Delete Act: tutto quello che c'è da sapere

Image of Carlo Cilento

Pubblicato il 25 ott 2023 da Carlo Cilento

Il 10 ottobre lo Stato della California ha adottato il Delete Act, una nuova legge che consente ai residenti in California di richiedere simultaneamente a tutti gli intermediari di dati di cancellare le loro informazioni personali. La legge avrà probabilmente un impatto profondo sulle pratiche di privacy all'interno e all'esterno dello Stato. Vediamo quindi in cosa consiste questa legge!

  1. Che cos'è il Delete Act?
  2. I californiani non avevano già il diritto alla cancellazione?
  3. Come funziona il Delete Act?
  4. In che modo il Delete Act è diverso da altre leggi?
  5. A chi si applica la legge?
  6. Esistono esenzioni alla legge sulla cancellazione?
  7. Quali sono le sanzioni previste dal Delete Act?
  8. Che impatto avrà il Delete Act?
  9. Conclusioni
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Che cos'è il Delete Act?

Il Delete Act è una nuova legge californiana sul diritto alla cancellazione dei propri dati da parte degli intermediari di dati. Il Delete Act sarà applicato dalla California Privacy Protection Agency (CPPA).

I californiani non avevano già il diritto alla cancellazione?

Sì, i residenti in California hanno il diritto alla cancellazione ai sensi del CCPA. Tuttavia, ci sono due problemi quando si tratta di broker di dati.

Innanzitutto, non è chiaro se possano esercitare tale diritto nei confronti degli intermediari di dati in base alla formulazione del CCPA. In secondo luogo, supponendo che sia possibile, chiedere agli intermediari di dati di cancellare le informazioni personali sarebbe comunque difficile nella pratica. Di solito molti intermediari diversi controllano le informazioni relative a un singolo consumatore, e i consumatori di solito non sanno chi sono questi intermediari e come contattarli.

Per farla breve, il diritto alla cancellazione introdotto dal Delete Act non è una novità per la legge californiana, ma la legge rende molto più semplice per i consumatori esercitarlo nei confronti degli intermediari di dati.

Come funziona il Delete Act?

Il sistema di cancellazione descritto dalla legge consisterà in un registro unificato per le richieste di cancellazione. Gli intermediari di dati dovranno accedere periodicamente al sistema e rivedere i propri database per assicurarsi che non contengano dati di soggetti che hanno presentato una richiesta.

Gli intermediari di dati avranno anche altri obblighi, come quello di documentare la conformità alle richieste di cancellazione e di verificare i risultati delle loro procedure per onorare le richieste.

La legge sulla cancellazione è vaga sui dettagli tecnici del sistema e invita il CPPA a risolvere i problemi nella sua futura regolamentazione. Secondo la legge, il sistema dovrà essere operativo entro il 2026. Con ogni probabilità, la pianificazione del sistema non sarà una passeggiata per la CCPA e l'attuazione non sarà una passeggiata per le aziende!

In che modo il Delete Act è diverso da altre leggi?

Il Delete Act è una legge innovativa. Le leggi sulla privacy come il GDPR e il CCPA della California inquadrano il diritto alla cancellazione come una questione tra un individuo e una specifica azienda o organizzazione. Il Delete Act, invece, allarga la portata di una singola richiesta a tutti gli intermediari di dati. Questo sistema differisce dalle tipiche richieste di cancellazione e assomiglia piuttosto a una sorta di registro "do-not-call".

La legge sulla cancellazione si differenzia inoltre da altre leggi sulla privacy in quanto le richieste hanno un impatto anche su tutti i dati raccolti dopo l'invio. Un intermediario di dati non può limitarsi a cancellare i vostri dati e chiudere la questione; deve rivedere periodicamente il proprio database e cancellare tutti i nuovi dati che vi riguardano. È necessario un processo continuo di revisione e cancellazione.

A chi si applica la legge?

Da un lato, la legge si applica ai residenti in California, proprio come il CCPA. Nessun altro può presentare una richiesta ai sensi della legge.

Dall'altro lato dell'equazione, la legge si applica agli intermediari di dati. La legge definisce i data broker come qualsiasi azienda che raccoglie e vende consapevolmente informazioni di consumatori con cui l'azienda non ha un rapporto diretto. Quindi, i data broker agiscono essenzialmente come intermediari, acquisendo informazioni personali sui consumatori attraverso una terza parte e vendendole a un'altra terza parte.

Va notato che la legge utilizza la stessa ampia definizione di vendita di dati del CCPA/CPRA. La divulgazione di dati dei consumatori in cambio di qualcosa di valore sarà probabilmente considerata una vendita, indipendentemente dal fatto che sia previsto o meno un pagamento in denaro. Ciò significa che la legge potrebbe applicarsi a molti intermediari del settore pubblicitario, a seconda di come le autorità di regolamentazione intendono la definizione.

Non è ancora chiaro se la definizione di data broker comprenda anche le aziende che acquistano o ricevono dati dagli intermediari - in altre parole, i clienti dei data broker. Questo punto, ancora poco chiaro, è cruciale, poiché molte aziende (comprese quelle più piccole) arricchiscono i dati dei propri clienti con informazioni di terzi. Si spera che la futura regolamentazione del CCPA chiarisca questo punto.

Una cosa è comunque chiara: come il CCPA, anche il Delete Act si applicherà ai data broker al di fuori della California e persino degli Stati Uniti.

Come nota a margine, vale la pena sottolineare che la California ha un registro per i data broker e che la registrazione era obbligatoria anche prima del Data Act. Ciò potrebbe facilitare l'applicazione della legge, in quanto la CCPA saprà chi sono gli intermediari di dati e come contattarli.

Esistono esenzioni alla legge sulla cancellazione?

Sì. Come il CCPA, la legge sulla cancellazione non si applica alle aziende che sono vincolate da normative specifiche del settore (come l'HIPAA per il settore sanitario).

Quali sono le sanzioni previste dal Delete Act?

Gli intermediari di dati possono essere multati di ** 200 dollari per ogni giorno in cui** non onorano una richiesta di cancellazione. I data broker possono essere multati anche in base alle leggi californiane preesistenti per non essersi registrati nel registro dei data broker.

Che impatto avrà il Delete Act?

Il Delete Act avrà probabilmente un forte impatto sul settore pubblicitario e su altri settori che si affidano fortemente agli intermediari di dati (come il rilevamento delle frodi). Per conformarsi alla legge, le aziende dovranno stabilire nuove procedure e rivedere periodicamente i loro database per recuperare i dati da cancellare.

Ciò comporterà probabilmente un aumento dei costi legali e operativi di non poco conto. Inoltre, le aziende dovranno implementare solide pratiche di governance dei dati, se non lo hanno già fatto, per facilitare il filtraggio dei database e il recupero delle informazioni da eliminare.

Infine, va notato che i broker di dati devono verificare le richieste di cancellazione. In altre parole, i broker devono assicurarsi che i consumatori siano chi dicono di essere e scoprire esattamente quali informazioni personali contenute nei loro database li riguardano.

Questo sarà complicato perché gli intermediari di dati a volte non raccolgono identificatori diretti che permettano una facile verifica. Sarebbe saggio per le aziende stabilire solide procedure di verifica prima che inizino ad arrivare le richieste e tenere d'occhio il CPPA per eventuali indicazioni sulla verifica.

Conclusioni

È presto per dire in che misura la legge sulla cancellazione avrà un impatto sull'economia digitale. Tuttavia, è chiaro che renderà più difficile la conformità per gli intermediari di dati. Le aziende che rientrano nel campo di applicazione della legge dovrebbero pensare al futuro e iniziare immediatamente a prepararsi per adempiere ai suoi obblighi.

La privacy ci appassiona. Si tratta di un diritto umano che diventa sempre più importante man mano che il mondo diventa sempre più interconnesso.

Per questo abbiamo creato Simple Analytics. Il nostro strumento, incentrato sulla privacy, consente ai nostri clienti di ottenere tutte le informazioni di cui hanno bisogno in modo etico e rispettoso della privacy. Simple Analytics fornisce informazioni accurate senza cookie, senza tracker e senza raccogliere alcun dato personale! Se vi sembra una buona idea, non esitate a provarci!

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni