GDPR vs CPRA: Come si confronta la legge più recente della California
Il CPRA (California Privacy Rights Act) ha modificato e ampliato il CCPA con efficacia da gennaio 2023. Sebbene abbia avvicinato la legge sulla privacy della California agli standard del GDPR aggiungendo principi di minimizzazione dei dati e limitazione delle finalità, mantiene ancora il modello di consenso opt-out. Il CPRA ha anche creato la California Privacy Protection Agency (CPPA) come organismo di applicazione dedicato.
| Caratteristica | GDPR | CPRA |
|---|---|---|
| Ambito geografico | Unione Europea e stati membri del SEE | California, Stati Uniti (in vigore da gennaio 2023) |
| A chi si applica | Qualsiasi organizzazione che tratti dati di residenti dell'UE | Imprese a scopo di lucro che soddisfano le soglie del CCPA, ora include la condivisione oltre alla vendita |
| Requisiti di consenso | Opt-in: è richiesto il consenso affermativo prima del trattamento | Opt-out: i consumatori possono rinunciare alla vendita e alla condivisione di informazioni personali |
| Regole su cookie e tracciamento | I cookie non essenziali richiedono consenso esplicito preventivo | Nessuna regola specifica sui cookie, ma la pubblicità comportamentale cross-contesto attiva diritti di opt-out |
| Diritti individuali | Accesso, rettifica, cancellazione, portabilità, limitazione, opposizione | Conoscere, cancellare, correggere, rinunciare alla vendita/condivisione, limitare l'uso delle IP sensibili, portabilità |
| Sanzioni massime | Fino a EUR 20 milioni o il 4% del fatturato annuo globale | Fino a $7.500 per violazione intenzionale, applicato da CPPA e Procuratore Generale |
| Autorità di applicazione | Autorità Nazionali per la Protezione dei Dati di ogni stato membro dell'UE | California Privacy Protection Agency (CPPA) e Procuratore Generale della California |
Differenze principali
Il CPRA ha introdotto diversi concetti simili al GDPR nella legge della California. Ha aggiunto requisiti di minimizzazione dei dati, il che significa che le aziende dovrebbero raccogliere solo informazioni personali ragionevolmente necessarie per lo scopo dichiarato. Ha anche introdotto la limitazione delle finalità, richiedendo alle aziende di informare i consumatori su quanto tempo conserveranno i dati e di non utilizzarli oltre lo scopo originale dichiarato.
Un cambiamento importante è stata la creazione della categoria delle informazioni personali sensibili sotto il CPRA. Questa include numeri di previdenza sociale, dettagli dei conti finanziari, geolocalizzazione precisa, origine razziale o etnica e dati biometrici. I consumatori possono limitare l'uso e la divulgazione delle informazioni sensibili. Il GDPR ha un concetto simile con le sue categorie speciali di dati, sebbene le categorie specifiche differiscano leggermente.
Il CPRA ha anche istituito la California Privacy Protection Agency (CPPA), un organismo regolatore dedicato con autorità normativa e di applicazione. In precedenza, l'applicazione del CCPA spettava esclusivamente al Procuratore Generale della California. L'applicazione del GDPR è gestita dalle Autorità per la Protezione dei Dati in ogni stato membro, molte delle quali esistono da decenni.
Come aiuta Pryvii
Pryvii rileva se il tuo sito web soddisfa i requisiti più recenti del CPRA, inclusa la verifica delle informative sulle informazioni personali sensibili, le politiche di conservazione dei dati e la presenza di link di opt-out sia per la vendita che per la condivisione di informazioni personali. Confronta il tuo sito con gli standard del GDPR e del CPRA in una singola scansione.
Domande frequenti
In cosa differisce il CPRA dal CCPA?
Il CPRA ha ampliato il CCPA aggiungendo requisiti di minimizzazione dei dati e limitazione delle finalità, creando una categoria di informazioni personali sensibili, istituendo l'agenzia di applicazione CPPA, aggiungendo diritti di correzione ed estendendo i diritti di opt-out per coprire la condivisione di dati per pubblicità comportamentale cross-contesto.
La conformità al CPRA significa che sono anche conforme al GDPR?
Non necessariamente. Sebbene il CPRA si sia avvicinato al GDPR, utilizza ancora un modello di opt-out anziché di opt-in. Il GDPR richiede il consenso esplicito prima del trattamento dei dati, ha diritti degli interessati più ampi e applica basi giuridiche diverse per il trattamento. È necessario affrontare ogni normativa separatamente.
Cosa si intende per informazioni personali sensibili ai sensi del CPRA?
Il CPRA definisce le informazioni personali sensibili come numeri di previdenza sociale, numeri di patente di guida, informazioni sui conti finanziari, geolocalizzazione precisa, origine razziale o etnica, convinzioni religiose, appartenenza sindacale, contenuto di posta/email/messaggi, dati genetici, dati biometrici, informazioni sanitarie e dati sull'orientamento sessuale.
Confronti correlati
Verifica la tua conformità
Scansiona il tuo sito web rispetto a più normative in pochi minuti.