11/03/2020

Sai cos’è il CCPA? Scopri se si applica anche al tuo e-commerce

De Lorenzo Grassano

E’ passato poco tempo da quando hai aggiornato la privacy policy del tuo e-commerce e già hai sentito parlare di un’altra importante novità legislativa che sembra impattare sul tuo sito: il CCPA.

Vediamo insieme di cosa si tratta e se davvero devi nuovamente mettere mano alla privacy policy.

Cos’è il CCPA

Il CCPA (California Consumer Privacy Act) è la prima legge degli Stati Uniti d’America in materia di privacy e impone alle aziende determinate modalità di trattamento e trasferimento dei dati personali degli utenti che utilizzano internet.

L’obiettivo viene perseguito riconoscendo agli utenti americani nuovi e importanti diritti, quali ad esempio la possibilità di opporsi alla vendita dei propri dati a soggetti terzi e la facoltà di chiedere la comunicazione dei dati in precedenza raccolti dal sito e la loro relativa comunicazione.

La nuova legge è entrata in vigore in California il 1° gennaio di quest’anno.

La California è spesso pioniere di soluzioni normative in materia di diritto digitale e non è da escludere che altri Stati la seguiranno affinché anche negli USA gli utenti possano beneficiare di una normativa privacy comune per tutti i cittadini.

Si applica anche al tuo e-commerce?

Come ogni normativa, è molto importante verificare il suo campo di applicazione al fine di evitare inutili modifiche ai documenti pubblicati online.

Il CCPA si applica solamente alle aziende che rivolgono i loro prodotti e servizi a persone fisiche residenti in California (indipendentemente dal fatto che il sito abbia sede in questo Stato) e che raccolgono le informazioni personali degli utenti determinandone finalità e modo di trattamento (assumendo quindi il ruolo che in base al GDPR sarebbe di “titolare del trattamento”).

Oltre al sopra descritto requisito, l’e-commerce deve soddisfare almeno uno di questi requisiti:

  • Generare un fatturato annuo lordo superiore ad almeno 25 milioni di dollari
  • Ottenere almeno il 50% del proprio fatturato dalla vendita di dati personali
  • Acquistare, ricevere, vendere o condivide ogni anno per finalità commerciali le informazioni personali di almeno 50.000 persone fisiche.

In merito all’ultimo requisito, è necessario considerare che gli indirizzi IP sono considerati (al pari di quanto accade in Europa) dati personali e visto che le “finalità commerciali” sono tipiche di qualsiasi e-commerce, se il tuo sito riceve dalla California almeno 50.000 visite uniche deve rispettare il CCPA.

Diversamente, se il tuo e-commerce non soddisfa nessuno dei requisiti sopra descritti non deve adeguarsi alla nuova normativa.

Cosa prevede il CCPA

La nuova normativa prevede obblighi molto specifici e che si riflettono anche sulla operatività offline.

In questa sede valga solo il riferimento al fatto che gli e-commerce obbligati a rispettare il CCPA dovranno aggiornare la privacy policy per informare gli utenti in merito alle finalità del trattamento dei loro dati personali e quali categorie di dati sono coinvolti.

Tra i dati personali che il CCPA prende in considerazione (e che quindi devono essere menzionati nella privacy policy) figurano:

  • Informazioni personali quali nome, indirizzo postale, numero di previdenza sociale)
  • Informazioni commerciali (tendenze di acquisto o consumo)
  • Dati biometrici
  • Informazioni sulla attività online
  • Dati di geo-localizzazione
  • Informazioni sulla vita professionale

L’informativa dovrà essere annualmente aggiornata in merito alle categorie di dati personali che il sito raccoglie, tratta e diffonde.

Ci sono sanzioni?

Il mancato rispetto del CCPA può comportare una sanzione pari a 7500 dollari per singola violazione e 750 dollari per utente interessato.

Conclusioni.

Alla luce dei requisiti sopra descritti, è molto probabile che il tuo e-commerce non debba rispettare i requisiti del CCPA. In tal caso, nessuna modifica alla privacy policy è richiesto in tal senso.

A prescindere da ciò, la tutela dei dati personali dei tuoi clienti rimane un tema molto delicato.

Ricorda che il rispetto della nostra normativa in tema privacy (il GDPR e il Codice Privacy) richiede un monitoraggio costante del modo di trattamento dei dati.

Se quindi il tuo sito o la tua azienda sono conformi al GDPR continua a rispettare la legge per evitare sanzioni e tutelare la privacy dei tuoi clienti; diversamente, ciò che hai letto in questo articolo sul CCPA potrebbe essere lo spunto per riesaminare la situazione lato privacy del tuo sito.

De Lorenzo Grassano

VENDI ONLINE CON PRESTASHOP

Vendi online su una piattaforma di e-commerce completamente personalizzabile, adatta alla crescita della tua azienda.

Ogni 2 settimane, la nostra newsletter di e-commerce

Inviando questo modulo, accetti che i dati inseriti vengano utilizzati da PrestaShop S.A per l’invio di newsletter e offerte promozionali. Puoi annullare l’iscrizione in qualsiasi momento utilizzando il link nelle e-mail che ti sono state inviate. Ulteriori informazioni sulla gestione dei tuoi dati e sui tuoi diritti.