Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

delete act

Privacy come infrastruttura pubblica: la California lancia DROP

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

Dal 1° gennaio 2026, in California, hanno preso avvio delle regole attuative e della piattaforma DROP, pensata per permettere agli utenti di chiedere in modo gratuito la cancellazione e l’opt-out rispetto ai dati detenuti dai “data broker”, con un’entrata a regime scandita da obblighi progressivi e controlli rafforzati

Pubblicato il 23 gen 2026
Angelo Alù

studioso di processi di innovazione tecnologica e digitale

privacy digital omnibus; convenzioni Consip; ISO/IEC 27701; BIM delete act california

Di recente è stato reso noto, a cura della California Privacy Protection Agency (CalPrivacy), un intervento attuativo di regolamentazione predisposto in materia di privacy, volto all’implementazione della disciplina introdotta dal Delete Act: le novità sono entrate ufficialmente in vigore a partire dal 1° gennaio 2026.

California Consumer Privacy Act e Gdpr: modelli privacy a confronto

Delete Act in California: cosa entra in vigore dal 1° gennaio 2026

Nell’ottica di assicurare l’effettivo esercizio del diritto alla protezione dei dati personali, la nuova regolamentazione attuativa prevede l’attivazione di una nuova piattaforma telematica, denominata DROP” (Delete Request and Opt-out Platform), per consentire agli utenti di inviare, gratuitamente e senza l’addebito di alcun costo, una richiesta di cancellazione simultanea di tutte le informazioni personali detenute dai cd. “broker di dati” nei propri database, e altresì di richiedere l’interruzione di un’eventuale vendita online delle medesime informazioni, al fine di salvaguardare la privacy individuale contro il rischio di qualsivoglia trattamento non autorizzato che sfugga al costante controllo effettuato dall’interessato.

L’integrale introduzione della normativa non è istantanea, ma risulta applicabile a tappe intermedie mediante un regime dilatorio di graduale postergazione regolatoria.

Rispetto all’immediata operatività di alcune disposizioni e funzionalità della piattaforma telematica “DROP” introdotta dalla menzionata disciplina generale, a partire – come detto, appunto da gennaio 2026 – la previsione delle restanti specifiche prescrizioni risulta, invece, posticipata, con particolare riferimento alla positivizzazione di una serie di stringenti vincoli posti a carico dei “broker di dati”, in un periodo successivo all’iniziale entrata in vigore del nuovo sistema di regolamentazione.

Cos’è DROP e quali richieste consente di inviare agli utenti

Con decorrenza, infatti, dal 1° agosto 2026, i “broker di dati” saranno tenuti ad accedere al sito “DROP” almeno ogni 45 giorni per recuperare ed elaborare le richieste di cancellazione degli utenti da definire entro 45 giorni a pena di sanzioni, con un ulteriore obbligo di segnalare lo stato di ciascuna istanza pervenuta.

Richiesta di cancellazione “simultanea” e interruzione della vendita dei dati

La normativa impone, altresì, ai “broker di dati” di conservare un elenco di tutte le richieste di cancellazione, con l’intento di tracciare il flusso documentale delle attività espletate, soggette pertanto a costante monitoraggio in grado di garantire l’effettivo rispetto delle prescrizioni stabilite.

Costo zero e logica di semplificazione del diritto alla protezione dei dati

I controlli di conformità a pieno regime saranno previsti dal 2028 anche mediante il ricorso a periodici audit effettuati da organismi terzi e indipendenti.

Delete Act in California: attuazione graduale e tappe della postergazione

Per comprendere la portata del prospettato intervento regolatorio di implementazione, è opportuno ricostruire l’ambito applicativo della disciplina di riferimento, alla luce delle principali norme emanate nel corso del tempo, tenuto conto del quadro legislativo generale costituito dal California Consumer Privacy Act (CCPA), integrato dalle riforme realizzate nel 2019 e nel 2020, sino alla vigente legge sulla privacy risalente al 2023 (Delete Act) – a sua volta novellata nel 2025 – da cui si evince la “ratio” sottesa alla realizzazione degli specifici strumenti di tutela realizzati a presidio della privacy.

Dal 1° agosto 2026: obblighi operativi per i data broker e tempi di risposta

Al riguardo, il cd. Delete Act (SB-362 – “Data broker registration: accessible deletion mechanism”), realizza una duplice azione riformatrice, che modifica svariate sezioni del Codice Civile e contestualmente introduce nuove disposizioni (segnatamente, nell’ambito della Divisione 3 – Parte 4 “Obblighi derivanti da particolari operazioni”).

Gestione entro 45 giorni e aggiornamento dello stato delle richieste

La legge introduce un meccanismo di cancellazione accessibile, finalizzato a rendere effettivo l’esercizio dei diritti tutelati dal California Consumer Privacy Act del 2018 (CCPA), “in relazione alle informazioni personali raccolte o vendute da un’azienda, tra cui il diritto di richiedere a un’azienda di divulgare informazioni specifiche raccolte sul consumatore, di richiedere a un’azienda di cancellare le informazioni personali sul consumatore che l’azienda ha raccolto e di ordinare a un’azienda di non vendere o condividere le informazioni personali del consumatore” (cfr. Preambolo riassuntivo della legge, Delete Act, cit.).

Tracciabilità e controlli: registro delle richieste e audit dal 2028

In particolare, la legislazione vigente impone a ogni “data broker” di perfezionare un’apposita procedura di registrazione, a pena di sanzioni pecuniarie irrogate in caso di mancato assolvimento del prescritto obbligo, istituendo, a tal fine, il “Data Brokers’ Registry Fund”, amministrato dalla California Privacy Protection Agency, per sostenere tutti i costi di funzionamento del sistema e il ristoro dei pregiudizi cagionati in violazione delle prescrizioni legislative stabilite.

Delete Act nel quadro CCPA: evoluzione normativa 2018–2025

Nell’ambito della Sezione 1, il Delete Act ridefinisce, mediante apposita modifica della corrispondente disposizione del Codice Civile (art. 1798.99.80) la nozione di “Data broker” (lett. c.) per indicare “un’azienda che raccoglie e vende consapevolmente a terzi le informazioni personali di un consumatore con il quale l’azienda non ha un rapporto diretto”.

L’art. 6 del Delete Act, aggiungendo il nuovo art. 1798.99.86 al Codice Civile, ha previsto il descritto intervento di implementazione – recentemente attuato in linea con l’orizzonte temporale del 1° gennaio 2026 – ponendo a carico della California Privacy Protection Agency, entro il predetto termine, il compito di istituire un meccanismo di cancellazione accessibile per l’espletamento di una serie di attività e procedure in grado di garantire la protezione delle informazioni personali dei consumatori, contro il rischio di abusi, accessi e divulgazioni non autorizzate. A tal fine, l’interessato diviene titolare di una serie di diritti volti a richiedere a ogni “broker di dati” l’eliminazione delle proprie informazioni detenute, nonché di escludere determinate finalità di trattamento e modificare eventuali precedenti istanze già formulate.

Definizione di “data broker” e obbligo di registrazione: cosa prevede la legge

Pertanto, alla luce della disciplina introdotta dal Delete Act, i “broker di dati” sono tenuti a registrarsi presso la California Privacy Protection Agency (CalPrivacy), conformandosi gradualmente alle prescrizioni stabilite dalla normativa richiamata, con particolare riferimento al meccanismo di cancellazione accessibile mediante la piattaforma di richiesta di cancellazione e disattivazione “DROP”.

In caso di omessa registrazione, è prevista l’irrogazione di sanzioni amministrative pecuniarie, unitamente all’apertura di apposite indagini avviate dalla California Privacy Protection Agency.

Chi può usare DROP: requisiti, identità digitale e richieste per conto terzi

In conformità con il Delete Act, la piattaforma “DROP” tutela la privacy individuale degli utenti contro il rischio di possibili abusi causati dalla raccolta e dalla vendita di informazioni personali ricavate da registri pubblici e navigazioni web che, acquisite senza il consenso degli interessati, risultano disponibili anche per eventuali finalità di marketing personalizzato e di tracciamento profilato.

Per inviare una richiesta di cancellazione tramite il sito “DROP”, è necessario essere residenti o domiciliati in California e fornire una serie di informazioni da compilare tramite il sistema California Identity Gateway, L’istanza può essere presentata anche per contro di altri soggetti interessati legittimati (ad esempio, un genitore che agisce a tutela del proprio figlio).

Dopo aver creato il proprio profilo all’interno della piattaforma “DROP”, è, dunque, possibile inviare la richiesta di cancellazione che si estende simultaneamente alla generalità dei dati detenuti da tutti i “data broker” con conseguente integrale eliminazione dei medesimi e divieto di vendita delle informazioni rimosse.

Perché la piattaforma punta a ridurre rischi e abusi nei trattamenti dei dati

L’approccio realizzato dal legislatore mira a semplificare le procedure di identificazione dei dati personali disponibili online, rendendo più agevole, effettiva e accessibile la richiesta di cancellazione formulata dagli utenti, in grado di esercitare un effettivo controllo sulle proprie informazioni, anche nell’ottica di minimizzare i rischi connessi ai furti di identità, frodi e divulgazioni abusive, costituenti insidie sempre più diffuse nell’attuale ambiente digitale e oltremodo amplificate dal pervasivo uso dei sistemi di intelligenza artificiale.

Le opinioni espresse nel presente articolo hanno carattere personale e non sono, direttamente o indirettamente collegate, in alcun modo, alle attività e funzioni lavorative svolte dall’Autore, senza, quindi, impegnare, in alcun modo, l’Amministrazione di appartenenza del medesimo.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Angelo Alù
studioso di processi di innovazione tecnologica e digitale
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • competenze_manageriali_per_il_cloud_agendadigitale; AI CISO; legge italiana AI profili penali Etichettatura contenuti IA; sovranità digitale UE sicureza cloud Competenze intelligenza artificiale generativa

  • intelligenza artificiale

    Lamberti (Associso): "Così l'AI cambia il nostro ruolo"

    03 Ott 2025

    di Giovanni Lamberti

    Condividi
  • controllo degli algoritmi algoritmi nella pa

  • privacy

    Monitoraggio dei lavoratori nel Regno Unito: i paletti del Gdpr UK

    10 Giu 2025

    di Paola Perin

    Condividi
  • sicurezza digitale (1) regolamentazione finanziaria - pmi NIS2 PMI Sicurezza delle identità: registrar TLD; NIS2 compliance interna minacce ibride

  • la guida

    Registrar TLD e NIS 2, le novità per i gestori di registri di nomi di dominio

    07 Ago 2025

    di Federica Maria Rita Livelli

    Condividi
0
Lascia un commento, la tua opinione conta.x