Confronto tra conformità al CCPA e al GDPR

Il GDPR è una legge dell'Unione Europea (UE) entrata in vigore nell'aprile del 2016. Il Regolamento è progettato per migliorare la protezione dei dati personali e aumentare la responsabilità organizzativa per le violazioni dei dati allo scopo di proteggere i residenti dell'Unione Europea. Il GDPR prevede multe fino al 4% dei ricavi globali o pari a 20 milioni di euro (se superiore) e, indipendentemente da dove si trovi la tua organizzazione, se elabora o controlla i dati personali dei residenti dell'UE, la tua organizzazione è soggetta al regolamento.

Requisiti di sicurezza dei dati rilevanti del GDPR
Alcune delle disposizioni chiave del GDPR richiedono alle organizzazioni di:

• Elaborare i dati personali in modo da garantirne la sicurezza, "inclusa la protezione contro il trattamento non autorizzato o illegale" (Articolo 5)
• Implementa misure tecniche e organizzative per garantire sicurezza dei dati adeguata al livello di rischio, comprese "pseudonimizzazione e crittografia dei dati personali". (Articolo 32)
• Comunica "senza indebito ritardo" violazioni dei dati personali ai soggetti di tali violazioni "quando è probabile che la violazione comporti un rischio elevato per i diritti e le libertà" di queste persone. (Articolo 34)
• Tutela contro la "divulgazione non autorizzata o l'accesso a dati personali". (Articolo 32)

Ulteriori informazioni sul GDPR:

• Che cos'è il GDPR? – Pagina web di Entrust con l'elenco completo dei capitoli e degli articoli del GDPR
• GDPR.UE – Sito web ufficiale dell'Unione Europea con la guida completa alla conformità
• Panoramica del GDPR – Pagina web di Entrust con una panoramica generale del GDPR

L'articolo 6 (Liceità del trattamento) individua nella "crittografia o pseudonimizzazione" "garanzie idonee" a proteggere i dati personali degli interessati.

L'articolo 32 (Sicurezza del trattamento) stabilisce che "il responsabile del trattamento mette in atto le misure tecniche e organizzative opportune per garantire un livello di sicurezza adeguato al rischio, ivi compresi, se del caso:

(a) la pseudonimizzazione e la cifratura dei dati personali..."

L'articolo 34 (Comunicazione di una violazione dei dati personali all'interessato) consente alle organizzazioni che subiscono una violazione dei dati personali di evitare l'obbligo di comunicazione se hanno utilizzato la crittografia per "rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi".

La Legge della California sulla privacy del consumatore (CPPA) è entrata in vigore all'inizio del 2020. Lo scopo della legge è offrire ai residenti della California un maggiore controllo su quali dati personali vengono raccolti e su come tali dati vengono utilizzati.

Le aziende che si sono rese responsabili di violazione del CCPA rischiano di incorrere in una sanzione di 7500 dollari statunitensi per ciascuna violazione intenzionale. Le violazioni non intenzionali sono meno onerose, ma comunque costose, infatti prevedono una sanzione di 2500 dollari statunitensi ciascuna. Tuttavia, il contenzioso civile può potenzialmente avere un impatto negativo sulle organizzazioni non conformi. Per ogni consumatore colpito dalla non conformità al CCPA, le organizzazioni possono incorrere in un risarcimento danni fino a 750 dollari statunitensi per consumatore.

Ulteriori informazioni sul CCPA:

• Codice civile del CCPA – Codice ufficiale sul sito dedicato alle informazioni sulla legislazione dello stato della California
• Panoramica del CCPA – Pagina web di Entrust con una panoramica generale del CCPA

La sezione 1798.150 del CCPA afferma: "Qualsiasi consumatore le cui informazioni personali non crittografate e non modificate, come definito nel comma (A) del paragrafo (1) della suddivisione (d) della Sezione 1798.81.5, subisce accesso non autorizzato ed esfiltrazione, furto o divulgazione a seguito della violazione da parte delle aziende del dovere di implementare e mantenere procedure e pratiche di sicurezza ragionevoli appropriate alla natura delle informazioni per proteggere tali informazioni personali, può avviare un'azione civile..."

Inoltre, la protezione delle chiavi di crittografia è trattata nella legislazione relativa al CCPA. In particolare, il Disegno di legge 1130, che è stato introdotto per aggiornare lo statuto sulla notifica delle violazioni della California, richiede di informare le persone i cui dati sono stati violati a meno che tali dati non siano crittografati e le chiavi di crittografia non siano state ottenute con i dati.

Quali sono le similitudini fra GDPR e CCPA?
Sia il GDPR che il CCPA hanno lo scopo di proteggere la privacy e i diritti relativi ai dati di coloro che vivono nelle rispettive aree geografiche. Entrambi si applicano anche alle organizzazioni che effettuano operazioni commerciali con i loro residenti, indipendentemente dal fatto che tali organizzazioni risiedano nelle loro aree geografiche.

Sia il CCPA che il GDPR concedono agli individui determinati diritti relativi ai propri dati personali e richiedono trasparenza da parte delle organizzazioni che detengono ed elaborano tali dati.

Sia il CCPA che il GDPR:

• Richiedere alle aziende di rivelare quali informazioni personali hanno raccolto su tali individui.
• Richiedere alle organizzazioni di divulgare quali attività svolgono con i dati personali.
• Richiedere alle organizzazioni che detengono dati personali di cancellarli su richiesta del sogetto a cui appartengono.
• Richiedere alle organizzazioni di mettere in atto misure di sicurezza informatica per proteggere i dati personali degli individui.
• Applicare sanzioni per inosservanza.

In cosa differiscono GDPR e CCPA?

• Il GDPR richiede alle aziende di avere una base giuridica prima di elaborare i dati sui residenti. Il CCPA non lo richiede.
• Il GDPR si applica a tutte le aziende che soddisfano il requisito della base giuridica sopra menzionato. Il CCPA si applica solo alle aziende con un fatturato annuo lordo superiore a 25 milioni di dollari statunitensi.
• Ai sensi del CCPA, un individuo può impedire alle aziende di vendere i propri dati privati e le organizzazioni non possono discriminare questi individui.
• Il GDPR impone condizioni aggiuntive per le aziende che elaborano informazioni relative alla salute, in quanto contiene termini più specifici come "dati genetici" e "dati biometrici". Il CCPA utilizza un termine generico.
• In generale, l'impressione è che le sanzioni previste dal GDPR siano più elevate di quelle previste dal CCPA. Tuttavia, il CCPA apre la porta al contenzioso civile, che potrebbe rivelarsi altrettanto costoso per un'organizzazione colpevole.