Che cos'è il CCPA?

Il decreto della California sulla privacy del consumatore (California Consumer Privacy Act, CCPA) è uno statuto dello stato, trasformato in legge nel 2018, che ha l'intento di migliorare i diritti alla privacy e la protezione dei consumatori per i residenti dello stato. Il decreto, entrato in vigore nel gennaio 2020, offre ai consumatori un maggiore controllo sulle informazioni personali che le aziende raccolgono su di loro e stabilisce nuovi diritti per la privacy dei consumatori, inclusi i seguenti:

• Il diritto di conoscere le informazioni personali che un'azienda raccoglie su di essi e come vengono utilizzate e condivise
• Il diritto alla cancellazione delle proprie informazioni personali
• Il diritto di rinunciare alla vendita dei propri dati personali
• Il diritto alla non discriminazione per l'esercizio dei propri diritti relativi al CCPA

I diritti sopra elencati devono essere inclusi nelle Politiche sulla privacy aziendali, e inoltre devono essere fornite ai consumatori in un formato di facile lettura, comprensibile e stampabile.

Lo standard CCPA richiede alle aziende di fornire, in un formato di facile lettura e comprensibile, le seguenti comunicazioni ai consumatori:

• Politica sulla privacy
• Informativa sulla raccolta delle informazioni personali
• Informativa sul diritto di rinuncia alla vendita delle informazioni personali
• Informativa di Incentivo Finanziario

Il CCPA si applica a qualsiasi organizzazione a scopo di lucro che svolge la propria attività in California e soddisfa uno dei seguenti criteri:

• Ha un fatturato annuo lordo superiore a 25 milioni di dollari
• Acquista o vende le informazioni personali di 50.000 o più cittadini residenti in California, famiglie o dispositivi
• Genera il 50% o più delle sue entrate annuali dalla vendita delle informazioni personali dei residenti in California

Le aziende ritenute non conformi allo standard CCPA sono soggette a sanzioni pecuniarie di 2.500 USD per ogni violazione accidentale, 7.500 USD per ogni violazione intenzionale, più 750 USD di pagamento di danni civili per consumatore interessato.

Per soddisfare la conformità allo standard CCPA, le aziende devono crittografare le informazioni personali dei consumatori, come indicato nella Sezione 1798.150 della legge: "Qualsiasi consumatore le cui informazioni personali non crittografate e non modificate, come definito nel comma (A) del paragrafo (1) della suddivisione (d) della Sezione 1798.81.5, subisce accesso non autorizzato ed esfiltrazione, furto o divulgazione a seguito della violazione da parte delle aziende del dovere di implementare e mantenere procedure e pratiche di sicurezza ragionevoli appropriate alla natura delle informazioni per proteggere tali informazioni personali, può avviare un'azione civile per uno dei seguenti:

a. Per recuperare i danni per un importo non inferiore a cento dollari (100 dollari statunitensi) e non superiore a settecentocinquanta (750 dollari statunitensi) per consumatore, per ogni incidente o danno effettivo, a seconda dell'importo maggiore.

b. Provvedimento ingiuntivo o dichiarativo.

C. Qualsiasi altro provvedimento che il tribunale ritenga appropriato."

Quindi, se i dati non crittografati dei consumatori vengono rubati da un'azienda, le persone interessate possono citare in giudizio quell'azienda per un importo massimo di 750 USD a consumatore o per i danni effettivi, a seconda di quale sia maggiore.

I consumatori possono citare in giudizio un'impresa ai sensi del CCPA solo se vengono soddisfatte determinate condizioni. Le informazioni personali sottratte devono includere il nome (o l'iniziale del nome) e il cognome del consumatore, in combinazione con:

• Numero di previdenza sociale
• Numero della patente di guida, codice fiscale, numero di passaporto, numero di matricola militare o altro numero di identificazione univoco rilasciato su un documento governativo comunemente utilizzato per riconoscere l'identità di una persona
• Numero di conto finanziario, numero di carta di credito o numero di carta di debito, se combinato con qualsiasi codice di sicurezza, codice di accesso o password che consenta a qualcuno di accedere al conto del consumatore
• Informazioni mediche o sull'assicurazione sanitaria
• Impronta digitale, immagine della retina o dell'iride o altri dati biometrici univoci utilizzati per riconoscere l'identità di una persona (escluse le fotografie, a meno che non vengano utilizzate o archiviate a scopo di riconoscimento facciale)

In particolare, queste informazioni devono essere state sottratte in forma non crittografata e non oscurata.

Lo stesso standard CCPA non mette in discussione le chiavi di crittografia. Tuttavia, facciamo nuovamente riferimento alla Sezione 1798.150 della legge (vedere "È richiesta la crittografia dei dati per la conformità allo standard CCPA?") e l'affermazione "... accesso non autorizzato ed esfiltrazione, furto o divulgazione a seguito della violazione da parte dell'azienda del dovere di implementare e mantenere procedure e pratiche di sicurezza ragionevoli…" (sottolineatura aggiunta per enfasi). Supponendo che i documenti siano stati crittografati, è saggio aspettarsi che un audit successivo alla violazione includa la revisione di come e dove sono state conservate le chiavi di crittografia. Se le chiavi sono state conservate nello stesso luogo della documentazione rubata o conservate in un altro sistema con un livello di protezione simile, tali processi e pratiche potrebbero non essere considerati come "ragionevoli" agli occhi di chi esegue l'audit. Pertanto, è consigliabile proteggere le chiavi di crittografia separatamente dai dati crittografati.

Inoltre, la legislazione correlata va oltre per rispondere alle conseguenze che le aziende devono affrontare a seguito di una violazione delle informazioni sui consumatori, nei casi in cui sia stata sottratta documentazione non crittografata o sia i dati crittografati sia le chiavi di crittografia. Nello specifico, come parte di un emendamento dell'Assembly Bill 1130, la sezione 1798.82 del codice civile della California recita, fra l'altro:

"Una persona o azienda che conduce affari in California e che possiede o concede in licenza dati computerizzati che includono informazioni personali, deve rivelare una violazione della sicurezza del sistema in seguito alla scoperta o alla notifica della violazione della sicurezza dei dati a un residente in California (1) le cui informazioni personali non crittografate sono state, o si ritiene ragionevolmente che siano state, acquisite da una persona non autorizzata, o (2) le cui informazioni personali crittografate sono state, o si ritiene ragionevolmente che siano state, acquisite da una persona non autorizzata e la chiave di crittografia o le credenziali di sicurezza sono state, o si ritiene ragionevolmente che siano state, acquisite da una persona non autorizzata e la persona o l'azienda che possiede o concede in licenza le informazioni crittografate ha una ragionevole convinzione che la chiave di crittografia o le credenziali di sicurezza potrebbero rendere tali informazioni personali leggibili o utilizzabili. La divulgazione deve essere effettuata il più tempestivamente possibile e senza ritardi irragionevoli, compatibilmente con le legittime esigenze delle forze dell'ordine, come previsto nella sottodivisione (c), o con qualsiasi misura necessaria per determinare la portata della violazione e ripristinare la ragionevole integrità del sistema dati."

Il regolamento dello standard CCPA ha una portata ampia e richiede alle aziende di adottare diverse misure per informare i consumatori dei loro diritti e proteggere le loro informazioni personali. Una soluzione CCPA completa includerà funzionalità quali crittografia dei dati, notifiche tempestive ai consumatori e servizio clienti.

Sebbene la California sia stato il primo stato a emanare una legge sulla privacy dei dati, molti altri Stati hanno adottato o sono in procinto di promulgare una legislazione che mira ad adottare requisiti simili a quelli dello standard CCPA. A metà del 2022, altri quattro stati – Colorado, Connecticut, Utah e Virginia – hanno emanato leggi, che entreranno in vigore nel 2023, sulla privacy dei dati dei consumatori. Almeno una dozzina di altri stati sono in procinto di promulgare una legislazione sulla privacy dei dati e si prevede che altri ne seguano l'esempio.