Il California Consumer Privacy Act (CCPA) e il Regolamento generale sulla protezione dei dati (GDPR) sono entrambi atti sulla privacy approvati di recente per aggiornare le leggi obsolete relative al modo in cui le informazioni personali vengono gestite, archiviate ed elaborate nell'era digitale. Dalla proliferazione dei servizi Internet, delle telecomunicazioni mobili e dei social media, gli attivisti hanno chiesto modifiche al modo in cui le aziende gestiscono le informazioni personali.
Il CCPA è stato approvato nel 2018 ed è entrato in vigore il 1° gennaio 2020. Il GDPR è entrato in vigore nel maggio 2018. Entrambe le legislazioni hanno raccomandazioni e requisiti simili. Il GDPR si concentra sulle informazioni personali dei cittadini europei e il CCPA si riferisce alle informazioni personali dei residenti in California.
È importante sottolineare che entrambe le legislazioni hanno una sinergia condivisa che ha un impatto sulle imprese su entrambe le sponde dell'Atlantico. Qualsiasi azienda negli Stati Uniti che elabora informazioni personali europee e qualsiasi azienda in Europa che elabora informazioni personali statunitensi deve aderire alle linee guida di ciascuna legislazione per essere conforme alle norme sulla privacy.
Cos'è il CCPA?
CCPA protegge le informazioni private dei residenti in California negli Stati Uniti. Ciò include dati sull'identità della persona, qualsiasi informazione sanitaria sensibile, dati biometrici, dati di geolocalizzazione mobile e qualsiasi informazione finanziaria o patrimoniale. L'obiettivo della legge sulla privacy è limitare la divulgazione di informazioni sensibili o le perdite impreviste causate da violazioni dei dati.
Il CCPA è stato progettato per offrire ai consumatori il controllo delle proprie informazioni personali e rafforzare le sanzioni per eventuali violazioni delle informazioni, dovute a negligenza oa un attacco di dati.
Lo scopo della normativa è quello di far valere i diritti dei consumatori e conferire al consumatore nuovi diritti sui propri dati. Ciò include il diritto di sapere esattamente quali informazioni sono detenute su una persona da un'azienda. Questo è il motivo per cui ora puoi visitare siti come Google e Facebook e scaricare archivi dettagliati delle informazioni che detengono su di te.
I residenti in California hanno anche il diritto di accedere e visualizzare i dati in loro possesso e, cosa importante, il diritto alla cancellazione dei dati. Sono stati creati i diritti di opt-in o opt-out per la raccolta dei dati. Altri elementi chiave includono il diritto alla parità di servizio e prezzo e il diritto di chiedere un risarcimento in caso di violazione delle informazioni personali.
Le nuove regole impongono una serie di nuovi requisiti alle aziende che trattano dati personali. Devono essere in grado di fornire l'accesso alle informazioni personali, eliminare le informazioni personali su richiesta e provare la loro distruzione. Devono inoltre introdurre pratiche di gestione del consenso. Questo è comunemente visto sui siti Web in cui le aziende condividono informazioni con terze parti. L'organizzazione ha il dovere di divulgare quali dati vengono condivisi.
Il CCPA dà all'individuo il controllo su quali informazioni possono o non possono essere vendute su di loro. Le aziende sono tenute a condurre esercizi di inventario dei dati per apprendere i dati personali nell'ambito e le istanze di dati di "vendita". Di conseguenza, per essere conforme, è necessario aggiornare gli accordi sul livello di servizio con responsabili del trattamento di dati di terze parti.
La correzione delle lacune nella sicurezza delle informazioni e delle vulnerabilità del sistema deve essere prontamente risolta implementando il rafforzamento della governance dei dati e programmi di identificazione dei dati. Se sono presenti dati che non rientrano nell'ambito, devono essere eliminati.
Cos'è il GDPR?
Il GDPR è stato progettato per i cittadini europei ma interessa ogni entità che elabora i dati dell'UE. Il suo scopo principale era standardizzare le leggi sulla protezione dei dati di tutti gli Stati membri dell'UE.
Ci sono sette principi chiave della legislazione GDPR. Questi si concentrano sulla liceità della conservazione delle informazioni personali e sulla garanzia che siano archiviate in modo equo e trasparente. I dati devono essere conservati per un motivo specifico e per uno scopo specifico. I dati personali non possono essere conservati a tempo indeterminato e devono essere distrutti una volta che hanno raggiunto lo scopo.
Le organizzazioni devono inoltre impegnarsi a ridurre al minimo i dati, conservando solo le informazioni recenti e pertinenti che siano accurate. Devono mantenere l'integrità dei dati e garantire la riservatezza delle informazioni private.
I cittadini dell'UE hanno molti nuovi diritti dall'introduzione del GDPR. Questi diritti pongono le basi di ciò che terze parti possono e non possono fare con le informazioni personali. Le persone hanno il diritto di essere informate su quali dati personali sono detenuti dall'azienda e l'individuo ha il diritto di visualizzare e accedere a queste informazioni. Se necessario, hanno il diritto di rettificare i dati.
I cittadini dell'UE possono richiedere che le informazioni personali vengano cancellate e limitare il modo in cui vengono elaborate le informazioni personali. Hanno il diritto di opporsi, nonché i diritti in relazione al processo decisionale automatizzato e alla profilazione, come i criteri di accettabilità delle carte di credito.
CCPA vs GDPR
È ovvio vedere le sorprendenti somiglianze tra CCPA e GDPR. Il CCPA potrebbe essere considerato la controparte statunitense del GDPR. Vi sono tuttavia alcune differenze significative. Il GDPR riguarda i responsabili del trattamento dei dati e i responsabili del trattamento dei dati all'interno e all'esterno dell'Unione Europea, tuttavia, il CCPA disciplina solo le società che "svolgono affari" in California.
Esistono altre regole come il CCPA applicabile solo alle società con entrate lorde superiori a $ 25 milioni di dollari e quelle che elaborano le informazioni personali di oltre 50.000 residenti in California. Anche le sanzioni previste per la violazione di una delle due legislazioni sono piuttosto diverse. GDPR è fino al 4% del fatturato, o 20 milioni di euro (a seconda di quale sia maggiore). Il CCPA è specificamente di $ 2500 per record per violazioni non intenzionali e $ 7500 per violazioni intenzionali.
Ci sono altre sottili differenze, ma, soprattutto, entrambe le normative stabilite con lo stesso obiettivo, che è quello di migliorare e proteggere le informazioni personali e private. Entrambe le leggi rafforzano l'idea che le aziende non possono raccogliere i dati che scelgono. I dati hanno un valore significativo e molti giganti della tecnologia nella Silicon Valley hanno realizzato enormi profitti vendendo informazioni personali. CCPA e GDPR lo hanno identificato e hanno agito per proteggere ciascuno di noi.