Il California Consumer Privacy Act (CCPA), in vigore dal 1° gennaio 2020 e significativamente esteso dal California Privacy Rights Act (CPRA) nel 2023, è una delle leggi sulla privacy a livello statale più complete degli Stati Uniti. Mentre il GDPR si concentra sui residenti europei, il CCPA/CPRA conferisce ai consumatori californiani ampi diritti sulle loro informazioni personali e impone obblighi rigorosi alle aziende che le raccolgono e le elaborano.

Che cos’è il CCPA/CPRA?

Il CCPA (e il suo successore, il CPRA) è una legge pionieristica sulla privacy che concede ai residenti della California (consumatori) nuovi diritti riguardo alle loro informazioni personali. A differenza del GDPR, che si concentra sulla base legale per il trattamento, il CCPA/CPRA riguarda maggiormente il controllo e la trasparenza del consumatore riguardo a come le aziende gestiscono i loro dati.

Si applica generalmente alle aziende a scopo di lucro che raccolgono informazioni personali dai residenti della California e soddisfano una o più delle seguenti soglie:

• Ha un fatturato annuo lordo superiore a 25 milioni di dollari.
• Acquista, riceve o vende le informazioni personali di 100.000 o più consumatori o famiglie della California.
• Deriva il 50% o più del suo fatturato annuo dalla vendita o dalla condivisione delle informazioni personali dei consumatori della California.

Le “informazioni personali” ai sensi del CCPA/CPRA sono definite in modo molto ampio per includere qualsiasi cosa che identifichi, si riferisca a, descriva, sia ragionevolmente in grado di essere associata a, o possa essere ragionevolmente collegata, direttamente o indirettamente, a un particolare consumatore o famiglia.

Diritti Chiave del Consumatore ai sensi del CCPA/CPRA

Il CCPA/CPRA concede ai consumatori della California diversi diritti potenti:

1. Diritto di Conoscere: I consumatori hanno il diritto di chiedere a un’azienda di divulgare le categorie e gli specifici elementi di informazioni personali che ha raccolto, le categorie di fonti da cui vengono raccolte le informazioni personali, gli scopi della raccolta o della vendita di informazioni personali e le categorie di terze parti con cui l’azienda condivide le informazioni personali.
2. Diritto di Cancellazione: I consumatori hanno il diritto di chiedere la cancellazione delle informazioni personali raccolte dall’azienda.
3. Diritto di Opt-Out dalla Vendita/Condivisione: Questo è un pilastro del CCPA/CPRA. I consumatori hanno il diritto di indirizzare un’azienda che vende o “condivide” (per la pubblicità comportamentale cross-contestuale) informazioni personali a terze parti a non vendere o condividere le proprie informazioni personali. Le aziende devono fornire un link chiaro “Non vendere o condividere le mie informazioni personali” sulla loro homepage.
4. Diritto di Rettifica: I consumatori possono chiedere alle aziende di correggere le informazioni personali inesatte.
5. Diritto di Limitare l’Uso e la Divulgazione delle Informazioni Personali Sensibili: I consumatori possono indirizzare le aziende a limitare l’uso e la divulgazione delle loro “informazioni personali sensibili” (ad esempio, geolocalizzazione precisa, origine razziale o etnica, dati sulla salute) solo a quanto necessario per eseguire i servizi o fornire i beni richiesti.
6. Diritto alla Non Discriminazione: Le aziende non possono discriminare un consumatore per aver esercitato i propri diritti CCPA/CPRA.

Implicazioni per le Aziende

La conformità al CCPA/CPRA richiede un cambiamento significativo nelle pratiche di gestione dei dati per molte aziende. I requisiti chiave includono:

• Fornire informative sulla privacy chiare e ben visibili che dettagliano la raccolta e il trattamento dei dati.
• Implementare meccanismi per i consumatori per presentare richieste di accesso del soggetto interessato (DSAR) per i loro diritti.
• Riconoscere e onorare i segnali di controllo globale della privacy, come il segnale del browser Global Privacy Control (GPC).
• Assicurarsi che i fornitori di servizi e i contraenti terzi rispettino anche le regole del CCPA/CPRA quando gestiscono i dati dei consumatori per conto dell’azienda.

La non conformità può comportare sanzioni significative, inclusi danni statutari da $100 a $750 per consumatore per incidente per violazioni intenzionali o per la mancata correzione delle violazioni dopo la notifica, nonché danni reali per i consumatori. L’applicazione è eseguita dalla California Privacy Protection Agency (CPPA) e dal Procuratore Generale della California.

---

Il Ruolo Critico degli Strumenti di Consenso e Opt-Out nella Conformità Moderna al CCPA/CPRA

Il raggiungimento di una vera conformità al CCPA/CPRA, in particolare mantenendo un marketing digitale e un’analisi efficaci, richiede l’integrazione perfetta di strumenti specializzati: una solida Piattaforma di Gestione del Consenso (CMP) e la conformità con i segnali delle principali piattaforme pubblicitarie.

1. La Piattaforma di Gestione del Consenso (CMP) – es. FitConsent

Una CMP come FitConsent è essenziale per implementare i diritti del consumatore previsti dal CCPA/CPRA. Le sue funzioni principali includono:

• Facilitare gli Opt-Out: Una CMP aiuta le aziende a visualizzare il link obbligatorio “Non vendere o condividere le mie informazioni personali” e gestisce i meccanismi sottostanti per onorare tali richieste, garantendo che i dati non vengano venduti o condivisi dopo un opt-out.
• Gestione delle Preferenze dell’Utente: Oltre ai semplici opt-out, una CMP consente un controllo più granulare, in particolare per limitare l’uso di informazioni personali sensibili, allineandosi ai requisiti estesi del CPRA.
• Risposta alle DSAR (Richieste di Accesso del Soggetto Interessato): Sebbene non esegua direttamente la cancellazione, una CMP può snellire il processo di ricezione e gestione delle Richieste di Accesso del Soggetto Interessato (DSAR), fornendo le tracce di audit necessarie e aiutando le aziende a localizzare i dati pertinenti per le richieste di cancellazione o accesso.
• Onorare i Segnali GPC: Le CMP moderne sono progettate per rilevare e onorare automaticamente i segnali di Global Privacy Control (GPC) inviati dai browser degli utenti, che il CCPA/CPRA impone come una richiesta di opt-out valida.

2. Google Consent Mode V2

Sebbene il CCPA/CPRA sia principalmente un regime di “opt-out” piuttosto che di “opt-in” per molti usi dei dati (a differenza della forte enfasi del GDPR sul consenso), Google Consent Mode V2 svolge comunque un ruolo cruciale per le aziende che operano a livello globale o quelle con esigenze di conformità miste:

• Framework di Conformità Globale: Per le aziende che servono sia i residenti della California che quelli dell’UE, una CMP integrata con Google Consent Mode V2 fornisce un approccio unificato. Anche in un contesto di opt-out, può aiutare a gestire i segnali verso i servizi Google, garantendo che i tag di analisi e pubblicità si comportino in modo appropriato in base alle preferenze dell’utente (sia “opt-in” per il GDPR che “opt-out” per il CCPA).
• Adattamento del Comportamento dei Tag: Google Consent Mode V2 può ancora modificare il comportamento dei tag Google in base alle scelte esplicite o ai segnali di opt-out impliciti ricevuti, limitando la raccolta di dati per la pubblicità se necessario, supportando così gli obiettivi del CCPA/CPRA ove applicabile.

3. Microsoft UET Consent Mode

Allo stesso modo, per le aziende che utilizzano Microsoft Advertising (Bing Ads) e servono i residenti della California:

• Rispettare gli Opt-Out: Microsoft UET Consent Mode consente al tag Universal Event Tracking (UET) di adattare le sue pratiche di raccolta dati in base alle preferenze dell’utente o ai segnali di opt-out. Ciò garantisce che le informazioni personali non vengano “vendute” o “condivise” tramite il tag UET in un modo che violerebbe il CCPA/CPRA se un consumatore ha effettuato l’opt-out.
• Mantenimento della Funzionalità Limitata: Regolando il comportamento dei tag, UET Consent Mode consente al tracciamento di base delle conversioni e alla misurazione delle prestazioni degli annunci di continuare in modo che preservi la privacy, anche quando il tracciamento completo non è consentito a causa delle scelte del consumatore.

Conclusione sugli Strumenti:

Per le aziende che operano sotto l’ombra del CCPA/CPRA, l’integrazione di una CMP specializzata come FitConsent con la segnalazione flessibile fornita da Google Consent Mode V2 e Microsoft UET Consent Mode è vitale. Questi strumenti garantiscono non solo la conformità legale con i diritti dei consumatori, ma consentono anche la prosecuzione delle attività essenziali di marketing e analisi in modo rispettoso della privacy e informato dai dati.