Cos'è il CCPA?

. California Consumer Privacy Act (CCPA) uno statuto statale che rafforza i diritti alla privacy dei consumatori e regola la raccolta, l'uso e la vendita di informazioni personali da parte delle aziende che operano in California. Il CCPA è la risposta della California al GDPR dell'Unione Europea. Garantisce ai consumatori il diritto di accesso, eliminazione, correzione, ecc., per garantire trasparenza e responsabilità nelle pratiche sui dati.

Panoramica del CCPA

  • Legge: California Consumer Privacy Act
  • Regione: California
  • Firmato: 28-06-2018
  • Data effettiva: 01-01-2020
  • Settore: Tutti i settori che operano in California

Dati personali ai sensi del CCPA

Il CCPA definisce le informazioni personali come tutte le informazioni che identificano un interessato e quelle che potrebbero essere ragionevolmente collegate a un particolare interessato.

Identificatori diretti: Nome, indirizzo, e-mail, numero di telefono, numero di previdenza sociale, numero di patente di guida, numero di passaporto, identificatore online, ecc.
Identificatori indiretti: Indirizzo IP, cronologia di navigazione, registri degli acquisti, dati di geolocalizzazione, dati sanitari, dati biometrici, registrazioni audio, informazioni educative, informazioni sull'occupazione, inferenze tratte dai dati raccolti (ad esempio, abitudini di spesa, opinioni politiche) e altri dettagli che, se combinati, potrebbero identificare una persona.

Componenti chiave del CCPA

Il California Consumer Privacy Act (CCPA) si basa su diversi componenti essenziali, che insieme stabiliscono il suo quadro completo di protezione dei dati. Questi componenti comprendono

  • Diritti sull'oggetto dei dati
  • Principi di protezione dei dati
  • Requisiti di conformità
  • Gestione delle richieste di dati
  • Rinforzo
  • Aggiornamenti sulla privacy

Principio di protezione dei dati

I principi di protezione dei dati del California Consumer Privacy Act (CCPA) ruotano attorno ai seguenti principi fondamentali:

  • Limitazione dello scopo: Le PII raccolte devono essere utilizzate solo per gli scopi specifici comunicati al consumatore durante la raccolta. Le aziende non possono utilizzarle per scopi non correlati senza ulteriore consenso.
  • Minimizzazione dei dati: Le aziende possono raccogliere solo PII ragionevolmente necessarie per i loro scopi dichiarati. La raccolta di dati eccessivi o irrilevanti solleva preoccupazioni sulla privacy e aumenta i rischi di conformità.
  • Sicurezza dei dati: Le aziende devono implementare misure di sicurezza ragionevoli per proteggere le PII da accessi non autorizzati, divulgazione, alterazione o distruzione. Tali misure includono crittografia, controlli di accesso, valutazioni di sicurezza regolari e altro ancora.
  • Trasparenza: Le aziende devono essere trasparenti sulle PII che raccolgono, sui loro scopi e su eventuali terze parti con cui i dati vengono condivisi. Hanno anche bisogno di meccanismi che consentano ai consumatori di esercitare i propri diritti e affrontare le preoccupazioni.
  • Responsabilità: Le aziende sono tenute a conformarsi ai requisiti del CCPA, tra cui rispondere alle richieste dei consumatori e garantire che i fornitori di servizi terzi rispettino la legge.

Diritti ai sensi del CCPA

Il CCPA conferisce ai californiani vari diritti in merito alle loro informazioni personali identificabili:

  • Diritto di informazione
  • Diritto di accesso
  • Diritto alla cancellazione
  • Diritto di rettifica
  • Diritto di limitazione dell'uso
  • Diritto di rinuncia alla vendita
  • Diritto alla non discriminazione

Chi deve conformarsi

Il CCPA si applica alle aziende che:

  • Fare affari in California.
  • Raccogliere i dati personali identificativi dei residenti in California.
  • Avere un fatturato lordo annuo superiore a 25 milioni di dollari.
  • Acquista o vendi annualmente i dati personali identificativi di almeno 50,000 residenti in California.
  • Ricavare almeno il 50% del fatturato lordo dalla vendita di dati personali identificativi dei residenti in California.

Eccezioni

Il CCPA, pur mirando a una protezione completa della privacy dei dati, include diverse eccezioni:

  • Comunicazioni business-to-business: La presente politica non si applica ai dati personali raccolti per comunicazioni business-to-business, vale a dire interazioni tra aziende e non tra aziende e privati.
  • Dati dei dipendenti: Le informazioni sui dipendenti, raccolte e utilizzate esclusivamente nel contesto del rapporto di lavoro, esulano dall'ambito del CCPA. Tuttavia, i dati raccolti sui candidati a un posto di lavoro rientrano nelle protezioni del CCPA.
  • Informazioni disponibili al pubblico: Le informazioni PII già disponibili nei registri pubblici sono esenti dalle normative CCPA.
  • Istituzioni finanziarie: Le informazioni disciplinate da specifiche leggi federali, come il Fair Credit Reporting Act (FCRA) o il Gramm-Leach-Bliley Act (GLBA), sono esenti da alcune disposizioni del CCPA.
  • Ricerca: Le attività di ricerca scientifica, storica o statistica possono essere esentate dall'obbligo di cancellazione previsto dal CCPA in determinate condizioni, come il consenso informato e la giustificazione dell'interesse pubblico.
  • Informazioni sulla proprietà del veicolo: Il Driver's Privacy Protection Act (DPPA) sostituisce il CCPA per quanto riguarda informazioni quali la proprietà del veicolo, condivise tra concessionari e produttori a fini di garanzia o richiamo.
  • Settore sanitario: In materia di informazioni sanitarie protette (PHI), il California Confidentiality of Medical Information Act (CMIA) precede il CCPA.
  • Attività delle forze dell'ordine: Le informazioni personali raccolte e utilizzate per finalità di contrasto esulano dall'ambito di applicazione del CCPA.

Sanzioni regolamentari

Il CCPA impone due tipi di sanzioni in caso di inosservanza:

Multe per violazione: Violazioni intenzionali: $ 7,500 per violazione, senza un massimo stabilito. Ciò significa che le sanzioni possono moltiplicarsi rapidamente a seconda del numero di individui interessati e delle violazioni.
Violazioni involontarie: $ 2,500 per reato, con un tetto massimo di $ 2,500 per evento di violazione dei dati. Ciò sottolinea l'importanza delle misure preventive per evitare errori involontari.
Cause dei consumatori: Danni legali: $ 100-$ 750 per consumatore interessato per evento o danni effettivi subiti (a seconda di quale sia più alto). Ciò autorizza gli individui a cercare un risarcimento diretto per violazioni della privacy.
Provvedimento ingiuntivo: I tribunali possono emettere ordini per fermare attività illecite e prevenire danni futuri.

Autorità di conformità per CCPA

L'autorità di conformità primaria per il California Consumer Privacy Act è il California Attorney General's Office (CAO). La California Privacy Protection Agency ha iniziato a operare nel luglio 2023. Tuttavia, la CPPA si concentra principalmente sulla creazione di norme e sulla formazione, subentrando alla CAO nella maggior parte di queste responsabilità. La CAO mantiene la sua autorità di applicazione ai sensi del CCPA e di altri obblighi legali in corso. Pertanto, mentre la CPPA svolge un ruolo crescente nella conformità al CCPA, il California Attorney General's Office rimane l'autorità di applicazione primaria per l'atto.

In conclusione, comprendere e rispettare le normative CCPA è fondamentale per le aziende che operano in California o che gestiscono le informazioni personali dei residenti in California. Le tecniche di mascheramento dei dati, come l'anonimizzazione dei dati, la crittografia dei dati e la redazione dei dati, possono ridurre significativamente il rischio di non conformità e violazioni dei dati oscurando le PII sensibili negli ambienti di sviluppo, test e analisi. Ciò riduce al minimo l'esposizione di informazioni sensibili come informazioni di identificazione personale (PII), registri finanziari, informazioni sanitarie protette, numeri di previdenza sociale, ecc., semplificando la conformità CCPA e migliorando la sicurezza e la privacy dei dati.

Cosa puoi fare con Solix

Richiedi una demo
Registrati per una prova gratuita e vinci una carta regalo Amex

Partecipa per vincere una carta regalo Amex da 100 $

Risorse

Accedi alle nostre altre risorse correlate

  • Gestione dei dati aziendali “come servizio”
    White Papers

    Gestione dei dati aziendali “come servizio”

    Scarica i White Paper
  • Il gigante globale delle bevande Fortune 50 accelera la trasformazione digitale con una strategia di ritiro delle applicazioni aziendali
    Casi di studio

    Il gigante globale delle bevande Fortune 50 accelera la trasformazione digitale con una strategia di ritiro delle applicazioni aziendali

    Scarica case study
  • Modernizzare la gestione dei dati del settore pubblico
    White Papers

    Modernizzare la gestione dei dati del settore pubblico

    Scarica i White Paper
  • Riduci i costi dismettendo la tua applicazione PeopleSoft di sola lettura
    Webinars su richiesta

    Riduci i costi dismettendo la tua applicazione PeopleSoft di sola lettura

    Scarica i webinar on-demand