Che cos'è il California Consumer Privacy Act (CCPA)?

Nel mondo digitale, gli esperti di marketing considerano i dati dei consumatori come il nuovo oro, riconoscendone l'immenso potenziale valore. Tuttavia, nonostante le aziende siano propense a sfruttare questi dati per scopi commerciali, una corrente di pensiero sempre più diffusa insiste sul fatto che i consumatori studiati dai dati dovrebbero poter decidere come le informazioni che hanno generato vanno (o non vanno) utilizzate.

In California, gli obiettivi di questa corrente di pensiero sono stati messi nero su bianco in una legge precisa: il CCPA. La normativa segna un punto a favore dei diritti dei consumatori e della cybersecurity dando allo Stato della California un framework per far rispettare le leggi e i regolamenti sulla data privacy. Offre ai residenti della California un percorso verso il diritto privato di azione, al fine di cercare ricorso legale contro le violazioni dei dati.

Le linee guida del CCPA sono state concepite per accordare ai consumatori californiani una serie di diritti incentrati espressamente sulla privacy dei dati personali e per offrire loro ragionevoli garanzie di sicurezza. Tra questi diritti rientra anche la possibilità di presentare richieste in qualità di consumatori relative ai propri dati cliente. È possibile, ad esempio, richiedere di:

• Impedire la vendita dei propri dati personali a società terze (ovvero, il diritto a impedire la rivendita) attraverso la direttiva cosiddetta "Non vendete i miei dati personali"
   

• Chiedere informazioni su qualsiasi dato personale raccolto (diritto di accesso)
   

• Esigere che tutti i dati raccolti sul consumatore in questione vengano cancellati (diritto all'oblio)

La California Privacy Protection Agency garantisce che anche i residenti della California godano di tutele e vengano informati in modo adeguato sulle modifiche ai dati che li riguardano. Applica inoltre regole antidiscriminatorie che impongono che le persone non possano essere sottomesse o altrimenti penalizzate perché scelgono di esercitare tali diritti.

La maggior parte dei consumatori ha una seppur vaga idea di cosa si intende per "dati personali". Tuttavia, questo termine può assumere molte accezioni diverse, e più di quante si immaginasse inizialmente.

Nel contesto del CCPA, per dati personali si intendono le "informazioni che identificano, si riferiscono, descrivono, possono ragionevolmente essere associate o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, a un particolare consumatore o nucleo familiare".¹

Le linee guida del CCPA riguardano questi esempi specifici di dati personali:

• Nome

• Indirizzo

• Numero di telefono

• Indirizzo e-mail

• Indirizzo IP

• Data di nascita

• Numero di previdenza sociale

• Numero della patente di guida

• Numero di passaporto

• Informazioni relative a conti bancari

• Numeri di carte di credito/debito

• Dati sull'istruzione e titoli di studio

Gli esperti di marketing scoprono che i dati personali diventano ancora più preziosi quando ogni tipo di informazione viene combinato tramite analytics dei dati. Possono usarli per creare visioni composite di particolari consumatori o gruppi di consumatori. Possono anche trarre conclusioni più ampie, ad esempio, sulle tendenze del marketing dei consumatori. Anche altre tipologie di dati, tra quelle raccolte più di frequente, possono essere altrettanto rivelatrici. È il caso ad esempio di:

• Preferenze di acquisto dei consumatori

• Cronologia di navigazione personale

• Atteggiamenti personali articolati

• Comportamenti personali specifici

Un'altra area di interesse riguarda i cookie e il modo in cui vengono utilizzati come identificatori univoci dai siti web. Questo include i cookie di prima parte, progettati per cancellarsi automaticamente una volta terminato il loro scopo commerciale. Esistono poi i cookie di terze parti, che non si cancellano automaticamente. I cookie di terze parti hanno la funzionalità di raccogliere vari tipi di dati personali, incluse informazioni personali sensibili.

Poiché i siti web potrebbero utilizzare i cookie di terze parti in maniera impropria, il CCPA considera i dati raccolti su un sito web attraverso l'uso dei cookie come PI, e dunque come informazioni da proteggere.

La maggior parte delle organizzazioni interessate concepisce la conformità al CCPA non come un singolo passaggio, ma come un processo. Il primo passo spesso comporta un cambio di paradigma nell'approccio al consumatore: in sostanza, bisogna rendersi conto che le esigenze di privacy dei consumatori sono importanti e tutelate dalla legge con diritti azionabili.

Per mantenersi conformi al CCPA, occorre tutelare i consumatori californiani fornendo loro varie opzioni per scegliere come dovrà essere gestito l'inventario dei loro dati personali (come le scelte di opt-in). Occorre inoltre mantenersi aggiornati sulle eventuali modifiche apportate al CCPA per tenere il passo con le nuove tecnologie (come la biometria) e sulle revisioni dei criteri.

Per diventare conformi al CCPA, è necessario seguire una serie di passaggi il cui completamento può richiedere sei mesi o addirittura un anno. Tuttavia, ciascuno di essi svolge un ruolo fondamentale nel garantire la conformità al CCPA (dato che alcuni requisiti di conformità possono essere soddisfatti contemporaneamente, utilizziamo elenchi puntati anziché numeri per indicare i passaggi).

Il primo passo è farsi un'idea precisa di quali dati sui consumatori sono stati raccolti e catalogarne le varie posizioni. Questo riguarda sia i dati sui consumatori "esterni" relativi ai clienti esterni all'azienda, appunto, sia i dati sui consumatori raccolti "internamente" a proposito di dipendenti e candidati alle posizioni aperte.

È essenziale conservare in un luogo sicuro tutti i dati personali raccolti, siano essi provenienti da consumatori o da candidati a un posto di lavoro. Per quanto concerne le informazioni riguardanti i minori, poi, esistono ulteriori misure di protezione da rispettare.

A tutti i consumatori (o anche ai lavoratori dell'azienda e alle persone in cerca di lavoro) deve essere presentata una "informativa al momento della raccolta". È importante ricordare che questa informativa sulla privacy deve essere comunicata prima o durante l'inizio delle attività di raccolta dei dati, ma non dopo.

Ormai quasi tutte le organizzazioni hanno una propria politica dettagliata sulla privacy dei dati, spesso pubblicata sul proprio sito web.

È inoltre importante configurare mezzi efficaci e tempestivi per gestire le eventuali richieste relative alle informazioni dei consumatori.

È bene sviluppare e implementare regole per la riduzione al minimo dei dati, al fine di assicurarsi che l'organizzazione raccolga solo la quantità di PI strettamente necessaria per conseguire una determinata finalità. Le organizzazioni dovrebbero inoltre considerare i possibili pericoli per i consumatori in caso di violazione dei dati raccolti e implementare misure preventive adeguate (come ad esempio la cancellazione automatica dei dati raccolti dopo il loro utilizzo).

Un aspetto chiave per raggiungere la conformità è assicurarsi che i manager e tutti i dipendenti dell'azienda siano a conoscenza dei requisiti stabiliti nel CCPA, e in particolare di quelli che incidono direttamente sul loro ambito di lavoro. Per aggiornare le conoscenze del personale è poi possibile ricorrere a sessioni di formazione e webinar.

Leggi e regolamenti sono spesso soggetti a modifiche ed emendamenti. Lo stesso CCPA è stato sottoposto a revisioni, per poi essere ripubblicato nel 2023. È quindi buona norma rimanere aggiornati sugli sviluppi del CCPA.

Il data brokerage, ovvero la compravendita di PI, è un business in forte espansione, che secondo gli esperti valeva a livello globale 240 miliardi di dollari già nel 2021. Entro la fine del decennio, poi, il giro d'affari potrebbe quasi raddoppiare e attestarsi su oltre 450 miliardi di dollari l'anno.²

Un bene prezioso come i dati deve essere protetto risolutamente. È per questo che alla California Privacy Protection Agency (CPPA) è consentito di sanzionare economicamente le aziende che violano le disposizioni del CCPA. Le sanzioni previste dal CCPA sono limitate a un importo relativamente basso, pari a 2.500 USD per un contatto illecito non intenzionale o a 7.500 USD per una violazione intenzionale. Vale la pena notare che queste sanzioni del CCPA si applicano a un singolo reato, come una violazione dei dati che coinvolge una sola persona.

Nella vita reale, però, le violazioni dei dati raramente riguardano una sola parte colpita. Quasi sempre si tratta invece di eventi di massa che coinvolgono migliaia o addirittura centinaia di migliaia di consumatori. Quindi, se si moltiplicano le possibili sanzioni previste dal CCPA per un gran numero di residenti in California, il totale può raggiungere facilmente cifre da capogiro.

Va comunque detto che il CCPA offre alle aziende inadempienti la possibilità di evitare queste pesanti multe, poiché concede ai trasgressori un periodo di grazia di 30 giorni per rimediare all'errore commesso. Se un trasgressore riesce a migliorare le proprie misure di sicurezza e a "risolvere" il problema entro un mese, la sanzione può essere revocata. Ovviamente, le aziende sono finanziariamente obbligate a porre rimedio al reato commesso, ma questo non è sempre facile o possibile. Questo perché reati come la violazione dei dati spesso comportano divulgazioni di dati che non possono essere annullate.

L'ambito di applicazione del CCPA continua a espandersi ed evolversi per tenere il passo con il proliferare di nuove tecnologie, come l'Internet delle cose (IoT).

Ad esempio, la CPPA ha recentemente annunciato una nuova area di interesse: i veicoli "connessi" (CV) dotati di meccanismi di raccolta dati. I veicoli moderni hanno i mezzi per raccogliere e trasmettere una quantità notevole di informazioni sui conducenti e dati di geolocalizzazione. La California ha più di 35 milioni di veicoli registrati, il che rende l'impresa enorme. Tuttavia, secondo il direttore esecutivo della CPPA, non si può ignorare questa nuova esigenza.

"I veicoli moderni sono di fatto computer connessi a Internet, ma su ruote", ha dichiarato Soltani nel luglio 2023. "Sono in grado di raccogliere una grande quantità di informazioni tramite le app, i sensori e le telecamere integrati, che possono monitorare le persone sia all'interno che in prossimità del veicolo".³

È degna di nota l'espressione "in prossimità del veicolo". Questo implica che non solo i dati dei conducenti sono protetti, ma anche quelli di tutti coloro che potrebbero essere a bordo di quell'auto e persino delle persone che camminano vicino al veicolo. Le telecamere di bordo dei veicoli possono catturare immagini momentanee di queste persone.

Questo annuncio sembra significativo anche perché dimostra che il CCPA utilizza la sua autorità per proteggere i dati personali generati dall'IoT, in questo caso dai veicoli connessi. E potrebbe rivelarsi ancora più significativo, se fosse un segnale dell'intenzione, da parte dell'agenzia, di pronunciarsi su un numero crescente di casi riguardanti questioni legate all'IoT nei prossimi anni.

Quando, nel maggio 2018, ha emanato il Regolamento generale sulla protezione dei dati (GDPR), l'Unione Europea (UE) ha approvato il quadro più proattivo possibile per la protezione delle informazioni personali e/o dei consumatori. Il CCPA, dal canto suo, è noto come la più rigorosa politica sulla privacy dei dati in vigore negli Stati Uniti. È quindi naturale che alcuni osservatori vogliano sapere quali sono le differenze (e le analogie) tra le due normative.

Sotto molti aspetti, il GDPR e il CCPA si somigliano da vicino. Entrambi ad esempio:

• Si basano sulla volontà di proteggere il singolo cittadino e conferirgli poteri riguardo ai suoi dati
   

• Garantiscono al consumatore il diritto di opporsi alla raccolta dei dati e di chiederne la correzione se sono errati
   

• Danno al consumatore il diritto di accedere alle proprie informazioni personali, trasferirle o, se vogliono, cancellarle definitivamente
   

• Chiedono che i consumatori siano informati personalmente nel caso in cui la sicurezza dei dati raccolti che li riguardano venga compromessa

Certo, esistono anche delle differenze. Il GDPR prevede requisiti per i trasferimenti transfrontalieri che non sono necessari in un'entità come la California, corrispondente a un singolo Stato. Di contro, il CCPA applica restrizioni alla vendita di PI che invece non sono previste nel GDPR.

Detto questo, tra il GDPR e il CCPA ci sono più somiglianze che differenze. Entrambi gli standard affrontano sfide legate ai rischi di terze parti. Questa sfida si presenta quando un'azienda esternalizza essenzialmente la gestione dei dati personali a un'impresa esterna. Tale società terza deve quindi essere pronta e legalmente in grado di assumersi le stesse responsabilità basate sul CCPA per le PI. Si tratta delle stesse responsabilità che l'azienda originale ha assunto dopo aver raccolto o acquistato originariamente i dati in questione. Sia il CCPA che il GDPR richiedono alle aziende di comunicare le categorie di terze parti con cui condividono le informazioni, quali informazioni condividono con ciascuna e perché.

Il GDPR e il CCPA hanno anche un altro importante tratto in comune: la possibilità di comminare pesanti pene finanziarie a fornitori di servizi e altre aziende che violano le norme, come ci ha ricordato di recente la più alta sanzione pecuniaria mai elevata per violazione della privacy dei dati.

Nel maggio 2023, la Commissione irlandese per la protezione dei dati (DPC) ha imposto una multa record di 1,2 miliardi di EURO (circa 1,3 miliardi di USD) a Meta (ex Facebook). Questa multa è stata comminata per l'utilizzo illegale di dati europei all'interno delle sue attività americane, che comprendono Instagram.