Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
15/03/2022
In questa guida analizziamo i criteri di applicazione ai siti web del California Consumer Privacy Act (CCPA).
La guida viene costantemente aggiornata grazie al contributo dei nostri corrispondenti legali californiani.
Per scoprire tutti gli aggiornamenti sul CCPA segui i nostri canali Facebook, LinkedIn e YouTube.
Il California Consumer Privacy Act (CCPA) è una legge della California approvata il giugno 2018.
E’ la prima legge statunitense che regola il trattamento dei dati personali di cittadini americani. Si applica a determinate condizioni, che scoprirai leggendo questa guida.
Il CCPA riprende molti concetti del GDPR. Infatti, il California Consumer Privacy Act è anche noto come il “GDPR americano”.
L’applicazione del California Consumer Privacy Act è subordinata all’esistenza di particolari requisiti. In assenza dei requisiti sotto riportati il CCPA non si applicherà al tuo sito web o ecommerce.
La tua azienda deve generare un fatturato lordo annuo superiore a 25 milioni di dollari. E’ chiaro che questo requisito si applica solo ai siti di commercio elettronico più grandi e strutturati.
Tramite il tuo sito web, la tua azienda deve acquistare, vendere, ricevere per scopi commerciali o condividere per scopi commerciali ogni anno i dati personali di almeno 50.000 consumatori, famiglie o dispositivi californiani.
Questo requisito si applica ai siti che in sostanza effettuano marketing con i dati personali di cittadini californiani.
Altro requisito per l’applicazione del CCPA è quello di derivare il 50% o più del reddito annuale dalla vendita delle informazioni personali dei clienti della California.
Anche questo requisito implica che il core business dell’azienda deve poggiare su azioni di marketing incentrate su dati personali di cittadini californiani.
Le aziende non sono soggette al CCPA se:
Pertanto, una azienda italiana che non abbia sede in California e che svolga il suo business in Italia (o comunque in Europa) non dovrà rispettare il California Consumer Privacy Act.
Con riferimento al California Consumer Privacy Act si legge spesso che i siti web dovrebbero munirsi di un tasto con scritto “Non vendere i miei dati personali” (o dicitura simile).
Anche questa informazione rischi di essere forviante.
Infatti, ai sensi del CCPA l’obbligo di permettere l’opposizione alla vendita di informazioni personali sussiste solo se l’azienda vende dati personali di clienti della California.
Di solito un sito web o ecommerce italiano non soddisfa questo requisito. Infatti, il sito venderà i propri prodotti e servizi, non dati personali (men che meno di clienti californiani).
Pertanto, è davvero molto raro che il tuo sito web debba pubblicare il tasto sopra descritto.
E’ improbabile che il tuo sito web “venda” dati personali (men che meno di cittadini californiani).
Per rassicurarti di questa circostanza, vediamo cosa intenda il California Consumer Privacy Act per “vendita” di dati personali.
Ai sensi del CCPA, il termine “vendita” ha una definizione ampia e include qualsiasi scambio di informazioni personali sia per denaro che per altre controprestazioni.
Pertanto, la “vendita” di dati personali può avvenire anche a titolo gratuito, quando una azienda “scambia” i dati personali dei suoi clienti per ricevere un qualsiasi beneficio da colui al quale i dati vengono “venduti” (es.: visibilità).
La semplice comunicazione di dati personali, però, non implica la loro “vendita”.
Infatti, è normale che il tuo sito web debba comunicare i dati personali dei clienti a soggetti terzi. Ciò avviene essenzialmente per permettere l’operatività del sito web. Ad esempio, il tuo sito può dover comunicare i dati personali degli utenti a:
In tutti questi casi si tratta solo di “comunicare” i dati degli utenti per permettere il corretto funzionamento del sito. Oppure per permettere la prestazione di servizi richiesti dagli utenti (es. la consegna del prodotto).
Pertanto, non si tratta di “vendita” di dati personali e il CCPA non si applica.
Anche il CCPA obbliga i siti web a pubblicare una informativa privacy con determinati requisiti.
Sotto questo aspetto le similitudini con il nostro GDPR sono molte. Pertanto, se hai pubblicato una privacy policy a norma del GDPR è probabile che tu stia rispettando anche il CCPA.
Di seguito le informazioni che devono essere inserite nelle privacy policy dei siti soggetti al CCPA:
Non vi sono sostanziali differenze tra una privacy policy redatta ai sensi del GDPR o del California Consumer Privacy Act.
Una privacy policy che rispetta il GDPR di solito è a norma anche per la normativa californiana.
Nei casi di applicazione del CCPA, la privacy policy dovrà essere solo integrata con queste informazioni:
Oltre alle differenze sulla informativa privacy sopra descritte, le principali differenze tra CCPA e GDPR sono le seguenti:
Come abbiamo visto, è difficile che il CCPA possa applicarsi al tuo sito web o sito di commercio elettronico.
Se ciò dovesse però accadere, ecco cosa devi fare per adeguarti al California Consumer Privacy Act:
Se il California Consumer Privacy Act si applica al tuo sito web con LegalBlink la tua informativa privacy si adegua automaticamente a quanto richiesto dalla legge. Pertanto non è richiesta nessuna attività da parte tua per rispettare il CCPA.
Se vuoi maggiori informazioni su come adeguare il tuo sito web al CCPA contattaci!