Il California Consumer Privacy Act (CCPA) è stato progettato per proteggere la privacy dei residenti in California e ha implicazioni per le aziende che gestiscono le loro informazioni personali. Per molti versi, il CCPA è considerato l'equivalente del GDPR in Europa.
In questo articolo illustreremo le caratteristiche del CCPA e le sue modalità di applicazione. Inoltre, forniremo i passi da seguire per le aziende che utilizzano Google Analytics per garantire la conformità.
Immergiamoci!
- Che cos'è il CCPA?
- Chi ha obblighi ai sensi del CCPA?
- Che cosa significa il CCPA per le analisi web?
- Google Analytics è conforme al CCPA?
- Come si fa a rendere Google Analytics conforme alla privacy?
- Riflessioni finali
Che cos'è il CCPA?
Il California Consumer Privacy Act è uno statuto che protegge i diritti alla privacy dei residenti in California. Il CCPA è stato adottato nel 2018 e modificato nel 2020 dal California Privacy Rights Act. Fa parte del Codice civile della California.
Informazioni approfondite sul CCPA sono disponibili sul sito web del governo californiano.
Chi ha obblighi ai sensi del CCPA?
Non tutte le organizzazioni sono coperte dal CCPA.
L'atto copre solo le aziende che soddisfano determinati criteri:
- hanno un fatturato annuo lordo superiore a 25 milioni di dollari
- acquistano, vendono o condividono le informazioni personali di 100.000 o più residenti, famiglie o dispositivi della California
- almeno il 50% delle loro entrate proviene dalla vendita di informazioni personali di residenti in California.
Questi criteri sono alternativi: se uno di essi è soddisfatto, si applica il CCPA. Il CCPA ha anche un effetto extraterritoriale, in quanto può essere applicato alle aziende con sede al di fuori della California e degli Stati Uniti.
Il CCPA si concentra sulle imprese e non si applica per lo più alle agenzie governative e alle organizzazioni non profit. Inoltre, non si applica alle entità coperte da altre leggi sulla privacy, come l'HIPAA.
Che cosa significa il CCPA per le analisi web?
Originariamente il CCPA richiedeva un sistema di opt-in per la vendita di informazioni personali.
Il CCPA definiva la vendita di informazioni personali in termini molto ampi. Tuttavia, alcune aziende sostenevano che la divulgazione di informazioni personali per la pubblicità comportamentale cross-context non costituisse una vendita.
La legislatura della California ha deciso di chiarire il punto con il CPRA. La nuova legge ha esteso il sistema di opt-in previsto dal CCPA alla condivisione delle informazioni personali e ha chiarito che la condivisione delle informazioni include la pubblicità comportamentale cross-context.
In sostanza, la pubblicità comportamentale cross-context richiede il consenso opt-out. Questo era già abbastanza chiaro prima del CPRA e ora è vero senza ombra di dubbio.
D'altra parte, se analizzate il comportamento dei visitatori esclusivamente a scopo di analisi web, il requisito dell'opt-out non si applica.
Google Analytics è conforme al CCPA?
Il CCPA non richiede il consenso opt-in per l'inserimento dei cookie. Tuttavia, i consumatori hanno il diritto di rifiutare la vendita e la condivisione dei loro dati personali.
Il concetto di condivisione dei dati riguarda la pubblicità comportamentale cross-context, ossia la profilazione e la pubblicità effettuata da un'azienda sulla base di informazioni raccolte da altri siti web e applicazioni.
Google Analytics esegue questa operazione per impostazione predefinita. È possibile utilizzare Google Analytics in modo conforme, ma è responsabilità del cliente utilizzare lo strumento in modo lecito.
Se utilizzate Google Analytics, avete due alternative per conformarvi alla CCPA:
- fornire ai vostri visitatori l'opzione di opt-out attraverso una pagina "Non vendere o condividere i miei dati".
- attivare l'impostazione di elaborazione limitata dei dati per Google Analytics.
Se si sceglie di limitare l'elaborazione dei dati, potrebbe essere necessario attivare l'impostazione anche per altri servizi Google. Ad esempio, questa impostazione deve essere attivata manualmente per Google Ads (che limiterà la pubblicità sul vostro sito web agli annunci non mirati). Questo elenco di Google chiarisce quali servizi Google supportano l'opzione e se è abilitata per impostazione predefinita.
Sia che decidiate di condividere o meno le informazioni personali, dovete anche fornire un avviso sulla raccolta delle informazioni personali e soddisfare le richieste di accesso e cancellazione delle informazioni dei vostri visitatori.
Come si fa a rendere Google Analytics conforme alla privacy?
Fornire una pagina "Non vendere o condividere".
Il CCPA richiede alle aziende che vendono o condividono dati di rendere disponibile sui loro siti web una pagina "Non vendere o condividere i miei dati".
Il link alla pagina deve essere chiaro e visibile: se è difficile da trovare, il sito web sta violando la legge. Anche l'opzione di opt-out deve essere facilmente disponibile: le aziende non possono richiedere la registrazione o la verifica dell'identità per l'opt-out.
Inoltre, la legge non vi consente di negare funzioni del vostro sito web o servizio agli utenti che si oppongono alla vendita e alla condivisione di dati personali: dovete trattare gli utenti che si oppongono come tutti gli altri.
Naturalmente, la pagina non è solo per fare scena: dovete assicurarvi di disporre di procedure tecniche per onorare le richieste di non vendere o condividere i dati.
Controllo globale della privacy
IlGlobal Privacy Control è uno standard tecnico per le richieste di non tracciamento. Un segnale GPC viene inviato dal browser del visitatore e chiede ai siti web di non vendere o condividere le informazioni del visitatore. Alcuni browser supportano il GPC in modo nativo, mentre altri richiedono un'estensione.
Secondo la legge della California, i segnali GPC devono essere rispettati come se fossero richieste di opt-out. Pertanto, se condividete informazioni personali, dovete smettere di condividerle. Questa regola è già stata applicata in passato contro il rivenditore di cosmetici Sephora.
Si noti che la GPC non rappresenta di per sé una rinuncia alla raccolta dei dati, ma solo alla loro condivisione. Potete ancora raccogliere i dati personali dei visitatori che inviano un segnale GPC se non li vendete o condividete.
Fornire un avviso
I siti web soggetti al CCPA devono informare i visitatori che i loro dati vengono raccolti. L'informazione deve essere fornita al momento della raccolta dei dati o prima.
L'avviso deve informare i visitatori sulle informazioni raccolte e sulle finalità della raccolta. Deve inoltre rimandare all'informativa sulla privacy del sito web (che non coincide con l'informativa stessa). Inoltre, se il sito web condivide le informazioni dei visitatori, deve informarli di ciò e collegarli alla pagina Non vendere o condividere i miei dati.
Questo requisito non dipende dalla vendita o dalla condivisione dei dati: anche se non condividete i dati raccolti, dovete comunque fornire un avviso ai vostri visitatori.
Accogliere le richieste dei consumatori
I consumatori possono chiedere alle aziende informazioni sui dati, compresi i tipi e le fonti delle informazioni personali, le finalità del loro utilizzo e le informazioni sulla divulgazione dei dati. Possono anche richiedere alle aziende di cancellare le loro informazioni.
Se ricevete una di queste richieste, dovete ottemperare entro 45 giorni (prorogabili di altri 45, per un totale di 90 giorni). Per gestire correttamente le richieste, è necessario stabilire in anticipo procedure standard e formare adeguatamente il personale.
Le aziende devono verificare che la richiesta provenga dal consumatore a cui si riferiscono le informazioni personali. A tal fine, possono richiedere ulteriori informazioni personali. Queste informazioni possono essere utilizzate solo per la verifica e non possono essere usate dall'azienda in nessun altro modo.
Come per la fornitura di informazioni, l'obbligo di rispondere alle richieste riguarda anche le aziende che non condividono i dati: se raccogliete informazioni personali di residenti in California, avete l'obbligo di rispondere a tali richieste, indipendentemente dall'uso che fate delle informazioni.
Riflessioni finali
Abbiamo fornito i passi necessari alle aziende per garantire la conformità in relazione all'analisi dei siti web. La conformità alle norme sulla privacy è importante, ma a volte può essere una seccatura. Fortunatamente, esistono prodotti di analisi dei siti web che sono già conformi.
Abbiamo costruito Simple Analytics tenendo conto della privacy. Abbiamo adottato un approccio privacy-by-design e forniamo le informazioni di cui ogni azienda ha bisogno senza utilizzare cookie o raccogliere dati personali. Siamo conformi al 100% alla CCPA. Crediamo che Internet debba essere indipendente e amichevole per i visitatori dei siti web. Se tutto ciò è di vostro gradimento, provateci!