CCPA vs LGPD: Confronto tra le leggi sulla privacy della California e del Brasile
Il CCPA e la LGPD rappresentano approcci fondamentalmente diversi alla regolamentazione della privacy. Il CCPA è una legge di opt-out che consente la raccolta dei dati per impostazione predefinita e conferisce ai consumatori il diritto di dire di no. La LGPD segue un modello di consenso preventivo più simile al GDPR, richiedendo una base giuridica prima di trattare i dati personali. Differiscono anche in ambito, sanzioni e diritti concessi alle persone.
| Caratteristica | CCPA | LGPD |
|---|---|---|
| Ambito geografico | California, Stati Uniti | Brasile (si applica al trattamento di dati di persone in Brasile) |
| A chi si applica | Imprese a scopo di lucro che soddisfano soglie di fatturato, volume di dati o vendite di dati | Qualsiasi organizzazione che tratti dati personali di persone in Brasile, senza soglie minime |
| Requisiti di consenso | Opt-out: raccolta dati per impostazione predefinita con diritto di rinunciare alla vendita | Consenso preventivo: è richiesta una delle 10 basi giuridiche, il consenso è la più comune |
| Regole su cookie e tracciamento | Nessuna legge specifica sui cookie; la vendita tramite tracciamento attiva diritti di opt-out | Nessuna legge specifica sui cookie; i principi di consenso si applicano a cookie e tracciamento |
| Diritti individuali | Conoscere, cancellare, rinunciare alla vendita, non discriminazione | Accesso, correzione, anonimizzazione, cancellazione, portabilità, informazioni sulla condivisione, revisione delle decisioni automatizzate |
| Sanzioni massime | $7.500 per violazione intenzionale, $2.500 per violazione non intenzionale | Fino al 2% del fatturato in Brasile, limitato a BRL 50 milioni per infrazione |
| Autorità di applicazione | Procuratore Generale della California e CPPA | ANPD (Autoridade Nacional de Protecao de Dados) |
Differenze principali
Il modello di consenso è la differenza più fondamentale. Il CCPA consente alle aziende di raccogliere e utilizzare informazioni personali per impostazione predefinita, conferendo ai consumatori il diritto di rinunciare alla vendita di tali informazioni. La LGPD richiede una delle 10 basi giuridiche prima di trattare i dati personali, con il consenso come più comune. Ciò significa che la LGPD richiede il permesso affermativo in molti casi in cui il CCPA non lo richiederebbe.
Le strutture sanzionatorie differiscono significativamente. Le multe del CCPA sono per violazione ($7.500 per intenzionale, $2.500 per non intenzionale), che possono accumularsi ma tendono ad essere prevedibili. Le sanzioni della LGPD sono basate su percentuale, fino al 2% del fatturato dell'azienda in Brasile, limitate a BRL 50 milioni per infrazione. Per le aziende con grandi operazioni in Brasile, le multe della LGPD possono essere sostanziali.
Anche l'ambito differisce. Il CCPA si applica solo alle imprese a scopo di lucro che soddisfano soglie specifiche e protegge solo i residenti della California. La LGPD si applica a qualsiasi organizzazione che tratti dati personali di persone situate in Brasile, indipendentemente da dove ha sede l'organizzazione e senza soglie di fatturato o volume di dati. Questa portata extraterritoriale è simile a quella del GDPR.
Come aiuta Pryvii
Pryvii analizza il tuo sito web rispetto ai requisiti del CCPA e della LGPD in un unico passaggio. Verifica i meccanismi di opt-out necessari ai sensi del CCPA, i meccanismi di consenso richiesti dalla LGPD e assicura che la tua informativa sulla privacy affronti entrambi i quadri normativi. Il rapporto multi-normativa evidenzia chiaramente dove il tuo sito non è conforme per ciascuna legge.
Domande frequenti
Se sono conforme al CCPA, sono anche conforme alla LGPD?
No. Il modello di opt-out del CCPA è fondamentalmente diverso dall'approccio del consenso preventivo della LGPD. La conformità al CCPA da sola non soddisfa i requisiti della LGPD. Sarebbe necessario implementare meccanismi di consenso, stabilire una base giuridica per il trattamento e potenzialmente nominare un DPO (encarregado) per conformarsi alla LGPD.
La LGPD si applica alla mia attività se ho sede negli Stati Uniti?
Sì, se tratti dati personali di persone situate in Brasile. La LGPD ha una portata extraterritoriale simile al GDPR, applicandosi indipendentemente da dove ha sede l'organizzazione che effettua il trattamento. Se il tuo sito web raccoglie dati da visitatori brasiliani, la LGPD potrebbe applicarsi.
Quale legge conferisce più diritti ai consumatori?
La LGPD fornisce un insieme più ampio di diritti individuali, inclusi accesso, correzione, anonimizzazione, cancellazione, portabilità, informazioni sulla condivisione con terze parti e il diritto di revisione delle decisioni automatizzate. Il CCPA fornisce i diritti di conoscere, cancellare, rinunciare alla vendita e non discriminazione. Il quadro dei diritti della LGPD è più completo.
Confronti correlati
Verifica la tua conformità
Scansiona il tuo sito web rispetto a più normative in pochi minuti.