California Consumer Privacy Act (CCPA): ambito di applicazione e regole di conformità per le aziende hi-tech

Il California Consumer Privacy Act (CCPA) ha introdotto nuovi diritti dei consumers relativi al trattamento dei dati personali. Al fine di promuovere il corretto adempimento alla normativa, il CCPA richiede al Procuratore Generale di adottare regolamenti che stabiliscano, in particolare, le procedure per facilitare l’esercizio dei diritti dei consumers e forniscano alle aziende chiare istruzioni.

Le società devono, quindi, adempiere non solo alle disposizioni del CCPA, ma anche a quelle dettate dai regolamenti emessi dal California Attorney General (“CCPA Regulations”), attualmente in fase di definizione.

Lo scorso 7 febbraio 2020, l’Ufficio del Procuratore Generale (AG) ha proposto delle revisioni ai CCPA Regulations precedentemente pubblicati e ha sottoposto il testo a consultazione pubblica fino al 25 febbraio scorso.

Vediamo, quindi, anche alla luce dei chiarimenti forniti nel documento citato, quali sono gli adempimenti principali richiesti dalla normativa californiana.

California Consumer Privacy Act: ambito di applicazione

Il CCPA è entrato in vigore il 1° gennaio 2020 e la sua applicazione sarà di competenza del California Attorney General, che non intenterà azioni esecutive fino al 1° luglio 2020. Tuttavia, le cause civili possono essere intentate dai consumers fin dal 1° gennaio 2020 e, a questo proposito, è già stata intentata la prima class action ai sensi del CCPA, nei confronti di Hanna Andersson, gestore di un e-commerce, e Salesforce.com, Inc.

La normativa si applica alle società che svolgono attività commerciali in California, trattano dati personali di consumers californiani, determinano le finalità e i mezzi di tali trattamenti e rientrano in uno dei seguenti parametri:

1. il fatturato annuo lordo della società supera i 25 milioni di dollari;
2. la società acquista, riceve, vende o condivide annualmente per finalità commerciali informazioni personali di almeno 50.000 consumers, nuclei familiari o dispositivi;
3. la società ricava almeno il 50% del fatturato annuale dalla vendita dei dati personali.

Il CCPA si applica anche a qualsiasi società che controlla o è controllata da un’impresa che rientra nella definizione di cui sopra, laddove le società condividano un marchio comune^[1].

La tutela apprestata si rivolge ai dati personali dei “consumers”, ovvero le persone fisiche residenti in California, come statuito nella Section 17014 del Titolo 18 del California Code of Regulations, ovvero qualsiasi persona che si trovi nello Stato in una “non temporary” basis.

Dato personale è definito, nel CCPA, come l’informazione che, direttamente o indirettamente, identifica, si riferisce a, descrive, può ragionevolmente essere associata o collegata a uno specifico consumer o a un nucleo familiare. Tra i dati personali, sono individuati espressamente l’indirizzo IP, i dati di geolocalizzazione, i dati di navigazione, il dettaglio delle vendite effettuate, le informazioni sulle preferenze, caratteristiche, predisposizioni o tendenze al consumo del consumer.

La definizione di dato personale include, quindi, anche i dati relativi alla famiglia e al nucleo familiare: per “household” si intende (come chiarito dal recente testo di CCPA Regulations), una persona o un gruppo di persone che:

1. risiedono allo stesso indirizzo;
2. condividono un dispositivo o lo stesso servizio;
3. sono identificati dall’impresa con uno stesso account o un unico identificativo.

Il testo di CCPA Regulations chiarisce che nel valutare se i dati costituiscono “informazioni personali” occorre verificare se la società conserva le informazioni in modo da identificare, collegare, descrivere, essere ragionevolmente in grado di associare o collegare tale informazione a un particolare consumer o al gruppo familiare. Ad esempio, se una società raccoglie l’indirizzo IP dei visitatori di un sito internet, ma non li associa ad alcun consumer o household, e non è in grado di farlo, allora l’indirizzo IP potrebbe non essere considerato un dato personale. Questa precisazione sembra indicare l’intenzione di applicare un criterio di analisi incentrato sulla reale possibilità che la singola impresa identifichi una determinata persona, piuttosto che sul fatto che i dati siano in astratto collegabili a un individuo.

California Consumer Privacy Act: diritti dei consumatori

La normativa californiana garantisce ai consumers i seguenti diritti:

• Right to be informed: il CCPA impone alle società di fornire ai consumers, prima o al momento della raccolta dei dati, informazioni sulle categorie di dati personali raccolti, venduti o comunicati negli ultimi 12 mesi, le finalità del trattamento (nel caso in cui non vi sia alcuna vendita o comunicazione, andrà esplicitato), le categorie di terze parti con cui l’impresa condivide informazioni personali, l’elenco dei diritti esercitabili e i metodi con cui è possibile esercitarli. Nel caso in cui la società venda dati personali, occorre predisporre un meccanismo che permetta al consumer di opporsi alla vendita dei propri dati (opt-out).
• Right to Access: i consumers, attraverso una “richiesta verificabile”^[2], possono richiedere di accedere alle categorie di dati personali trattati, le fonti da cui sono raccolti, le finalità della raccolta e vendita dei dati, l’indicazione dei dati personali raccolti e le categorie di destinatari cui sono comunicati. Nel caso in cui la società venda dati personali o li comunichi per fini commerciali, il consumer ha diritto di conoscere anche quali categorie di dati personali e a quali categorie di soggetti terzi i dati sono venduti o comunicati a fini commerciali.
• Diritto di portabilità: la normativa, laddove prevede un diritto di accesso, impone che le informazioni siano trasmesse al consumer in un formato portable e readily useable, in modo da permettere al consumer di trasmettere l’informazione a qualsiasi altro soggetto senza impedimenti. Eccezioni e limitazioni:

1. i consumers possono avanzare massimo 2 richieste in 12 mesi;
2. le attività di trattamento una tantum sono escluse se i dati non sono venduti o conservati dall’azienda, oppure non vengono utilizzati per identificare nuovamente quella persona.
3. se l’azienda non ha raccolto informazioni sul consumer in questione non è necessaria alcuna risposta.

• Right to Deletion: i consumers possono richiedere la cancellazione dei dati personali. La normativa espressamente prevede diverse circostanze in cui la società non è tenuta a dar seguito alla cancellazione, che devono essere attentamente valutate caso per caso.
• Right to stop-Sale: è il diritto di impedire la vendita dei propri dati personali a terzi. Per i consumers di età maggiore di 16 anni deve essere previsto un meccanismo di opt-out; mentre coloro che hanno un’età inferiore ai 16 anni devono fornire un preventivo consenso (opt-in).

La normativa impone di rendere disponibili ai consumers per l’esercizio dei diritti almeno due mezzi, tra cui un numero verde. Occorre, inoltre, verificare, con ogni ragionevole sforzo, che il richiedente sia effettivamente il consumer di cui sono state raccolti i dati personali, o che si tratti comunque di una persona da lui autorizzata. A tal fine, la normativa richiede di effettuare la verifica comparando almeno due informazioni in possesso della società.

Alle richieste verificabili deve essere dato riscontro entro 45 giorni dalla loro ricezione. Se necessario, è possibile ottenere una proroga di ulteriori 45 giorni, purché il consumer venga informato nel giro di 45 giorni dalla sua richiesta.

Un ulteriore diritto attribuito dalla normativa californiana è il diritto alla non discriminazione: i consumers non possono essere discriminati da un’azienda per avere esercitato i diritti di cui sopra (ad esempio, non è possibile negare beni o servizi, né addebitare un diverso prezzo, né offrire un diverso livello o una diversa qualità del servizio). Sono, invece, consentiti incentivi di natura economica e programmi fedeltà per la raccolta, la vendita o la cancellazione di informazioni personali. In questi casi tali incentivi andranno comunicati ai consumers nell’home page del sito e inseriti nella privacy policy. In ogni caso, è vietato utilizzare pratiche di incentivi che risultino ingiuste, irragionevoli, coercitive o di natura usuraria.

Cosa fare per essere conformi al CCPA

• Assessment interno per valutare i propri processi e sistemi. Occorre in primo luogo fare una mappatura di tutti i trattamenti, verificando quali dati sono oggetto di trattamento, con quali soggetti sono eventualmente condivisi, le fonti da cui provengono, le finalità per cui sono trattati, le misure di sicurezza applicate e i periodi di data retention.
• Privacy policies e informative. È necessario rivedere i testi di informativa adottati dall’azienda, per verificare che siano conformi al CCPA, considerando che la normativa citata e i Regolamenti impongono obblighi di informazione molto specifici che devono essere inseriti nei testi di informativa, compresi quelli rivolti ai dipendenti, con attenzione particolare alle imprese che raccolgono dati personali tramite applicazioni mobile. Le informative devono essere facili da leggere e comprensibili, scritte in un linguaggio chiaro e diretto, evitando un gergo tecnico o giuridico, in un formato che richiami l’attenzione del consumer e disponibili nelle lingue che l’azienda utilizza normalmente nel suo business in California, accessibili ai consumers disabili e devono essere aggiornate almeno una volta ogni 12 mesi.
• Consensi. Anche i consensi raccolti e le modalità con cui l’azienda li ottiene dovranno essere oggetto di revisione. Laddove richiesto, si dovrà implementare un meccanismo di opt-out alla vendita dei dati.
• Garantire un idoneo riscontro alle richieste dei consumers. È a mio avviso indispensabile stabilire procedure per rispondere adeguatamente alle richieste dei consumers, in relazione ai diritti visti sopra, rivedendo, se occorre, le interfacce e i processi tecnici e amministrativi in modo da essere in grado di ricevere, verificare e rispondere adeguatamente alle richieste. La normativa individua, infatti, obblighi puntuali in merito, tra cui:

1. fornire ai consumers due o più mezzi per la presentazione delle richieste, tra cui, almeno un numero di telefono gratuito (nell’ultimo testo di Regulations è stato eliminato il riferimento al modulo web interattivo tra i mezzi obbligatori; occorre monitorare la versione definitiva per accertarsi che non vi siano cambiamenti);
2. stabilire e documentare un processo per verificare l’identità del soggetto che effettua la richiesta (i regolamenti CCPA forniscono requisiti dettagliati sulle modalità per farlo) e per verificare le richieste ricevute dagli agenti autorizzati;
3. stabilire e mantenere una procedura in due fasi che richiede la conferma da parte del consumer per le richieste online di cancellazione (con l’ultima modifica dei Regulations questa soluzione appare comunque consigliata e non più obbligatoria).

• Comprendere se si effettuano attività che possono essere qualificate “vendita”. In caso di vendita dei dati personali, l’azienda è tenuta a rispettare obblighi specifici, per questo motivo, bisogna determinare se le attività poste in essere possono essere considerate “sell” ai sensi del CCPA. Il concetto di “vendere” è molto ampio e ricomprende “vendere, affittare, rilasciare, divulgare, diffondere, mettere a disposizione, trasferire, o comunicare oralmente, per iscritto, o con mezzi elettronici o altri mezzi, le informazioni personali del consumer da un’impresa ad un’altra impresa o a una terza parte per for monetary or other valuable consideration”. È assolutamente necessaria una puntuale valutazione, quindi, perché lo scambio di informazioni personali per un beneficio potrebbe costituire una vendita, a meno che non si applichi una delle eccezioni previste. Nel contesto del commercio al dettaglio, le condivisioni di dati che possono essere considerate come una vendita possono comprendere lo scambio di liste di marketing con un partner, ad esempio, in connessione a una campagna o a un evento di marketing congiunto.
• Rivedere gli accordi con i fornitori, in particolare con i service providers. Infatti, la comunicazione di informazioni personali a un service provider non è considerata una vendita purché quest’ultimo non venda, conservi, utilizzi o divulghi i dati personali, al di fuori dell’esecuzione del servizio.
• Formare adeguatamente i dipendenti e collaboratori per garantire un rispetto sostanziale alla normativa.
• Analizzare e aggiornare i piani di sicurezza e di risposta agli incidenti. Analogamente al GDPR, la CCPA richiede alle imprese di attuare e mantenere procedure di sicurezza e un piano di incident response.

Conclusioni

Le società che hanno adottato idonee misure per conformarsi al GDPR saranno sicuramente avvantaggiate nell’adeguamento, ma nonostante ci siano diverse somiglianze tra le norme (ad esempio, entrambe le leggi contemplano il diritto di richiedere l’accesso e la cancellazione dei propri dati personali), ci sono alcuni importanti distinzioni che richiedono alle imprese un’attenta valutazione per comprendere come adempiere a quanto richiede il CCPA.

Peraltro, le aziende che non rispettano la normativa possono essere soggette a sanzioni fino a $7,500 per violazione, per cunsumer, il che significa che le multe possono aumentare molto rapidamente in base al numero di persone interessate dalla violazione, in aggiunta al fatto che ai consumers (compresi i dipendenti) è attribuito il diritto di proporre azioni collettive (class action) in caso di violazione dei dati.

NOTE

1. Si noti che “marchio comune” significa un nome condiviso, servicemark, o marchio di fabbrica. ↑
2. Per richiesta verificabile si intende una richiesta avanzata da un consumatore che l’azienda può verificare essere il consumatore di cui ha raccolto dati personali. Cal. Civ. Code § 1798.140(y) ↑