Breaking news: la California ha approvato una legge sulla privacy….
La scorsa settimana la California (lo stato più popoloso degli Stati Uniti, con un’economia più o meno pari a quella del Regno Unito) ha approvato il “California Consumer Privacy Act of 2018” (CCPA).
Si tratta della legge sulla protezione dei dati più severa finora approvata negli Stati Uniti, superando di gran lunga qualsiasi altra legge sulla protezione dei dati vigente in altri stati, sia in termini di requisiti che per le sanzioni previste in caso di trattamento improprio dei dati personali.
La legge prevede che tutte le organizzazioni di una certa dimensione che fanno affari con soggetti privati residenti in California dovranno conformarsi alla nuova legge.
In particolare le organizzazioni coinvolte sono quelle che hanno un fatturato lordo annuo superiore a 25 milioni di dollari e che trattano, a fini commerciali, dati personali di almeno 50.000 consumatori, famiglie oppure dispositivi elettronici (si pensi all’IOT).
La nuova legge definisce come dati personali quelle informazioni che identificano, si riferiscono, descrivono, possono essere associate o potrebbero ragionevolmente essere collegate a una persona o a una famiglia. Rientrano in questa categoria le informazioni biometriche, le informazioni sulle transazioni commerciali, le attività svolte su Internet (compresi la cronologia di navigazione e l’indirizzo IP), i dati di geolocalizzazione, i dati sull’occupazione, le informazioni sull’istruzione.
In altre parole quasi tutti i dati raccolti su una persona rientrano in questa nuova legge.
Il CCPA codifica diversi nuovi diritti dei consumatori:
– Diritto di accesso: i consumatori hanno il diritto di chiedere quali categorie di dati personali l’organizzazione detiene.
– Diritto di cancellazione: i consumatori hanno il diritto di chiedere che l’impresa cancelli tutti i propri dati personali raccolti.
– Diritto di conoscere: i consumatori hanno il diritto di sapere come sono state vendute o divulgate le sue informazioni e a chi sono state divulgate.
– Diritto di essere informato: i consumatori hanno il diritto di sapere quali categorie di dati saranno raccolti prima che la sua raccolta avvenga e di essere informati di qualsiasi modifica apportata a tale raccolta.
– Diritto di controllare le proprie informazioni: ai consumatori deve essere data la possibilità di esercitare il diritto di veto (opt-out) prima che i loro dati vengano venduti a terzi.
– Diritto di controllare le informazioni sui propri figli: i consumatori devono esplicitamente autorizzare (opt-in) la vendita delle informazioni sui loro figli (minori di 16 anni).
– Diritto di ricorso privato: i consumatori hanno il diritto di adire le vie legali quando le imprese violano i loro dati personali.
Chi ha dimestichezza con il Regolamento Generale sulla Protezione dei Dati dell’Unione Europea (GDPR), potrà notare come questi diritti si allineino abbastanza strettamente con il GDPR.
Come GDPR, anche il CCPA introduce concetti come la pseudonizzazione e l’anonimizzazione, e, pur non imponendola, considera la crittografia certamente un controllo importante a tal punto da prevedere l’esenzione dalla notifica di violazioni dei dati in caso di dati crittografati.
Analogamente al GDPR, anche il CCPA prevede sanzioni “dissuasive” a coloro che non ne rispettano i requisiti.
Infine, il CCPA consente a ciascun consumatore di chiedere il risarcimento dei danni in caso di violazione dei propri dati, fissando un importo minimo per i danni subiti non inferiore a 100 dollari e non superiore a 750 dollari.
In altre parole, se si sta cercando di valutare il costo che potrebbe gravare sull’organizzazione a seguito di una violazione dei dati che impatti sui propri clienti, beh questo si rileverà un esercizio abbastanza semplice da fare in California: basterà moltiplicare il numero di record violati per 100 e… aggiungere il simbolo $ al risultato!
Per chi volesse approfondire, il testo integrale della legge (24 pagine, in lingua inglese), è disponibile a questo link.