• Homepage
  • Articoli
  • Tema
  • La guida definitiva alla conformità al California Consumer Privacy Act (CCPA)

La guida definitiva alla conformità al California Consumer Privacy Act (CCPA)

Pubblicato: 2019-12-23

Il California Consumer Privacy Act del 2018 (CCPA) è una legge approvata dalla California per proteggere i dati e la privacy dei suoi residenti. Il CCPA non sostituisce le attuali leggi sulla privacy della California, ma funzionerà al loro fianco.

Secondo il CCPA, le aziende devono essere più chiare su ciò che raccolgono e su come viene utilizzato. Devono anche ottenere il consenso dei minori prima di vendere le loro informazioni. Inoltre, gli utenti possono ora impedire alle aziende di vendere i propri dati.

Tuttavia, CCPA non significa che non puoi più vendere le informazioni dell'utente che raccogli. Tuttavia, quando si tratta di residenti in California, dovrai fare qualche salto in più.

Il CCPA entrerà in vigore il 1° gennaio 2020, ma le aziende hanno tempo fino al 1° luglio 2020 per conformarsi pienamente. Non è una scusa per rimandare. Tuttavia, poiché le azioni di contrasto non inizieranno prima di alcuni mesi, le aziende hanno il tempo di adattare le loro politiche, i processi e il sito web.

Cosa considera il CCPA come "dati personali"?

I dati personali sono tutto ciò che descrive o identifica una persona o che è in qualche modo collegato a un individuo oa un nucleo familiare. Quello include:

  • Indirizzi email
  • Informazioni sull'occupazione
  • geolocalizzazione
  • Indirizzi IP
  • nomi

Tecnicamente, le informazioni pubblicamente disponibili non sono considerate dati personali dal CCPA. Questa è una zona così grigia, però, ed è meglio peccare dalla parte della conformità totale piuttosto che rischiare. Inoltre, anche se i dati personali di un utente sono disponibili pubblicamente, ciò non si applica a tutti gli altri utenti. Devi ancora essere conforme su tutta la linea.

Il CCPA influisce sulla tua attività?

Il CCPA ha un impatto sulla tua attività se raccogli ed elabori dati da residenti in California. La tua azienda, o una società madre o sussidiaria, deve anche soddisfare uno o più dei seguenti requisiti:

  • Il tuo fatturato annuo lordo è di $ 25 milioni o più
  • Ogni anno acquisti, ricevi o vendi dati personali da 50.000 o più dispositivi, famiglie o residenti in California
  • Un minimo del 50% delle tue entrate annuali proviene dalla vendita dei dati personali dei residenti in California

Non è necessario avere un'attività con sede in California per soddisfare queste soglie. I residenti in California possono visitare il tuo sito Web indipendentemente da dove opera la tua attività. Le aziende in altri stati degli Stati Uniti, così come le aziende in tutto il mondo, devono prendere in considerazione il CCPA.

Anche la dimensione della tua attività non ha importanza, a parte il riferimento alle soglie. Anche le imprese individuali e le piccole imprese devono allinearsi al CCPA. Tuttavia, le aziende che elaborano dati per 4 milioni o più di consumatori devono soddisfare requisiti aggiuntivi. Ad esempio, hanno linee guida più rigorose per quanto riguarda la tenuta dei registri.

Se raggiungi una soglia ma non raccogli dati (non disponi di alcun tipo di strumento di monitoraggio sul tuo sito web), sei tecnicamente conforme al CCPA. D'altra parte, se stai raccogliendo informazioni dai clienti della California ma non stai ancora rispettando le soglie, è comunque utile prepararsi per il CCPA. Se la tua attività cresce rapidamente, potresti accidentalmente superare $ 25 milioni di entrate o 50.000 residenti in California prima di essere conforme al CCPA.

Come viene definito un residente in California?

Secondo la legge della California, un residente è una persona che:

  • È in California per qualcosa di diverso da un motivo temporaneo o transitorio
  • Vive in California, anche se non si trova attualmente nello stato per un motivo temporaneo o transitorio

Una persona può vivere in California e non essere residente o vivere al di fuori della California ed essere ancora residente. Per proteggerti, rispetta il CCPA se hai motivo di pensare che gran parte della tua attività provenga da residenti in California.

Come rendere la tua attività conforme al CCPA

Per soddisfare i requisiti del CCPA, la tua azienda deve intraprendere diversi passaggi, molti dei quali richiederanno la modifica di politiche e processi. Ecco come rendere la tua azienda conforme al CCPA:

Aggiorna la tua politica sulla privacy per chiarire come raccogli, usi e modifichi i dati

È probabile che tu abbia già una politica sulla privacy, ma sarà necessario un po' di lavoro per renderla conforme al CCPA. Fondamentalmente, la tua politica sulla privacy dice agli utenti quali dati raccogli e cosa ne fai. Per il CCPA, dovrai essere più trasparente di prima riguardo alle tue pratiche sui dati. Ecco le integrazioni che devi apportare alla tua informativa sulla privacy:

  • Cosa, perché e come raccogli e tratti le informazioni personali
  • Come gli utenti possono accedere, modificare o rimuovere i propri dati personali che hai raccolto
  • Il tuo metodo per verificare l'identità di un utente che sta effettuando una di queste richieste
  • Come vengono venduti i dati personali e come un utente può rinunciare alla vendita dei propri dati personali

Tieni presente che questi sono i requisiti minimi CCPA. Se ritieni che ci sia dell'altro nel tuo processo di raccolta dati che gli utenti vogliono sapere, aggiungilo.

Ottieni il consenso dei minori

Dovrai ottenere il consenso dei minori di età compresa tra 13 e 16 anni o dei genitori di bambini di età inferiore ai 13 anni. Puoi chiedere il consenso subito quando arrivano al tuo sito web o prima di vendere i loro dati. In ogni caso, non puoi vendere i loro dati prima di aver ottenuto il loro consenso. Memorizza tutte le risposte che ricevi, anche se l'utente ha rifiutato il consenso. A parte i minori, non è necessario il consenso dell'utente prima di raccogliere e utilizzare i dati.

Consenti agli utenti di modificare le proprie informazioni

Parte del CCPA offre agli utenti della California la possibilità di accedere, modificare, spostare o eliminare i propri dati personali. Devi creare un metodo per consentire agli utenti di inviare questo tipo di richieste e uno di questi metodi deve essere un numero verde. Puoi quindi aggiungere un modulo di contatto al tuo sito web o fornire un'e-mail o un indirizzo postale.

Verifica l'identità dell'utente quando effettua una richiesta

Una volta che gli utenti si mettono in contatto per modificare le proprie informazioni, è necessario un modo per verificare che siano chi dicono di essere. Non puoi chiedere una prova di identità tramite un documento rilasciato dal governo, come una patente di guida. Invece, puoi utilizzare lo stesso tipo di autenticazione che hai utilizzato quando la persona ha inviato i propri dati. Puoi anche provare a verificare la loro identità chiedendo loro di confermare le informazioni che hanno fornito in passato.

Se l'azienda non è in grado di verificare l'identità dell'utente, dovrebbe conformarsi nel miglior modo possibile. Ad esempio, supponiamo che un utente desideri eliminare le proprie informazioni, ma l'azienda non può verificare l'identità dell'utente. Invece di eliminare le loro informazioni, le conservano ma consentono all'utente di rinunciare alla vendita delle proprie informazioni. Se non c'è modo di conformarsi, l'azienda può rifiutare la richiesta.

Aggiungi un link "Non vendere le mie informazioni personali" alla tua home page

Dovrai inserire un link "Non vendere le mie informazioni personali" in un punto visibile della home page del tuo sito web. Questo se gli utenti cliccano se vogliono impedirti di vendere i loro dati personali. Il processo per rinunciare alla vendita dei dati degli utenti deve essere il più semplice e facile possibile. L'azienda deve rispondere anche alle richieste di rinuncia. Secondo la scheda informativa ufficiale del CCPA, "... le aziende devono trattare le impostazioni sulla privacy abilitate dall'utente che segnalano la scelta di un consumatore di rinunciare come una richiesta di rinuncia validamente inviata".

Inoltre, non puoi richiedere alle persone di creare un account in modo che possano rinunciare. Mentre alcune aziende potrebbero voler richiedere un account come mezzo per identificare l'utente, CCPA impedisce che questo sia un prerequisito per la disattivazione. Se l'utente ha già un account ed è così che puoi verificare la sua identità, va bene.

Tieni un registro degli scambi con i clienti

Le aziende devono tenere un registro di tutte le richieste degli utenti e devono anche registrare e salvare le loro risposte agli utenti. Conserva i tuoi record per un minimo di 24 mesi; per essere più sicuri, trattenerli a tempo indeterminato.

Non discriminare in base alle richieste di privacy

Il CCPA afferma che le aziende non possono discriminare gli utenti se esercitano i loro diritti alla privacy. Ciò significa che se un utente afferma che non è possibile vendere i propri dati, non è possibile negargli i servizi o modificare i prezzi per ritorsione.

È possibile che un'azienda offra un incentivo alle persone che consentono la vendita dei propri dati. In questo caso, devi fornire i dettagli dell'incentivo, incluso il modo in cui calcola il valore dei dati personali.

Sanzioni per mancato rispetto del CCPA

Se non sei in regola con il CCPA entro il 1 luglio 2020, il Procuratore Generale ti avviserà. Avrai 30 giorni per rispondere e per essere aggiornato sulla conformità. Se non ti adegui entro quei 30 giorni, potresti avere una causa civile contro di te. Da lì, potresti essere multato di $ 7.500 per violazione , il che significa per utente della California. Ad esempio, se raccogli dati da 2.000 residenti in California, potresti essere multato di $ 7.500 x 2.000, per un totale di $ 15.000.000. Questo è un conto che vorrai sicuramente evitare!

Le differenze tra CCPA e GDPR

Sebbene le linee guida CCPA sembrino simili a quelle del GDPR, le due presentano differenze fondamentali. Anche se la tua azienda è attualmente conforme al GDPR, ciò non significa che sarà automaticamente conforme al CCPA. Potresti soddisfare alcune linee guida CCPA, ma non tutte. Alcune delle linee guida CCPA che possono superare il GDPR sono:

  • Aggiunta di un collegamento "Non vendere le mie informazioni personali" sulla home page
  • Creazione di un metodo per consentire agli utenti di richiedere modifiche o la rimozione delle proprie informazioni
  • Identificare l'identità della persona quando effettua quel tipo di richiesta
  • Ottenere il consenso dei minori prima di vendere le loro informazioni

Sebbene tu possa avere già impostato parte del processo per GDPR, ti consigliamo di ricontrollare che anche i tuoi metodi siano conformi al CCPA. Ci sono piccole, ma importanti, differenze tra i due. Ad esempio, in base al CCPA, devi mostrare le categorie di informazioni personali che hai venduto in un periodo di 12 mesi; questo non è un requisito del GDPR. D'altra parte, CCPA non ha il requisito del consenso ai cookie che ha il GDPR.

Pensieri finali

Il primo passo è valutare se la tua azienda deve essere conforme al CCPA a partire dal 1° gennaio 2020. Oppure, considera se la tua azienda crescerà fino al punto in cui dovrà essere conforme in futuro. Se è così, è meglio mettere tutto a posto ora in modo da non doverti affannare in seguito e rischiare di essere multato. Il modo esatto in cui imposti il ​​tuo sito web per conformarsi al CCPA dipende dai tuoi processi attuali e dalla tua forza lavoro. Puoi automatizzare il più possibile o, se non ti aspetti troppe modifiche o richieste di rimozione, puoi avere alcuni dipendenti che rispondono direttamente agli utenti.

Se non disponi ancora di un'informativa sulla privacy, questa è un'ottima opportunità per scriverne una, indipendentemente dal fatto che tu sia interessato o meno al CCPA. Dai un'occhiata al nostro articolo su Come creare un'informativa sulla privacy per il tuo sito web.

Immagine in primo piano tramite Sammby / shutterstock.com