Queste due leggi della California stanno plasmando l'ambiente americano della privacy e della sicurezza dei dati: ecco cosa dovresti sapere su di loro
Il California Consumer Privacy Act (CCPA) e il California Privacy Rights Act (CPRA) sono due leggi della California che sono state le prime parti della protezione completa della privacy negli Stati Uniti. Dal loro passaggio, hanno ispirato una serie di leggi simili in tutto il paese e stanno rapidamente diventando lo standard per la privacy e la protezione dei dati negli Stati Uniti.
Ma a causa in parte delle abbreviazioni simili delle leggi e della loro formulazione simile, molte persone sono confuse su cosa siano queste due leggi e cosa significhino sia per le imprese che per i consumatori. Diamo un’occhiata alle due leggi in modo più dettagliato in modo da poter capire cosa sono, come possono avere un impatto su di te e cosa puoi aspettarti andando avanti.
Cos'è il CCPA?
Il California Consumer Privacy Act del 2018 è stata una legge firmata nel 2018 dall’allora governatore della California Jerry Brown. La legge è uno statuto statale che ha rafforzato i diritti alla privacy e la protezione dei consumatori per le persone che vivono in California, e significa che i residenti della California hanno il diritto di:
- Sapere quali dati personali vengono raccolti su di loro
- Sapere se i loro dati personali sono venduti o rivelati e a chi
- Dire no alla vendita dei propri dati personali
- Accesso a tali dati personali
- Richiedere che un’azienda cancelli tutti i dati personali che sono stati raccolti su di loro
- Non essere discriminato per aver fatto quanto sopra nel tentativo di proteggere la loro privacy
Questa legge si applica a qualsiasi azienda o organizzazione a scopo di lucro che raccoglie dati dei consumatori, opera in California e ha una delle seguenti caratteristiche:
- Ricavi lordi superiori a 25 milioni di dollari
- Acquista, riceve o vende le informazioni personali di almeno 50.000 consumatori o famiglie
- Guadagna più della metà delle sue entrate annuali dalla vendita di dati dei consumatori
Una serie di disposizioni volte alla responsabilità sono incluse nel set di norme. Ad esempio, chiunque raccolga informazioni personali deve avere un processo per ottenere il consenso dei genitori o del tutore per i minori di 13 anni e il consenso affermativo per chiunque abbia dai 13 ai 16 anni.
Sulla home page del sito web deve anche apparire un link che dice qualcosa come “Non vendere le mie informazioni personali”, che indirizza a una pagina web che consente alle persone di rinunciare alla vendita delle informazioni personali della persona.
Devono anche essere in atto metodi per consentire alle persone di inviare richieste di accesso ai dati, che devono includere almeno un numero di telefono gratuito. Infine, il responsabile del trattamento non deve chiedere il consenso opt-in a qualcuno che rinuncia da almeno 12 mesi.
Le multe per il mancato rispetto della regola sono notevoli. Le aziende che diventano vittime di furto di dati o altre violazioni della sicurezza possono essere condannate a pagare danni fino a $ 750 per residente in California e incidente, o danni effettivi se questi sono superiori. Sono incluse anche una multa fino a $ 7.500 per ogni violazione intenzionale e fino a $ 2.500 per ogni violazione non intenzionale.
Ci sono due eccezioni degne di nota alla regola: informazioni sanitarie personali e informazioni finanziarie.
Cos'è il CPRA?
Il California Privacy Rights Act del 2020, noto anche come Proposition 24 e CPRA, è stata una proposta elettorale approvata dagli elettori in California nel 2020 con un voto del 56% contro il 44%. CPRA ha ampliato le leggi sulla privacy dei consumatori disponibili per i residenti dello stato e costruito sulle fondamenta create dal CCPA. Il CPRA non sostituisce esattamente il CCPA: più precisamente, modifica la legge e aggiunge nuove disposizioni. Il CPRA è entrato in vigore il 16 dicembre 2020, ma la maggior parte delle disposizioni non è pienamente operativa fino al 1° gennaio 2023.
Tra le altre cose, CPRA istituisce una nuova agenzia, la California Privacy Protection Agency, che ha “pieno potere amministrativo, autorità e giurisdizione per attuare e far rispettare il CCPA. L’agenzia condividerà la supervisione della privacy dei consumatori e l’applicazione della legge con il Dipartimento di Giustizia della California. La legge richiede inoltre alle aziende di ottenere il permesso dai consumatori di età inferiore ai 16 anni prima di raccogliere i propri dati.
Altre disposizioni della legge consentono ai consumatori di impedire alle imprese di condividere i propri dati personali e creare un quadro per vietare la raccolta di dati personali inesatti. Limita inoltre la capacità delle aziende di utilizzare informazioni personali sensibili come posizione precisa, razza, etnia, religione, composizione genetica, comunicazioni private, orientamento sessuale e informazioni sanitarie specifiche.
Quali sono gli impatti (finora) delle nuove leggi sulla privacy?
Finora, le leggi sulla privacy hanno avuto un impatto sugli editori e sulle aziende tecnologiche che avevano bisogno di assumere team legali per rivedere le loro operazioni e il software di conformità, sebbene abbia avuto un impatto minimo o nullo sulle entrate pubblicitarie, sui prezzi degli annunci o sull’inventario, secondo un gruppo industriale. Ciò è in netto contrasto con gli impatti osservati sulla scia della legge che ha ispirato la legge della California – il regolamento globale sulla protezione dei dati, entrato in vigore alcuni anni prima in Europa e con ampie ramificazioni globali.
L’impatto reale, tuttavia, potrebbe non essere visto per diversi anni – che arriverà quando più stati invocheranno le proprie leggi sulla privacy, che metteranno più pressione sui legislatori federali per emanare una legge nazionale completa. Una legge nazionale può essere richiesta da coloro che operano nel settore e dai cani da guardia dei consumatori poiché semplificherà la conformità invece di avere una varietà di regole che si applicano a ciascuno stato.
Sei preparato per CPRA e CCPA?
CookieHub è la conformità dei cookie resa semplice: una piattaforma di gestione del consenso completa che ha tutto il necessario per rimanere conforme al CCPA e a una serie di altre regole sia negli Stati Uniti che in tutto il mondo.