Pryvii
Tutti gli articoli
Case Studies
26 febbraio 2026

La multa CCPA a Todd Snyder di CA: le insidie dell'opt-out tramite strumenti di terze parti

L'accordo da $345.000 tra la California e Todd Snyder per il ritardo nell'elaborazione delle richieste di opt-out tramite strumenti di terze parti non monitorati avverte i siti web di verificare attentamente i fornitori di servizi di privacy e di semplificare le richieste dei diritti dei consumatori ai sensi del CCPA.

Condividi:

L'avvertimento da $345.000: come gli errori di Todd Snyder nel CCPA dovrebbero cambiare la tua strategia di privacy

Nel maggio 2025, l'Agenzia di Protezione della Privacy della California (CPPA) ha emesso una multa di $345.178 contro Todd Snyder, Inc., un rivenditore nazionale di abbigliamento, per sistematiche carenze nella gestione delle richieste di opt-out dei consumatori ai sensi del California Consumer Privacy Act (CCPA).1 2 A prima vista, questo sembra un altro caso di applicazione della normativa sulla privacy. Ma scavando più a fondo, si scopre una storia di ammonimento sulla gestione dei fornitori, sulla supervisione tecnica e sulla responsabilità non delegabile della conformità.

Il caso rivela una vulnerabilità critica che colpisce i siti di e-commerce in tutto il paese: l'ipotesi che l'esternalizzazione dell'infrastruttura di privacy esoneri dalla responsabilità. Non è così. La decisione della CPPA invia un messaggio inequivocabile: la responsabilità ultima è dell'azienda che utilizza lo strumento di privacy, non del fornitore che lo fornisce.

Cosa è andato storto: i fallimenti tecnici e procedurali

Le violazioni di Todd Snyder si sono concentrate su tre problemi interconnessi che hanno impedito ai consumatori di esercitare i loro diritti ai sensi del CCPA.

Il banner di consenso che scompare

In primo luogo, il banner di consenso dell'azienda - l'interfaccia in cui i consumatori potevano esercitare l'opt-out dalla vendita o dalla condivisione dei loro dati personali - era configurato in modo improprio e scompariva istantaneamente dopo essere apparso.3 Per 40 giorni, questo malfunzionamento tecnico ha reso funzionalmente impossibile per gli utenti inviare richieste di opt-out attraverso il meccanismo principale del sito web.1 4 I consumatori cliccavano per accedere alle preferenze di privacy, vedevano il banner lampeggiare e poi lo vedevano scomparire prima di poter interagire con esso.

Requisiti eccessivi di verifica dell'identità

In secondo luogo, Todd Snyder richiedeva ai consumatori che tentavano di esercitare l'opt-out di verificare la loro identità fornendo nome, indirizzo email, paese di residenza e una fotografia di se stessi con documenti di identificazione ufficiali come la patente di guida.3 Ciò ha creato una barriera multilivello che andava ben oltre quanto consentito dal CCPA.

Ai sensi della legge californiana, le richieste di opt-out non richiedono la verifica dell'identità a meno che non sia assolutamente necessario per prevenire frodi o abusi.1 5 Al contrario, Todd Snyder richiedeva meno informazioni di identificazione quando i consumatori effettuavano un acquisto - un'incongruenza chiara che la CPPA ha segnalato come particolarmente problematica.3 La richiesta di inviare foto di documenti di identificazione governativi ha anche sollevato preoccupazioni non necessarie sulla minimizzazione dei dati, poiché i consumatori potrebbero ragionevolmente temere il furto di identità quando caricano informazioni personali sensibili.3

Gestione errata dei fornitori di terze parti

In terzo luogo, Todd Snyder ha delegato la gestione del proprio sito web e dell'infrastruttura di privacy a una terza parte senza un'adeguata supervisione o convalida.3 1 L'indagine della CPPA ha rivelato che l'azienda "si è affidata a strumenti di gestione della privacy di terze parti senza conoscerne i limiti o convalidarne il funzionamento."1 In altre parole, Todd Snyder ha implementato una piattaforma di gestione del consenso ma non ha mai verificato che funzionasse effettivamente.

Michael Macko, capo della divisione di applicazione della CPPA, ha cristallizzato questa lacuna di responsabilità: "Le aziende dovrebbero esaminare attentamente le loro soluzioni di gestione della privacy per assicurarsi che siano conformi alla legge e funzionino come previsto, perché la responsabilità ultima è delle aziende che le utilizzano."5 Utilizzare uno strumento di terze parti non è un passaporto per la conformità; è una responsabilità di conformità che richiede una gestione attiva.

Il quadro normativo: cosa richiede effettivamente il CCPA

Per capire perché questi fallimenti sono importanti, vale la pena rivedere le pertinenti obbligazioni del CCPA.

Il diritto di esercitare l'opt-out (Cal. Civ. Code § 1798.120)

I consumatori californiani hanno il diritto di indirizzare un'azienda affinché non venda o condivida le loro informazioni personali. Le aziende devono onorare queste richieste e non possono discriminare i consumatori per aver esercitato questo diritto. La legge afferma esplicitamente che le aziende non possono richiedere ai consumatori di creare un account, fornire un documento di identificazione governativo o verificare la loro identità come condizione per l'invio di una richiesta di opt-out - a meno che la verifica non sia necessaria per prevenire frodi.

Minimizzazione dei dati e standard di verifica (Cal. Code Regs. § 999.308)

Le norme di attuazione della CPPA chiariscono che quando un'azienda richiede la verifica, deve utilizzare il metodo meno invasivo ragionevolmente disponibile. Le norme sottolineano anche che le aziende non possono richiedere più informazioni per elaborare una richiesta di privacy di quante ne richiedano per una transazione commerciale.

Responsabilità dei fornitori

Sebbene il CCPA non menzioni esplicitamente i "fornitori di terze parti", lo statuto e le norme rendono chiaro che le aziende sono responsabili di garantire che i loro fornitori di servizi siano conformi alla legge. La CPPA ha emesso avvisi di applicazione che mettono in guardia contro la verifica eccessiva e richiedono che le aziende monitorino attivamente la loro infrastruttura di privacy.

Punti chiave: cosa significa per la tua azienda

1. Verifica il tuo fornitore di privacy prima dell'implementazione

Non dare per scontato che la tua piattaforma di gestione del consenso (CMP) o lo strumento di gestione della privacy funzioni correttamente. Prima di implementarlo:

  • Richiedi un audit tecnico o una valutazione di sicurezza al fornitore
  • Testa il meccanismo di opt-out personalmente su diversi dispositivi e browser
  • Verifica che lo strumento rispetti i segnali di preferenza di opt-out, compreso lo standard Global Privacy Control (GPC)6
  • Conferma che le pratiche di raccolta dati dello strumento siano allineate con i requisiti del CCPA
  • Stabilisci un accordo di servizio che includa obbligazioni di conformità e clausole di indennizzo

2. Implementa monitoraggio e test continui

La CPPA ha sottolineato che Todd Snyder "avrebbe saputo che i consumatori non potevano esercitare i loro diritti CCPA se l'azienda avesse monitorato il suo sito web."1 Ciò significa:

  • Eseguire test trimestrali o semestrali dei meccanismi di opt-out
  • Monitorare le richieste degli utenti e i tempi di elaborazione per le richieste di privacy
  • Impostare avvisi per le richieste di opt-out non riuscite o modelli insoliti
  • Documentare le procedure di test e i risultati per la revisione normativa

3. Semplifica il tuo processo di verifica

Se devi verificare l'identità prima di elaborare le richieste di opt-out (cosa che dovrebbe essere rara), utilizza il metodo meno invasivo disponibile:

  • La verifica via email è generalmente sufficiente
  • La verifica telefonica è accettabile ma più onerosa
  • Richiedere foto di documenti di identificazione governativi è eccessivo e crea un'esposizione non necessaria ai dati
  • Non richiedere mai più informazioni per esercitare l'opt-out di quante ne richiedi per completare una vendita

4. Fornisci formazione sulla conformità CCPA

L'accordo richiede a Todd Snyder di fornire formazione sulla conformità CCPA ai suoi dipendenti.2 Non è solo una punizione - è una best practice. Assicurati che i tuoi team legali, di prodotto, ingegneristici e di assistenza clienti comprendano:

  • Cosa costituisce una "vendita" o "condivisione" di informazioni personali ai sensi del CCPA
  • Come elaborare correttamente le richieste di opt-out
  • Standard di verifica e limitazioni
  • Le obbligazioni dell'azienda di monitorare i fornitori di terze parti

5. Documenta il tuo programma di conformità

La CPPA e altri regolatori si aspettano che le aziende mantengano politiche e procedure scritte. La tua documentazione dovrebbe coprire:

  • Procedure di gestione delle richieste di privacy (acquisizione, verifica, elaborazione, conferma)
  • Criteri di selezione e monitoraggio dei fornitori
  • Protocolli di test tecnici
  • Registri di formazione dei dipendenti
  • Procedure di conservazione e cancellazione dei dati

Il contesto più ampio: tendenze di applicazione della CPPA

La multa a Todd Snyder è la seconda azione di applicazione della CPPA ai sensi del CCPA e riflette le priorità emergenti dell'agenzia in materia di applicazione.7 All'inizio del 2025, la CPPA ha anche raggiunto un accordo con Honda per analoghi fallimenti nell'opt-out e nella gestione dei fornitori. Questi casi suggeriscono che la CPPA si sta concentrando su:

  • Supervisione e responsabilità dei fornitori - Le aziende non possono nascondersi dietro strumenti di terze parti
  • Eccesso di verifica - Le barriere di verifica dell'identità eccessive violano i principi del CCPA
  • Minimizzazione dei dati - La raccolta di più informazioni del necessario, anche per scopi di conformità, è problematica
  • Funzionalità tecnica - Gli strumenti di privacy devono effettivamente funzionare; le implementazioni rotte sono violazioni

Questa traiettoria di applicazione è importante perché segnala dove i regolatori concentreranno le risorse nel 2026 e oltre. Se la tua azienda si affida all'infrastruttura di privacy di terze parti, è ora il momento di verificare e rafforzare le tue pratiche di gestione dei fornitori.

Conclusione: la conformità non è delegabile

Il caso Todd Snyder offre una lezione chiara: esternalizzare l'infrastruttura di privacy non significa esternalizzare la responsabilità di conformità. Sia che tu utilizzi una piattaforma di gestione del consenso, un portale per le richieste di privacy o qualsiasi altro strumento di terze parti, rimani responsabile di garantire che sia conforme al CCPA e funzioni effettivamente come previsto.

L'azienda ha pagato $345.178 in multe, si è impegnata a revisionare le sue pratiche di privacy e si è impegnata a un monitoraggio continuo della conformità.1 2 Ma il costo reale va oltre l'accordo: danno alla reputazione, interruzione operativa e necessità di ricostruire la fiducia dei consumatori.

La buona notizia è che questi fallimenti erano prevenibili. Implementando criteri di selezione dei fornitori robusti, eseguendo test tecnici regolari, semplificando i requisiti di verifica e formando il tuo team sulle obbligazioni del CCPA, puoi evitare la trappola di Todd Snyder. La conformità alla privacy richiede una gestione attiva - non solo all'implementazione, ma continuamente durante le operazioni aziendali.

La CPPA sta guardando, e la prossima azione di applicazione potrebbe essere contro il tuo concorrente - o la tua azienda. Il momento di rafforzare le tue pratiche di privacy è ora.

Sources

Footnotes

  1. natlawreview.com

  2. cppa.ca.gov

  3. callaborlaw.com

  4. governmentcontractslaw.com

  5. transcend.io

  6. truevault.com

  7. venable.com

Condividi:

Articoli correlati

Case Studies

Lettere di Avvertimento FTC a 13 Broker di Dati: Conformità PADFA Ora

Il 9 febbraio 2026, la FTC ha inviato lettere di avvertimento a 13 broker di dati per violazioni del PADFA, vietando la vendita di dati sensibili come geolocalizzazione e informazioni sanitarie a nemici stranieri come Cina e Russia. I proprietari di siti web imparano a verificare i fornitori terzi e a evitare multe di $53.088 per violazione.

Resta conforme con Pryvii

Scansiona il tuo sito web per problemi di conformità alla privacy secondo 17 normative tra cui GDPR, CCPA e UK GDPR.

La multa CCPA a Todd Snyder di CA: le insidie dell'opt-out tramite strumenti di terze parti — Pryvii Blog | Pryvii