CCPA vs CPRA: Cosa è cambiato nella legge sulla privacy della California
Il CPRA (California Privacy Rights Act) è stato approvato dagli elettori della California nel 2020 ed è entrato in vigore il 1 gennaio 2023. Ha modificato e ampliato significativamente il CCPA originale introducendo le informazioni personali sensibili come categoria, aggiungendo requisiti di minimizzazione dei dati e limitazione delle finalità, creando l'agenzia di applicazione CPPA e ampliando i diritti dei consumatori inclusa la correzione e l'opt-out dal processo decisionale automatizzato.
| Caratteristica | CCPA | CPRA |
|---|---|---|
| Ambito geografico | California, Stati Uniti (in vigore da gennaio 2020) | California, Stati Uniti (in vigore da gennaio 2023, modifica il CCPA) |
| A chi si applica | Imprese a scopo di lucro che soddisfano soglie di fatturato, volume di dati o vendite di dati | Stesse soglie del CCPA, ma copre anche la condivisione di informazioni personali |
| Requisiti di consenso | Opt-out dalla vendita di informazioni personali | Opt-out dalla vendita e condivisione; diritto di limitare l'uso delle informazioni personali sensibili |
| Regole su cookie e tracciamento | Nessuna regola specifica sui cookie; il diritto di opt-out è attivato dalla vendita di dati tramite tracciamento | I diritti di opt-out si estendono alla pubblicità comportamentale cross-contesto tramite cookie |
| Diritti individuali | Conoscere, cancellare, rinunciare alla vendita, non discriminazione | Conoscere, cancellare, correggere, rinunciare alla vendita/condivisione, limitare l'uso delle IP sensibili, portabilità |
| Sanzioni massime | $7.500 per violazione intenzionale, $2.500 per violazione non intenzionale | $7.500 per violazione intenzionale, $2.500 per non intenzionale; applicazione aggiuntiva della CPPA |
| Autorità di applicazione | Procuratore Generale della California | California Privacy Protection Agency (CPPA) e Procuratore Generale della California |
Differenze principali
Il CPRA ha introdotto il concetto di informazioni personali sensibili, una nuova categoria di dati che include numeri di previdenza sociale, geolocalizzazione precisa, origine razziale o etnica, dati biometrici, informazioni sanitarie e contenuto di posta o messaggi di testo. I consumatori hanno ottenuto il diritto di limitare l'uso e la divulgazione di queste informazioni sensibili. Il CCPA originale non distingueva tra informazioni personali sensibili e non sensibili.
La minimizzazione dei dati e la limitazione delle finalità sono nuovi requisiti ai sensi del CPRA. Le aziende ora devono raccogliere solo informazioni personali ragionevolmente necessarie e proporzionate per gli scopi dichiarati, e non devono conservarle più a lungo del necessario. Il CCPA non aveva tali requisiti, consentendo pratiche di raccolta dati più ampie.
Il CPRA ha anche creato la California Privacy Protection Agency (CPPA), la prima agenzia dedicata all'applicazione della privacy negli Stati Uniti. Sotto il CCPA, l'applicazione era gestita esclusivamente dal Procuratore Generale della California. La CPPA ha autorità normativa e può investigare e avviare azioni di applicazione in modo indipendente. Il CPRA ha anche ampliato il diritto di opt-out per includere la condivisione di dati per la pubblicità comportamentale cross-contesto, non solo la vendita di dati.
Come aiuta Pryvii
Pryvii verifica il tuo sito web sia per i requisiti originali del CCPA che per gli obblighi ampliati del CPRA. Verifica che i link di opt-out coprano sia la vendita che la condivisione, controlla le informative sulle informazioni personali sensibili e assicura che la tua informativa sulla privacy rifletta i diritti e i requisiti aggiornati ai sensi del CPRA.
Domande frequenti
Devo aggiornare il mio sito web per il CPRA se ero già conforme al CCPA?
Sì. Il CPRA ha introdotto nuovi requisiti che vanno oltre il CCPA originale. È necessario aggiornare la propria informativa sulla privacy per riflettere i nuovi diritti (correzione, portabilità), aggiungere meccanismi di opt-out per la condivisione dei dati, includere informative sulle informazioni personali sensibili e implementare programmi di conservazione dei dati.
Qual è la differenza tra vendere e condividere ai sensi del CPRA?
Ai sensi del CCPA, il diritto di opt-out si applicava solo alla vendita di informazioni personali a fronte di un corrispettivo monetario. Il CPRA ha ampliato questo per includere la 'condivisione', definita come rendere disponibili le informazioni personali per la pubblicità comportamentale cross-contesto, anche senza scambio monetario. Ciò cattura molte pratiche di ad-tech e analytics.
Quando è entrato in vigore il CPRA?
Il CPRA è entrato in vigore il 1 gennaio 2023, con un periodo retroattivo al 1 gennaio 2022. La CPPA ha iniziato l'applicazione formale il 1 luglio 2023. Le aziende avrebbero dovuto aggiornare le proprie pratiche prima di queste date, ma le azioni di applicazione possono fare riferimento a pratiche di dati del periodo retroattivo.
Confronti correlati
Verifica la tua conformità
Scansiona il tuo sito web rispetto a più normative in pochi minuti.