CCPA vs CPRA: quali sono le novità?

Image of Iron Brands

Pubblicato il 12 set 2023 da Iron Brands

  1. Che cos'è il CPRA?
  2. Come viene applicato il CPRA?
  3. Perché tutti questi acronimi sono così confusi?
  4. Quando è entrato in vigore il CPRA?
  5. In che modo il CPRA ha modificato il CPPA?
  6. Minimizzazione dei dati
  7. Protezione delle informazioni sensibili
  8. Il diritto di opt-out: "non vendere o condividere"
  9. Il diritto alla correzione delle informazioni
  10. Il CPRA e il Controllo globale della privacy
  11. Il CPPA
  12. Conclusioni
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Che cos'è il CPRA?

Il California Privacy Rights Act (CPRA) è una legge della California e una versione modificata del California Consumer Privacy Act (CCPA). In altre parole, si tratta di una modifica alla legge sulla privacy preesistente in California.

Vale la pena notare che il CPRA è il risultato di un'iniziativa elettorale. Ciò dimostra che i residenti della California sono preoccupati per la loro privacy e che le norme sulla privacy trovano un notevole sostegno nello Stato.

Come viene applicato il CPRA?

Il CPRA è applicato dall'Avvocato generale della California. A partire dal 2024, sarà applicato anche dalla California Privacy Protection Agency (CPPA).

Inoltre, il CPRA prevede un diritto di azione privata per le violazioni dei dati, consentendo ai clienti di citare direttamente in giudizio le aziende (ma non i loro partner e fornitori di servizi).

Perché tutti questi acronimi sono così confusi?

Non ne abbiamo idea e lo odiamo anche noi. Ecco un comodo riferimento:

  • il CCPA (California Consumers Privacy Act) è la vecchia legge sulla privacy della California del 2018
  • il CPRA (California Privacy Rights Act) è la nuova legge del 2020
  • la CPPA (California Privacy Protection Agency) è l'agenzia di controllo istituita dal CPRA.

Quando è entrato in vigore il CPRA?

Il CPRA è entrato in vigore il 1° gennaio 2023. Tuttavia, alcune norme del CPRA sono vaghe e devono essere chiarite dal CPPA attraverso i suoi regolamenti. Questi regolamenti entreranno in vigore solo nel marzo 2024 a causa di una recente decisione del tribunale.

In pratica, ciò significa che il regolamento nel suo complesso è già in vigore, ma alcune regole diventeranno applicabili solo l'anno prossimo.

In che modo il CPRA ha modificato il CPPA?

Il CPRA ha apportato importanti modifiche al CPPA, tra cui:

  • l'introduzione del principio di minimizzazione dei dati
  • l'introduzione di una maggiore protezione per le informazioni sensibili
  • l'ampliamento della portata del diritto di non partecipare alla vendita o alla condivisione di informazioni personali
  • l'introduzione dell'obbligo di rispettare i controlli globali sulla privacy del consumatore
  • l'introduzione del diritto alla correzione delle informazioni personali
  • istituzione dell'agenzia californiana per la protezione della privacy

Minimizzazione dei dati

Ai sensi del CRPA, le informazioni personali dei consumatori possono essere trattate e conservate solo se ragionevolmente necessarie e proporzionate allo scopo del trattamento, oppure per uno scopo diverso, divulgato e compatibile.

In poche parole: 1) trattare solo i dati necessari e 2) trattarli solo per lo scopo originario per cui sono stati raccolti o per uno scopo compatibile di cui il consumatore è a conoscenza.

(Questa è la versione breve e semplificata. Il testo della norma ha una sostanza giuridica molto più ampia: "la raccolta, l'uso, la conservazione e la condivisione delle informazioni personali di un consumatore da parte di un'azienda devono essere ragionevolmente necessari e proporzionati al raggiungimento degli scopi per cui le informazioni personali sono state raccolte o trattate, o per un altro scopo divulgato che sia compatibile con il contesto in cui le informazioni personali sono state raccolte, e non devono essere ulteriormente trattate in modo incompatibile con tali scopi").

La minimizzazione dei dati cerca di ottenere molto con un solo principio. In realtà, la minimizzazione dei dati CPRA copre due principi distinti del GDPR: la minimizzazione dei dati e la limitazione delle finalità. Ecco perché il principio è così complicato.

In particolare, il CPRA include regole dettagliate su ciò che conta come finalità compatibile. Da parte europea, il GDPR manca di tali regole e lascia la nozione aperta all'interpretazione.

Protezione delle informazioni sensibili

Il CPRA ha introdotto una definizione giuridica di informazioni sensibili, nonché regole specifiche per il trattamento di tali informazioni.

Secondo il CPRA, la nozione di informazioni sensibili comprende:

  • dati geolocalizzati precisi
  • convinzioni religiose
  • origine etnica
  • contenuti delle comunicazioni
  • dati genetici
  • informazioni biometriche ai fini dell'identificazione
  • informazioni sulla salute
  • informazioni sul sesso o sull'orientamento sessuale
  • altri dati che possono essere utilizzati per frodi o furti di identità (numero di previdenza sociale, credenziali di accesso, dati di carte di credito/debito e così via).

I consumatori hanno il diritto di chiedere alle aziende di limitare l'uso e la divulgazione dei loro dati sensibili a quanto strettamente necessario per fornire il servizio. In altre parole, possono rinunciare a qualsiasi uso non essenziale delle loro informazioni sensibili.

Non amiamo molto i sistemi di opt-out, perché fanno ricadere l'onere della privacy sul consumatore, invece di richiedere semplicemente buone pratiche di privacy alle aziende. Ma il CPRA è comunque un passo nella giusta direzione, perché il CCPA non prevedeva alcuna norma per i dati sensibili.

Il diritto di opt-out: "non vendere o condividere"

In base al CPRA, i consumatori hanno il diritto di rinunciare alla vendita e alla condivisione dei loro dati personali. Con il CCPA i consumatori potevano rinunciare solo alla vendita dei dati personali. Pertanto, il CPRA amplia la portata di un diritto di opt-out preesistente.

Questa modifica è stata influenzata dal dibattito in seno alla comunità giuridica sul significato di vendita. La vendita di informazioni personali era definita in termini molto ampi dal CCPA: la divulgazione di informazioni in cambio di un corrispettivo monetario o di altro valore era considerata una vendita. Il concetto di corrispettivo di valore era abbastanza ampio da comprendere la pubblicità comportamentale cross-context che coinvolgeva una terza parte (tipicamente Google o Meta).

Tuttavia, alcune aziende sostenevano che l'uso dei cookie analitici non fosse una vendita. Il CPRA ha quindi posto fine al dibattito una volta per tutte: ha ampliato la portata del diritto di opt-out alla vendita e alla condivisione di informazioni e ha chiarito che l'uso dei cookie per la pubblicità comportamentale cross-context è una forma di condivisione dei dati.

Pertanto, non vi è alcun dubbio che i consumatori abbiano il diritto di rinunciare al tracciamento ai fini della pubblicità contestuale ai sensi del CPRA!

Anche in questo caso, non siamo fan di questo sistema di opt-out, ma è comunque positivo che i consumatori abbiano almeno la possibilità di dire "no grazie".

Il diritto alla correzione delle informazioni

Stranamente, il CCPA prevedeva il diritto di sapere e il diritto alla cancellazione, ma non il diritto alla correzione delle informazioni personali. Il CPRA ha colmato questa lacuna.

Il diritto di rettifica funziona in gran parte come i diritti di conoscenza e di cancellazione: le aziende devono adeguarsi entro 45 giorni e possono prorogare il termine di altri 45 giorni, a condizione di informare il consumatore.

Il CPRA e il Controllo globale della privacy

Il Global Privacy Control (GPC) è uno standard tecnico integrato nei browser e nei plug-in. Il GPC notifica ai siti web le preferenze del consumatore in materia di privacy, compreso il rifiuto di vendere o condividere le proprie informazioni. Ai sensi del CPRA, le aziende devono conformarsi ai segnali GPC provenienti dal browser del consumatore.

Come abbiamo detto, la maggior parte dei diritti alla privacy previsti dal CCPA/CPRA sono diritti di opt-out. Semplificando il noioso processo di opt-out, il GPC può alleggerire l'onere per il consumatore e rendere più facile l'esercizio dei diritti alla privacy. Sarà interessante vedere quanto si diffonderà l'uso del GPC e in che misura i siti web si adegueranno.

Per saperne di più sul GPC, consultare il sito https://globalprivacycontrol.org/.

Il CPPA

Come abbiamo spiegato, il CPRA ha istituito la California Privacy Protection Agency (CPPA). In un certo senso, si può pensare alla CPPA come all'equivalente californiano delle autorità di protezione dei dati in Europa: l'Agenzia è responsabile dell'applicazione del CCPA insieme all'Avvocato generale e può adottare regolamenti basati sul CCPA.

L'Agenzia è già al lavoro, ma a causa di una recente decisione del tribunale, sarà in grado di applicare i suoi regolamenti solo nel 2024.

Conclusioni

Noi di Simple Analytics cerchiamo di spiegare le leggi sulla privacy in modo semplice perché ci teniamo alla privacy. Per questo motivo abbiamo creato Simple Analytics: uno strumento di analisi leggero e facile da usare che vi fornisce tutte le informazioni di cui avete bisogno preservando la privacy degli utenti. Se vi sembra una buona idea, non esitate a provarci!

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni