Privacy: le novità del California Consumer Privacy Act | CCPA


Il 1° gennaio 2020 è entrato in vigore il CCPA (California Consumer Privacy Act). La nuova legge privacy Californiana si applica alle aziende che svolgono attività commerciali nei confronti di dati di consumatori in California e che soddisfano annualmente una o più delle seguenti condizioni:

  1. entrate lorde superiori a 25 milioni di dollari
  2. ricavo del 50% o più delle entrate annuali dalla vendita di dati personali degli utenti
  3. acquisto, vendita o condivisione di informazioni personali di oltre 50.000 utenti.

Molti dei diritti previsti dal CCPA concessi ai cittadini della California sono simili ai diritti riconosciuti dal GDPR europeo, incluso l’obbligo di informativa e la possibilità di richieste dei consumatori per accesso, cancellazione e portabilità dato.

I punti principali dei Titolari del trattamento (Businesses) nel CCPA possono essere cosi riassunti:

  • Identificare quali dati personali si possiedono e dove sono conservati
  • Determinare come vengono condivise le informazioni personali con terze parti (responsabili del trattamento) e identificare se le terze parti sono soggette ad eccezioni
  • Gestire il modo in cui i dati personali vengono usati e come accedervi
  • Stabilire controlli di sicurezza per prevenire, rilevare e risolvere vulnerabilità e violazioni dei dati
  • Redigere un documento per la gestione dei data breach e assicurarsi che vi siano contratti con le terze parti (responsabili del trattamento).

Un punto saliente del CCPA è la previsione del requisito che consente di rifiutare esplicitamente la distribuzione di dati a terze parti (con l’ampia definizione di “vendita” che include la condivisione dei dati a titolo oneroso).

Gli obblighi previsti dal CCPA non si applicano alle informazioni personali dei dipendenti di un’azienda (il legislatore californiano ha però fissato il termine di 1 anno per legiferare in materia) e ai dati medici (sottoposti alla legge federale HIPPA – Health Information Privacy).

Non è invece prevista la figura obbligatoria del DPO (Data Protection Officer).

Se ti è piaciuto l'articolo condividi: