Domande frequenti sul CCPA e sul CPRA

Imparerai

Scopra le domande più frequenti sul CCPA (California Consumer Privacy Act) e sul CPRA (California Privacy Rights Act).

Che cos'è il CCPA?

Il CCPA è una legge entrata in vigore il 1° gennaio 2020 e regola il modo in cui le aziende gestiscono le informazioni personali dei residenti in California.

Il CCPA è una risposta alla percezione di una lacuna nella protezione della privacy negli Stati Uniti. Le aziende che gestiscono le informazioni personali dei residenti in California sono tenute a informare i residenti sulle pratiche di privacy dell'azienda e sui diritti alla privacy dei residenti, compreso il diritto di:

• Conoscere le informazioni personali che un'azienda raccoglie su di lei e come vengono utilizzate.
• Cancellare le informazioni personali raccolte (con alcune eccezioni)
• Rinunciare alla vendita dei suoi dati personali
• Non discriminazione per l'esercizio dei suoi diritti CCPA

Che cos'è il CPRA?

Il CPRA è una legge che modifica ed espande i requisiti del CCPA, tra cui:

• Aggiunta di una categoria "informazioni personali sensibili" 
• Stabilire il diritto di limitare l'uso e la divulgazione di informazioni personali sensibili.
• Stabilire il diritto di correggere le informazioni personali inesatte
• Espansione del requisito di opt-out "Non vendere" alla "condivisione" di informazioni personali per scopi di pubblicità cross-context (o di terzi).

Il CPRA diventa operativo il 1° gennaio 2023.

Chi deve rispettare il CCPA e il CPRA?

Aziende

La maggior parte dei requisiti del CCPA e del CPRA si applicano alle "imprese", definite come aziende che raccolgono le informazioni personali dei consumatori californiani, sia in proprio che tramite fornitori. 

Il CCPA si applica alle aziende che soddisfano una delle seguenti condizioni:

• Gestisce i dati personali dei residenti in California
• Sta "facendo affari" in California (compreso il contatto con persone situate in California attraverso un sito web o un'applicazione di ecommerce o interattiva)
• Soddisfa una o più delle seguenti soglie:
• Ha un fatturato lordo annuale superiore a 25 milioni di dollari
• Acquista, riceve o vende annualmente le informazioni personali di 50.000 o più residenti, famiglie o dispositivi della California.
• ricava il 50 per cento o più dei suoi ricavi annuali dalla "vendita" di informazioni personali dei residenti in California (cioè, la vendita include la divulgazione, la messa a disposizione, il trasferimento o la comunicazione di informazioni personali a terzi per un corrispettivo monetario o di altro valore)

Il CPRA modifica questa applicabilità come segue:

• Soddisfa una o più delle seguenti soglie:
• L'anno scorsoha avuto un fatturato lordo annuale superiore a 25 milioni di dollari.
• Acquista, vende o condivide annualmente le informazioni personali di 100.000 o più residenti o famiglie della California.
• ricava il 50% o più dei suoi ricavi annuali dalla vendita o dalla condivisione delle informazioni personali dei residenti in California (la condivisione include la divulgazione, la messa a disposizione, il trasferimento o la comunicazione di informazioni personali a terzi per la pubblicità comportamentale cross-content, in cambio di un corrispettivo monetario o di altro valore).

Fornitori di servizi e appaltatori 

Per essere considerato un fornitore di servizi, una persona fisica o giuridica deve:

• Elabora i dati personali per conto di un'azienda 
• Essere vincolati da un contratto scritto che imponga determinate restrizioni e obblighi sull'uso delle informazioni personali, tra cui non ulteriori:

• • Collezionare
  • Vendere
  • Utilizzando le informazioni personali se non nella misura necessaria a realizzare lo scopo commerciale.

Analogamente ai fornitori di servizi, l'eccezione alla vendita o alla condivisione si applica anche agli appaltatori ai sensi del CPRA. Gli appaltatori sono persone o entità a cui le informazioni personali vengono messe a disposizione da un'azienda, in base a un contratto scritto che impone restrizioni e obblighi simili a quelli che si applicano a un fornitore di servizi. Gli appaltatori devono anche avere una certificazione che attesti che l'appaltatore comprende le restrizioni e le rispetterà.

Si noti che la divulgazione dei dati da parte di un'azienda a un fornitore di servizi o a un appaltatore non è considerata una vendita o una condivisione quando è necessaria per eseguire uno scopo aziendale.

Cosa viene classificato come conformità personale?

Il CCPA definisce le informazioni personali in modo molto ampio, includendo le informazioni che identificano, descrivono o sono ragionevolmente associabili a un particolare consumatore o famiglia. In pratica, questa ampia definizione significa che informazioni come le informazioni di contatto, i dati delle transazioni, gli indirizzi del Protocollo Internet (IP), gli identificatori dei dispositivi mobili, i dati del flusso di clic e i dettagli dell'ordine possono rientrare nell'ambito della definizione di informazioni personali del CCPA ed essere soggetti ai requisiti del CCPA.

Il CPRA crea una nuova categoria di informazioni personali, le "informazioni personali sensibili", e fornisce ai consumatori un nuovo diritto di limitare l'uso e la divulgazione delle loro informazioni sensibili. 

Le informazioni personali sensibili ai sensi del CPRA includono: 

• Numero di previdenza sociale
• Numero di patente di guida 
• Numero di passaporto
• Credenziali dell'account
• Geolocalizzazione precisa
• Origine razziale o etnica
• Credenze religiose
• Dati biometrici
• Dati genetici
• Dati sulla salute 
• Informazioni sulla vita sessuale o sull'orientamento sessuale del consumatore.
• Il contenuto della posta, delle e-mail e dei messaggi di testo di un consumatore, a meno che l'azienda non sia il destinatario della comunicazione. 

Cosa devo fare per prepararmi?

Il CCPA e il CPRA sono leggi complesse. Questo articolo fornisce gli obblighi principali ai sensi del CCPA e del CPRA in relazione all'utilizzo dei servizi Klaviyo, ma non prende in considerazione tutti i requisiti che possono essere applicati alla sua azienda. Si rivolga al suo consulente legale per una consulenza specifica. 

Se il CCPA e il CPRA sono applicabili alla sua azienda, deve considerare i seguenti diritti e divulgazioni.

Avviso

La sua azienda deve avere un'informativa sulla privacy sul suo sito web, accessibile in tutti i punti in cui raccoglie informazioni personali, come i moduli di iscrizione. La politica deve includere, tra le altre cose:

• Categorie di informazioni personali che raccoglie, vende e divulga in altro modo per uno scopo commerciale
• Categorie di fonti delle informazioni personali 
• Scopi aziendali o commerciali per la raccolta o la vendita delle informazioni personali
• Descrizione dei seguenti diritti dei consumatori e dei metodi designati per presentare le richieste:
• Il diritto di cancellare le informazioni personali
• Il diritto di accedere a categorie e a parti specifiche di informazioni personali
• Il diritto di rinunciare alla vendita o alla condivisione di informazioni personali.
• Il diritto alla non ritorsione

Il CPRA amplia questo elenco di diritti dei consumatori per includere: 

• Il diritto di correggere le informazioni inesatte
• Il diritto di limitare l'uso e la divulgazione di informazioni personali sensibili.
• Il diritto di rinunciare alla tecnologia decisionale automatizzata

Il CPRA richiede inoltre alle aziende di includere le seguenti informazioni aggiuntive:

• Se le informazioni personali dell'individuo vengono vendute o condivise
• La durata che l'azienda intende conservare per ogni categoria di informazioni personali o i criteri che utilizzerà per determinare la durata della conservazione di tali informazioni.
• Se l'azienda raccoglie "informazioni personali sensibili":
• Una divulgazione separata che identifichi le categorie di informazioni sensibili raccolte.
• L'uso e lo scopo di questi dati
• Se tali informazioni vengono vendute o condivise

Diritti di opt-out

I consumatori hanno il diritto di rinunciare in qualsiasi momento alla vendita dei loro dati personali a terzi. La sua azienda deve interrompere la vendita di informazioni personali al ricevimento della richiesta, a meno che il consumatore non fornisca una successiva autorizzazione esplicita. Le aziende devono attendere almeno 12 mesi prima di chiedere a un consumatore di optare nuovamente per la vendita di informazioni personali. Per attivare questo diritto di opt-out, le aziende devono, tra le altre cose:

• Fornire un link chiaro e ben visibile sulla homepage dell'azienda, intitolato "Non vendere le mie informazioni personali". Il link deve consentire al consumatore, o a una persona da lui autorizzata, di rinunciare alla vendita delle sue informazioni personali.
• Non richiede al consumatore di creare un account per indicare all'azienda di non vendere le informazioni personali del consumatore.

I consumatori hanno anche il diritto di rinunciare in qualsiasi momento alla vendita dei loro dati personali da parte di una terza parte che ha acquistato i dati personali del consumatore da un'azienda. La terza parte deve interrompere la vendita al ricevimento della richiesta di opt-out, a meno che il consumatore non fornisca una successiva autorizzazione esplicita.

Altri diritti dei consumatori

Le aziende devono disporre di processi per verificare l'identità di un residente in California quando rispondono a richieste di accesso o di cancellazione di informazioni personali. Una volta ricevuta la richiesta da parte di un residente in California e confermata la sua identità, si assicuri di includere quanto segue nella compilazione della richiesta, se applicabile, per onorare i suoi diritti. 

Diritto di sapere: Un consumatore può richiedere che l'azienda divulghi la raccolta e il trattamento delle sue informazioni personali, compresi i dati: 

• Categorie di informazioni personali raccolte su quel consumatore (nei 12 mesi precedenti)
• Categorie di fonti dalle quali vengono raccolte le informazioni personali 
• Scopo aziendale o commerciale per la raccolta o la vendita di informazioni personali
• Categorie di terze parti con le quali l'azienda ha divulgato le informazioni personali
• Categorie di informazioni che l'azienda vende o divulga a terzi
• Informazioni personali specifiche che ha raccolto su quel consumatore.

Il CPRA modifica ed espande questo diritto per richiedere:

• Fornisce informazioni sulle categorie di informazioni personali "condivise" con terzi.
• Eliminare la limitazione del periodo di 12 mesi, richiedendo all'azienda di fornire più di 12 mesi di informazioni, a condizione che tale divulgazione non sia "impossibile" o "comporti uno sforzo sproporzionato" (questo requisito non si applicherebbe a qualsiasi dato raccolto dall'azienda prima del 1° gennaio 2022).

Diritto di cancellazione: L'azienda deve cancellare le informazioni del consumatore (salvo alcune eccezioni) e notificare ai suoi fornitori di servizi di cancellare le informazioni del consumatore. In base al CPRA, l'azienda deve informare i suoi fornitori di servizi e appaltatori e anche informare qualsiasi terza parte a cui l'azienda ha venduto o condiviso (per scopi pubblicitari trasversali) le informazioni personali del consumatore, a meno che ciò "non risulti impossibile o comporti uno sforzo sproporzionato". Inoltre, ogni fornitore di servizi deve anche notificare ai propri fornitori di servizi a valle di eliminare le informazioni del consumatore. 

Diritto di correggere le informazioni personali inesatte: Una volta che un'azienda riceve una richiesta verificata di correzione di informazioni personali inaccurate, l'azienda deve compiere "sforzi commercialmente ragionevoli" per correggere tali informazioni personali come indicato dal consumatore. Si attendono ulteriori indicazioni su questo obbligo da parte del Procuratore Generale della California.

Dovrebbe anche notare che se il consumatore ha meno di 13 anni, è necessario il consenso esplicito di un genitore o tutore (opt-in) prima di vendere le sue informazioni personali. Se il consumatore ha un'età compresa tra i 13 e i 16 anni, è necessario il consenso esplicito dell'individuo prima di vendere le sue informazioni personali.

Soddisfare le richieste dei consumatori 

Deve disporre di almeno 2 metodi designati per consentire ai consumatori di presentare richieste di informazioni.

Questi dovrebbero includere, come minimo:

• Un numero verde (alcune aziende che operano esclusivamente online e hanno un rapporto diretto con il consumatore da cui raccolgono informazioni personali sono esenti dal requisito del numero verde).
• Indirizzo web, se l'azienda ha un sito web 

Le richieste dei consumatori devono essere evase entro 45 giorni dalla ricezione della richiesta, per posta o per via elettronica (in un formato che consenta al consumatore di fornirla a un'altra entità) o attraverso un account utente. Il tempo di risposta può essere esteso di altri 45 giorni se ragionevolmente necessario in base alla complessità e al numero di richieste, e se il richiedente viene informato dell'estensione (specificando le ragioni). Il processo di richiesta deve anche essere gratuito.

Le aziende non sono tenute a effettuare più di due richieste per consumatore in un periodo di 12 mesi.

Qual è il ruolo di Klaviyo ai sensi del CCPA e del CPRA in relazione al servizio Klaviyo?

Klaviyo non ha una relazione diretta con le persone le cui informazioni personali vengono raccolte dai nostri clienti e memorizzate sulla nostra piattaforma. Klaviyo funge da fornitore di servizi, mentre i nostri clienti sono le aziende, perché trattiamo le informazioni personali per conto dei nostri clienti.

Gli obblighi di Klaviyo nei confronti dei clienti in qualità di fornitore di servizi sono definiti nel nostro Contratto di trattamento dei dati. 

Cosa sta facendo Klaviyo per consentire ai clienti di conformarsi?

I clienti di Klaviyo hanno la possibilità e gli strumenti per accogliere le richieste dei residenti in California di esercitare i loro diritti di accesso, cancellazione o correzione dei dati personali ai sensi del CCPA e del CPRA. In particolare:

• La piattaforma consente ai clienti di riferire sulle informazioni personali che conserva sugli utenti finali, in risposta alle richieste di accesso.
• La piattaforma consente la cancellazione delle informazioni personali che conserva sugli utenti finali in risposta alle richieste di cancellazione e la correzione delle informazioni personali inesatte sui profili in Klaviyo.
• Klaviyo non supporta e limita la raccolta e l'archiviazione di informazioni personali sensibili, secondo la nostra Politica d'Uso Accettabile .

Risorse aggiuntive

• Come gestire le richieste GDPR e CCPA
• Legge sulla privacy dei consumatori della California
• Comprendere il consenso nei profili