California Consumer Privacy Act / California Privacy Rights Act
La CCPA e la sua successora CPRA conferiscono ai residenti della California ampi diritti sui propri dati personali. Questa legislazione è la legge sulla privacy più rigorosa degli Stati Uniti e ha un impatto sulle aziende di tutto il mondo che intrattengono rapporti commerciali con i consumatori californiani.
Il California Consumer Privacy Act (CCPA) è stato approvato nel 2018 ed è entrato in vigore il 1° gennaio 2020. La legge è stata integrata nel novembre 2020 dal California Privacy Rights Act (CPRA), entrato in vigore il 1° gennaio 2023. Insieme formano il quadro normativo sulla privacy più completo degli Stati Uniti. La legislazione conferisce ai consumatori californiani il diritto di sapere quali dati personali vengono raccolti, di richiederne la cancellazione, di opporsi alla vendita dei propri dati e di non essere discriminati quando esercitano i propri diritti alla privacy. La CPRA ha inoltre istituito la California Privacy Protection Agency (CPPA) come autorità di controllo indipendente.
Aziende con un fatturato lordo annuo superiore a 25 milioni di dollari
Organizzazioni che trattano dati personali di 100.000 o più consumatori californiani
Aziende che ottengono il 50% o più del proprio fatturato dalla vendita o condivisione di dati personali
Filiali di aziende che soddisfano i criteri sopra indicati
Qualsiasi entità che tratti dati personali di consumatori californiani per conto di un'azienda coperta dalla normativa
I consumatori hanno il diritto di sapere quali dati personali vengono raccolti, per quali finalità e con quali terze parti vengono condivisi. Le aziende devono comunicare ciò in modo trasparente attraverso un'informativa sulla privacy.
I consumatori possono richiedere la cancellazione dei propri dati personali. Le aziende devono ottemperare a tale richiesta, salvo alcune eccezioni previste dalla legge.
Le aziende devono fornire un link chiaro 'Non vendere i miei dati personali' sul proprio sito web. Con la CPRA, ciò è stato esteso alla condivisione dei dati per la pubblicità comportamentale cross-context.
Ai sensi della CPRA, i consumatori hanno il diritto di far correggere i dati personali inesatti dall'azienda che li detiene.
La CPRA introduce il concetto di dati personali sensibili e conferisce ai consumatori il diritto di limitarne l'uso e la divulgazione.
Le aziende possono raccogliere solo i dati personali ragionevolmente necessari e proporzionati alla finalità prevista per cui vengono raccolti.
Il Procuratore Generale della California e la CPPA possono imporre sanzioni fino a 2.500 dollari per violazione non intenzionale e 7.500 dollari per violazione intenzionale o violazioni riguardanti minori. Inoltre, i consumatori hanno diritto a un risarcimento da 100 a 750 dollari per incidente in caso di violazioni dei dati causate da misure di sicurezza insufficienti.
Consentr automatizza la conformità CCPA/CPRA così puoi concentrarti sul tuo business.
Consentr riconosce automaticamente il segnale Global Privacy Control (GPC) e rispetta le preferenze di opt-out dei visitatori, come richiesto dalla CCPA/CPRA.
Aggiungete facilmente al vostro sito web un link conforme 'Non vendere i miei dati' che attiva automaticamente le azioni corrette.
Consentr rileva automaticamente se un visitatore proviene dalla California e mostra le notifiche e le opzioni conformi alla CCPA/CPRA.
Gestite facilmente il consenso per l'uso dei dati personali sensibili come richiesto dalla CPRA.
Tutte le richieste di opt-out vengono registrate e documentate in modo sicuro come prova di conformità in caso di eventuali audit.
Consentr vi aiuta a mantenere aggiornata la vostra informativa sulla privacy affinché sia conforme agli ultimi requisiti della CCPA/CPRA.
Sì, se la vostra azienda soddisfa le soglie (fatturato superiore a 25 milioni di dollari, dati di più di 100.000 consumatori californiani, o più del 50% del fatturato dalla vendita di dati) e intrattiene rapporti commerciali con consumatori californiani, siete obbligati a conformarvi alla CCPA/CPRA.
La CPRA è un'estensione e un rafforzamento della CCPA. Le principali novità sono il diritto di rettifica, le restrizioni sui dati sensibili, regole più rigorose per il processo decisionale automatizzato e l'istituzione di un'autorità di controllo indipendente sulla privacy (CPPA).
Il GPC è un'impostazione del browser che consente agli utenti di inviare automaticamente un segnale di opt-out ai siti web. Ai sensi della CCPA/CPRA, le aziende sono obbligate a rispettare questo segnale come una richiesta valida di cessazione della vendita o condivisione dei dati.
Il GDPR richiede il consenso preventivo (opt-in) per la maggior parte del trattamento dei dati, mentre la CCPA funziona con un modello di opt-out. Il GDPR si applica a tutte le organizzazioni che trattano dati dell'UE, mentre la CCPA utilizza delle soglie. Tuttavia, entrambe le leggi conferiscono ai consumatori forti diritti sui propri dati personali.