Passa al contenuto principale

Decreto della California sulla privacy del consumatore (California Consumer Privacy Act, CPPA)

Il decreto della California sulla privacy del consumatore (California Consumer Privacy Act, CCPA) è uno statuto dello stato, trasformato in legge nel 2018, che ha l'intento di migliorare i diritti alla privacy e la protezione dei consumatori per i residenti dello stato. Il decreto, entrato in vigore nel gennaio 2020, offre ai consumatori un maggiore controllo sulle informazioni personali che le aziende raccolgono su di loro e stabilisce nuovi diritti per la privacy dei consumatori, inclusi i seguenti:

  • Il diritto di conoscere le informazioni personali che un'azienda raccoglie su di essi e come vengono utilizzate e condivise
  • Il diritto alla cancellazione delle proprie informazioni personali
  • Il diritto di rinunciare alla vendita dei propri dati personali
  • Il diritto alla non discriminazione per l'esercizio dei propri diritti relativi al CCPA

A chi si applica la CCPA?

Il CCPA si applica a qualsiasi organizzazione a scopo di lucro che svolge la propria attività in California e soddisfa uno dei seguenti criteri:

  • Ha un fatturato annuo lordo superiore a 25 milioni di dollari
  • Acquista o vende le informazioni personali di 50.000 o più cittadini residenti in California, famiglie o dispositivi
  • Genera il 50% o più delle sue entrate annuali dalla vendita delle informazioni personali dei residenti in California

Per la conformità alla CCPA è necessaria la crittografia dei dati?

La conformità alla CCPA richiede che le informazioni personali del consumatore siano crittografate, come indicato nella sezione 1798.150 del decreto: "Qualsiasi consumatore le cui informazioni personali non crittografate e non modificate, come definito nel comma (A) del paragrafo (1) della suddivisione (d) della Sezione 1798.81.5, subisce accesso non autorizzato ed esfiltrazione, furto o divulgazione a seguito della violazione da parte delle aziende del dovere di implementare e mantenere procedure e pratiche di sicurezza ragionevoli appropriate alla natura delle informazioni per proteggere tali informazioni personali, può avviare un'azione civile per uno dei seguenti:

  1. Per recuperare i danni per un importo non inferiore a cento dollari (100 dollari statunitensi) e non superiore a settecentocinquanta (750 dollari statunitensi) per consumatore, per ogni incidente o danno effettivo, a seconda dell'importo maggiore.
  2. Provvedimento ingiuntivo o dichiarativo.
  3. Qualsiasi altro provvedimento che il tribunale ritenga appropriato."

Come vengono gestite le violazioni dei dati in base al CCPA?

I consumatori possono citare in giudizio un'impresa ai sensi del CCPA solo se vengono soddisfatte determinate condizioni. Le informazioni personali sottratte devono includere il nome (o l'iniziale del nome) e il cognome del consumatore, in combinazione con:

  • Numero di previdenza sociale
  • Numero della patente di guida, codice fiscale, numero di passaporto, numero di matricola militare o altro numero di identificazione univoco rilasciato su un documento governativo comunemente utilizzato per riconoscere l'identità di una persona
  • Numero di conto finanziario, numero di carta di credito o numero di carta di debito, se combinato con qualsiasi codice di sicurezza, codice di accesso o password che consenta a qualcuno di accedere al conto del consumatore
  • Informazioni mediche o sull'assicurazione sanitaria
  • Impronta digitale, immagine della retina o dell'iride o altri dati biometrici univoci utilizzati per riconoscere l'identità di una persona (escluse le fotografie, a meno che non vengano utilizzate o archiviate a scopo di riconoscimento facciale)

In particolare, queste informazioni devono essere state sottratte in forma non crittografata e non oscurata.

La legislazione correlata va oltre e affronta le conseguenze che le aziende devono affrontare a seguito di una violazione delle informazioni sui consumatori nei casi in cui sono stati sottratti record non crittografati o dati crittografati insieme alle chiavi di crittografia. Nello specifico, come parte di un emendamento dell'Assembly Bill 1130, la sezione 1798.82 del codice civile della California recita, fra l'altro:

"Una persona o azienda che conduce affari in California e che possiede o concede in licenza dati computerizzati che includono informazioni personali, deve rivelare una violazione della sicurezza del sistema in seguito alla scoperta o alla notifica della violazione della sicurezza dei dati a un residente in California (1) le cui informazioni personali non crittografate sono state, o si ritiene ragionevolmente che siano state, acquisite da una persona non autorizzata, o (2) le cui informazioni personali crittografate sono state, o si ritiene ragionevolmente che siano state, acquisite da una persona non autorizzata e la chiave di crittografia o le credenziali di sicurezza sono state, o si ritiene ragionevolmente che siano state, acquisite da una persona non autorizzata e la persona o l'azienda che possiede o concede in licenza le informazioni crittografate ha una ragionevole convinzione che la chiave di crittografia o le credenziali di sicurezza potrebbero rendere tali informazioni personali leggibili o utilizzabili. La divulgazione deve essere effettuata il più tempestivamente possibile e senza ritardi irragionevoli, compatibilmente con le legittime esigenze delle forze dell'ordine, come previsto nella sottodivisione (c), o con qualsiasi misura necessaria per determinare la portata della violazione e ripristinare la ragionevole integrità del sistema dati."