Il CCPA si colloca a metà strada tra la legge sui consumatori e la legge sulla privacy. Questo crea un po' di confusione su quali siano le informazioni personali a cui si applica la legge. Si applica a tutte le aziende? Si applica ai dati dei dipendenti e alle transazioni tra aziende? E per quanto riguarda le organizzazioni non profit?
- Il CCPA si applica a tutte le aziende?
- Il CCPA si applica solo alle aziende della California?
- Il CCPA si applica ai non residenti?
- Il CCPA si applica ai dipendenti e alle transazioni business-to-business?
- Il CCPA si applica alle organizzazioni non profit?
- Conclusioni
Scopriamolo!
Il CCPA si applica a tutte le aziende?
No. Il CCPA si applica solo alle aziende di grandi dimensioni o ad alta intensità di dati.
Più precisamente, il CCPA si applica alle aziende che operano in California e che:
- hanno un fatturato annuo lordo superiore a 25 milioni di dollari
- acquistano, vendono o condividono le informazioni personali di 100.000 o più residenti, famiglie o dispositivi della California
- realizzano la metà o più dei loro ricavi dalla vendita di informazioni personali di residenti in California.
Questa regola è piuttosto complessa, quindi vediamo di analizzarla.
L'obbligo di operare in California è obbligatorio. Se non svolgete attività commerciali in California, il CCPA non si applica a voi.
D'altro canto, i criteri 1, 2 e 3 sono alternativi. Ad esempio, se un'azienda opera in California e metà del suo fatturato proviene dalla vendita di informazioni personali di residenti in California, il CCPA si applica indipendentemente dalle dimensioni e dal fatturato annuale dell'azienda.
Il CCPA si applica solo alle aziende della California?
No. Il CCPA si applica alle aziende che operano in California, purché sia soddisfatto uno qualsiasi degli altri criteri. Quindi, una multinazionale con un fatturato miliardario deve rispettare il CCPA se opera in California, sia che abbia sede in California, nel Delaware o in Francia.
Questo è ciò che gli avvocati definiscono portata extraterritoriale della legge sulla privacy. La portata extraterritoriale è molto comune nella legge sulla privacy, e per una buona ragione. Internet non ha confini fisici, quindi i dati personali circolano spesso tra le varie giurisdizioni. Se la portata delle leggi sulla privacy fosse limitata, la maggior parte delle sue protezioni diventerebbe inefficace.
Basti pensare a quante Big Tech statunitensi forniscono quotidianamente i vostri dati personali. Se Google e Apple potessero ignorare completamente il GDPR, che senso avrebbe imporre ogni sorta di regole e requisiti alle organizzazioni europee?
Il CCPA si applica ai non residenti?
No, il CCPA non si applica ai dati personali dei non residenti. Solo i residenti in California hanno i diritti previsti dal CCPA. Questo è un peccato perché i giganti della Silicon Valley trattano enormi quantità di informazioni personali di non residenti in tutto il mondo.
Questo è in netto contrasto con il GDPR, perché le persone hanno diritti ai sensi del GDPR indipendentemente dal luogo in cui si trovano e vivono. Se un'azienda italiana tratta dati personali di residenti in California, questi ultimi hanno gli stessi diritti previsti dal GDPR dei cittadini italiani o olandesi.
Il CCPA si applica ai dipendenti e alle transazioni business-to-business?
Sì, il CCPA si applica sia ai dati dei dipendenti sia ai dati personali che riflettono le transazioni business-to-business (B2B).
Queste categorie di informazioni personali non rientravano originariamente nel CCPA perché la legge prevedeva esenzioni temporanee. Tali esenzioni sono scadute nel 2022 e non sono state rinnovate. Di conseguenza, queste informazioni personali rientrano nel CCPA dal 2023.
Il CCPA si applica alle organizzazioni non profit?
Come regola generale, il CCPA non si applica alle organizzazioni non profit.
Tuttavia, possono esserci delle eccezioni per le organizzazioni non profit che sono strettamente collegate a un'azienda. Il CCPA prevede requisiti precisi in tal senso:
- un'azienda possiede il 50% o più dei titoli con diritto di voto di un'entità, o controlla almeno il 50% del potere di voto;
- l'entità e l'azienda condividono un marchio comune;
- l'azienda condivide le informazioni personali dei consumatori con l'altra entità.
Questi criteri sono in realtà parte della definizione di azienda ai sensi del CCPA. Pertanto, se un'entità soddisfa questi criteri, è considerata un'azienda ai sensi del CCPA ed è soggetta agli stessi obblighi di un'azienda ai sensi della legge, indipendentemente dal fatto che operi a scopo di lucro o meno.
Questi criteri sono complessivamente piuttosto rigidi. In pratica, la maggior parte delle organizzazioni non profit può essere certa che il CCPA non si applichi a loro, anche se questa non è una scusa per essere pigri e non rispettare la privacy!
Conclusioni
Speriamo che questo vi abbia aiutato a capire un po' meglio il CCPA. Ci piace spiegare la legge sulla privacy perché ci teniamo alla privacy. Ecco perché abbiamo costruito Simple Analytics per fornire alle aziende tutti gli approfondimenti di cui hanno bisogno, senza raccogliere dati personali o tracciare i visitatori! Se vi sembra una buona idea, non esitate a provarci!