Domande frequenti sul California Consumer Privacy Act (CCPA)

Nota

Questo argomento viene fornito "così come è". Le informazioni e le visualizzazioni espresse in questo argomento, inclusi url e altri riferimenti a siti Web Internet, possono cambiare senza preavviso. L'utente ne accetta l'utilizzo a proprio rischio. Questo argomento è stato creato come guida e non deve essere inteso come consulenza legale. Consultare i propri rappresentanti legali. Questo argomento non garantisce alcun diritto legale verso alcuna proprietà intellettuale per i prodotti Microsoft. L'argomento può essere copiato e utilizzato solo per uso interno e come riferimento.

DOMANDE FREQUENTI veloci

Che cos'è il CCPA?

Il California Consumer Privacy Act (CCPA) è la prima legge completa sulla privacy negli Stati Uniti. È diventato legge alla fine di giugno 2018 e garantisce una varietà di diritti alla privacy agli utenti della California. Le aziende regolamentate dal CCPA avranno una serie di obblighi nei confronti di tali consumatori, tra cui la divulgazione, diritti simili al regolamento generale sulla protezione dei dati (GDPR) per i consumatori, un "opt-out" per determinati trasferimenti di dati e un requisito di "opt-in" per i minori.

Chi deve conoscere il CCPA?

Il CCPA si applica solo alle aziende che svolgono attività commerciali in California e che soddisfano annualmente una o più delle seguenti condizioni: (1) generano entrate lorde superiori a 25 milioni di dollari, (2) ricavano il 50% o più delle entrate annuali dalla vendita di informazioni personali degli utenti o (3) acquistano, vendono o condividono le informazioni personali di oltre 50.000 utenti.

Quando entrerà in vigore il CCPA?

Il CCPA entrerà in vigore il 1° gennaio 2020. Tuttavia, l'applicazione da parte dell'attorney general (AG) non avverrà prima del 1° luglio.

In che modo il CCPA influenzerà le aziende?

Molti dei diritti del CCPA assegnati ai californiani sono simili ai diritti forniti dal GDPR, incluse le richieste di divulgazione e consumer simili alle richieste di diritti dell'interessato, come l'accesso, l'eliminazione e la portabilità. Di conseguenza, il cliente può fare riferimento alle soluzioni previste per il GDPR per garantire la conformità al CCPA.

Cinque sono i passaggi principali da tenere in considerazione per il CCPA:

  • Individuazione: identificare quali dati personali si possiedono e dove risiedono.
  • Mappa: determinare come vengono condivise le informazioni personali con terze parti e identificare se le terze parti sono soggette ad eccezioni per quanto riguarda i requisiti di rifiuto esplicito del CCPA.
  • Gestione: gestire il modo in cui i dati personali vengono usati e come accedervi.
  • Protezione: stabilire controlli di sicurezza per prevenire, rilevare e risolvere vulnerabilità e violazioni dei dati.
  • Documento: redigere un documento sul programma di risposta alla violazione dei dati e assicurarsi che i contratti con le terze parti applicabili siano in grado di sfruttare le eccezioni di rifiuto esplicito.

È necessario comprendere quali sono gli obblighi specifici dell'organizzazione ai sensi del CCPA e come soddisfarli, anche se Microsoft è qui per aiutarti nel tuo percorso.

DOMANDE FREQUENTI dettagliate

Quali diritti devono essere garantiti dalle aziende ai sensi del CCPA?

Il CCPA richiede alle aziende regolamentate che raccolgono, utilizzano, trasferiscono e vendono informazioni personali tra l'altro di:

  • Fornire informazioni dettagliate ai clienti, prima della raccolta, relative alle categorie e agli scopi della raccolta.
  • Fornire informazioni dettagliate in una informativa sulla privacy relativa alle fonti, agli scopi commerciali e alle categorie di informazioni personali raccolte, incluso il modo in cui tali categorie vengono vendute o trasferite ad altre entità.
  • Concedere agli utenti i diritti in relazione all'accesso, alla cancellazione e alla portabilità delle specifiche informazioni personali che sono state raccolte.
  • Abilitare un controllo che consenta ai consumatori di rifiutare esplicitamente la "vendita" dei dati del consumatore. Anche se, alcuni trasferimenti, come i trasferimenti ai provider di servizi, sono consentiti nonostante l'eventuale rifiuto.
  • Per i minori di 16 anni, abilitare un processo di consenso esplicito in modo che non sia possibile vendere le informazioni personali del minore senza acconsentire attivamente alla vendita.
  • Assicurarsi che gli utenti non siano discriminati per aver esercitato uno dei diritti ai sensi del CCPA.

Quali sono le informazioni richieste dal CCPA?

Il CCPA richiede la descrizione di quanto segue:

  • Categorie di informazioni personali dell'utente che sono state raccolte.
  • Categorie di fonti utilizzate nella raccolta.
  • Gli scopi commerciali o aziendali per la raccolta.
  • Le categorie di terze parti con cui le informazioni personali sono "condivise".
  • Categorie di informazioni personali che sono state "vendute" e categorie di "terze parti" a cui è stata venduta ogni categoria di informazioni personali.
  • Categorie di informazioni personali che sono state "divulgate per scopi aziendali" (ovvero, trasferite ma non una "vendita") e le categorie di "terze parti" a cui è stata trasferita ogni categoria di informazioni personali.
  • Le specifiche informazioni personali che sono state raccolte sull'utente.

Come vengono "venduti" i dati nell'ambito del CCPA?

La definizione di "vendita" nel CCPA è incredibilmente ampia, tra cui "rendere disponibili informazioni personali a" una terza parte per considerazioni monetarie o di altro valore. Se un consumatore ha scelto di "rifiutare esplicitamente", l'azienda sarà tenuta a disattivare il flusso di informazioni personali a terze parti.

Il CCPA fornisce una serie di ritagli a questo controllo di opt-out "vendita". I tre elementi principali sono i trasferimenti (i) a un provider di servizi, (ii) a un'"entità esentata" o "appaltatore" e (iii) alla direzione del consumatore. Anche se un consumatore ha scelto di "rifiutare esplicitamente", le informazioni personali possono continuare a essere trasferite a terze parti che rientrano in tali ritagli.

Per trarre vantaggio dalle prime due esenzioni, le imprese dovranno garantire che i trasferimenti siano regolati da contratti scritti contenenti i termini specifici richiesti dal CCPA.

Cosa significano "aziende" e "provider di servizi" nel contesto del CCPA?

Nel contesto del CCPA, le aziende sono persone fisiche o entità che determinano le finalità e i mezzi del trattamento dei dati personali del consumatore e i provider di servizi sono individui o entità che elaborano le informazioni per conto di un'azienda. Si tratta sostanzialmente di sinonimi dei termini titolari del trattamento e responsabili del trattamento utilizzati nel GDPR.

Quali sanzioni possono essere comminate alle aziende per mancata conformità?

Il diritto di proporre un'azione in giudizio previsto dal CCPA è limitato alle violazioni dei dati. In base a tale diritto, i danni possono essere quantificati tra $ 100 e $ 750 per incidente per utente. L'attorney general della California può anche applicare il CCPA nella sua interezza, che prevede una penale civile non superiore a $ 2.500 per violazione o $ 7.500 per violazione intenzionale.

Che cosa fa Microsoft per conformarsi al CCPA?

Poiché Microsoft ha implementato richieste DSR relative al GDPR a livello globale, attualmente è in grado di soddisfare i requisiti CCPA correlati in modo eccellente. Abbiamo anche esaminato i nostri accordi di condivisione dei dati di terze parti e abbiamo adottato misure per stabilire che sono in vigore le condizioni contrattuali necessarie per garantire che non vendiamo informazioni personali.

Quali strumenti consentono di preparare l'organizzazione al CCPA?

  • Iniziare a sfruttare la valutazione per il GDPR in Compliance Manager nell'ambito del programma sulla privacy del CCPA.
  • Creare un processo per rispondere in modo efficiente alle richieste dei consumatori.
  • Configurare etichette e criteri per individuare, classificare & etichetta e proteggere i dati sensibili con Microsoft Purview Information Protection.
  • Usare le funzionalità di crittografia della posta elettronica per controllare ulteriormente le informazioni riservate.
  • Per ulteriori informazioni, vedere il post del blog.

Quali sono le differenze tra GDPR e CCPA?

Ci sono molte differenze. È più facile concentrarsi sulle analogie, tra cui:

  • Obblighi di trasparenza/divulgazione.
  • Diritti dei consumatori all'accesso, l'eliminazione e la ricezione di una copia dei dati.
  • Definizione di "provider di servizi" simile al modo in cui il GDPR definisce i "processori" con un obbligo contrattuale simile.
  • Definizione di "imprese" che comprende la definizione del GDPR di "controller".

La differenza più grande nel CCPA è il requisito fondamentale per consentire l'opt-out dalle vendite di dati a terze parti (con "vendita" ampiamente definita per includere la condivisione dei dati per considerazioni preziose). Si tratta di un obbligo più stretto e più specifico rispetto all'ampio diritto del GDPR di opporsi al trattamento, che comprende questo tipo di "vendita", ma non si limita specificamente a coprire questo tipo di condivisione.

Che cosa sono "Processori" e "Controller"?

Un titolare del trattamento è una persona fisica o giuridica, una pubblica autorità, un'agenzia o un altro organismo che, da solo o congiuntamente ad altri, determina le finalità e le modalità del trattamento dei dati personali. Un responsabile è una persona fisica o giuridica, un'autorità pubblica, un'agenzia o altro corpo che tratta i dati personali per conto del responsabile.

Cosa nello specifico viene considerata informazione personale?

Le informazioni personali sono qualsiasi informazione relativa a una persona identificata o identificabile. Non esiste distinzione tra i ruoli privati, pubblici o professionali di una persona. Il termine definito "informazioni personali" si allinea approssimativamente con i "dati personali" in base al GDPR. Tuttavia, il CCPA include anche i dati relativi alla famiglia e al nucleo famigliare.

Ecco alcuni esempi di dati personali:

Identità

  • Nome
  • Indirizzo di residenza
  • Indirizzo di lavoro
  • Numero di telefono
  • Numero di cellulare
  • Indirizzo di posta elettronica
  • Numero di passaporto
  • Numero di carta di identità
  • Numero di previdenza sociale (o equivalente)
  • Patente di guida
  • Informazioni fisiche, psicologiche o genetiche
  • Informazioni mediche
  • Identità culturale

Amministrazione

  • Dettagli bancari/numeri di conto
  • Codice fiscale
  • Numeri di carta di credito/debito
  • Post sui social media

Opere online

  • Post sui social media
  • Indirizzo IP (area geografica Unione Europea)
  • Posizione/dati GPS
  • Cookies

In che modo si applicano i principi del CCPA ai minori?

  • Il CCPA introduce obblighi di consenso dei genitori coerenti con la legge Children's Online Privacy Protection Act (COPPA) per bambini di età inferiore ai 13 anni.
  • Per i bambini di età compresa tra i 13 e i 16 anni, CCPA impone un nuovo obbligo di ottenere il consenso esplicito del minore per qualsiasi "vendita" delle loro informazioni personali.

Come vengono gestiti i dati personali dei dipendenti di un'azienda?

Nell'ottobre 2019 sono state approvate diverse modifiche al CCPA. Un emendamento in particolare ha chiarito che gli obblighi previsti dal CCPA non si applicano alle informazioni personali dei dipendenti di un'azienda. Il legislatore, tuttavia, ha fissato il termine di 1 anno per tale esenzione. Si prevede che in California verrà promulgata una nuova legge sulla protezione dei dati per i dipendenti delle aziende nel 2020.  

I clienti Microsoft devono esprimere il rifiuto esplicito per il trasferimento dei dati a Microsoft?

No. In qualità di provider di Servizi online, microsoft sta adottando misure per assicurarsi di qualificarsi come "provider di servizi" in CCPA. Come indicato in precedenza, è consentito il trasferimento delle informazioni personali ai provider di servizi, anche nel caso di rifiuto esplicito da parte dell'utente.