Il procuratore generale della California ha annunciato che l’Office of Administrative Law ha ufficialmente approvato il regolamento attuativo del California Consumer Privacy Act.
Il 14 agosto 2020, il procuratore generale della California ha annunciato che l’Office of Administrative Law ha ufficialmente approvato il regolamento attuativo del California Consumer Privacy Act (il “CCPA”) che entrerà in vigore immediatamente.
Il testo finale del regolamento attuativo del CCPA è frutto di un ampio processo di indagine normativa durante il quale il procuratore generale ha tenuto varie udienze pubbliche che hanno portato alla raccolta di più di mille commenti e trecento lettere, il cui contenuto è stato preso in considerazione per la stesura della versione finale del Regolamento.
Avevamo già analizzato alcuni aspetti del CCPA in un precedente articolo. Il California Consumer Privacy Act, ufficialmente in vigore dall’inizio del 2020, garantisce ai consumatori californiani una serie di prerogative volte alla tutela della privacy e al controllo dei dati personali attraverso il riconoscimento, tra gli altri, del diritto ad essere informati in merito ai trattamenti effettuati (“right to know”), il diritto alla cancellazione e il diritto di impedire ai titolari del trattamento di vendere i dati personali raccolti (“Do Not Sell Rule”), nonché una serie di ulteriori tutele a protezione dei minori.
Il regolamento di attuazione del CCPA introduce delle procedure volte ad assicurare il rispetto e a permettere l’esercizio dei diritti previsti dal CCPA, oltre a definire importanti meccanismi di trasparenza e responsabilità che dovranno essere presi in considerazione dai soggetti che trattano dati personali. Inoltre, il regolamento contiene alcune modifiche e revisioni al testo del CCPA che sono state raccolte in un apposito addendum al regolamento e che ricomprendono sia modifiche di natura formale, determinate da ragioni di coerenza e chiarezza, che l’eliminazione di alcune disposizioni sostanziali, il cui contenuto verrà sottoposto ad ulteriori considerazioni.
Tra le principali novità introdotte dal Regolamento si segnala quanto segue:
- viene inserito l’obbligo di sostituire la terminologia “Do Not Sell My Info” con la dicitura “Do Not Sell My Personal Information” per garantire una maggiore chiarezza rispetto al diritto di opt-out riconosciuto dal CCPA;
- viene meno l’obbligo per i titolari di ottenere il consenso esplicito da parte degli interessati prima di trattare i loro dati per finalità diverse rispetto a quelle comunicate al momento della raccolta, purché ciò avvenga nel rispetto della normativa sulla tutela dei consumatori;
- viene riconosciuta la possibilità per i titolari che interagiscono con gli interessati prevalentemente in maniera offline di fornire l’informativa anche attraverso un rimando alla privacy policy online, venendo meno, in tali circostanze, l’obbligo di utilizzare strumenti di comunicazione offline;
- è previsto che i meccanismi per la richiesta di esercizio del diritto di “Do Not Sell” non dovranno più essere necessariamente conformi ad alcuni requisiti specifici precedentemente previsti dal CCPA; e
- viene meno la possibilità per i titolari di poter rigettare le richiesta di esercizio dei diritti presentate da soggetti autorizzati ma privi di un’esplicita autorizzazione ad agire in nome e per conto dell’interessato.
I titolari del trattamento soggetti al CCPA dovranno rivedere attentamente il contenuto del regolamento per determinare se le revisioni effettuate avranno un impatto sui loro piani di conformità rispetto alla normativa privacy californiana.