Il regolamento generale sulla protezione dei dati dell’Unione europea (UE) (GDPR) e il California Consumer Privacy Act (CCPA), presentano molte analogie: sono stati introdotti nello stesso periodo, entrambi conferiscono ai consumatori maggiori diritti sui loro dati ed entrambi hanno un impatto su scala globale, ma vi sono anche importanti differenze.
Quindi, quali sono alcune delle principali differenze tra GDPR e CCPA? Come puoi essere sicuro che il tuo sito web sia conforme?
Confronto tra CCPA e GDPR
| Area | CCPA | GDPR |
|---|---|---|
| Scope | For-profit business trading in California with gross annual revenue over $25 million, or processing data of over 50,000 consumers, households or devices or deriving over 50% of annual revenue from selling consumer data Non-profits controlled by a for-profit parent company are also covered | Data controllers and processors either established in the EU or located outside the EU but processing the data of EU data subjects in connection with selling goods or services or monitoring consumer behavior in the EU |
| Beneficiaries of protection | California residents, including where they are travelling out of state | Data subjects, meaning where data relates to identified or identifiable individuals. |
| Type of information | Personal information - this identifies, relates to, describes or is capable of being associated with, or may reasonably be linked (directly or indirectly) to a particular consumer or household. Some categories of personal information are identified as falling within the definition | Personal data - information relating to an identified or identifiable subject. Some categories of personal data can only be processed if a lawful justification can be found |
| Privacy notice | Privacy notice must confirm what categories of personal data are collected and for what intended purpose. Third parties must give consumer the opportunity to opt out of their data being re-sold | Data controllers must provide detailed information about how data is collected and processed, including whether third parties are involved |
| Right to access | Consumers can request disclosure of their data, which must be provided free of charge in a portable format | Data subjects can access their data following a written request, which must be provided in a portable format |
| Right to delete | Consumers can request the deletion of their data, although there are some grounds for organizations to refuse | Data subjects can request erasure of personal data if it falls within one of six circumstances |
| Right to correct | Consumers can ask for incorrect data about them to be corrected | Data subjects can ask for incorrect data about them to be corrected |
| Right to refuse | Consumers can opt out of their data being processed for particular purposes such as direct marketing, profiling and research | Consent must be given before personal data is collected and this can be withdrawn subsequently |
| Right to opt out of third party sales | Users must be given the opportunity to opt out of consumers’ personal information being sold on to third parties | No specific right to opt out of third party sales but data subjects can opt out of processing data for marketing and withdraw consent for data processing |
| Freedom from discrimination | Individuals have the right to freedom from discrimination where they exercise CCPA rights, for example withholding services if an individual opts out of data collection | The right not to be discriminated against is not explicitly stated |
| Security controls | Data security requirements are not contained in the CCPA but if a business violates its duty to implement reasonable security practices, individuals may be able to seek damages | Data controllers and processors are required to select appropriate technical and organizational measures to manage security risk |
| Enforcement | Breaches can be punished by a fine applied by the California Attorney General of up to $2,500 per violation or $7,500 for intentional violations. There is no cap on the total fine amount. Businesses are given 30 days to rectify breaches before fines are assessed. Individuals can only bring a lawsuit privately where businesses can be shown to be in violation of their duty to implement reasonable security procedures and only for a specific category of personal information, which excludes redacted or encrypted data | Fines are capped at €20 million or 4% of annual global turnover. Individuals can also take court action seeking compensation from a data controller or processor |
I diritti delle persone fisiche per il CCPA e il GDPR
Mentre le due leggi si applicano a giurisdizioni diverse, condividono alcune somiglianze in termini di diritti che forniscono agli individui.
Diritto di essere informato
Sia il CCPA che il GDPR richiedono alle aziende di informare le persone sulla raccolta, l’uso e la condivisione delle loro informazioni personali. Ciò include la fornitura di un’informativa sulla privacy e la specifica delle finalità per le quali i dati saranno elaborati.
Diritto di accesso
Gli individui hanno il diritto di richiedere l’accesso alle proprie informazioni personali detenute da un’azienda ai sensi del CCPA e del GDPR. Ciò consente loro di vedere quali dati vengono elaborati e verificarne l’accuratezza.
Diritto di rettifica
Per conformarsi al GDPR, gli individui hanno il diritto di richiedere la correzione di informazioni personali inesatte o incomplete. Sebbene il CCPA non fornisca esplicitamente questo diritto, le aziende potrebbero comunque dover correggere i dati inesatti per conformarsi ad altri requisiti del CCPA.
Diritto di cancellazione/cancellazione
Sia il CCPA che il GDPR concedono alle persone il diritto di richiedere la cancellazione delle proprie informazioni personali in determinate circostanze, ad esempio quando i dati non sono più necessari per lo scopo per cui sono stati raccolti o se l’individuo ritira il consenso.
Diritto alla portabilità dei dati
Il GDPR fornisce agli individui il diritto di ottenere le proprie informazioni personali in un formato strutturato, comunemente usato e leggibile da una macchina, consentendo loro di trasmetterle a un altro controllore. Il CCPA non offre esplicitamente questo diritto, ma consente alle persone di richiedere le proprie informazioni personali in un formato facilmente utilizzabile.
Diritto di opposizione/limitazione del trattamento
Ai sensi del GDPR, le persone possono opporsi al trattamento delle loro informazioni personali per scopi specifici, come il marketing diretto, e possono richiedere restrizioni al trattamento in determinate situazioni. Il CCPA non fornisce un diritto equivalente, ma richiede alle aziende di onorare le richieste “Non vendere le mie informazioni personali” da parte dei consumatori.
Diritto di rinunciare alla vendita di informazioni personali
Il CCPA conferisce ai consumatori il diritto di rinunciare alla vendita delle proprie informazioni personali da parte di un’azienda. Il GDPR non ha una specifica disposizione equivalente, ma i singoli possono esercitare il loro diritto di opporsi al trattamento basato su interessi legittimi o per scopi di marketing diretto, che possono ottenere un risultato simile.
Diritto alla non discriminazione
Sia il CCPA che il GDPR vietano alle aziende di discriminare le persone che esercitano i loro diritti alla privacy. Ciò include l’addebito di prezzi diversi, la fornitura di diversi livelli di servizio o la negazione totale di beni e servizi.
È importante notare che questi diritti non sono assoluti e possono essere soggetti a eccezioni, a seconda delle circostanze specifiche e dei requisiti legali.
Capisci le differenze tra CCPA e GDPR?
CCPA e GDPR coprono molto dello stesso territorio, ma ci sono alcune importanti differenze tra i due regimi. Man mano che sempre più paesi preparano la propria legislazione sui dati, è fondamentale essere aggiornati sui dettagli di ciò che è necessario fare per soddisfare i requisiti CCPA, rispettare i requisiti di consenso GDPR e qualsiasi altra regola applicabile alle operazioni.
Perché non lasciare che CookieHub ti aiuti a gestire le tue politiche sui cookie, in modo da poter essere sicuro di soddisfare i requisiti in luoghi diversi?