Normativa privacy californiana e gestione di un e-commerce: regole operative

Il recente provvedimento emesso verso Sephora Inc.^[1] e la pubblicazione da parte dell’Office of the Attorney General (“OAG”) di alcuni provvedimenti sanzionatori e ammonitori, si prestano come importanti riferimenti al fine di affrontare gli obblighi imposti dalle normative californiane in materia di protezione dei dati personali, il California Consumer Privacy Act (“CCPA”) e, a partire dal 2023, il California Privacy Rights Act (“CPRA”).

La CPRA non ha stravolto il preesistente framework normativo in California, ma ha modificato o integrato alcuni aspetti della CCPA^[2].

Le normative contengono alcune peculiarità che le aziende devono necessariamente considerare per la costruzione e gestione di un e-commerce.

CCPA, la legge privacy californiana si aggiorna con gli strumenti che ne promuovono l’applicazione

Il campo di applicazione

Il primo aspetto da considerare è il campo di applicazione territoriale ed extraterritoriale del framework normativo. Esso si applica alle imprese aventi scopo di lucro che:

1. acquistano, ricevono o vendono le informazioni personali di 100.000 o più residenti in California;
2. ricavano il 50% o più delle loro entrate annuali dalla vendita di informazioni personali di residenti in California.

Informativa sulle attività di trattamento dati

Similarmente al Regolamento europeo sulla protezione dei dati personali (“GDPR”), il principio di trasparenza impone alle aziende di fornire ai propri utenti tutte le informazioni relative all’attività di trattamento effettuata.

Le aziende devono fornire ai consumatori un avviso tempestivo, al momento della raccolta o prima di essa, sulle categorie di informazioni personali che saranno raccolte e sulle finalità per le quali tali categorie di informazioni personali saranno utilizzate.

Ad esempio, un’azienda che raccoglie informazioni personali dei consumatori online, può pubblicare un link all’informativa sulla pagina introduttiva del proprio sito web e su tutte le pagine in cui vengono raccolte informazioni personali.

Le aziende devono includere nell’informativa, al momento della raccolta:

1. un elenco delle categorie di informazioni personali da raccogliere. Ogni categoria di informazioni personali deve essere descritta in modo tale da fornire ai consumatori una comprensione significativa delle informazioni raccolte;
2. le finalità per le quali le categorie di informazioni personali saranno utilizzate;
3. un link all’informativa sulla privacy dell’azienda.

L’informativa deve essere presentata in modo da essere facilmente leggibile e comprensibile per i consumatori e dovrà essere:

1. scritta in un linguaggio semplice e diretto;
2. presentata in un formato che attiri l’attenzione del consumatore sull’avviso e lo renda leggibile;
3. disponibile nelle lingue in cui l’azienda fornisce normalmente contratti e altre informazioni ai consumatori californiani;
4. ragionevolmente accessibile ai consumatori disabili.

Do not sell my personal information

Le normative garantiscono diversi diritti ai cittadini californiani, incluso il diritto di rinunciare alla vendita di informazioni personali.

Ma cosa si intende esattamente per “vendita”? Con tale termine si intende: “la vendita, la locazione, il rilascio, la divulgazione, la diffusione, la messa a disposizione, il trasferimento o altre comunicazioni orali, scritte o elettroniche o di altro tipo, di informazioni personali del consumatore da parte dell’impresa a un’altra impresa o a un terzo”. Il CPRA ha esteso ulteriormente il concetto di “sell” e vi ha incluso anche quello di “share”, risolvendo qualsiasi dubbio circa l’interpretazione di tale termine ai sensi delle normative rilevanti.

Le aziende che compiono tali operazioni sui dati personali dei consumatori californiani dovranno:

1. informare i consumatori della “vendita” delle informazioni personali dei consumatori a terzi e che i consumatori hanno il diritto di rinunciare a tali vendite;
2. pubblicare sul loro sito o piattaforma e-commerce un collegamento “Do not sell or share my personal information” che indirizzi i consumatori a una pagina Web in cui possano esercitare il diritto di rinunciare alla vendita delle proprie informazioni personali;
3. fornire un collegamento al form per l’esercizio dei diritti sulla home page e su qualsiasi pagina che raccolga informazioni personali;
4. permettere di inviare le richieste di do not sell senza dover creare un account;
5. comunicare ai consumatori le categorie di fornitori e terze parti con cui vengono condivise le informazioni personali.

Tale regola risulta applicabile anche ai sistemi di tracciamento online (cookies) ed implica che se un’azienda consente a una “terza parte” di raccogliere informazioni personali mediante cookies per uno “scopo commerciale”, dovrà consentire all’utente di rinunciare all’uso di tali cookie di terze parti e alla raccolta e all’uso di informazioni personali in quanto ciò costituirebbe una “vendita”.

L’importanza dell’osservanza di tali adempimenti è dimostrata da un recente provvedimento adottato dall’OAG verso un rivenditore online di abbigliamento, reo di non aver adottato un processo di opt-out conforme. Il link “Do not sell my personal information” riconduceva ad un’opzione che permetteva di gestire i cookies e tecnologie simili, ma non presentava un meccanismo che permettesse di interrompere la vendita di informazioni personali.

Sarebbe opportuno, inoltre, che le aziende conservassero per almeno 24 mesi, un registro delle richieste dei consumatori presentate ai sensi della CCPA e modalità con cui si è fornito un riscontro a tali richieste di opt-out. Le registrazioni possono essere conservate in un formato cartaceo o in formato log a condizione che siano incluse le seguenti informazioni:

1. la data della richiesta;
2. la natura della richiesta;
3. il modo in cui è stata presentata la richiesta;
4. la data della risposta; e) la natura della risposta;
5. la base per il rifiuto della richiesta, se questa è stata respinta in tutto o in parte.

Rapporti tra l’impresa e i fornitori

Un’eccezione al do not sell personal information è rappresentata dai trasferimenti dei dati personali verso service provider. Nel caso in cui vengano trasferite informazioni dei clienti ai c.d. service provider, questi non saranno “travolti” da un eventuale esercizio del diritto di opposizione (“do not sell”) da parte dell’interessato.

Ai sensi del CPRA, per qualificarsi come rapporto tra azienda e fornitore di servizi, il trasferimento di informazioni personali deve essere conforme a un contratto scritto che proibisce al service provider di conservare, utilizzare o divulgare le informazioni personali per qualsiasi scopo diverso da quello individuato nel contratto.

Il CPRA aggiunge la categoria dei “contractors”, definiti come entità a cui le aziende “mettono a disposizione” informazioni personali o che “utilizzano” informazioni personali. Ai sensi del CPRA, gli accordi con tali soggetti dovranno contenere alcuni requisiti aggiuntivi, riportati di seguito.

Il contratto con la terza parte, il contractor o il service provider deve:

• obbligare l’entità ricevente a rispettare il CPRA e a fornire i livelli di protezione della privacy richiesti dal CPRA;
• specificare che le informazioni personali sono vendute/condivise o divulgate solo per scopi limitati e specifici;
• concedere all’azienda i diritti di adottare misure ragionevoli e appropriate per garantire che l’entità ricevente utilizzi le informazioni personali in modo coerente con il CPRA;
• richiedere all’entità ricevente di informare l’azienda se non è più in grado di adempiere ai propri obblighi ai sensi del CPRA;
• concedere all’azienda il diritto, previa notifica, di adottare misure ragionevoli per interrompere e porre rimedio all’uso non autorizzato delle informazioni personali da parte dell’entità ricevente;
• stabilire che all’entità ricevente è vietato:

1. vendere o condividere le informazioni personali;
2. conservare, utilizzare o divulgare le informazioni personali per qualsiasi scopo diverso da quello specificato nel contratto;
3. conservare, utilizzare o divulgare le informazioni personali al di fuori del rapporto commerciale diretto specificato nel contratto; e
4. combinare le informazioni personali ricevute con le informazioni personali ricevute da un’altra azienda o che essa stessa raccoglie.

Se un fornitore di servizi o un appaltatore assume un sub-responsabile, è tenuto a informare l’azienda e stipulare un contratto con il sub-responsabile che soddisfi i requisiti di cui sopra.

Inoltre, il contractor deve consentire all’azienda di monitorare la propria conformità al contratto attraverso revisioni continue o audit regolari, almeno una volta ogni dodici mesi.

Loyalty programs

Le aziende devono prestare particolare attenzione anche all’organizzazione dei loyalty programs e all’offerta ai consumatori californiani di sconti su prodotti e servizi. Per tali finalità, le normative californiane richiedono la pubblicazione di un’apposita Notice of Financial Incentive e l’implementazione di un meccanismo di opt-in.

Una recente azione di enforcement da parte dell’OAG ha “costretto” le aziende a:

1. modificare le interfacce online, al fine di indirizzare i consumatori alla Notice of Financial Incentive tramite uno specifico “deep link”;
2. ridefinire i metodi di iscrizione ai loro loyalty programs e acquisire il consenso esplicito, nonché fornire ai consumatori il diritto di ritirarsi dal programma in qualsiasi momento;
3. modificare le loro Notices of Financial Incentive, fornendo ai consumatori i termini materiali dell’incentivo, ovvero, le modalità con cui l’azienda utilizza le informazioni personali dei consumatori raccolte per concedere l’incentivo finanziario.^[3]

Conclusioni

I recenti provvedimenti ammonitori e sanzionatori comminati dal Procuratore Generale dello Stato della California impongono alle aziende una necessaria valutazione dei livelli di compliance alle normative californiane dei siti di e-commerce accessibili a utenti e clienti californiani.

Riassumendo quanto detto nei paragrafi precedenti, le aziende dovrebbero (i) predisporre un’informativa in modo tale da fornire ai propri utenti tutte le informazioni relative all’attività di trattamento effettuata e pubblicarla sul proprio sito di e-commerce; (ii) adottare un meccanismo di opt-out che consenta agli utenti di fermare la vendita e/o la condivisione a terze parti dei propri dati personali; (iii) predisporre e pubblicare un’ulteriore informativa per l’offerta di sconti su prodotti e servizi e richiedere, a tal fine, il consenso attivo dell’utente.

Oltre a tali adempimenti normativi, è opportuno che le aziende valutino la possibilità di adottare processi e procedure che permettano di gestire nel modo più ottimale le diverse richieste che possono provenire dai consumatori.

NOTE

1. Attorney General Bonta Announces Settlement with Sephora as Part of Ongoing Enforcement of California Consumer Privacy Act | State of California – Department of Justice – Office of the Attorney General ↑

2. Le modifiche che saranno introdotte dal CPRA includeranno, inter alia: (i) l’introduzione di nuovi diritti per i consumatori quali il diritto di rettifica dei dati, il diritto di limitazione all’utilizzo dei dati sensibili; (ii) una nozione di dati sensibili che includerà informazioni quali il SSN, numeri di patente, informazione biometrica, geolocalizzazione, origine razziale ed etnica; (iii) la creazione della California Privacy Protection Agency. ↑

3. Ad esempio a scopo di vendita, profilazione dei consumatori, personalizzazione offerte e altre attività di marketing. ↑