Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI COMPARATIVA

California Consumer Privacy Act e Gdpr: modelli privacy a confronto

Sull’onda del regolamento europeo uno Stato Usa, la California, introduce per la prima volta nuove norme a tutela dei dati personali. Dal sistema di sanzioni alle informative per gli utenti, ecco punti di contatto e differenze fra le due disposizioni

28 Mag 2019

Tommaso Tanoni

Avvocato


Anche negli Usa si stanno muovendo i primi passi sul fronte privacy: scatterà a gennaio 2020 il California Consumer Privacy Act.

Una normativa ispirata al Gdpr europeo, che il 25 maggio scorso ha compiuto il secondo anno di vita.

Già, per i distratti ricordiamolo: il 25 maggio del 2018 è stata una data cruciale per i diritti dei cittadini dell’Unione Europea in tema di protezione dei dati personali. Il GDPR  rappresenta un’innovativa concezione del dato personale che, assumendo un ruolo sempre più rilevante nel quotidiano di ciascun individuo, è certamente destinata a consolidarsi.

Ma in California distratti non sono stati, dato che qui c’è stato forse il primo esempio di “contagio” della normativa privacy oltre oceano.

Anche alla luce di possibili ulteriori sviluppi, nel mondo, della normativa privacy, è utile un confronto tra Gdpr e Consumer Privacy Act.

Com’è nato il California Consumer Privacy Act

L’inedita normativa costituisce un primo effettivo baluardo contro lo strapotere delle grandi aziende in un contesto in cui il concetto di protezione dei dati personali è pressoché ignorato, malgrado il fondamentale contributo dei giuristi statunitensi Warren e Brandeis in tema di privacy. Infatti, le stesse eseguono attività di trattamento di dati personali in una sostanziale assenza di limiti giuridici.

I principali obiettivi che il CCPA intende raggiungere a vantaggio dei consumatori (definiti quali persone fisiche residenti in California), possono così identificarsi:

  • Garantire il diritto dei consumatori di conoscere le proprie informazioni personali che le aziende raccolgono;
  • Garantire il diritto alla cancellazione delle informazioni personali (con alcune eccezioni);
  • Garantire l’esercizio del diritto di “opt-outdel consumatore, cosicché lo stesso possa impedire la vendita (comunque consentita) dei propri dati personali a terzi, senza essere discriminato per aver esercitato tale diritto[1].

Il CCPA prevede che le aziende (businesses) forniscano preventivamente, oppure al momento della raccolta dei dati personali, specifiche informazioni mediante privacy policies. Le imprese saranno, pertanto, tenute ad informare i consumatori (consumers) circa l’esistenza e la tipologia dei diritti loro spettanti, le categorie di informazioni personali raccolte e le relative finalità, oltre alle categorie di informazioni personali ad essi riferibili vendute o diffuse nei dodici mesi precedenti.

Le aziende che vendono i dati dei consumatori a terzi saranno obbligate ad informare gli stessi in merito a tale attività, garantendo loro la possibilità di rinunciare alla vendita mediante la predisposizione di un link intitolato “Do Not Sell My Personal Information” sulla homepage del sito web aziendale (opt out).

La normativa prevede inoltre che un’impresa non possa vendere le informazioni personali di consumatori di età inferiore ai 16 anni senza il consenso affermativo del consumatore o, per i consumatori di età inferiore ai 13 anni, senza il consenso del genitore o del tutore (opt in).

I consumatori avranno anche il diritto di richiedere determinate informazioni alle aziende sui dati raccolti, tra cui la fonte dalla quale sono stati ottenuti, le finalità per le quali vengono utilizzati, l’esistenza di soggetti terzi ai quali vengono divulgati o venduti.

Raccolta dati e incentivi economici

La nuova legge americana impone, altresì, alle imprese di fornire ai consumatori almeno due mezzi per presentare le richieste di informazioni, ovverosia un numero verde e, ove presente, l’indirizzo web del sito aziendale. Le informazioni dovranno essere fornite gratuitamente, entro 45 giorni dal ricevimento della richiesta del consumatore, fatte salve eventuali proroghe di tale termine.

Come già accennato, è previsto un divieto di discriminazione dei consumatori che hanno esercitato i loro diritti garantiti dal CCPA. In altri termini, le imprese non potranno negare beni o servizi, ovvero applicare prezzi diversi per beni o servizi o, ancora, fornire una qualità diversa di beni o servizi per il solo fatto di aver esercitato i diritti spettanti ai consumatori.

Le imprese potranno comunque offrire incentivi economici ai consumatori per la raccolta, la vendita o la cancellazione di informazioni personali, a particolari condizioni e nel rispetto di specifici requisiti di comunicazione.

GDPR e CPPA a confronto

Ambito di applicazione territoriale. Ai sensi dell’art. 3 (1) il Regolamento (UE) 2016/679 trova applicazione per il trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. Parimenti, il comma 2 prevede che il Regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione. Ancora, il comma 3 estende l’applicazione al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

Il California Consumer Privacy Act [2] si concentra invece su quei soggetti che svolgono attività (business) in California (a prescindere dalla loro sede) e che trattano dati di soggetti ivi residenti, a patto che posseggano almeno uno dei requisiti infra descritti.

In concreto, risulta evidente come entrambi gli impianti normativi trovino applicazione nei confronti delle imprese situate al di fuori dei confini dell’Unione, così come della California.

Ambito di applicazione materiale. I principali soggetti che ruotano intorno al GDPR sono: titolare, responsabile ed interessato. In particolare, al fine di identificare il titolare del trattamento ci si deve riferire a criteri meramente fattuali, poiché il titolare è colui che effettivamente determina le finalità ed i mezzi del trattamento, a prescindere da qualsiasi ruolo ricoperto.

I soggetti maggiormente rilevanti contemplati dal CCPA sono invece: le imprese (“businesses”) e i consumatori (“consumers“).

Come già accennato, i consumatori si identificano nelle persone fisiche residenti in California, ai quali vengono riconosciuti i suindicati diritti nei confronti dei soggetti che detengono i loro dati, a prescindere dall’esistenza di un rapporto diretto tra di essi.

Ma i principali soggetti sui quali gravano gli obblighi sono sostanzialmente le imprese che posseggono almeno uno dei seguenti requisiti:

  • fatturato lordo superiore a 25 milioni di dollari;
  • oltre il 50% delle entrate annue derivanti dalla vendita delle informazioni personali dei consumatori;
  • ricezione, su base annuale, d’informazioni personali di oltre 50.000 consumatori, dispositivi o famiglie.

Diritti degli utenti: in Europa e in California

Mentre il GDPR stabilisce la regola secondo cui il trattamento dei dati personali è lecito solo se e nella misura in cui ricorra una delle condizioni di cui all’art. 6 (1) lett. a), b), c), d), e), f), il CCPA non contiene disposizioni analoghe. Dunque, il principio generale che può desumersi da tale ultima normativa è che il trattamento è sempre consentito, compatibilmente con l’esercizio dei nuovi diritti riconosciuti ai consumers.

Diritti degli interessati. Sia il GDPR che il CCPA garantiscono agli interessati/consumatori determinati diritti in materia di dati personali, seppur con evidenti differenze. Benché entrambe le norme attribuiscano a tali soggetti il diritto di conoscere di quali informazioni personali dispone un titolare/azienda, è solo il GDPR che agli articoli 15 e 20 impone dettagliati requisiti in ordine alle informazioni da fornire all’utente e al modo in cui la divulgazione deve essere effettuata. Il GDPR, inoltre, garantisce agli interessati una serie di diritti ulteriori – tra i quali il diritto all’oblio, il diritto alla rettifica dei dati personali e il diritto di non essere soggetti a una decisione basata esclusivamente su di un trattamento automatizzato – nessuno dei quali viene contemplato dal CCPA.

Dati personali: come cambia la definizione

Il CCPA definisce i dati personali (personal information) come quelli che “identificano, si riferiscono a, descrivono, possono essere associati o potrebbero ragionevolmente essere collegati, direttamente o indirettamente, con un particolare consumatore o famiglia[3] e fornisce alcuni esempi di informazioni specifiche che devono essere considerate dati personali, tra cui: indirizzi IP, cookie, beacon e pixel tag che possono essere utilizzati per riconoscere un soggetto interessato, oltre che i c.d. “identificatori persistenti o probabilistici” (persistent or probabilistic identifier)[4].

Questa definizione di dato personale, benché richiami molti esempi concreti e dettagliati non appare, per tale solo motivo, più ampia dell’elastica definizione contenuta nel GDPR e cioè “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.

La portabilità dei dati

Il GDPR prevede espressamente il diritto dell’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano forniti ad un titolare del trattamento, nonché il diritto di trasmettere tali dati ad un altro titolare senza impedimenti da parte del titolare cui li ha forniti (art. 20).

Il CCPA, sotto quest’aspetto, appare più circoscritto in quanto stabilisce che i consumatori che esercitano il diritto di accesso devono ricevere le informazioni “per posta o elettronicamente e, se fornite elettronicamente, le informazioni devono essere portabili e, per quanto tecnicamente possibile, in un formato facilmente utilizzabile che consenta al consumatore di trasferire queste informazioni ad un’altra entità senza impedimenti[5].

Sicurezza del trattamento dati

L’art. 32 del Regolamento europeo definisce in modo alquanto dettagliato le misure tecniche ed organizzative adeguate per garantire un livello adeguato al rischio, tra le quali si annoverano: la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento.

Il CCPA, nonostante preveda sanzioni per le violazioni “del dovere di implementare e mantenere procedure e pratiche di sicurezza ragionevoli[6], non definisce tale dovere né, tantomeno, quali procedure e pratiche di sicurezza possano considerarsi “ragionevoli”.

I vari tipi di sanzioni

Come noto, la normativa europea prevede che, ove il Regolamento non sia rispettato, le Autorità di controllo possano infliggere le ben note sanzioni amministrative pecuniarie previste dall’art. 83 del GDPR.

La violazione delle disposizioni stabilite dal comma 4 è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Invece, la violazione delle disposizioni di cui al comma 5 prevede sanzioni fino a 20 000 000 EUR o fino al 4% del fatturato.

Anche oltreoceano è presente un’Autorità incaricata dell’applicazione del CCPA, che in questo caso viene identificata nel California Attorney General’s Office. Le sanzioni civili per le violazioni intenzionali della legge in questione possono essere comminate per un valore che può arrivare fino a 7.500,00 dollari. Per il consumatore è comunque possibile agire legalmente per il risarcimento dei danni, in caso di talune violazioni di dati personali (entro un limite fissato per i danni subiti non inferiore a 100 dollari e non superiore a 750 dollari), con l’obbligo di preventiva notifica alla competente Autorità. Il consumatore dovrà astenersi dall’azione legale eventualmente intrapresa nel caso in cui l’Attorney General’s Office proceda entro sei mesi dalla notifica.

Un primo passo per la privacy Usa 

Sebbene vi siano degli evidenti punti di contatto tra le due normative e nonostante il CCPA abbia introdotto degli istituti giuridici noti ai giuristi europei, lo stesso non può essere interpretato tout court quale equivalente del GDPR. Il California Consumer Privacy Act costituisce, tutt’al più, un primo tentativo di introdurre negli Stati Uniti una legge globale sulla protezione dei dati che, in quanto tale, possiede il potenziale per acquisire la stessa rilevanza del GDPR. In effetti, la California, patria di molti titani della tecnologia, è per tradizione lo Stato americano più avanzato e maggiormente influente nell’ambito della protezione dei dati e della privacy negli Stati Uniti[7].

Dal punto di vista pratico, le aziende che operano (anche) in California dovranno certamente (ri)considerare alcuni fondamentali aspetti relativi al trattamento dei dati: dai sistemi di comunicazione ed informazione verso i consumatori (informativa e gestione del consenso), alle politiche di controllo e prevenzione dei rischi (valutazione dei rischi, valutazioni d’impatto) implicanti il trattamento dei soli dati necessari all’attività dell’impresa (minimizzazione dei dati), sino ad arrivare ad un sistema di monitoraggio continuo del flusso di dati (registro delle attività di trattamento).

Cosa accadrà da qui al primo gennaio 2020 è questione incerta. È senz’altro auspicabile che il CCPA apra una breccia attraverso la quale anche i cittadini statunitensi possano finalmente raggiungere la piena consapevolezza dell’estrema importanza del valore del dato personale, del suo corretto trattamento e delle ineluttabili implicazioni sui diritti e libertà fondamentali degli individui. Infatti, il monito lanciato dal Californians for Consumer Privacy lascia ben presagire per il futuro: “It’s your personal information. Take back control!”.

Note

  1. Californians for Consumer Privacy, www.caprivacy.org/about
  2. Lydia de La Torre, iapp.org/news/a/gdpr-matchup-california-consumer-privacy-act/
  3. Personal information means information that identifies, relates to, describes, is capable of being associated with, or could reasonably be linked, directly or indirectly, with a particular consumer or household. Personal information includes, but is not limited to, the following:(A) Identifiers such as a real name, alias, postal address, unique personal identifier, online identifier Internet Protocol address, email address, account name, social security number, driver’s license number, passport number, or other similar identifiers (…)
  4. “probabilistic identifier” means the identification of a consumer or a device to a degree of certainty of more probable than not based on any categories of personal information included in, or similar to, the categories enumerated in the definition of personal information.
  5. The information may be delivered by mail or electronically, and if provided electronically, the information shall be in a portable and, to the extent technically feasible, in a readily useable format that allows the consumer to transmit this information to another entity without hindrance.
  6. (…) duty to implement and maintain reasonable security procedures and practices appropriate to the nature of the information to protect the personal information (…)
  7. Lydia de La Torre iapp.org/news/a/gdpr-matchup-california-consumer-privacy-act/

@RIPRODUZIONE RISERVATA

Articolo 1 di 4