Pryvii
Tutti gli articoli
Regulatory Updates
18 febbraio 2026

Il DROP Act della California inizia l'1 agosto: Automazione delle richieste di cancellazione

La nuova legge californiana sulla cancellazione dei data broker richiede l'elaborazione automatizzata delle richieste di cancellazione dei consumatori ogni 45 giorni a partire da agosto 2026, con multe di $200 al giorno per ogni richiesta mancata. I proprietari di siti web che gestiscono traffico dalla California devono ora comprendere i requisiti di propagazione ai fornitori.

Condividi:

Il DROP Act della California inizia l'1 agosto: Automazione delle richieste di cancellazione

Immagina un residente della California frustrato perché i suoi dati personali circolano all'infinito tra i data broker — profili costruiti a partire dalle abitudini di acquisto online, dalla cronologia di navigazione e dagli interessi dedotti. Con una singola richiesta tramite la nuova Delete Request and Opt-Out Platform (DROP) dello Stato, può chiedere la cancellazione da centinaia di broker contemporaneamente. A partire dal 1 agosto 2026, i data broker devono automatizzare questo processo ogni 45 giorni o affrontare pesanti sanzioni, ridefinendo il modo in cui le aziende gestiscono i dati dei consumatori.1 2

Non si tratta solo di una questione californiana. Se il tuo sito web serve utenti della California e prevede la raccolta, la condivisione o la vendita di dati — anche in modo indiretto — potresti essere interessato. Il Delete Act (SB 362), firmato nell’ottobre 2023, impone questo sistema centralizzato per dare potere ai consumatori, imponendo al contempo requisiti operativi stringenti ai data broker.3 2 Con DROP attivo per le richieste dei consumatori dal 1 gennaio 2026 e gli obblighi di elaborazione in arrivo, è il momento di valutare la conformità.4 5

Cos’è il Delete Act e DROP?

Il Delete Act si basa sul registro dei data broker del 2019 della California introducendo DROP, una piattaforma unica nel suo genere amministrata dalla California Privacy Protection Agency (CalPrivacy). Consente ai consumatori di inviare una singola richiesta verificabile per cancellare le proprie informazioni personali da tutti i data broker registrati, oltre a optare per il non‑vendere o non‑condividere i dati in futuro.1 6 7

Scadenze principali

  • Gennaio 2024 in poi: Registrazione annuale dei data broker con CalPrivacy, comprese le tariffe per finanziare il registro e DROP.6 3
  • 1 gennaio 2026: DROP apre per le richieste dei consumatori; i data broker creano gli account e completano la registrazione entro il 31 gennaio.4 5 2
  • Primavera 2026: Disponibile l’integrazione API per l’accesso automatizzato.4
  • 1 agosto 2026: I data broker devono recuperare e processare le richieste ogni 45 giorni.1 4 5
  • Gennaio 2028: Inizio delle verifiche indipendenti triennali.3

DROP utilizza identificatori standardizzati e un algoritmo di hashing specificato per abbinare le richieste ai record, garantendo cancellazioni precise.1 4 Le normative finalizzate nel 2026 richiedono ai data broker di estendere la cancellazione anche a fornitori di servizi, appaltatori e affiliate.1

Questo richiama le tendenze più ampie della privacy, come il diritto alla cancellazione previsto dal CCPA (Civil Code § 1798.105), ma lo scala tramite l’automazione per i data broker.1

Chi è considerato un Data Broker?

La California definisce un data broker in modo ampio: qualsiasi entità che “raccolga consapevolmente e venda a terzi le informazioni personali di un consumatore con cui l’impresa non ha una relazione diretta.”4 5 Ciò include aggregatori, arricchitori e rivenditori di dati raccolti al di fuori delle interazioni dirette con i consumatori, ad esempio da fonti pubbliche o acquisti da terze parti.4 7

  • Siti web o app che vendono o condividono i dati degli utenti per profilazione, pubblicità o arricchimento — anche se non è la tua attività principale — possono rientrare nella definizione.4 5
  • Sono previste esenzioni per dati governativi pubblici, informazioni creditizie coperte dal FCRA, dati sanitari soggetti a HIPAA e imprese già conformi a tali leggi.7
  • Se condividi dati a valle (ad es. con fornitori di analytics), verifica se ciò attiva lo status di broker.4

Proprietari di siti web: il traffico proveniente da utenti californiani non ti rende automaticamente un broker, ma se gestisci informazioni personali (es. email, IP, dati di comportamento) e le vendi o condividi, registrati subito. Le imprese non californiane rientrano nel campo di applicazione se mirano o elaborano dati della California.4 5

Requisiti di Conformità Principali a partire dal 1 agosto 2026

Dal 1 agosto, i data broker devono controllare DROP almeno ogni 45 giorni tramite il sito web di CalPrivacy o l’API.1 4 5 Ecco il processo passo‑passo:

  1. Creazione dell’account: Registrare un account DROP sicuro, selezionare le liste di cancellazione dei consumatori pertinenti (evitando duplicati) e mantenere controlli di accesso. Notificare immediatamente a CalPrivacy eventuali violazioni.1
  2. Recupero delle richieste: Scaricare le liste corrispondenti ai propri identificatori di dati (es. email hashate, nomi).1 4
  3. Abbinamento e cancellazione: Utilizzare l’hashing standardizzato per confermare le corrispondenze. Cancellare tutte le informazioni personali associate, incluse le inferenze, dai propri sistemi, fornitori di servizi e appaltatori. Richiedere loro di conformarsi.1 4 5
  4. Tempistica: Concludere entro 90 giorni dal recupero. Non contattare i consumatori per la verifica — è proibito dalla Sezione 7616.1 5
  5. Conservazione dei registri: Documentare le decisioni, mantenere le liste di soppressione e conservare i record. Segnalare lo stato tramite DROP.4 5
  6. Continuità: Aggiornare i dettagli dell’account, cancellare i dati forniti da DROP se si esce dallo status di broker (entro 30 giorni dalla registrazione/verifica) e disattivare l’account.1

L’automazione è fondamentale: i controlli manuali rischiano di perdere il ciclo di 45 giorni. L’integrazione API, disponibile dalla primavera 2026, consente estrazioni programmatiche, abbinamenti e propagazione.4

Le sanzioni sono severe: $200 per ogni richiesta mancata al giorno. Una singola richiesta trascurata può rapidamente trasformarsi in una multa ingente.1

Propagazione ai Fornitori: La Sfida Nascosta per i Siti Web

I data broker spesso si affidano a fornitori per archiviazione, analytics o marketing. DROP richiede di propagare le cancellazioni a tutti i fornitori di servizi e appaltatori che detengono i dati.1 4 Questo richiama gli obblighi dei processor previsti dal GDPR (Articolo 28) e le regole sui fornitori di servizio del CCPA (Civil Code § 1798.140(v)).1

Suggerimenti pratici per la conformità

  • Mappa il tuo ecosistema: Inventaria tutti i fornitori che trattano dati personali della California. Classificali come fornitori di servizio (uso limitato) o come soggetti che abilitano vendite/condivisioni.4
  • Aggiornamento dei contratti: Modifica gli accordi per imporre la conformità a DROP, API di cancellazione automatica e diritti di audit. Includi indennizzi per le sanzioni.1
  • Implementazione tecnica:
    • Integra l’API DROP per l’ingestione delle richieste.
    • Costruisci workflow interni di cancellazione: hashing → scansione dati → propagazione tramite API dei fornitori.
    • Usa le liste di soppressione per bloccare la riacquisizione.
  • Test: Sfrutta il sandbox di CalPrivacy per provare le API prima del 1 agosto.5
  • Eccezioni: Non cancellare se i dati sono informazioni pubbliche governative o esenti secondo altre leggi (es. registri finanziari).7

Per i siti web: se non sei un broker ma utilizzi data broker (es. per targeting pubblicitario), assicurati che i tuoi contratti richiedano la conformità a DROP per evitare responsabilità indirette.

Passi Operativi per Proprietari di Siti Web e Aziende

Con sei mesi prima dell’applicazione (febbraio 2026), dai priorità a questi punti:

  • Auto‑valutazione (Ora): Rivedi i flussi di dati rispetto alle definizioni del Delete Act. Usa il registro di CalPrivacy per controllare i pari.5 2
  • Registrazione se necessaria (Gennaio 2026): Processo annuale a pagamento; includi le divulgazioni potenziate secondo le modifiche SB 361.6 2
  • Costruisci l’automazione:
PassoAzioneTempistica
1. Creazione accountVia sito CalPrivacy1‑31 gen 20264
2. Configurazione APIIntegra sandboxPrimavera 20264 5
3. Pipeline di cancellazioneHash, scansione, propagazioneTest entro luglio 2026
4. Primo controlloRecupera/elabora1 agosto 20261
  • Preparazione audit: Pianifica gli audit del 2028; documenta tutto.3
  • Formazione del team: Educa legale, ingegneria e operazioni sulle proibizioni (es. nessun contatto con il consumatore).1
  • Monitoraggio aggiornamenti: Le normative sono evolute dalle proposte del 2024; segui CalPrivacy per chiarimenti.3 2

Confronto con altre leggi

LeggeMeccanismo di cancellazioneFrequenza/Automazione
CCPA §1798.105Richieste individuali45‑90 giorni, manuale1
GDPR Art. 17Diritto alla cancellazioneTempestivo, propagazione del processor
DROP (Delete Act)Centralizzato, automatizzatoOgni 45 giorni1 4

Questa automazione riduce l’attrito per il consumatore ma richiede stack tecnologici solidi.

Sfide Potenziali e Rischi

  • Scala: I broker ad alto volume gestiscono migliaia di richieste; i processi manuali non sono sostenibili.4
  • Precisione dell’abbinamento: Errori di hashing possono provocare sovra‑ o sotto‑cancellazioni, invitando a multe o cause legali.1
  • Resistenza dei fornitori: Partner non conformi ti espongono a responsabilità.1
  • Applicazione: Le recenti azioni della CPPA indicano una supervisione aggressiva; gli audit iniziano nel 2028.6 3

Le imprese che abbandonano lo status di broker devono notificare entro 45 giorni e cancellare i dati.1

Punti Chiave da Ricordare

  • 1 agosto 2026 è il go‑live: Automatizza i controlli DROP ogni 45 giorni o rischia multe di $200 al giorno per richiesta.1 5
  • Ambito ampio: Qualsiasi venditore/condivisore di dati della California può qualificarsi come broker — valuta subito.4 5
  • L’automazione vince: L’integrazione API e la propagazione ai fornitori sono imprescindibili per l’efficienza.4
  • Pianifica in anticipo: Auto‑audit, aggiornamento contratti, test dei pipeline e documentazione per gli audit.5
  • Potere del consumatore: DROP semplifica le cancellazioni, allineandosi a CCPA/GDPR ma in modo centralizzato e unico.7 2

La conformità non è opzionale — è un vantaggio competitivo in una California orientata alla privacy. Rimani vigile mentre CalPrivacy affina l’implementazione.1 2

Sources

Footnotes

  1. troutmanprivacy.com

  2. privacy.ca.gov

  3. en.wikipedia.org

  4. onetrust.com

  5. clarkhill.com

  6. bairdholm.com

  7. bytebacklaw.com

Condividi:

Articoli correlati

Regulatory Updates

Scadenza HIPAA Parte 2 non rispettata: cosa succede ora ai tuoi registri SUD

La scadenza del 16 febbraio 2026 per la conformità a HIPAA Parte 2 è appena passata. Questo articolo illustra cosa dovrebbero fare immediatamente i siti web sanitari e le entità coperte se non hanno aggiornato la loro Informativa sulla Privacy per i registri relativi ai disturbi da uso di sostanze (SUD), comprese le azioni di riparazione e i rischi di penalità.

Regulatory Updates

Il Connecticut abbassa la soglia della legge sulla privacy a 35.000: ora il tuo sito è interessato

A partire dalla metà del 2026, la legge sulla privacy del Connecticut amplia drasticamente il suo raggio d'azione da 100.000 a 35.000 clienti, oltre a nuove restrizioni sulla vendita dei dati dei minori. I siti web più piccoli che pensavano di essere esenti potrebbero ora dover essere conformi.

Regulatory Updates

Framework per il trasferimento dati UE-USA: come appare la conformità nel 2026

Con l'ultimo accordo sul trasferimento dati UE-USA sotto esame e potenzialmente invalidato, spieghiamo come i proprietari di siti web possono prepararsi all'incertezza e garantire flussi di dati transfrontalieri leciti.

Resta conforme con Pryvii

Scansiona il tuo sito web per problemi di conformità alla privacy secondo 17 normative tra cui GDPR, CCPA e UK GDPR.