Il 1° gennaio 2020 è entrata in vigore una nuova legge sulla privacy e c’è stato un gran fermento tra aziende e professionisti per implementarne la conformità. Vi suona familiare? Se vi sembra un déjà-vu non preoccupatevi, ricordiamo che qualcosa di simile era successo con il GDPR.

Mentre il GDPR era una legge generale per proteggere il diritto alla privacy dei cittadini dell’Unione Europea, questa nuova legge riguarda il diritto alla privacy dei residenti in California. Vi presentiamo il California Consumer Protection Act del 2018 (CCPA), una legge progettata per fornire ai californiani un maggiore controllo sulle loro informazioni personali.

In questa guida, parleremo di:

Ricordate che questa guida è solo a scopo informativo e non deve essere considerata una consulenza legale.

Cos’È il CCPA?

Il CCPA è una legge sulla privacy che è stata approvata il 28 giugno 2018. Una versione di questa legge è stata inizialmente introdotta come iniziativa per il voto in tutto lo Stato del novembre 2017 da parte di un promotore immobiliare. Il promotore ha offerto al legislatore californiano un accordo che prevedeva di ritirare il suo voto (un gesto piuttosto duro per le imprese) se fosse stata approvata una legge simile sulla privacy.

Il legislatore ha introdotto, modificato e approvato la sua versione del CCPA in soli sette giorni. Da allora la legge è stata modificata ancora un paio di volte e il Procuratore generale della California ha anche pubblicato dei regolamenti che mirano a chiarire i requisiti di questa nuova legge. Il testo completo del CCPA, con le modifiche approvate e le proposte di regolamento sono disponibili qui.

Secondo i legislatori, il CCPA è stata approvato perché:

  1. Lo sviluppo della tecnologia ha limitato la capacità delle persone residenti in California di proteggere e salvaguardare adeguatamente la loro privacy.
  2. La legge della California non ha tenuto il passo con il fatto che i consumatori condividono sempre più informazioni personali con le aziende.
  3. La divulgazione non autorizzata di informazioni personali e la perdita della privacy possono avere effetti devastanti sulle persone.
  4. Lo scandalo di Cambridge Analytica ha fatto crescere il desiderio di controlli sulla privacy e di trasparenza nelle pratiche relative ai dati.

Infine, è chiaro che le persone tengono alla privacy e vogliono un maggiore controllo sulle loro informazioni, e il CCPA è stato approvato per soddisfare questo desiderio. Analogamente al GDPR, il CCPA soddisfa questo desiderio garantendo alcuni diritti ai consumatori o, in questo caso, ai residenti in California. Questi diritti sono i seguenti:

  1. Il diritto di sapere quali informazioni personali vengono raccolte su di loro.
  2. Il diritto di sapere se i propri dati personali sono venduti o comunicati e a chi.
  3. Il diritto di rifiutare la vendita dei propri dati personali.
  4. Il diritto di chiedere la cancellazione dei propri dati personali.
  5. Il diritto di accedere ai propri dati personali.
  6. Il diritto alla parità di servizio e di prezzo, anche se esercitano il loro diritto alla privacy.

A Chi Si Applica il CCPA?

La parte più difficile e, a volte, la più confusa delle leggi sulla privacy è capire se si applicano alla vostra attività. Le leggi sulla privacy sono create per proteggere le informazioni personali di residenti o cittadini di un particolare stato o Paese, non delle aziende.

Ciò significa che le aziende al di fuori della California possono essere ancora soggette a questa legge. Il CCPA si applica alle “imprese” che sono definite come un’entità legale a scopo di lucro che svolge attività commerciali in California e che soddisfa uno dei seguenti requisiti:

  1. Ha un reddito lordo annuo di oltre 25.000.000 dollari.
  2. Ogni anno acquista o riceve, per scopi commerciali o commerciali, vende o condivide le informazioni personali di 50.000 o più consumatori, famiglie o dispositivi californiani, oppure
  3. Deriva il 50% o più dei suoi ricavi annuali dalla vendita delle informazioni personali dei consumatori californiani.

Se pensate che il CCPA si applichi tecnicamente solo alle grandi aziende, avete parzialmente ragione. A causa della definizione molto ampia di vendita di informazioni personali, una parte importante della conformità CCPA è la gestione dei fornitori.

Ciò significa che se fate affari con, o agite come fornitori di grandi aziende, queste possono richiedervi di rispettare il CCPA tramite contratto. Quindi, se siete una piccola azienda che non soddisfa le soglie sopra indicate, potreste comunque dover prestare attenzione e rispettare questi requisiti.

Inoltre, se progettate siti web per aziende di grandi dimensioni che devono rispettare il CCPA, sarà necessario prestare attenzione, perché questa legge influenzerà il modo in cui si progettano tali siti web.

Quali sono le conseguenze del mancato rispetto del CCPA?

Il CCPA sarà generalmente applicato dal Procuratore Generale della California. Le multe per non conformità sono di 2.500 dollari per ogni violazione o di 7.500 dollari per ogni violazione intenzionale. Con il termine “per violazione” si intende generalmente per persona di cui avete violato i diritti alla privacy.

Quindi, se 100 persone visitano il vostro sito web dalla California e non avete un’informativa sulla privacy conforme al CCPA, le multe possono arrivare fino a 250.000 dollari. È facile capire come questo possa diventare un bel problema.

Se siete costretti a rispettare il CCPA solo tramite contratto, una conseguenza del mancato rispetto potrebbe essere la perdita di quel cliente o del rapporto d’affari. Se dovete costruire un sito web conforme al CCPA, la conseguenza della non conformità può significare che il vostro cliente viene multato e voi venite citati in giudizio in cambio di recensioni negative che danneggiano la vostra attività di web design.

Come Preparare il Vostro Sito WordPress per il CCPA

Se avete un sito web su WordPress che deve essere conforme al CCPA, vi guideremo attraverso alcuni dei passi che potrete compiere per assicurarvi di essere conformi al CCPA. I passi che potete intraprendere per prepararvi al CCPA possono includere:

Se tutto questo vi sembra un sacco di lavoro, effettivamente lo è. Non preoccupatevi, però, vi forniremo anche alcuni dei nostri strumenti e risorse preferite che potrete usare per aiutarvi a prepararvi.

Assumere un Avvocato Specializzato sul Tema Privacy

Come vedrete presto, ci sono molte cose da fare per conformarsi al CCPA. La legge e i regolamenti possono essere a dir poco difficili da interpretare.

Se non avete ancora ben capito quale strada seguire, dovreste assumere un avvocato specializzato in materia di privacy, in quanto sarà in grado di indirizzarvi nella giusta direzione e di fornirvi preziosi consigli specifici per la vostra situazione.

Se non sapete quale avvocato scegliere, consultate l’elenco degli studi legali dell’Associazione Internazionale dei Professionisti della Privacy che lavorano in questo campo.

Capire Quali Informazioni Personali Raccogliete

Il CCPA richiede di comunicare ai consumatori le categorie di dati personali raccolti. Dovreste analizzare il vostro sito web e creare un elenco.

Date un’occhiata a tutte le vostre pagine e a tutti i moduli che usate, inclusi i moduli di contatto, i moduli di iscrizione alla newsletter, i moduli per la creazione di un account, i moduli per la presentazione di commenti, i moduli per il check-out e tutti gli altri moduli che potete utilizzare e i relativi plugin associati.

Per esempio, come mostrato di seguito, il modulo predefinito in WordPress che viene usato per fornire commenti sugli articoli del blog raccoglie nome ed email:

Modulo di commento su Kinsta
Modulo di commento su Kinsta

Compilate inoltre l’elenco di tutte le informazioni personali che raccogliete da qualsiasi altra fonte. Pensate ai software di statistiche, a Hotjar, alle informazioni su una pagina di checkout di ecommerce o su una pagina di registrazione WordPress e simili.

Quindi, inserite le informazioni personali che raccogliete da questi moduli in categorie che permettono al consumatore di capire facilmente quali informazioni personali raccogliete. Esempi di categorie di dati personali che possono essere inclusi:

  1. Informazioni per l’identificazione;
  2. Informazioni finanziarie;
  3. Informazioni commerciali;
  4. Informazioni biometriche;
  5. Informazioni sulle attività su Internet;
  6. Informazioni sulla geolocalizzazione.

Capire da Quali Fonti Si Raccolgono Queste Informazioni Personali

Il CCPA richiede di rivelare da quali fonti si raccolgono le informazioni personali. Esempi di fonti possono essere:

  1. Direttamente dal consumatore.
  2. Sondaggi.
  3. Pixel di tracciamento.
  4. Osservazione e registrazione di attività come l’utilizzo di cookies.
  5. Rivenditori di dati.

Capire Se State Divulgando Informazioni Personali a Terzi

Il CCPA richiede all’utente di rivelare se sta divulgando informazioni personali a terzi. Alla domanda se condividono i dati, la risposta iniziale della maggior parte delle persone è un “no” leggermente offeso.

Prendetevi un po’ di tempo e pensate bene a quali integrazioni avete aggiunto al vostro sito web.

L’iscrizione alla newsletter porta direttamente a uno strumento di email marketing come MailChimp?

I moduli presentati vengono registrati in uno strumento di CRM come HubSpot?

La persona che sviluppa e mantiene il vostro sito web riceve un avviso ogni volta che qualcuno vi invia un modulo?

In questi casi state condividendo i dati con terzi e dovete comunicarlo.

Creare una Pagina “Non Vendere le Mie Informazioni Personali”

Se vendete le informazioni personali di consumatori residenti in California, vi è richiesto di avere una pagina web intitolata “Non vendere le mie informazioni personali” o “Non vendere le mie informazioni”. Questa pagina web deve contenere le seguenti informazioni:

  1. Una descrizione del diritto del consumatore di rinunciare alla vendita dei suoi dati personali.
  2. Un modulo web con il quale il consumatore può presentare la sua richiesta di opt-out.
  3. Istruzioni per qualsiasi altro metodo con cui il consumatore può presentare la richiesta di opt-out.
  4. Un link alla vostra Privacy Policy.
  5. Qualsiasi prova richiesta quando un consumatore vuole designare un agente autorizzato a presentare una richiesta di opt-out per suo conto.

Qui sotto potete vedere un esempio di footer della homepage di un sito web che include un collegamento ipertestuale alla pagina “Non vendere le mie informazioni personali”.

Esempio di pagina "Non vendere le mie informazioni personali
Esempio di pagina “Non vendere le mie informazioni personali

Creare una Notifica sulla Privacy

Il CCPA richiede di fornire ai consumatori californiani una notifica sulla privacy al momento della raccolta delle informazioni personali.

Considerate che il CCPA non richiede il consenso del consumatore per la raccolta di informazioni personali, il che rappresenta un notevole scostamento rispetto ai requisiti che abbiamo visto per il GDPR.

Una notifica sulla privacy è come una mini-Privacy Policy (o Informativa sulla Privacy): fornisce una spiegazione rapida e sintetica di quali informazioni personali vengono raccolte, per cosa saranno utilizzate e altre informazioni.

La notifica deve essere concepita e presentata al consumatore in modo che sia di facile lettura e che sia comprensibile per le persone comuni. In particolare, deve:

  1. Utilizzare un linguaggio semplice e diretto ed evitare il gergo tecnico o legale.
  2. Utilizzare un formato che attiri l’attenzione dei consumatori sull’avviso e lo renda leggibile anche su schermi più piccoli.
  3. Essere disponibile nelle lingue in cui si forniscono ai consumatori contratti, liberatorie, annunci di vendita o altre informazioni.
  4. Essere accessibile ai consumatori con disabilità.

La notifica sulla privacy deve includere le seguenti informazioni:

  1. Un elenco di categorie di informazioni personali raccolte dai consumatori. Ogni categoria elencata deve fornire al consumatore una comprensione significativa delle informazioni personali raccolte.
  2. Per ogni categoria di informazioni, lo scopo o gli scopi commerciali per i quali saranno utilizzate.
  3. Se vendete informazioni personali, un link intitolato “Non vendere le mie informazioni personali” o “Non vendere le mie informazioni”. Questo link dovrebbe portare a una pagina web dove i consumatori possono esercitare il loro diritto di dire no alla vendita di informazioni personali.

Se non volete creare una notifica sulla privacy, è sufficiente fornire ai consumatori un link alla vostra Informativa sulla Privacy al momento della raccolta dei dati personali. Di seguito riportiamo un esempio di notifica sulla privacy specifica per la California.

Notifica sulla privacy specifica della California
Notifica sulla privacy specifica della California

Creare un’Informativa sulla Privacy

Il CCPA richiede anche una Informativa sulla privacy. Lo scopo dell’Informativa sulla privacy è quello di fornire al consumatore una descrizione approfondita delle sue pratiche relative alla raccolta, all’uso, alla divulgazione e alla vendita di informazioni personali e dei diritti alla privacy che i consumatori ricevono ai sensi del CCPA.

L’Informativa sulla privacy deve soddisfare gli stessi requisiti di leggibilità, formato, disponibilità e accessibilità dell’Informativa sulla privacy.

Tuttavia, l’informativa sulla privacy deve essere disponibile anche in un formato aggiuntivo che consenta al consumatore di stamparla facilmente. L’Informativa sulla privacy deve essere pubblicata sul vostro sito web attraverso un link visibile utilizzando la parola “privacy” sulla homepage.

La vostra Informativa sulla privacy deve contenere le seguenti informazioni:

  1. Una descrizione dei diritti dei consumatori californiani ai sensi del CCPA.
  2. Uno o più metodi con cui i consumatori possono presentare richieste di esercizio dei loro diritti. Se vendete informazioni personali, un link alla vostra pagina “Non vendere le mie informazioni personali” o “Non vendere le mie informazioni” dove il consumatore può esercitare il suo diritto di dire no alla vendita delle sue informazioni personali.
  3. Un elenco di categorie di dati personali che avete raccolto negli ultimi 12 mesi.
  4. Un elenco delle categorie di fonti da cui si raccolgono i dati personali.
  5. Lo scopo o gli scopi commerciali o commerciali per i quali si utilizzano i dati personali.
  6. Un elenco delle categorie di dati personali che avete venduto negli ultimi 12 mesi e un elenco delle categorie di terzi a cui avete venduto tali dati personali. Se non avete venduto alcuna informazione personale, allora dovete rivelare questo fatto.
  7. Un elenco delle categorie di dati personali che avete comunicato negli ultimi 12 mesi e un elenco delle categorie di terzi a cui avete comunicato tali dati personali. Se non avete divulgato alcuna informazione personale, allora dovete divulgare questo fatto.
  8. Come un consumatore può designare un agente autorizzato a fare richieste per esercitare i propri diritti di privacy per suo conto.
  9. Un contatto che un consumatore può raggiungere per qualsiasi domanda o preoccupazione.
  10. La data dell’ultimo aggiornamento dell’Informativa sulla privacy.
  11. Se vendete le informazioni personali di più di 4.000.000 consumatori californiani all’anno, dovrete includere anche informazioni aggiuntive.

Strumenti e Risorse Che Possono Aiutarvi a Rispettare il CCPA

Tutti questi requisiti di conformità e di divulgazione possono sembrare scoraggianti. Per fortuna ci sono diversi strumenti utili che potete usare per preparare il vostro sito web e il vostro business:

Termageddon

termageddon
Termageddon

Termageddon: un Software as a Service che genera Privacy Policy personalizzate per il vostro business. Aggiornano le Privacy Policy per i clienti ogni volta che le leggi cambiano, e questo vi assicura che le vostre Informative siano sempre aggiornate.

CCPA Toll Free

CCPA Toll Free
CCPA Toll Free

CCPA Toll Free: il CCPA richiede ad alcune aziende di fornire un numero verde come uno dei metodi che i consumatori possono usare per esercitare il loro diritto alla privacy. Il CCPA Toll Free vi aiuta a soddisfare questo requisito.

Orrick’s CCPA Readiness Assessment

CCPA Readiness Assessment
CCPA Readiness Assessment

Orrick’s CCPA Readiness Assessment: questo strumento vi aiuta a capire quanto siete preparati per il CCPA ponendovi semplici domande “sì” o “no”. Potete anche usare questo strumento come una sorta di lista di controllo al momento della preparazione delle policy.

CCPA Opt-Out di CookiePro

Plugin WordPress CCPA Opt-Out
Plugin WordPress CCPA Opt-Out

CCPA Opt-Out: questo plugin permette di personalizzare e aggiungere un pulsante “Non vendere i miei dati” al vostro sito web.

IAPP

IAPP
IAPP

IAPP: l’Associazione Internazionale dei Professionisti della Privacy è il più grande gruppo sulla privacy al mondo. Date un’occhiata al loro sito web per un elenco costantemente aggiornato di notizie sulla privacy, risorse e fornitori.

Kinsta e CCPA

Kinsta si impegna a garantire la privacy e la sicurezza dei dati, e siamo orgogliosi di affermare che non vendiamo a terzi le informazioni personali dei consumatori californiani. Consultate la nostra Politica sulla privacy e la Sezione 15 dei nostri Termini di servizio per ulteriori informazioni.

Riepilogo

Anche se il CCPA non ha un campo di applicazione così ampio come il GDPR, non va comunque presa alla leggera.

Il CCPA è davvero una novità nel suo genere negli Stati Uniti e altri Stati stanno ora seguendo l’esempio della California. Infatti, a partire dalla fine del 2019, nove Stati hanno proposto le proprie leggi sulla privacy.

Queste proposte di legge citano il CCPA come fonte di ispirazione o sono copie virtualmente complete del CCPA. È chiaro che il CCPA ha spianato la strada a un maggior numero di norme sulla privacy e che i requisiti per la conformità alla privacy online non scompariranno presto.

Ora tocca a voi: cosa ne pensate del CCPA? State preparando il vostro sito per la conformità? Fatecelo sapere nei commenti!

Donata Kalnenaite

Donata Kalnenaite is a privacy and technology attorney that helps others understand and comply with privacy laws. She is the President of Termageddon, a Privacy Policy generator that automatically updates its clients' policies whenever the laws change. Follow them on Twitter to keep up to date with all things privacy: @termageddon.