Breaking news: la California ha approvato una legge sulla privacy

di | 3 July 2018

Breaking news: la California ha approvato una legge sulla privacy….

La scorsa settimana la California (lo stato più popoloso degli Stati Uniti, con un’economia più o meno pari a quella del Regno Unito) ha approvato il “California Consumer Privacy Act of 2018” (CCPA).

Si tratta della legge sulla protezione dei dati più severa finora approvata negli Stati Uniti, superando di gran lunga qualsiasi altra legge sulla protezione dei dati vigente in altri stati, sia in termini di requisiti che per le sanzioni previste in caso di trattamento improprio dei dati personali.

La legge prevede che tutte le organizzazioni di una certa dimensione che fanno affari con soggetti privati residenti in California dovranno conformarsi alla nuova legge.
In particolare le organizzazioni coinvolte sono quelle che hanno un fatturato lordo annuo superiore a 25 milioni di dollari e che trattano, a fini commerciali, dati personali di almeno 50.000 consumatori, famiglie oppure dispositivi elettronici (si pensi all’IOT).

La nuova legge definisce come dati personali quelle informazioni che identificano, si riferiscono, descrivono, possono essere associate o potrebbero ragionevolmente essere collegate a una persona o a una famiglia. Rientrano in questa categoria le informazioni biometriche, le informazioni sulle transazioni commerciali, le attività svolte su Internet (compresi la cronologia di navigazione e l’indirizzo IP), i dati di geolocalizzazione, i dati sull’occupazione, le informazioni sull’istruzione.

In altre parole quasi tutti i dati raccolti su una persona rientrano in questa nuova legge.

Il CCPA codifica diversi nuovi diritti dei consumatori:
– Diritto di accesso: i consumatori hanno il diritto di chiedere quali categorie di dati personali l’organizzazione detiene.
– Diritto di cancellazione: i consumatori hanno il diritto di chiedere che l’impresa cancelli tutti i propri dati personali raccolti.
– Diritto di conoscere: i consumatori hanno il diritto di sapere come sono state vendute o divulgate le sue informazioni e a chi sono state divulgate.
– Diritto di essere informato: i consumatori hanno il diritto di sapere quali categorie di dati saranno raccolti prima che la sua raccolta avvenga e di essere informati di qualsiasi modifica apportata a tale raccolta.
– Diritto di controllare le proprie informazioni: ai consumatori deve essere data la possibilità di esercitare il diritto di veto (opt-out) prima che i loro dati vengano venduti a terzi.
– Diritto di controllare le informazioni sui propri figli: i consumatori devono esplicitamente autorizzare (opt-in) la vendita delle informazioni sui loro figli (minori di 16 anni).
– Diritto di ricorso privato: i consumatori hanno il diritto di adire le vie legali quando le imprese violano i loro dati personali.

Chi ha dimestichezza con il Regolamento Generale sulla Protezione dei Dati dell’Unione Europea (GDPR), potrà notare come questi diritti si allineino abbastanza strettamente con il GDPR.
Come GDPR, anche il CCPA introduce concetti come la pseudonizzazione e l’anonimizzazione, e, pur non imponendola, considera la crittografia certamente un controllo importante a tal punto da prevedere l’esenzione dalla notifica di violazioni dei dati in caso di dati crittografati.

Analogamente al GDPR, anche il CCPA prevede sanzioni “dissuasive” a coloro che non ne rispettano i requisiti.
Infine, il CCPA consente a ciascun consumatore di chiedere il risarcimento dei danni in caso di violazione dei propri dati, fissando un importo minimo per i danni subiti non inferiore a 100 dollari e non superiore a 750 dollari.

In altre parole, se si sta cercando di valutare il costo che potrebbe gravare sull’organizzazione a seguito di una violazione dei dati che impatti sui propri clienti, beh questo si rileverà un esercizio abbastanza semplice da fare in California: basterà moltiplicare il numero di record violati per 100 e… aggiungere il simbolo $ al risultato!

Per chi volesse approfondire, il testo integrale della legge (24 pagine, in lingua inglese), è disponibile a questo link.

 

Categoria: Legal framework Tag: , ,

Informazioni su Alessandro Vallega

He is Security Business Development Director for Oracle EMEA. He has the responsibility to lead a cross functional team on the GDPR (General Data Protection Regulation, EU 679/2016) at EMEA level (marketing, legal, sales, training, technology). He founded and coordinates an external blog on the same topic (https://blog.europrivacy.org). He has defined a European methodology to evaluate the database security degree of a data center and the advantages of identity and access management technology. He founded in 2007 the Oracle Community for Security, and in that context led the creation of several publications about security and privacy in the cloud, with mobile, in the social media, in healthcare, on return on security investments, about the role of the CISO, and how to prevent frauds. He is an author of the Italian annual ICT Security Report by CLUSIT and he is part of the CLUSIT board of directors.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.