Il 19 luglio scorso il Procuratore Generale della California Rob Bonta in una conferenza stampa ha fatto il punto sull’applicazione della normativa californiana a tutela dei dati personali, il California Consumer Privacy Act (CCPA), e ha annunciato la creazione del Consumer Privacy Tool, che agevolerà le segnalazioni, da parte dei consumatori, dei siti web che non presentano in modo chiaro il pulsante “Do Not Sell My Personal Information”.
Durante la conferenza stampa il Procuratore Generale si è concentrato sugli strumenti volti a promuovere l’applicazione del CCPA e in particolare lo strumento di notifica al titolare delle presunte violazioni della normativa, con ingiunzione di conformarsi entro un determinato termine. Il Procuratore Generale, infatti, può citare in giudizio le aziende che violano il CCPA se non rimediano alla violazione contestata entro 30 giorni dalla notifica di non conformità (right to cure).
Legge federale USA sulla privacy: gli ostacoli nell’approvazione di una normativa unitaria
Bonta si è detto soddisfatto dello strumento del right to cure, che è stato accolto dalle aziende in modo proattivo, tanto che il 75% delle aziende che hanno ricevuto una notifica di violazione del CCPA ha posto in essere azioni per rimediare alla non conformità entro il termine previsto dalla legge, mentre il restante 25% dei presunti trasgressori erano ancora entro i termini.
Le contestazioni mosse negli ultimi mesi alle aziende dal Procuratore riguardano per la maggior parte le privacy policy carenti di informazioni fondamentali (ad es. mancanza della chiara indicazione di un incentivo per il conferimento di dati personali all’interno di un programma fedeltà, del trasferimento dei dati a terzi o della dichiarazione di aver venduto dati personali), la mancanza del bottone “Do not sell” o di un sistema idoneo a permettere ai consumatori di esercitare i propri diritti ex CCPA, il mancato ottenimento del consenso (opt-in) da parte dei minori di 16 anni, i contratti con i fornitori carenti delle clausole indicate nella normativa o i Terms & Conditions non adeguati, il mancato riscontro alle richieste dei consumatori.
Secondo il procuratore il right to cure si sta rivelando un ottimo strumento: “Stiamo vedendo che le imprese sono motivate e in grado di rispettare la legge. La mia convinzione è che la grande maggioranza vuole conformarsi e si conformerà”, ha detto Bonta. “Vogliono sapere come adempiere e si adoperano per farlo. Vogliamo in primo luogo la conformità e quello è il risultato che stiamo ottenendo. È così che i consumatori e la loro privacy sono protetti”.
Il partner di Baker McKenzie Lothar Determann, autore del libro “California Privacy Law”, ha richiamato le aziende che fanno business in California a non abbassare la guardia e a tenere in ampia considerazione il CCPA, insieme alle altre numerose leggi esistenti in California a protezione dei consumatori, anche alla luce delle attività di enforcement poste in essere dall’Attorney General.
Indice degli argomenti
Global Privacy Control
Poco prima della conferenza stampa, il sito del procuratore aveva aggiornato le FAQ relative al CCPA e alla sua applicazione. Uno degli elementi di novità è relativo al Global Privacy Control (GPC), da considerarsi come una valida richiesta del consumatore per opporsi alla vendita dei dati personali.
Infatti, secondo il California Consumer Privacy Act, le aziende che vendono informazioni personali devono mettere a disposizione dei consumatori, in modo semplice e agevole, due o più metodi per opporsi alla vendita dei loro dati personali. Per le aziende che raccolgono informazioni personali dai consumatori online, uno dei metodi di opt-out ritenuti accettabili dal procuratore è quello realizzato attraverso un controllo globale della privacy abilitato dall’utente. Ne è un esempio il GPC, sviluppato in risposta al CCPA per migliorare i diritti di privacy dei consumatori. Si tratta di un “interruttore” che consente di fermare la vendita dei dati, disponibile su alcuni browser, come Mozilla Firefox, Duck Duck Go e Brave, o come estensione del browser, uno standard tecnico che riflette quanto previsto nei regolamenti al CCPA e che permette al consumatore di segnalare una globale decisione di opt-out, piuttosto che essere costretto a fare numerose richieste su più siti web attraverso diversi browser o dispositivi. L’opt-out alla vendita di dati personali dovrebbe essere facile per i consumatori, e il GPC è una soluzione ottimale per presentare richieste di opt-out alla vendita di informazioni personali attraverso un controllo globale della privacy abilitato dall’utente.
La presa di posizione del procuratore generale sulla GPC verosimilmente cambierà il modo con cui le organizzazioni implementeranno le misure richieste dal CCPA e probabilmente l’approccio si estenderà in tutto il Paese, posto che la normativa californiana funge ormai da esempio al quale le normative locali dei vari stati si ispirano.
Infatti, già il Colorado Privacy Act prevede un sistema di global privacy control, laddove indica espressamente che i cittadini devono poter rifiutare in modo globale la pubblicità mirata e la vendita di informazioni personali tramite un’impostazione del dispositivo.
Consumer Privacy Tool
Infine, il procuratore ha offerto un altro strumento a favore dei consumatori, il Consumer Privacy Tool, che agevola i consumatori nella formulare le loro richieste di Do Not Sell direttamente alle aziende.
Il sito del Procuratore Generale della California ospita, quindi, uno strumento interattivo realizzato per aiutare i consumatori a redigere una contestazione di non conformità da inviare alle aziende che potrebbero aver violato il California Consumer Privacy Act. Attualmente, questo strumento è utilizzato solo per facilitare la redazione di avvisi alle aziende che non pubblicano il link “Do Not Sell My Personal Information” sul loro sito web. Secondo il General Attorney, però, questo strumento potrà essere sviluppato per includere altre potenziali violazioni del CCPA.
Secondo la normativa californiana, infatti, ogni azienda che venda informazioni personali, deve pubblicare un link chiaro e ben visibile “Do Not Sell My Personal Information” sul suo sito web in modo che i consumatori possano opporsi alla vendita dei loro dati personali. Il Consumer Privacy Tool aiuta i consumatori a redigere un primo avviso di non conformità, che il consumatore può separatamente inviare alle aziende che si presume abbiano violato il CCPA.
Considerando che i consumatori non hanno diritto di agire direttamente nei confronti delle aziende per la maggior parte delle violazioni del CCPA, l’invio di un avviso di non conformità è uno strumento che permette di tutelare i consumatori. Infatti, il Procuratore Generale può citare in giudizio le aziende che violano il CCPA se non rimediano a qualsiasi violazione entro 30 giorni dalla notifica di non conformità. L’avviso inviato dal consumatore con l’aiuto di questo tool può soddisfare questo prerequisito e permettere al Procuratore Generale di agire nei confronti dei trasgressori. È importante, quindi, che le imprese che dovessero ricevere contestazioni del genere, rispondano e rimedino entro 30 giorni all’eventuale violazione.
Questo strumento ha suscitato qualche perplessità, considerando la complessità della normativa e l’ampiezza del concetto di “vendita” dei dati personali contenuto nel CCPA. Darren Abernethy, Ad Tech, Privacy & Cybersecurity Counsel at Greenberg Traurig, ha affermato che lasciare uno strumento come questo, con tali conseguenze giuridiche, in mano ai consumatori su un argomento su cui potrebbero non essere pienamente informati “potrebbe facilmente portare a controlli e contestazioni da parte del procuratore generale sulla base di presupposti imprecisi”.
Al contrario, il procuratore ha forzato molto sull’utilizzo del tool: “Se non volete che le vostre informazioni siano vendute, dovete agire”, ha affermato rivolto ai consumatori durante la conferenza stampa, “Per quelli là fuori che pensano che le vostre informazioni non saranno vendute automaticamente a causa del CCPA, non è vero. Dovete fare quel passo e cliccare quel pulsante sui siti web”.
La normativa, infatti, prevede che i consumatori possano richiedere alle aziende che smettano di vendere i dati personali, in un regime, quindi, non di opt-in, ma di opt-out, salvo alcune eccezioni espressamente previste. Diversamente, per i minori di 16 anni, la vendita dei dati personali è consentita solo previo ottenimento di un consenso (“opt-in”), che, nel caso di bambini di età inferiore ai 13 anni, deve essere prestato da chi ne esercita la responsabilità genitoriale.
