Il 28 giugno 2018 il governatore Jerry Brown ha firmato il California Consumer Privacy Act (CCPA), considerate da molti come una delle leggi sulla Privacy più dure degli Stati Uniti.
Il CCPA è stato concepito per proteggere i californiani dalle società che accedono indiscriminatamente ai loro dati. Permette inoltre che i loro dati non vengano venduti.
E’ chiaramente una risposta ad un’iniziativa che si sarebbe dovuta votare a Novembre e che, nonostante non tutti siano soddisfatti della nuova legge, è stata pertanto ritirata.
Tuttavia, lo stato della California condurrà un periodo di consultazione pubblica prima del 2020 per permettere di fornire le opportunità di rafforzare questa nuova legge.
Il CCPA è stato appena varato, e sarà senza dubbio oggetto di molte analisi, ma qui intanto offriamo una prima panoramica.
Vi sono molte leggi e regolamenti sui dati, negli Stati Uniti, ma il CCPA è molto chiaro su ciò che propone, ed è, come detto, probabilmente la legge più dura in materia di privacy. La California spesso conduce a innovazioni, e possiamo aspettarci che altri stati, se non il governo federale stesso, adottino questa legge. In ogni caso, questo Stato comprende un mercato talmente vasto che la maggior parte delle aziende statunitensi sono attive lì, e dovranno seguire in ogni caso il CCPA.
Questo è destinato alle imprese che hanno un’entrata annuale pari o superiore ai 25 milioni di $, o che commercializzano dati di più di 50.000 utenti o endpoint, o il cui ricavato dalle entrate della vendita dei dati superi il 50% del fatturato.
CCPA VS. GDPR
Possiamo notare come il CCPA sia stato chiaramente influenzato dal GDPR dell’Unione Europea, ed è interessante confrontare i due atti legislativi.
Ad esempio, come il GDPR, anche il CCPA contempla il diritto all’oblio, il diritto alla portabilità, e all’accesso ai dati. A differenza del GDPR, però, prevede che i danni espliciti possono essere concessi ai singoli in caso di violazione dei dati.
Il CCPA, a differenza, non parla di titolare o soggetto dei dati, ma di “consumatore”, ovvero una persona fisica residente in California. Per persona fisica si intende però un individuo, una ditta, una società, una joint venture, un sindacato, un’associazione, una società a responsabilità limitata, un comitato o una qualsiasi altra organizzazione o gruppo di persone che agiscono in concerto.
Nel CCPA è il “consumatore”, e non la persona, che è salvaguardato nei suoi diritti.
Nel GDPR si parla di “Data Controller” e “Data Processor”, mentre il CCPA si occupa solo di “business”.
Altra differenza interessante tra GDPE e CCPA e la differenza tra dati e metadati.
Il CCPA dichiara molto chiaramente che il consumatore ha il diritto di essere informato delle categorie di dati personali, categorie di fonti di dati, e di categorie di terzi con cui un’azienda condivide i dati personali. Nel GDPR, invece, si parla solo di dati personali, e della necessità di un linguaggio semplice per la divulgazione agli interessati. L’enfasi che il CCPA posta sulle categorie solleva interessanti dubbi sui metadati, ovvero come le categorie, il modo in cui sono definite, e il modo in cui le informazioni sono effettivamente suddivise in categorie. Ovviamente, il CCPA tutela anche i diritti sui dati effettivi.
Un’altra differenza interessante è la specificità delle rivelazioni. Il GDPR afferma che agli interessati devono essere fornite spiegazioni chiare e specifiche su quali scopi verranno utilizzati i dati personali, e il controllore dei dati ha una certa libertà su come farlo. Il CCPA è invece più prescrittivo. Specifica che un’azienda “deve fornire un collegamento chiaro e ben visibile sulla home page internet aziendale, intitolata “Non vendere le mie informazioni personali”, ad una pagina Web internet che consenta ad un consumatore (o ad una persona autorizzata dal consumatore stesso) di scegliere se accettare o meno la vendita delle proprie informazioni personali”.
Il CCPA parla di inferenze in un modo che il GDPR non fa. Il GDPR ha un linguaggio sulla costruzione di un “profilo” di un soggetto dei dati. Il CCPA sembra invece andare oltre, includendo inferenze sui consumatori come parte delle informazioni personali. Nello specifico, le informazioni personali includono “inferenze tratte da qualsiasi informazione identificata in questa suddivisione per creare il profilo di un consumatore che rifletta le preferenze, le caratteristiche, le tendenze psicologiche, le preferenze, le predisposizioni, gli atteggiamenti, l’intelligenza, le abilità e le attitudini del consumatore.”
Un’altra distinzione tra GDPE e CCPA è che i danni possono essere concessi agli individui. Nel GDPR è possibile riscuotere multe per inadempienza che rappresentano il 4% delle entrate globali o 20 milioni di euro, a seconda di quale sia il maggiore importo. Il CCPA prevede che, in caso di violazione dei dati, un’azienda debba risarcire il consumatore da 100 a 750 dollari. Le stime di ciò che una violazione dei dati costa ad un’organizzazione in passato sono state nella gamma da 100 a 200 dollari, quindi questo potrebbe ora aumentare in modo significativo.
Ma ciò che il CCPA dà con una mano, si riprende con l’altra. I consumatori possono portare azioni, ma ci sono una serie di condizioni che devono essere soddisfatte perché si possa procedere, come informare il Procuratore Generale, che può agire al posto del consumatore. C’è inoltre qualche discussione sulle azioni legali collettive nel CCPA, e ovviamente lo Stato della California non vuole che questa legge porti ad una “fame frenetica” di contenziosi di class action. Potrebbe quindi essere difficile contenere questo aspetto, e c’è da attendersi sicuramente un intenso lobbismo da parte di gruppi legali, durante il periodo della consultazione pubblica nel 2019, per consentire alle imprese di essere più aperte alle cause legali collettive.
LA PRIVACY DEI DATI È QUI PER RIMANERVI.
Ci sarebbe molto di più da scrivere sul CCPA, ma per ora finiamo qui il nostro intervento. Quello che per ora possiamo già vedere, confrontando il CCPA e il GDPR, è che l’area della privacy dei dati è qualcosa che i governi stanno prendendo molto sul serio. Si può inoltre vedere che ci sono diversi patrimoni legali e culturali che influenzano il modo in cui le disposizioni legislative sono presentate dalle diverse giurisdizioni.
Sta infine diventando molto chiaro che i “dati” sono un’area così ampia che diverse leggi affrontano (o ignorano) diverse parti di esso, senza che nessuna di queste sia veramente completa, per la loro vastità e varietà.
Di sicuro, ci aspettiamo sviluppi interessanti, in merito.