California Privacy Rights Act, le estensioni della legge privacy californiana e le lezioni del GDPR

Lo scorso 3 novembre 2020 è stata approvata la proposta di estensione del CCPA mediante il testo del California Privacy Rights Act del 2020, avanzata su votazione degli elettori californiani e volta non ad abrogare, bensì ad integrare le previsioni del CCPA. Entrerà in vigore dal primo gennaio 2023^[1].

Principali punti del California Privacy Rights Act

Tra le novità introdotte dal California Privacy Rights Act (CPRA) vi sono:

1. diritto di rettifica: il consumatore avrà il diritto di richiedere alle aziende la correzione delle proprie informazioni personali mantenute sino a quel momento inesatte;
2. dati sensibili: il CCPRA introduce una nuova categoria di dati, ossia i c.d. sensitive data, quali ad esempio: codice fiscale, numero della patente, numero di passaporto, informazioni sul conto finanziario, informazioni sulle carte di credito o debito, informazioni sull’esatta geolocalizzazione, informazioni sull’origine razziale o etnica, sulle opinioni religiose o politiche, l’appartenenza a sindacati, informazioni sull’orientamento o vita sessuale del consumatore e sulla propria salute, informazioni contenute all’interno di posta, e-mail, messaggi del consumatore, eccetto se destinati all’azienda;
3. diritto alla limitazione delle informazioni sensibili (“Limit the Use of My Sensitive Personal Information”): le privacy policy dovranno contenere una sezione apposita che permetta ai consumatori di accedere direttamente alla richiesta di limitazione dell’utilizzo delle proprie informazioni sensibili;
4. il nuovo Privacy Regulator: verrà istituita un’Agenzia, la California Privacy Protection Agency, che prenderà le veci del procuratore generale della California (finora unico organo di riferimento per eventuali azioni o reclami effettuati dai consumatori) ed avrà il solo scopo di provvedere a regolamentare la protezione dei dati dei consumatori, dal punto di vista di diritti ed obblighi
5. maggiore responsabilità in caso di data breach: il consumatore avrà il diritto di agire privatamente per la compromissione di indirizzi e-mail, in combinazione con una password o domande e risposte di sicurezza che potrebbero garantire l’accesso all’account di un utente;^[2]
6. minimizzazione e periodo di conservazione massimo dei dati: l’azienda dovrà informare i propri consumatori sul periodo di conservazione previsto per ciascuna categoria di dati da essa raccolti. Il consumatore avrà il diritto di richiedere che siano utilizzate le sole informazioni necessarie alle finalità descritte dall’azienda;
7. introduzione della “condivisione” dei dati: diversamente dalla vendita, verrà chiarito e disciplinato il concetto di condivisione dei dati, che si aggiungerà anche a quello dell’esistente “disclosure”, ovvero divulgazione.

Il CCPA: la legge privacy californiana

Come dicevamo, il California Privacy Rights Act mira a stringere e rafforzare il perimetro del CCPA (California Consumer Privacy Act AB-375), la legge californiana del 2018, entrata in vigore il primo gennaio 2020^[3], volta a offrire ai consumatori un maggiore controllo sulle proprie informazioni personali raccolte dalle aziende. È importante sottolineare che il CCPA mutua molti elementi dal GDPR e spiega i suoi effetti verso le aziende che trattano “informazioni personali” di utenti residenti in California.

La legge è stata soggetta a revisioni nel 2018 e nel 2019^[4], prima di entrare in vigore nella sua formula finale.

Ambito di applicazione del CCPA

La legge è rivolta a società, associazioni o altri enti giuridici a scopo di lucro, controllanti o controllate che condividano il marchio di impresa, che raccolgano informazioni personali dei consumatori o per conto dei quali tali informazioni sono raccolte e che, da sole o insieme ad altri, determinano gli scopi e i mezzi del trattamento delle informazioni personali dei consumatori, che abbiano interessi economici nello Stato della California, e che soddisfino una o più delle seguenti soglie:

• fatturato annuo lordo superiore a venticinque milioni di dollari;
• annualmente acquistino, per proprio conto o con altri terzi, ricevano a fini commerciali, vendano, o divulghino a fini commerciali, per proprio conto o con altri terzi, i dati personali di 50.000 o più consumatori, nuclei familiari o dispositivi;
• almeno il 50% o più dei ricavi annuali derivino dalla vendita di informazioni personali dei consumatori.^[5]

Qualora, pertanto, le aziende sopra identificate “vendano” o “divulghino” informazioni personali^[6] dei consumatori (o anche nuclei familiari o relativi a dispositivi, connessi ad internet o IoT), quali persone fisiche residenti nello Stato della California^[7], sono soggette a determinati obblighi. Vediamo quali.

Gli obblighi previsti dal CCPA

Privacy policy: le aziende che rientrano nel perimetro del CCPA sono quindi tenute a rispettare innanzitutto l’obbligo di tenere una privacy policy sul sito, aggiornata almeno annualmente, che riporti una descrizione dei diritti in capo ai consumatori e le finalità e la tipologia di informazioni personali e un elenco delle informazioni vendute o divulgate nell’anno precedente.

I diritti previsti dal CCPA

Ai consumatori vengono riconosciuti i seguenti diritti:

1. diritto di opt-out: il consumatore può richiedere che le sue informazioni personali non siano divulgate o vendute dalle aziende e/o dai propri partner. In questo caso, l’azienda deve astenersi dal proporre nuovamente la raccolta delle informazioni del consumatore per almeno 12 mesi dall’esercizio del diritto di opt-out;
2. diritto di accesso: il consumatore può richiedere se sia in corso o meno una vendita o divulgazione di informazioni personali, che coinvolga anche terzi, che lo riguardano e quali informazioni ne siano oggetto e che riguardi l’arco temporale dei 12 mesi precedenti la richiesta;
3. diritto di cancellazione: il consumatore può richiedere la cancellazione dei dati raccolti dall’azienda e dai suoi provider;
4. diritto a non subire discriminazioni: il consumatore che abbia esercitato il proprio diritto di opt-out non deve essere discriminato (es. mediante differenti trattamenti sui prezzi, mediante incentivi a non effettuare l’opt-out, oppure mediante concessione di maggiori vantaggi a chi non abbia esercitato il diritto);
5. diritto di riscontro: il consumatore deve ricevere un riscontro entro 45 giorni dalla propria richiesta. L’azienda può, tuttavia, previa motivazione, prorogare il proprio riscontro dai 45 ai 90 giorni;
6. diritto di azione (right to action): qualora un soggetto decida di intentare un’azione legale (right to action) nei confronti dell’azienda, potrà farlo solamente: a) previa notifica all’azienda con almeno 30 giorni di preavviso e b) coinvolgendo il procuratore generale della California^[8].

Le sanzioni

Le aziende che non ottemperino alle previsioni di cui al CCPA possono andare incontro a sanzioni da 2.500 dollari per singola violazione che non sia intenzionale a 7.500 dollari per una violazione intenzionale. Le sanzioni non sono applicate se l’azienda provvede a porre rimedio alla violazione entro 30 giorni dalla notifica della presunta non conformità^[9].

La normativa californiana e il GDPR

Già solamente leggendo le caratteristiche delle normative californiane, il California Consumer Privacy Act e il California Privacy Rights Act, ci si accorge delle affinità con il GDPR.

In particolare, il nuovo California Privacy Rights Act mira ad integrare la precedente versione della normativa sulla protezione dei dati dei consumatori con previsioni che appaiono prestate dal Regolamento europeo.

Tuttavia, enucleiamo alcuni punti di differenza:

1. ambito di applicazione: la normativa è volta a tutelare i soli residenti nello Stato della California ed è rivolta a specifiche aziende, individuate in basi a criteri in termini di grandezza imprenditoriale e tipologia di business;
2. base giuridica: la normativa parte dal presupposto che le aziende utilizzino le informazioni personali dei consumatori, ma non si riferisce alle modalità e basi mediante le quali tali dati siano raccolti;
3. misure: benché vi siano continui riferimenti ad obblighi e doveri non vi sono (ancora) precise indicazioni circa le modalità dell’utilizzo dei dati dei consumatori;
4. ruoli: poca attenzione è rivolta ai ruoli rivestiti dalle aziende. Si fa riferimento a terzi soggetti, destinatari della vendita, condivisione o divulgazione delle informazioni personali, ma non sono disciplinati in un’ottica di attribuzione delle responsabilità (il CPRA nella versione attuale timidamente prevede oneri per providers e contractors con specifico riferimento al diritto di cancellazione^[10], ma non ne disciplina ruolo e responsabilità rispetto ai business). Allo stesso modo, manca una figura che sia internamente incaricata della verifica dell’adeguamento dei business alle previsioni in materia di protezione delle informazioni personali dei consumatori, come l’europeo DPO;
5. trasferimenti: manca una specifica disciplina del trasferimento delle informazioni personali, soprattutto alla luce del fatto che molte aziende che si trovino fuori dallo Stato della California o degli Stati Uniti possano effettivamente avere interessi economici in California e rivolgersi ad utenti californiani, senza contare i terzi providers o contractors, che sono agganciati alla normativa e che potrebbero essere situati in Stati o Paesi terzi.

Può quindi constatarsi come mentre CCPA e (futuro) CPRA disciplinano il “nocciolo” dell’utilizzo dei dati, focalizzandosi in una già in atto divulgazione, vendita e condivisione, nonché sui diritti dei consumatori, il GDPR fornisce le istruzioni, dal progetto alla successiva conservazione dei dati personali per le persone giuridiche che li trattino.

Ciononostante, molti sono, come si è potuto notare, i punti di contatto tra le normative, seppur appartenenti a differenti ordinamenti.

Conclusioni

Il quadro appena delineato tiene conto delle differenze tra le normative californiane ed europee: ognuna di esse è caratterizzata da un differente contesto ordinamentale, da differenti precedenti legislativi e da diversi iter approvativi.

Inoltre, nonostante il muro innalzato dalla sentenza Schrems II^[11], sembra che (parti de) gli Stati Uniti stiano cercando di dimostrare all’Europa di voler valorizzare maggiormente la protezione dei dati personali – creando, forse, delle basi per futuri trasferimenti EU/US.

Nessuno avrebbe immaginato l’impatto che il GDPR avrebbe avuto, non solo per gli Stati Membri, ma anche per i Paesi che si trovano al di fuori del territorio dell’Unione Europea. Proprio quei territori tenuti al momento sotto scacco dalla sentenza Schrems II iniziano a dare segni di volontà di valorizzazione dei dati personali.

NOTE

1. “California Approves the CPRA, a Major Shift in U.S. Privacy Regulation”, National Law Review, Volume X, Number 322. ↑
2. “California Approves the CPRA, a Major Shift in U.S. Privacy Regulation”, National Law Review, Volume X, Number 322. ↑
3. Fonte: State of California Department of Justice- California Consumer Privacy Act (CCPA). ↑
4. California Legislative information, AB-375 Privacy: personal information: businesses. (2017-2018) (2018-2019). ↑
5. AB 375, Sez. 1798.140., lett. (c). ↑
6. Rientrano nella categoria di informazioni personali: informazioni che identifichino, direttamente o indirettamente o siano collegate direttamente o indirettamente ad un consumatore o nucleo familiare, quali i) dati identificativi, ii) informazioni commerciali, iii) dati biometrici iv) informazioni sul collegamento internet o la navigazione online (es. cronologia, informazioni derivanti da interconnesioni con app e dispositivi), v) dati di geolocalizzazione, vi) informazione uditiva, visiva, olfattiva, elettronica, termica, o simile vii) informazioni professionali viii) informazioni accademiche ix) informazioni che permettano la profilazione dl consumatore. Sono escluse dal perimetro le informazioni pubbliche e le informazioni in forma aggregata o de-identificata- AB 375, Sez. 1798.140., lett. (o) ↑
7. AB 375, Sez. 1798.140., lett. (g). ↑
8. AB 375, Sezz. 1798.110-135. ↑
9. AB 375, Sezz. 1798.155. ↑
10. Sec. 5, THE CALIFORNIA PRIVACY RIGHTS ACT OF 2020, “Amendments to version 3”. ↑
11. CJEU ruling Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (Case C-311/18) of July 16^th, 2020. ↑