11/03/2020

Sai cos’è il CCPA? Scopri se si applica anche al tuo e-commerce

E’ passato poco tempo da quando hai aggiornato la privacy policy del tuo e-commerce e già hai sentito parlare di un’altra importante novità legislativa che sembra impattare sul tuo sito: il CCPA.

Vediamo insieme di cosa si tratta e se davvero devi nuovamente mettere mano alla privacy policy.

Cos’è il CCPA

Il CCPA (California Consumer Privacy Act) è la prima legge degli Stati Uniti d’America in materia di privacy e impone alle aziende determinate modalità di trattamento e trasferimento dei dati personali degli utenti che utilizzano internet.

L’obiettivo viene perseguito riconoscendo agli utenti americani nuovi e importanti diritti, quali ad esempio la possibilità di opporsi alla vendita dei propri dati a soggetti terzi e la facoltà di chiedere la comunicazione dei dati in precedenza raccolti dal sito e la loro relativa comunicazione.

La nuova legge è entrata in vigore in California il 1° gennaio di quest’anno.

La California è spesso pioniere di soluzioni normative in materia di diritto digitale e non è da escludere che altri Stati la seguiranno affinché anche negli USA gli utenti possano beneficiare di una normativa privacy comune per tutti i cittadini.

Si applica anche al tuo e-commerce?

Come ogni normativa, è molto importante verificare il suo campo di applicazione al fine di evitare inutili modifiche ai documenti pubblicati online.

Il CCPA si applica solamente alle aziende che rivolgono i loro prodotti e servizi a persone fisiche residenti in California (indipendentemente dal fatto che il sito abbia sede in questo Stato) e che raccolgono le informazioni personali degli utenti determinandone finalità e modo di trattamento (assumendo quindi il ruolo che in base al GDPR sarebbe di “titolare del trattamento”).

Oltre al sopra descritto requisito, l’e-commerce deve soddisfare almeno uno di questi requisiti:

  • Generare un fatturato annuo lordo superiore ad almeno 25 milioni di dollari
  • Ottenere almeno il 50% del proprio fatturato dalla vendita di dati personali
  • Acquistare, ricevere, vendere o condivide ogni anno per finalità commerciali le informazioni personali di almeno 50.000 persone fisiche.

In merito all’ultimo requisito, è necessario considerare che gli indirizzi IP sono considerati (al pari di quanto accade in Europa) dati personali e visto che le “finalità commerciali” sono tipiche di qualsiasi e-commerce, se il tuo sito riceve dalla California almeno 50.000 visite uniche deve rispettare il CCPA.

Diversamente, se il tuo e-commerce non soddisfa nessuno dei requisiti sopra descritti non deve adeguarsi alla nuova normativa.

Cosa prevede il CCPA

La nuova normativa prevede obblighi molto specifici e che si riflettono anche sulla operatività offline.

In questa sede valga solo il riferimento al fatto che gli e-commerce obbligati a rispettare il CCPA dovranno aggiornare la privacy policy per informare gli utenti in merito alle finalità del trattamento dei loro dati personali e quali categorie di dati sono coinvolti.

Tra i dati personali che il CCPA prende in considerazione (e che quindi devono essere menzionati nella privacy policy) figurano:

  • Informazioni personali quali nome, indirizzo postale, numero di previdenza sociale)
  • Informazioni commerciali (tendenze di acquisto o consumo)
  • Dati biometrici
  • Informazioni sulla attività online
  • Dati di geo-localizzazione
  • Informazioni sulla vita professionale

L’informativa dovrà essere annualmente aggiornata in merito alle categorie di dati personali che il sito raccoglie, tratta e diffonde.

Ci sono sanzioni?

Il mancato rispetto del CCPA può comportare una sanzione pari a 7500 dollari per singola violazione e 750 dollari per utente interessato.

Conclusioni.

Alla luce dei requisiti sopra descritti, è molto probabile che il tuo e-commerce non debba rispettare i requisiti del CCPA. In tal caso, nessuna modifica alla privacy policy è richiesto in tal senso.

A prescindere da ciò, la tutela dei dati personali dei tuoi clienti rimane un tema molto delicato.

Ricorda che il rispetto della nostra normativa in tema privacy (il GDPR e il Codice Privacy) richiede un monitoraggio costante del modo di trattamento dei dati.

Se quindi il tuo sito o la tua azienda sono conformi al GDPR continua a rispettare la legge per evitare sanzioni e tutelare la privacy dei tuoi clienti; diversamente, ciò che hai letto in questo articolo sul CCPA potrebbe essere lo spunto per riesaminare la situazione lato privacy del tuo sito.

Ogni 2 settimane, la nostra newsletter di e-commerce

Inviando questo modulo, accetti che i dati inseriti vengano utilizzati da PrestaShop S.A per l’invio di newsletter e offerte promozionali. Puoi annullare l’iscrizione in qualsiasi momento utilizzando il link nelle e-mail che ti sono state inviate. Ulteriori informazioni sulla gestione dei tuoi dati e sui tuoi diritti.