Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

California Consumer Privacy Act (CCPA): guida per web agency e siti web

15/03/2022

California Consumer Privacy Act (CCPA): guida per web agency e siti web


In questa guida analizziamo i criteri di applicazione ai siti web del California Consumer Privacy Act (CCPA). 

La guida viene costantemente aggiornata grazie al contributo dei nostri corrispondenti legali californiani.

Per scoprire tutti gli aggiornamenti sul CCPA segui i nostri canali Facebook, LinkedIn e YouTube.

 

Cos’è il California Consumer Privacy Act (CCPA)


Il California Consumer Privacy Act (CCPA) è una legge della California approvata il giugno 2018.

E’ la prima legge statunitense che regola il trattamento dei dati personali di cittadini americani. Si applica a determinate condizioni, che scoprirai leggendo questa guida. 

Il CCPA riprende molti concetti del GDPR. Infatti, il California Consumer Privacy Act è anche noto come il “GDPR americano”.


Quando si applica il CCPA


L’applicazione del California Consumer Privacy Act è subordinata all’esistenza di particolari requisiti. In assenza dei requisiti sotto riportati il CCPA non si applicherà al tuo sito web o ecommerce. 


Fatturato


La tua azienda deve generare un fatturato lordo annuo superiore a 25 milioni di dollari. E’ chiaro che questo requisito si applica solo ai siti di commercio elettronico più grandi e strutturati.


Dati personali di utenti californiani


Tramite il tuo sito web, la tua azienda deve acquistare, vendere, ricevere per scopi commerciali o condividere per scopi commerciali ogni anno i dati personali di almeno 50.000 consumatori, famiglie o dispositivi californiani. 

Questo requisito si applica ai siti che in sostanza effettuano marketing con i dati personali di cittadini californiani.
 

Vendita di informazioni personali


Altro requisito per l’applicazione del CCPA è quello di derivare il 50% o più del reddito annuale dalla vendita delle informazioni personali dei clienti della California.

Anche questo requisito implica che il core business dell’azienda deve poggiare su azioni di marketing incentrate su dati personali di cittadini californiani.


Esclusioni


Le aziende non sono soggette al CCPA se:

  • non hanno una presenza fisica in California e se
  • l’attività si svolge completamente fuori della California.

Pertanto, una azienda italiana che non abbia sede in California e che svolga il suo business in Italia (o comunque in Europa) non dovrà rispettare il California Consumer Privacy Act.


CCPA e l’obbligo di opporsi alla vendita di dati personali


Con riferimento al California Consumer Privacy Act si legge spesso che i siti web dovrebbero munirsi di un tasto con scritto “Non vendere i miei dati personali” (o dicitura simile).

Anche questa informazione rischi di essere forviante. 

Infatti, ai sensi del CCPA l’obbligo di permettere l’opposizione alla vendita di informazioni personali sussiste solo se l’azienda vende dati personali di clienti della California.

Di solito un sito web o ecommerce italiano non soddisfa questo requisito. Infatti, il sito venderà i propri prodotti e servizi, non dati personali (men che meno di clienti californiani).

Pertanto, è davvero molto raro che il tuo sito web debba pubblicare il tasto sopra descritto.

 

Cosa significa “vendere” dati personali per il CCPA


E’ improbabile che il tuo sito web “venda” dati personali (men che meno di cittadini californiani). 

Per rassicurarti di questa circostanza, vediamo cosa intenda il California Consumer Privacy Act per “vendita” di dati personali.

Ai sensi del CCPA, il termine “vendita” ha una definizione ampia e include qualsiasi scambio di informazioni personali sia per denaro che per altre controprestazioni.

Pertanto, la “vendita” di dati personali può avvenire anche a titolo gratuito, quando una azienda “scambia” i dati personali dei suoi clienti per ricevere un qualsiasi beneficio da colui al quale i dati vengono “venduti” (es.: visibilità).


Quando non si ha “vendita” di dati personali


La semplice comunicazione di dati personali, però, non implica la loro “vendita”.

Infatti, è normale che il tuo sito web debba comunicare i dati personali dei clienti a soggetti terzi. Ciò avviene essenzialmente per permettere l’operatività del sito web. Ad esempio, il tuo sito può dover comunicare i dati personali degli utenti a:

  • sistemi di pagamento
  • trasportatori e corrieri
  • tecnici incaricati della manutenzione del sito.

In tutti questi casi si tratta solo di “comunicare” i dati degli utenti per permettere il corretto funzionamento del sito. Oppure per permettere la prestazione di servizi richiesti dagli utenti (es. la consegna del prodotto).

Pertanto, non si tratta di “vendita” di dati personali e il CCPA non si applica.

 

La privacy policy ai sensi del California Consumer Privacy Act 


Anche il CCPA obbliga i siti web a pubblicare una informativa privacy con determinati requisiti.

Sotto questo aspetto le similitudini con il nostro GDPR sono molte. Pertanto, se hai pubblicato una privacy policy a norma del GDPR è probabile che tu stia rispettando anche il CCPA.


Le informazioni essenziali


Di seguito le informazioni che devono essere inserite nelle privacy policy dei siti soggetti al CCPA:

  • dati aziendali
  • informazioni di contatto (es.: email e indirizzo fisico)
  • categorie di dati personali raccolti
  • finalità di trattamento
  • descrizione dei diritti previsti ai sensi del CCPA
  • come gli utenti possono chiedere informazioni sul trattamento dei loro dati personali
  • i dati (o le categorie di dati) che il sito web vende. Oppure un avviso che il sito non vende dati personali.


Privacy policy: differenze tra CCPA e GDPR


Non vi sono sostanziali differenze tra una privacy policy redatta ai sensi del GDPR o del California Consumer Privacy Act.

Una privacy policy che rispetta il GDPR di solito è a norma anche per la normativa californiana.

Nei casi di applicazione del CCPA, la privacy policy dovrà essere solo integrata con queste informazioni:

  • dati personali che il sito vende a terzi, oppure
  • riferimento al fatto che il sito web non vende dati personali.


Differenze tra CCPA e GDPR


Oltre alle differenze sulla informativa privacy sopra descritte, le principali differenze tra CCPA e GDPR sono le seguenti:

  • il CCPA si applica in favore dei residenti e nuclei famigliari californiani. Il GDPR si applica in favore delle persone fisiche che si trovano in Europa
  • il  California Consumer Privacy Act prevede requisiti di applicabilità che difficilmente coinvolgono siti web o ecommerce europei “classici”. Il GDPR si applica sostanzialmente a tutti i siti web ed ecommerce europei.
  • il GDPR si applica anche alle aziende californiane, se trattano dati personali di utenti europei. Come visto, è invece frequente che il CCPA non si applichi a siti europei.


Cosa devi fare se il CCPA si applica al tuo sito web


Come abbiamo visto, è difficile che il CCPA possa applicarsi al tuo sito web o sito di commercio elettronico.

Se ciò dovesse però accadere, ecco cosa devi fare per adeguarti al California Consumer Privacy Act:

  • integrare l’informativa privacy del sito con le informazioni previste dal California Consumer Privacy Act.
  • inserire nel sito l’informazione che non vendi dati personali. Se vendi dati personali allora devi inserire il tasto “Non vendere i miei dati personali” (o dicitura simile).


Con LegalBlink rispetti anche il CCPA


Se il California Consumer Privacy Act si applica al tuo sito web con LegalBlink la tua informativa privacy si adegua automaticamente a quanto richiesto dalla legge. Pertanto non è richiesta nessuna attività da parte tua per rispettare il CCPA.


Ulteriori dubbi?


Se vuoi maggiori informazioni su come adeguare il tuo sito web al CCPA contattaci!