Differenza tra CCPA e GDPR?

Image of Carlo Cilento

Pubblicato il 24 feb 2023 e modificato il 15 ago 2023 da Carlo Cilento

In questo momento stanno accadendo molte cose nella terra della privacy. Diversi Paesi dell'UE stanno dando un giro di vite ai servizi cloud basati negli Stati Uniti, come Google Analytics, e il mese scorso l'ONG per la privacy noyb ha vinto una causa importante contro Facebook sull'uso di annunci personalizzati. È chiaro a tutti che la privacy si sta spostando sempre più in primo piano, ma orientarsi nella giungla della legislazione sulla privacy è difficile. Questo articolo si propone quindi di delineare le diverse legislazioni in materia di privacy per fare chiarezza.

In particolare, ci concentreremo sulla legge californiana sulla privacy dei consumatori, che è la più nota legge statunitense sulla privacy. È anche una legge molto importante perché molte grandi aziende tecnologiche hanno sede in California. La esamineremo e vedremo come si confronta con il GDPR dell'UE.

  1. La CCPA
  2. A chi si applica il CCPA?
  3. Quali sono gli obblighi della vostra azienda ai sensi del CCPA?
  4. Esiste una legge federale sulla privacy negli Stati Uniti?
  5. Il CCPA è un "GDPR light"?
  6. In che modo il CCPA e il GDPR regolano i cookie?
  7. In che modo il CCPA e il GDPR regolano i trasferimenti di dati?
  8. Come funziona il consenso nel CCPA e nel GDPR?
  9. Conclusioni
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

La CCPA

Il Californian Consumer Privacy Act(CCPA&aqs=chrome) è una legge californiana. È stata approvata nel 2018 ed è entrata in vigore nel 2020. Essa conferisce ai consumatori alcuni diritti, tra cui il diritto all'informazione, il diritto alla cancellazione dei propri dati e il diritto all'opt-out.

Il CCPA è stato modificato nel 2020 da un'altra legge, il California Rights Privacy Act. L'emendamento ha introdotto nuovi diritti alla privacy e ha istituito la California Privacy Protection Agency, che applicherà il CPPA a partire dal luglio 2023. La versione più recente e modificata è quella a cui faremo riferimento in tutto il blog.

Quindi, per riassumere:

  • il CCPA è una legge californiana sulla privacy
  • il CPRA è un'altra legge californiana che modifica il CPPA
  • il CPPA è l'agenzia che applicherà la legge californiana sulla privacy a partire dal luglio 2023.

In conclusione, la California è pessima nello scegliere i nomi. Ora analizzeremo più da vicino il CCPA e vedremo come si confronta con il GDPR.

islands.png

A chi si applica il CCPA?

Il CCPA si applica principalmente alle aziende che soddisfano determinate soglie di fatturato e di quantità di dati personali trattati. Il CCPA si applica anche ad alcune istituzioni e agenzie pubbliche, ma non alle organizzazioni non profit.

Va notato che il CCPA si applica alle aziende che operano in California, indipendentemente dalla loro sede. Pertanto, un'azienda non statunitense potrebbe dover rispettare il CCPA se opera sul mercato californiano.

Oltre alle imprese, il CCPA include regole per i fornitori di servizi, gli appaltatori e le terze parti.

Quali sono gli obblighi della vostra azienda ai sensi del CCPA?

Le aziende hanno diversi obblighi ai sensi del CCPA. Devono fornire informazioni sulle modalità di trattamento dei dati, cancellare o correggere i dati su richiesta, limitare la conservazione dei dati e consentire ai consumatori di rinunciare alla vendita e alla condivisione dei loro dati. I consumatori possono anche far loro causa in caso di violazione dei dati.

Esiste una legge federale sulla privacy negli Stati Uniti?

Negli Stati Uniti non esiste una legge federale completa sulla privacy, ma esistono leggi federali che regolano aree specifiche come i dati sanitari(HIPAA) e i dati dei bambini(COPPA). È in preparazione una legge federale sulla privacy: l'American Data Privacy and Protection Act(ADPPA).

Al momento, sei Stati hanno leggi sulla privacy. La California è uno di questi, gli altri sono Colorado, Connecticut, Nevada, Utah e Virginia. L'interazione tra l'ADPPA e le legislazioni locali in materia di privacy è un punto controverso nelle trattative politiche intorno alla proposta. Alcuni Stati con leggi sulla privacy non vogliono che l'ADPPA scavalchi le loro leggi, perché temono che ciò indebolisca i diritti alla privacy dei loro cittadini. Allo stesso tempo, alcuni sostenitori della proposta di legge insistono affinché l'ADPPA prevalga sulle leggi locali per evitare la frammentazione giuridica negli Stati Uniti.

Il CCPA è un "GDPR light"?

Il CCPA è stato in qualche modo ispirato dal GDPR e talvolta viene definito "GDPR light". I due regolamenti sono simili per alcuni aspetti:

  • entrambe hanno effetto extraterritoriale in alcune circostanze. Ciò significa che le aziende al di fuori della California possono dover rispettare il CCPA e le aziende al di fuori dell'UE possono dover rispettare il GDPR
  • alcuni diritti alla privacy sono simili ai due regolamenti, come il diritto all'informazione e il diritto alla cancellazione. Entrambe le leggi cercano di dare alle persone un maggiore controllo sui propri dati
  • entrambe prevedono una protezione speciale per le informazioni sensibili, anche se le definizioni di tali informazioni sono diverse
  • il GDPR viene applicato principalmente dalle autorità di protezione dei dati in ogni Stato membro dell'UE. A partire dal giugno 2023, anche il CCPA sarà applicato da un'autorità per la protezione dei dati (il CPPA) insieme al procuratore generale della California.
  • lanon conformità può essere costosa. Le multe previste dal GDPR possono ammontare a 20 milioni di euro, pari al 4% del fatturato mondiale annuo di un'azienda, mentre le sanzioni civili previste dal CCPA possono raggiungere un massimo di 7.500 dollari per singola violazione. Per le aziende che trattano grandi quantità di dati personali, le cifre si sommano rapidamente!

Ci sono anche differenze importanti:

  • il GDPR ha un campo di applicazione più ampio e si applica a una vasta gamma di responsabili del trattamento dei dati diversi dalle aziende. D'altra parte, il CCPA è una legge sulla protezione dei consumatori e si concentra principalmente sulle imprese
  • il GDPR è una legge più lunga e complessa. Include un maggior numero di norme e un sistema completo di principi
  • il GDPR è generalmente più severo. Ad esempio, il regime per il trattamento dei dati sensibili è più restrittivo.
  • il GDPR protegge i diritti dei dati di tutte le persone nell'Unione Europea e nello Spazio Economico Europeo, compresi i cittadini extracomunitari. Il CCPA, invece, si applica solo ai dati dei residenti in California.

Il CCPA non regola specificamente i cookie, ma i cookie di terze parti rientrano nelle regole di condivisione dei dati. In base alla legge, le aziende devono informare gli utenti e fornire loro un metodo per rinunciare.

Questo è un caso in cui la legge sulla privacy dell'UE è più severa: ai sensi del GDPR e della Direttiva ePrivacy, i responsabili del trattamento devono raccogliere il consenso attraverso un sistema di opt-in per i cookie non essenziali (il pulsante di accettazione sui banner dei cookie). Inoltre, a differenza del CCPA, la legge europea non distingue tra cookie di prima e di terza parte.

In che modo il CCPA e il GDPR regolano i trasferimenti di dati?

Il CCPA non regola i trasferimenti di dati e non pone limiti ai trasferimenti di dati al di fuori della California o degli Stati Uniti.

Questa è un'altra importante differenza con il GDPR. Il GDPR prevede un complicato sistema di regole per i trasferimenti di dati per garantire che i dati personali possano essere trasferiti solo in modo sicuro.

In generale, un'azienda può trasferire i dati solo sulla base di uno dei diversi meccanismi di conformità. I più comuni sono le clausole contrattuali standard (SCC) che devono essere implementate in un contratto con il destinatario dei dati e che indicano cosa può o non può fare con i dati.

La Commissione europea può anche "dare il via libera" a un Paese come destinazione sicura per i dati con un atto chiamato decisione di adeguatezza. Abbiamo avuto due decisioni di questo tipo per gli Stati Uniti, ma entrambe sono state invalidate dalla Corte di giustizia dell'UE nelle sentenze Schrems I e II a causa delle preoccupazioni sulla sorveglianza statunitense dei dati esteri.

La sorveglianza statunitense complica anche i trasferimenti di dati basati sulle SCC, perché queste clausole possono fare ben poco per proteggere i dati europei. La sentenza Schrems II ha chiarito che le aziende che inviano dati negli Stati Uniti devono integrare le SCC con garanzie aggiuntive, cosa molto difficile da fare nella pratica. Questo problema è al centro dei problemi legali di Google Analytics con i trasferimenti di dati ed è il motivo per cui diverse autorità europee per la privacy si sono pronunciate contro l'uso di Google Analytics (ne abbiamo scritto ampiamente sul nostro blog).

È in arrivouna nuova decisione di adeguatezza per gli Stati Uniti, ma sarà sicuramente contestata dalla Corte di giustizia. Gli Stati Uniti hanno apportato alcune modifiche al loro sistema di sorveglianza, ma è difficile dire se ciò soddisferà la Corte. In altre parole, Schrems III è all'orizzonte e non si può dire come si svolgerà.

Come funziona il consenso nel CCPA e nel GDPR?

Nella maggior parte dei casi, il CCPA non richiede il consenso preventivo per il trattamento dei dati dei consumatori: la legge si basa principalmente su un sistema di opt-out. Tuttavia, il consenso preventivo è necessario in alcune situazioni.

Ai sensi del GDPR, un consenso valido è sempre di tipo opt-in. Ma il consenso è solo una delle diverse basi giuridiche per il trattamento dei dati personali. Ciò significa che in alcuni scenari i dati possono essere trattati legalmente senza consenso. In poche parole: il consenso non è sempre necessario, ma quando lo è deve essere di tipo opt-in.

Abbiamo scritto un blog sull'argomento se siete curiosi di conoscere le altre basi giuridiche previste dal GDPR.

Conclusioni

Il GDPR e il CCPA sono entrambi importanti leggi sulla privacy. Entrambe hanno un effetto extraterritoriale, quindi le aziende dovrebbero familiarizzare con esse o affidarsi a un professionista per garantire la conformità. Il GDPR è un po' più complesso, e in questo blog facciamo del nostro meglio per affrontare alcune nozioni di base e renderle digeribili.

Vale la pena notare che sia il GDPR che il CCPA si applicano solo ai dati personali. Dal punto di vista della conformità, il non trattamento dei dati personali è una pallottola d'argento per entrambe le leggi e per la normativa sulla privacy in generale. Questo non è sempre possibile, perché ci sono cose che semplicemente non si possono fare senza dati personali.

Fortunatamente, sempre più soluzioni rispettose della privacy dimostrano che è possibile fare a meno dei dati personali. Ad esempio, Simple Analytics è un'alternativa a Google Analytics rispettosa della privacy, conforme al GDPR e in grado di fornire le informazioni necessarie sul sito web.

I servizi cloud con sede negli Stati Uniti sono stati recentemente messi sotto accusa per la loro mancata conformità al GDPR. Per questo motivo, le aziende che tengono alla privacy e che vogliono conformarsi cercano soluzioni alternative. Se siete interessati, dovreste consultare il sito web "European Alternatives". Il sito fornisce un'idea generale delle alternative esistenti in diverse categorie, quali analisi web, provider di e-mail, provider di hosting, ecc.

Abbiamo creato Simple Analytics in quanto crediamo in un Internet indipendente e amichevole per i visitatori dei siti web. Quindi meno cookie e meno tracciamento. Se questo concetto vi convince, non esitate a dare un'occhiata a Simple Analytics.

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni