California Consumer Privacy Act e Gdpr: modelli privacy a confronto

tratto da Agenda Digitale

Sull’onda del regolamento europeo uno Stato Usa, la California, introduce per la prima volta nuove norme a tutela dei dati personali. Anche negli Usa si stanno muovendo i primi passi sul fronte privacy: scatterà a gennaio 2020 il California Consumer Privacy Act.Una normativa ispirata al Gdpr europeo, che il 25 maggio scorso ha compiuto il secondo anno di vita.

Già, per i distratti ricordiamolo: il 25 maggio del 2018 è stata una data cruciale per i diritti dei cittadini dell’Unione Europea in tema di protezione dei dati personali. Il GDPR rappresenta un’innovativa concezione del dato personale che, assumendo un ruolo sempre più rilevante nel quotidiano di ciascun individuo, è certamente destinata a consolidarsi.

Ma in California distratti non sono stati, dato che qui c’è stato forse il primo esempio di “contagio” della normativa privacy oltre oceano.

Anche alla luce di possibili ulteriori sviluppi, nel mondo, della normativa privacy, è utile un confronto tra Gdpr e Consumer Privacy Act.

L’inedita normativa costituisce un primo effettivo baluardo contro lo strapotere delle grandi aziende in un contesto in cui il concetto di protezione dei dati personali è pressoché ignorato, malgrado il fondamentale contributo dei giuristi statunitensi Warren e Brandeis in tema di privacy. Infatti, le stesse eseguono attività di trattamento di dati personali in una sostanziale assenza di limiti giuridici.

I principali obiettivi che il CCPA intende raggiungere a vantaggio dei consumatori (definiti quali persone fisiche residenti in California), possono così identificarsi:

  • Garantire il diritto dei consumatori di conoscere le proprie informazioni personali che le aziende raccolgono;
  • Garantire il diritto alla cancellazione delle informazioni personali (con alcune eccezioni);
  • Garantire l’esercizio del diritto di “opt-out” del consumatore, cosicché lo stesso possa impedire la vendita (comunque consentita) dei propri dati personali a terzi, senza essere discriminato per aver esercitato tale diritto[1].

Il CCPA prevede che le aziende (businesses) forniscano preventivamente, oppure al momento della raccolta dei dati personali, specifiche informazioni mediante privacy policies. Le imprese saranno, pertanto, tenute ad informare i consumatori (consumers) circa l’esistenza e la tipologia dei diritti loro spettanti, le categorie di informazioni personali raccolte e le relative finalità, oltre alle categorie di informazioni personali ad essi riferibili vendute o diffuse nei dodici mesi precedenti.

Le aziende che vendono i dati dei consumatori a terzi saranno obbligate ad informare gli stessi in merito a tale attività, garantendo loro la possibilità di rinunciare alla vendita mediante la predisposizione di un link intitolato “Do Not Sell My Personal Information” sulla homepage del sito web aziendale (opt out).

La normativa prevede inoltre che un’impresa non possa vendere le informazioni personali di consumatori di età inferiore ai 16 anni senza il consenso affermativo del consumatore o, per i consumatori di età inferiore ai 13 anni, senza il consenso del genitore o del tutore (opt in).

I consumatori avranno anche il diritto di richiedere determinate informazioni alle aziende sui dati raccolti, tra cui la fonte dalla quale sono stati ottenuti, le finalità per le quali vengono utilizzati, l’esistenza di soggetti terzi ai quali vengono divulgati o venduti.

leggi l’articolo completo