono agire legalmente per un risarcimento legale da 100 a 750 dollari per consumatore per incidente, oppure per i danni effettivi – a seconda di quale importo risulti maggiore.
Il CCPA e il panorama più ampio della privacy negli USA
Il CCPA è stato la prima legge completa sulla privacy statale negli USA, ma non è più l’unica. Dal 2021, un numero crescente di stati ha approvato le proprie leggi sulla privacy dei consumatori, molte delle quali seguono un modello di opt-out simile.
Gli stati con leggi complete sulla privacy già in vigore includono Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Texas (TDPSA), Oregon (OCPA), Montana (MCDPA) e altri. Pur differendo nei dettagli, la maggior parte condivide elementi comuni con il CCPA: diritti dei consumatori di accesso, cancellazione e opposizione alla vendita dei dati o alla pubblicità mirata.
Per gli editori, questo mosaico di leggi statali rafforza l’importanza di disporre di una soluzione di gestione del consenso che supporti più giurisdizioni. Invece di costruire meccanismi di conformità separati per ogni stato, una CMP che copre l’intera gamma delle leggi statali USA sulla privacy offre un approccio pratico e scalabile.
Domande frequenti sul CCPA
Il CCPA si applica alle organizzazioni non profit?
No. Il CCPA si applica solo alle imprese a scopo di lucro che soddisfano le soglie di applicabilità. Le organizzazioni non profit e gli enti governativi sono generalmente esenti, sebbene le sussidiarie a scopo di lucro di organizzazioni non profit siano soggette alla legge.
La pubblicità programmatica costituisce “vendita” o “condivisione” di dati?
Ai sensi della definizione del CPRA, il trasferimento di informazioni personali per la pubblicità comportamentale cross-context qualifica come “condivisione” – anche in assenza di scambio di denaro. Ciò significa che il real-time bidding e la maggior parte delle forme di pubblicità programmatica comportano la “condivisione” ai sensi del CCPA/CPRA, attivando i requisiti di opt-out.
Cos’è il Global Privacy Control (GPC) e devo supportarlo?
Il Global Privacy Control è un segnale a livello di browser che comunica la preferenza di opt-out dell’utente. Ai sensi delle normative CCPA, le aziende devono trattare un segnale GPC come una richiesta di opt-out giuridicamente vincolante. Supportare il GPC non è facoltativo per le aziende soggette al CCPA.
Qual è la differenza tra CCPA e CPRA?
Il CPRA non è una legge separata – è una modifica al CCPA entrata in vigore il 1° gennaio 2023. Il CPRA ha ampliato il CCPA aggiungendo nuovi diritti dei consumatori (rettifica, limitazione dell’uso dei dati sensibili), creando l’agenzia di applicazione CPPA, introducendo requisiti di minimizzazione dei dati e ampliando la definizione delle attività di trattamento regolamentate includendo la “condivisione.” Quando ci si riferisce al “CCPA”, generalmente si intende la legge come modificata dal CPRA.
Posso essere conforme sia al CCPA sia al GDPR contemporaneamente?
Sì, ma è necessario applicare meccanismi diversi in base alla posizione del visitatore. I visitatori europei richiedono il consenso opt-in (GDPR), mentre i visitatori californiani necessitano di un meccanismo di opt-out (CCPA). Una consent management platform che supporti sia il framework di consenso del GDPR sia le leggi sulla privacy degli stati USA può gestire tutto questo automaticamente, mostrando l’interfaccia appropriata in base alla giurisdizione del visitatore.
Conclusione
Il California Consumer Privacy Act – rafforzato dal CPRA – ha stabilito il punto di riferimento per la privacy dei consumatori negli Stati Uniti. Per gli editori, i requisiti fondamentali sono chiari: fornire meccanismi di opt-out per la vendita e la condivisione dei dati personali, rispettare i segnali GPC, mantenere informative sulla privacy trasparenti e gestire tempestivamente le richieste dei consumatori.
Con un numero crescente di stati che seguono l’esempio della California, investire oggi in un sistema di conformità alla privacy solido ripagherà man mano che il panorama normativo continuerà ad espandersi. Una consent management platform che supporti sia il GDPR sia le leggi statali USA sulla privacy consente di gestire la conformità in più giurisdizioni da un’unica soluzione – risparmiando tempo e riducendo il rischio di violazioni.
Clickio Consent offre un supporto completo alle leggi USA sulla privacy attraverso il framework IAB GPP, inclusa la gestione dell’opt-out CCPA, l’elaborazione dei segnali GPC e la copertura di oltre 20 leggi statali sulla privacy – insieme alla piena conformità al GDPR e al TCF v2.3 per il pubblico europeo.