Sai cos’è il CCPA? Scopri se si applica anche al tuo e-commerce
E’ passato poco tempo da quando hai aggiornato la privacy policy del tuo e-commerce e già hai sentito parlare di un’altra importante novità legislativa che sembra impattare sul tuo sito: il CCPA.
Vediamo insieme di cosa si tratta e se davvero devi nuovamente mettere mano alla privacy policy.
Cos’è il CCPA
Il CCPA (California Consumer Privacy Act) è la prima legge degli Stati Uniti d’America in materia di privacy e impone alle aziende determinate modalità di trattamento e trasferimento dei dati personali degli utenti che utilizzano internet.
L’obiettivo viene perseguito riconoscendo agli utenti americani nuovi e importanti diritti, quali ad esempio la possibilità di opporsi alla vendita dei propri dati a soggetti terzi e la facoltà di chiedere la comunicazione dei dati in precedenza raccolti dal sito e la loro relativa comunicazione.
La nuova legge è entrata in vigore in California il 1° gennaio di quest’anno.
La California è spesso pioniere di soluzioni normative in materia di diritto digitale e non è da escludere che altri Stati la seguiranno affinché anche negli USA gli utenti possano beneficiare di una normativa privacy comune per tutti i cittadini.
Si applica anche al tuo e-commerce?
Come ogni normativa, è molto importante verificare il suo campo di applicazione al fine di evitare inutili modifiche ai documenti pubblicati online.
Il CCPA si applica solamente alle aziende che rivolgono i loro prodotti e servizi a persone fisiche residenti in California (indipendentemente dal fatto che il sito abbia sede in questo Stato) e che raccolgono le informazioni personali degli utenti determinandone finalità e modo di trattamento (assumendo quindi il ruolo che in base al GDPR sarebbe di “titolare del trattamento”).
Oltre al sopra descritto requisito, l’e-commerce deve soddisfare almeno uno di questi requisiti:
- Generare un fatturato annuo lordo superiore ad almeno 25 milioni di dollari
- Ottenere almeno il 50% del proprio fatturato dalla vendita di dati personali
- Acquistare, ricevere, vendere o condivide ogni anno per finalità commerciali le informazioni personali di almeno 50.000 persone fisiche.
In merito all’ultimo requisito, è necessario considerare che gli indirizzi IP sono considerati (al pari di quanto accade in Europa) dati personali e visto che le “finalità commerciali” sono tipiche di qualsiasi e-commerce, se il tuo sito riceve dalla California almeno 50.000 visite uniche deve rispettare il CCPA.
Diversamente, se il tuo e-commerce non soddisfa nessuno dei requisiti sopra descritti non deve adeguarsi alla nuova normativa.
Cosa prevede il CCPA
La nuova normativa prevede obblighi molto specifici e che si riflettono anche sulla operatività offline.
In questa sede valga solo il riferimento al fatto che gli e-commerce obbligati a rispettare il CCPA dovranno aggiornare la privacy policy per informare gli utenti in merito alle finalità del trattamento dei loro dati personali e quali categorie di dati sono coinvolti.
Tra i dati personali che il CCPA prende in considerazione (e che quindi devono essere menzionati nella privacy policy) figurano:
- Informazioni personali quali nome, indirizzo postale, numero di previdenza sociale)
- Informazioni commerciali (tendenze di acquisto o consumo)
- Dati biometrici
- Informazioni sulla attività online
- Dati di geo-localizzazione
- Informazioni sulla vita professionale
L’informativa dovrà essere annualmente aggiornata in merito alle categorie di dati personali che il sito raccoglie, tratta e diffonde.
Ci sono sanzioni?
Il mancato rispetto del CCPA può comportare una sanzione pari a 7500 dollari per singola violazione e 750 dollari per utente interessato.
Conclusioni.
Alla luce dei requisiti sopra descritti, è molto probabile che il tuo e-commerce non debba rispettare i requisiti del CCPA. In tal caso, nessuna modifica alla privacy policy è richiesto in tal senso.
A prescindere da ciò, la tutela dei dati personali dei tuoi clienti rimane un tema molto delicato.
Ricorda che il rispetto della nostra normativa in tema privacy (il GDPR e il Codice Privacy) richiede un monitoraggio costante del modo di trattamento dei dati.
Se quindi il tuo sito o la tua azienda sono conformi al GDPR continua a rispettare la legge per evitare sanzioni e tutelare la privacy dei tuoi clienti; diversamente, ciò che hai letto in questo articolo sul CCPA potrebbe essere lo spunto per riesaminare la situazione lato privacy del tuo sito.