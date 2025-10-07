Quando, nel maggio 2018, ha emanato il Regolamento generale sulla protezione dei dati (GDPR), l'Unione Europea (UE) ha approvato il quadro più proattivo possibile per la protezione delle informazioni personali e/o dei consumatori. Il CCPA, dal canto suo, è noto come la più rigorosa politica sulla privacy dei dati in vigore negli Stati Uniti. È quindi naturale che alcuni osservatori vogliano sapere quali sono le differenze (e le analogie) tra le due normative.

Sotto molti aspetti, il GDPR e il CCPA si somigliano da vicino. Entrambi ad esempio:

Si basano sulla volontà di proteggere il singolo cittadino e conferirgli poteri riguardo ai suoi dati



Garantiscono al consumatore il diritto di opporsi alla raccolta dei dati e di chiederne la correzione se sono errati



Danno al consumatore il diritto di accedere alle proprie informazioni personali, trasferirle o, se vogliono, cancellarle definitivamente



Chiedono che i consumatori siano informati personalmente nel caso in cui la sicurezza dei dati raccolti che li riguardano venga compromessa

Certo, esistono anche delle differenze. Il GDPR prevede requisiti per i trasferimenti transfrontalieri che non sono necessari in un'entità come la California, corrispondente a un singolo Stato. Di contro, il CCPA applica restrizioni alla vendita di PI che invece non sono previste nel GDPR.

Detto questo, tra il GDPR e il CCPA ci sono più somiglianze che differenze. Entrambe le normative devono affrontare la spinosa questione dei rischi di terzi, in cui un'azienda essenzialmente affida la gestione dei dati personali a una società esterna. Quando questo accade, la società esterna deve essere pronta e legalmente in grado di assumersi le stesse responsabilità in fatto di PI che il CCPA prevede per l'azienda originaria, una volta raccolti o acquistati i dati in questione. Sia il CCPA che il GDPR richiedono alle aziende di comunicare le categorie di terze parti con cui condividono le informazioni, quali informazioni condividono con ciascuna e perché.

Il GDPR e il CCPA hanno anche un altro importante tratto in comune: la possibilità di comminare pesanti pene finanziarie a fornitori di servizi e altre aziende che violano le norme, come ci ha ricordato di recente la più alta sanzione pecuniaria mai elevata per violazione della privacy dei dati.

Nel maggio 2023, la Commissione irlandese per la protezione dei dati (DPC) ha imposto una multa record da 1,2 miliardi di euro (circa 1,3 miliardi di dollari) contro Meta (la società precedentemente nota come Facebook) per aver utilizzato illegalmente dati europei all'interno dei suoi rami d'azienda americani, fra cui Instagram.