Approvata la nuova legge privacy californiana: il California Privacy Rights Act (CPRA)

L’Approvazione del California Privacy Rights Act (CPRA) introdurrà nuovi e più ampi obblighi, andando a sostituire il CCPA.

Il 3 novembre 2020, la California ha approvato il California Privacy Rights Act (“CPRA”), ossia la legge che dal 1° gennaio 2023 modificherà e sostituirà l’ancora recente California Consumer Privacy Act (“CCPA”).

Il CPRA si basa sul quadro normativo attualmente esistente in California e costituito dal CCPA, ampliando i diritti concessi ai consumatori californiani e imponendo ulteriori obblighi per le imprese al fine di allinearli maggiormente a quelli già previsti nell’Unione Europea dal Regolamento UE 679/2016, meglio noto come GDPR.

Anche se il CPRA non entrerà in vigore fino al 1° gennaio 2023, lo stesso si applicherà comunque alle informazioni personali dei cittadini californiani raccolte a partire dal 1° gennaio 2022. Fino ad allora il CCPA rimarrà il regime normativo in materia di protezione dei dati personali vigente in California.

Tuttavia, l’approvazione del CPRA ha due effetti immediati che si verificheranno a prescindere dalla data di entrata in vigore della nuova normativa, ossia:

1. l’estensione della moratoria di due anni per l’applicazione – prorogata, pertanto, fino al 1° gennaio 2023 – della normativa in materia di trattamento dei dati personali nell’ambito B2B e del rapporto di lavoro; e
2. l’istituzione – entro 90 giorni dall’adozione del CPRA – della California Privacy Protection Agency (CPPA), ossia la prima autorità di controllo statunitense per la protezione dei dati che sarà, in gran parte, finanziata dalle sanzioni comminate alle imprese e avrà l’onere di far rispettare la CPRA, indagando su possibili violazioni da parte delle imprese, nonché – insieme all’Attorney General – definire la regolamentazione in materia.

La prima parte di modifiche riguarda le definizioni contenute nel CCPA. Il CPRA, infatti, mantiene le undici categorie di dati personali (che i colleghi d’oltreoceano definiscono “Personal Information” o “PI”) del CCPA, aggiungendone di nuove. In particolare, il CPRA introduce la definizione di:

1. “Informazioni personali sensibili”, ossia tutte quelle informazioni di natura personale che comprendono – oltre alle categorie particolari di dati personali del GDPR quali i dati relativi allo stato di salute, l’appartenenza religiosa o sindacale, l’origine razziale o etnica, informazioni relative alla vita o l’orientamento sessuale, nonché i dati genetici e biometrici – il numero di previdenza sociale, la patente di guida, il numero di carta d’identità o di passaporto, i dati finanziari o relativi alle carte di debito e/o credito, i dati di geolocalizzazione, ma altresì le credenziali di accesso ad un account e il contenuto della posta, anche elettronica;
2. “Terza parte”, ovvero qualsiasi soggetto terzo che non rientra tra i fornitori di servizi, gli appaltatori o qualsiasi altro soggetto con cui il consumatore decide di interagire intenzionalmente;
3. “Profilazione” definita come “qualsiasi forma di elaborazione automatizzata” delle PI utilizzata “per analizzare o prevedere aspetti delle preferenze di una persona, della sua situazione economica, delle prestazioni lavorative, della salute, degli interessi, del comportamento, dell’ubicazione, dell’affidabilità o dei movimenti”.

Inoltre, sulla scia del GDPR, il CPRA introduce nuovi obblighi informativi per le imprese che trattano dati personali dei consumatori californiani, nonché nuovi diritti da questi ultimi esercitabili. In particolare, il CPRA:

1. richiede alle società che trattano PI di adottare periodi di conservazione prestabiliti al termine dei quali le PI devono essere obbligatoriamente eliminate. Inoltre, le società devono informare i consumatori californiani in merito al periodo di conservazione adottato o, ove non sia possibile specificarlo a priori, ai criteri utilizzati per determinarlo;
2. prevede il diritto per i consumatori californiani di limitare il trattamento e la comunicazione delle PI sensibili solo quando strettamente necessario per la fruizione di determinati beni e servizi scelti dal consumatore. In particolare, tale diritto dovrà poter essere esercitato tramite un apposito link dal tenore “Limit the Use of My Sensitive Personal Information”;
3. aggiunge il diritto di richiedere da parte del consumatore la correzione delle PI non accurate o inesatte;
4. estende il diritto per i consumatori californiani di opporsi alla vendita delle PI già previsto dal CCPA, anche alla condivisione delle informazioni con terze parti per finalità di marketing. In altre parole, il diritto di “Do Not Sell My Personal Information” diventerà “Do Not Sell or Share My Personal Information”. Nello stesso tempo, il CPRA, estende la necessità di ottenere il previo consenso per la vendita – e condivisione – di PI relative ai minori di 16 anni;
5. precisa, con riferimento al rapporto tra le imprese e le rispettive “terze parti”, che queste ultime – inclusi eventuali fornitori di servizi – siano debitamente contrattualizzate al fine di garantire che il trattamento delle PI avvenga nel rispetto delle disposizioni del CPRA, assicurandone “lo stesso livello di protezione” anche a seguito di un eventuale trasferimento da un soggetto ad un altro;
6. richiede l’adozione di garanzie ulteriori da parte delle imprese ove il trattamento dei dati personali “presenti un rischio significativo per la privacy o la sicurezza dei consumatori”, obbligando le imprese stesse ad effettuare una valutazione del rischio, nonché condurre un audit specifico sulla sicurezza informatica; e
7. introduce la possibilità di proporre un’azione giudiziaria nei confronti delle imprese che abbiano subito una violazione dei dati personali da cui derivi un pregiudizio per i consumatori.

Tuttavia, come sopra ricordato, il CPRA entrerà in vigore il 1° gennaio 2023 e non sarà applicabile fino al 1° luglio 2023. Pertanto, per il momento, le imprese sono tenute a rimanere conformi al CCPA e, nei prossimi mesi, dovranno cominciare a pensare a come orientarsi nel passaggio dal CCPA al CPRA.

Sull’argomento, si veda anche il precedente articolo “Approvata la versione finale del regolamento attuativo del California Consumer Privacy Act”.