Dal 1° gennaio 2020 è entrata in vigore la normativa californiana in materia di “privacy”: il California Consumer Privacy Act (CCPA) firmato dal Governatore Jerry Brown il 28 giugno del 2018, ma l’applicazione e i conseguenti controlli e attività sanzionatoria da parte dell’Attorney General (Procuratore Generale) inizieranno il 1° luglio 2020: dall’analisi del CCPA emergono molte divergenze ma anche non poche similitudini ed assonanze con il nostro GDPR (Regolamento UE 2016/679).
Indice degli argomenti
California Consumer Privacy Act e GDPR: due idee di privacy
Per poter comprendere la portata del CCPA, occorre contestualizzare la normativa: negli Stati Uniti, lo Stato Centrale Federale, anche sulla scia degli eventi dell’11 settembre, ha mostrato un (pressoché) costante disinteresse in merito alla tutela dei dati personali, anche a causa della pressante influenza delle grandi aziende (principalmente quelle di comunicazione/informazione).
Non esistono al momento, di fatto, limiti giuridici generali o federali interni in merito al trattamento dei dati personali.
A ciò si aggiunga che, nella Silicon Valley, hanno sede grandi aziende del calibro di Adobe, AMD, la divisione hardware di Amazon, Apple, eBay, Facebook, Google, HP, Huawei, Intel, PayPal, Samsung, Sandisk, Tesla, Visa, Yahoo!, solo per citarne alcune.
Ecco spiegato il motivo per cui lo Stato Federale, probabilmente sotto la più o meno palese spinta di molte delle predette aziende, sta tentando (senza esito al momento in cui si scrive) di adottare una normativa “generale” che elida la possibilità per i singoli stati federali di normare autonomamente in materia di protezione dei dati personali.
L’analisi del Privacy Act Californiano, ovviamente, non può prescindere da un raffronto diretto con il GDPR.
La prima e più evidente differenza è l’ambito di applicazione: di portata generale per il GDPR (“interessati che si trovano nell’Unione”), specifica per il CCPA (che riferisce la tutela ai “consumers” – “consumatori” che siano “residenti in California”).
A qualcuno questa previsione potrebbe sembrare “limitante”: occorre, tuttavia, tener conto del fatto che, sul suolo Californiano, risiedono 39,5 milioni di abitanti (da censimento del 2018), in massima parte potenziali consumatori.
A chi si applica il CCPA
Le aziende interessate dalla normativa sono quelle che svolgono attività economica (“business”) in California, sempre che (alternativamente):
- ricevano informazioni personali di oltre 50.000 consumatori (si computano anche i singoli dispositivi connessi in rete ed i membri delle famiglie);
- abbiano un fatturato (lordo) superiore a 25 milioni di dollari;
- più del 50% del fatturato derivi dalla vendita dei dati personali dei consumatori raccolti.
Il tutto computato su base annua.
Il concetto di “vendita” è sicuramente molto ampio: si va dalla vendita, alla cessione, alla divulgazione/trasmissione/comunicazione (non importa se in forma orale, scritta o elettronica) delle “informazioni personali del consumatore”, a fronte, ovviamente, dell’ottenimento di un corrispettivo monetario o di “valuable consideration” (da intendersi come accordi di trasferimento dei dati – nel caso specifico – da cui il soggetto che trasferisce ottiene un beneficio).
È evidente, dunque, che il punto di vista californiano è molto più “economic-based” del nostro.
California Consumer Privacy Act e GDPR: il trattamento dati
Nel CCPA Non esistono condizioni di liceità del trattamento, come previste invece nel nostro GDPR (art. 6). Il trattamento dei dati è sempre consentito dal CCPA, a meno che non sia lesivo dei diritti dei consumatori.
Se i diritti sono molto dettagliati e specifici per l’interessato europeo, restano molto più vaghi per il consumatore californiano. Entrambi i soggetti, in ogni caso, hanno diritto di essere informati sulle tipologie di dati in possesso del titolare/azienda e sulle modalità di trattamento poste in essere.
Il diritto di accesso e la portabilità dei dati, nella normativa californiana, sono un unicum, posto che, laddove l’azienda riceva una richiesta di accesso verificabile (nel senso che l’azienda deve poter verificare che il consumatore sia proprio quello cui i dati si riferiscono) a dati conservati in formato elettronico, dovrà fornire tali dati in un formato di facile fruizione, portatile e tale da consentire al consumatore, laddove lo ritenesse, di fornire i medesimi dati ad una azienda terza “senza difficoltà”.
Il tutto entro 45 giorni e gratuitamente.
In merito alla cancellazione dei dati, il CCPA è molto simile al GDPR. Il consumatore ha diritto di ottenere, gratuitamente ed entro 45 giorni (prorogabili una volta, in ugual misura) dalla richiesta, la rimozione o eliminazione di ogni dato che lo riguardi, detenuto dall’azienda e da tutti i fornitori di servizi collegati alla stessa. Anche la normativa californiana ha posto limiti alla cancellazione, laddove il dato sia trattato, esemplificativamente, per motivi scientifici o storici, per adempiere obblighi di legge, l’esercizio del diritto di libertà di parola, per determinati usi interni e per individuare problemi alla sicurezza o per tutelarsi da attività fraudolente o illegali.
Per vendere i dati dei consumatori minori è previsto l’opt-in: per i minori di 16 anni, da parte degli stessi, per i minori di 13 anni, da parte dei genitori.
Il diritto di recesso, ai sensi del CCPA, si esercita cliccando sul link “Do Not Sell My Personal Information” (“Non vendere le mie informazioni personali”) che i siti cui accedono i consumatori californiani dovranno obbligatoriamente contenere, laddove la normativa sia applicabile al caso.
California Consumer Privacy Act e GDPR: il concetto di dato
Il GDPR fornisce un concetto ampio di dato (“qualsiasi informazione riguardante una persona fisica identificata o identificabile”) al contrario del CCPA che, per definire la “personal information” si riferisce a informazioni che “descrivono” o “si riferiscono” o, ancora, possono/potrebbero essere collegate o associate ad un particolare consumatore o famiglia.
Sempre il CCPA ha, al contrario del ben più generico GDPR, un approccio “esemplificativo”, riconducendo alle informazioni personali, ad esempio, gli indirizzi IP, gli pseudonimi, i pixel tag, i dati biometrici, i dati di geolocalizzazione ed i cookie.
E se per “informazione” si deve intendere anche l’indirizzo IP, la normativa si applicherà anche a quelle aziende extra californiane che ricevano, nell’arco di un anno, visite singole di 50.000 Californian Consumers.
Al contrario, in relazione alle misure di sicurezza organizzative e tecniche da adottarsi a tutela dei dati, l’approccio del CCPA è più generico, riferendosi al mero concetto di “ragionevolezza” (senza, peraltro, esplicare tale vago concetto), laddove il GDPR, all’art. 32, fornisce un maggiore (seppur sempre parziale) dettaglio in merito alle misure “adeguate”. Una domanda (provocatoria): è importante dettagliare le misure, operando il principio di accountability che vincola in modo stringente il titolare del trattamento?
Le sanzioni
Passando, per concludere, alle sanzioni amministrative comminabili dalle Authorities europee, sono ormai notori i massimali previsti dal GDPR: sino a 10 milioni/20 milioni di euro o, se superiore, al 2 – 4% del fatturato globale aziendale riferito all’anno di esercizio precedente la violazione.
L’approccio del CCPA è, in parte, differente.
Da un lato, abbiamo le sanzioni civili, comminabili entro un massimale di 7.500,00 dollari per ogni singola violazione/consumatore, dall’altro, la possibilità, per il consumatore, di agire per ottenere il risarcimento danni (per alcune tipologie di violazioni), in un range compreso tra un minimo di 100,00 dollari ed un massimo di 750 dollari.
