Il California Consumer Privacy Act (CCPA) è una legge dello Stato della California entrata in vigore nel 2020, che protegge e fa valere i diritti dei californiani in fatto di privacy delle informazioni personali (PI) dei consumatori.
Nel mondo digitale, i dati dei consumatori sono considerati il nuovo oro: una sostanza dall'immenso valore potenziale per gli esperti di marketing. Tuttavia, nonostante le aziende siano propense a sfruttare questi dati per scopi commerciali, una corrente di pensiero sempre più diffusa insiste sul fatto che i consumatori studiati dai dati dovrebbero poter decidere come le informazioni che hanno generato vanno (o non vanno) utilizzate.
In California, gli obiettivi di questa corrente di pensiero sono stati messi nero su bianco in una legge precisa: il CCPA. La normativa segna un punto a favore dei diritti dei consumatori e della cybersecurity, fornendo allo Stato della California un quadro giuridico adatto all'applicazione delle leggi e dei regolamenti sulla privacy dei dati e offrendo ai cittadini la possibilità di intraprendere azioni legali private in caso di violazione dei dati.
Le linee guida del CCPA sono state concepite per accordare ai consumatori californiani una serie di diritti incentrati espressamente sulla privacy dei dati personali e per offrire loro ragionevoli garanzie di sicurezza. Tra questi diritti rientra anche la possibilità di presentare richieste in qualità di consumatori relative ai propri dati cliente. È possibile, ad esempio, richiedere di:
Impedire la vendita dei propri dati personali a società terze (ovvero, il diritto a impedire la rivendita) attraverso la direttiva cosiddetta "Non vendete i miei dati personali"
Chiedere informazioni su qualsiasi dato personale raccolto (diritto di accesso)
Esigere che tutti i dati raccolti sul consumatore in questione vengano cancellati (diritto all'oblio)
Inoltre, grazie alla California Privacy Protection Agency, i residenti in California godono di protezioni volte a garantire che siano adeguatamente informati delle modifiche apportate ai dati che li riguardano e beneficiano di norme antidiscriminatorie secondo le quali nessuno può essere sottomesso o altrimenti penalizzato perché sceglie di esercitare i propri diritti in materia di dati personali.
La maggior parte dei consumatori ha una seppur vaga idea di cosa si intende per "dati personali". Tuttavia, questo termine può assumere molte accezioni diverse, e più di quante si immaginasse inizialmente.
Nel contesto del CCPA, per dati personali si intendono le "informazioni che identificano, si riferiscono, descrivono, possono ragionevolmente essere associate o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, a un particolare consumatore o nucleo familiare".1
Le linee guida del CCPA riguardano i seguenti esempi specifici di dati personali:
Nome
Indirizzo
Numero di telefono
Indirizzo e-mail
Indirizzo IP
Data di nascita
Numero di previdenza sociale
Numero della patente di guida
Numero di passaporto
Informazioni relative a conti bancari
Numeri di carte di credito/debito
Dati sull'istruzione e titoli di studio
Nell'ambito del marketing, i dati personali diventano ancora più preziosi se ciascun tipo di informazione può essere combinato ad altri attraverso l'analytics dei dati, in modo da creare visualizzazioni composite di particolari consumatori o gruppi di consumatori e trarre così inferenze più ampie sulle tendenze nel consumer marketing, ad esempio. Anche altre tipologie di dati, tra quelle raccolte più di frequente, possono essere altrettanto rivelatrici. È il caso ad esempio di:
Preferenze di acquisto dei consumatori
Cronologia di navigazione personale
Atteggiamenti personali articolati
Comportamenti personali specifici
Un'altra area di interesse riguarda i cookie e il modo in cui vengono utilizzati come identificatori univoci dai siti web. Nella definizione di cookie rientrano i cookie proprietari (progettati per cancellarsi automaticamente una volta conseguita la loro finalità commerciale), così come i cookie di terze parti (che non si cancellano automaticamente e sono in grado di raccogliere vari tipi di dati personali, inclusi dati personali sensibili).
Poiché i siti web potrebbero utilizzare i cookie di terze parti in maniera impropria, il CCPA considera i dati raccolti su un sito web attraverso l'uso dei cookie come PI, e dunque come informazioni da proteggere.
La maggior parte delle organizzazioni interessate concepisce la conformità al CCPA non come un singolo passaggio, ma come un processo. Il primo passo spesso comporta un cambio di paradigma nell'approccio al consumatore: in sostanza, bisogna rendersi conto che le esigenze di privacy dei consumatori sono importanti e tutelate dalla legge con diritti azionabili.
Per mantenersi conformi al CCPA, occorre tutelare i consumatori californiani fornendo loro varie opzioni per scegliere come dovrà essere gestito l'inventario dei loro dati personali (come le scelte di opt-in). Occorre inoltre mantenersi aggiornati sulle eventuali modifiche apportate al CCPA per tenere il passo con le nuove tecnologie (come la biometria) e sulle revisioni dei criteri.
Per diventare conformi al CCPA, è necessario seguire una serie di passaggi il cui completamento può richiedere sei mesi o addirittura un anno. Tuttavia, ciascuno di essi svolge un ruolo fondamentale nel garantire la conformità al CCPA (poiché alcuni requisiti di conformità possono essere attuati contemporaneamente, le fasi sono indicate con punti elenco e non con numeri).
Il primo passo è farsi un'idea precisa di quali dati sui consumatori sono stati raccolti e catalogarne le varie posizioni. Questo riguarda sia i dati sui consumatori "esterni" relativi ai clienti esterni all'azienda, appunto, sia i dati sui consumatori raccolti "internamente" a proposito di dipendenti e candidati alle posizioni aperte.
È essenziale conservare in un luogo sicuro tutti i dati personali raccolti, siano essi provenienti da consumatori o da candidati a un posto di lavoro. Per quanto concerne le informazioni riguardanti i minori, poi, esistono ulteriori misure di protezione da rispettare.
A tutti i consumatori (o anche ai lavoratori dell'azienda e alle persone in cerca di lavoro) deve essere presentata una "informativa al momento della raccolta". È importante ricordare che questa informativa sulla privacy deve essere comunicata prima o durante l'inizio delle attività di raccolta dei dati, ma non dopo.
Ormai quasi tutte le organizzazioni hanno una propria politica dettagliata sulla privacy dei dati, spesso pubblicata sul proprio sito web.
È inoltre importante configurare mezzi efficaci e tempestivi per gestire le eventuali richieste relative alle informazioni dei consumatori.
È bene sviluppare e implementare regole per la riduzione al minimo dei dati, al fine di assicurarsi che l'organizzazione raccolga solo la quantità di PI strettamente necessaria per conseguire una determinata finalità. Le organizzazioni dovrebbero inoltre considerare i possibili pericoli per i consumatori in caso di violazione dei dati raccolti e implementare misure preventive adeguate (come ad esempio la cancellazione automatica dei dati raccolti dopo il loro utilizzo).
Un aspetto chiave per raggiungere la conformità è assicurarsi che i manager e tutti i dipendenti dell'azienda siano a conoscenza dei requisiti stabiliti nel CCPA, e in particolare di quelli che incidono direttamente sul loro ambito di lavoro. Per aggiornare le conoscenze del personale è poi possibile ricorrere a sessioni di formazione e webinar.
Leggi e regolamenti sono spesso soggetti a modifiche ed emendamenti. Lo stesso CCPA è stato sottoposto a revisioni, per poi essere ripubblicato nel 2023. È quindi buona norma rimanere aggiornati sugli sviluppi del CCPA.
Il data brokerage, ovvero la compravendita di PI, è un business in forte espansione, che secondo gli esperti valeva a livello globale 240 miliardi di dollari già nel 2021. Entro la fine del decennio, poi, il giro d'affari potrebbe quasi raddoppiare e attestarsi su oltre 450 miliardi di dollari l'anno.2
Un bene prezioso come i dati deve essere protetto risolutamente. È per questo che alla California Privacy Protection Agency (CPPA) è consentito di sanzionare economicamente le aziende che violano le disposizioni del CCPA. Il CCPA prevede un tetto massimo relativamente basso per le sanzioni (2.500 dollari per un contatto illecito ma che si rivela non intenzionale o 7.500 dollari per una violazione intenzionale), ma vale la pena notare che tali sanzioni si applicano a una singola infrazione, ossia a una violazione che riguarda i dati di una sola persona.
Nella vita reale, però, le violazioni dei dati raramente riguardano una sola parte colpita. Quasi sempre si tratta invece di eventi di massa che coinvolgono migliaia o addirittura centinaia di migliaia di consumatori. Quindi, se si moltiplicano le possibili sanzioni previste dal CCPA per un gran numero di residenti in California, il totale può raggiungere facilmente cifre da capogiro.
Va comunque detto che il CCPA offre alle aziende inadempienti la possibilità di evitare queste pesanti multe, poiché concede ai trasgressori un periodo di grazia di 30 giorni per rimediare all'errore commesso. Se un trasgressore riesce a migliorare le proprie misure di sicurezza e a "risolvere" il problema entro un mese, la sanzione può essere revocata. Ovviamente, le aziende sono finanziariamente obbligate a porre rimedio al reato commesso, ma questo non è sempre facile o possibile, considerando che i reati come le violazioni dei dati comportano spesso conseguenze irreversibili, come la divulgazione dei dati trafugati.
L'ambito di applicazione del CCPA continua a espandersi ed evolversi per tenere il passo con il proliferare di nuove tecnologie, come l'Internet delle cose (IoT).
Ad esempio, la CPPA ha recentemente annunciato una nuova area di interesse: i veicoli "connessi" (CV) dotati di meccanismi di raccolta dati. I veicoli moderni hanno i mezzi per raccogliere e trasmettere una quantità notevole di informazioni sui conducenti e dati di geolocalizzazione. Considerando che in California sono immatricolati più di 35 milioni di automezzi, l'impresa si prospetta ardua. Tuttavia, secondo Ashkan Soltani, direttore esecutivo della CPPA, non si può ignorare questa nuova esigenza.
"I veicoli moderni sono di fatto computer connessi a Internet, ma su ruote", ha dichiarato Soltani nel luglio 2023. "Sono in grado di raccogliere una grande quantità di informazioni tramite le app, i sensori e le telecamere integrati, che possono monitorare le persone sia all'interno che in prossimità del veicolo".3
L'espressione "in prossimità del veicolo" è degna di nota, perché implica che sono protetti i dati non solo dei conducenti, ma anche di chiunque si trovi a bordo del mezzo e persino di chi si trova semplicemente a camminare nelle vicinanze e viene momentaneamente ripreso dalle telecamere di bordo.
L'annuncio è importante anche perché utilizza l'autorità del CCPA per proteggere i dati personali generati dall'IoT, in questo caso attraverso i veicoli connessi. E potrebbe rivelarsi ancora più significativo, se fosse un segnale dell'intenzione, da parte dell'agenzia, di pronunciarsi su un numero crescente di casi riguardanti questioni legate all'IoT nei prossimi anni.
Quando, nel maggio 2018, ha emanato il Regolamento generale sulla protezione dei dati (GDPR), l'Unione Europea (UE) ha approvato il quadro più proattivo possibile per la protezione delle informazioni personali e/o dei consumatori. Il CCPA, dal canto suo, è noto come la più rigorosa politica sulla privacy dei dati in vigore negli Stati Uniti. È quindi naturale che alcuni osservatori vogliano sapere quali sono le differenze (e le analogie) tra le due normative.
Sotto molti aspetti, il GDPR e il CCPA si somigliano da vicino. Entrambi ad esempio:
Si basano sulla volontà di proteggere il singolo cittadino e conferirgli poteri riguardo ai suoi dati
Garantiscono al consumatore il diritto di opporsi alla raccolta dei dati e di chiederne la correzione se sono errati
Danno al consumatore il diritto di accedere alle proprie informazioni personali, trasferirle o, se vogliono, cancellarle definitivamente
Chiedono che i consumatori siano informati personalmente nel caso in cui la sicurezza dei dati raccolti che li riguardano venga compromessa
Certo, esistono anche delle differenze. Il GDPR prevede requisiti per i trasferimenti transfrontalieri che non sono necessari in un'entità come la California, corrispondente a un singolo Stato. Di contro, il CCPA applica restrizioni alla vendita di PI che invece non sono previste nel GDPR.
Detto questo, tra il GDPR e il CCPA ci sono più somiglianze che differenze. Entrambe le normative devono affrontare la spinosa questione dei rischi di terzi, in cui un'azienda essenzialmente affida la gestione dei dati personali a una società esterna. Quando questo accade, la società esterna deve essere pronta e legalmente in grado di assumersi le stesse responsabilità in fatto di PI che il CCPA prevede per l'azienda originaria, una volta raccolti o acquistati i dati in questione. Sia il CCPA che il GDPR richiedono alle aziende di comunicare le categorie di terze parti con cui condividono le informazioni, quali informazioni condividono con ciascuna e perché.
Il GDPR e il CCPA hanno anche un altro importante tratto in comune: la possibilità di comminare pesanti pene finanziarie a fornitori di servizi e altre aziende che violano le norme, come ci ha ricordato di recente la più alta sanzione pecuniaria mai elevata per violazione della privacy dei dati.
Nel maggio 2023, la Commissione irlandese per la protezione dei dati (DPC) ha imposto una multa record da 1,2 miliardi di euro (circa 1,3 miliardi di dollari) contro Meta (la società precedentemente nota come Facebook) per aver utilizzato illegalmente dati europei all'interno dei suoi rami d'azienda americani, fra cui Instagram.
