Condividi tramite


California Consumer Privacy Act (CCPA)

Panoramica di CCPA

Il California Consumer Privacy Act (CCPA) è la prima legge completa sulla privacy nel Stati Uniti. Fornisce più diritti sulla privacy ai consumatori della California. Le aziende regolamentate dal CCPA avranno una serie di obblighi nei confronti di tali consumatori, tra cui le divulgazioni, i diritti degli interessati ai dati dei consumatori (DSR, General Data Protection Regulation, GDPR), un "opt-out" per determinati trasferimenti di dati e un requisito di "opt-in" per i minori.

Il CCPA si applica solo alle aziende che fanno affari in California e soddisfano uno o più dei seguenti: (1) hanno un fatturato annuo lordo di oltre 25 milioni di dollari, o (2) derivano più del 50% del loro reddito annuale dalla vendita di informazioni personali dei consumatori della California, o (3) acquistare, vendere o condividere le informazioni personali di più di 50.000 consumatori della California ogni anno.

Il CCPA è entrato in vigore il 1° gennaio 2020. L'applicazione da parte del Procuratore Generale della California (AG) è iniziata il 1° luglio 2020.

Il gruppo di disponibilità californiano applica il CCPA e ha il potere di emettere multe di non conformità. Il CCPA fornisce anche un diritto d'azione privato limitato alle violazioni dei dati. In base a tale diritto, i danni possono essere quantificati tra $ 100 e $ 750 per incidente per utente. L'attorney general della California può anche applicare il CCPA nella sua interezza, che prevede una penale civile non superiore a $ 2.500 per violazione o $ 7.500 per violazione intenzionale.

Microsoft e ccpa

Per i clienti commerciali che operano in California, Microsoft funge da "provider di servizi" rispetto all'offerta Online Services and Professional Services. Le condizioni delle Condizioni per i servizi online (OST) e del Componente aggiuntivo per la protezione dei dati di Microsoft Professional Services (MSDPA) soddisfano già i requisiti per i provider di servizi ai sensi del CCPA e sono in genere sufficienti per consentire ai clienti di continuare a trasferire i dati ai servizi online. Di conseguenza, non sono necessarie modifiche contrattuali aggiuntive per consentire ai clienti di fare affidamento su Microsoft come provider di servizi ai sensi del CCPA.

Come indicato nell'ost, Microsoft è conforme a tutte le leggi e alle normative applicabili alla sua fornitura dei Servizi online, che includerebbe il CCPA.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

Come prepararsi per la conformità ccpa quando si usano prodotti e servizi Microsoft

Ecco alcuni passaggi che è possibile eseguire per prepararsi per il CCPA:

  • Iniziare a sfruttare la valutazione GDPR in Compliance Manager come parte del programma di privacy CCPA.
  • Stabilire un processo per rispondere in modo efficiente alle richieste DSAR (Data Subject Access Requests) usando lo strumento Richieste dell'interessato.
  • Configurare etichette e criteri per individuare, classificare & etichetta e proteggere i dati sensibili con Microsoft Purview Information Protection.
  • Usare le funzionalità di crittografia della posta elettronica per controllare ulteriormente le informazioni riservate.

Domande frequenti

In che modo il CCPA influenzerà le aziende?

Molti dei diritti del CCPA assegnati ai californiani sono simili ai diritti forniti dal GDPR, incluse le richieste di divulgazione e diritto dell'interessato, ad esempio accesso, eliminazione e portabilità. Di conseguenza, i clienti possono guardare alle soluzioni GDPR già esistenti per aiutarli a rispettare la conformità ccpa.

Per iniziare il percorso ccpa, è consigliabile concentrarsi sull'individuazione delle informazioni, determinare come vengono condivise le informazioni personali, controllare il modo in cui vengono usate, come vengono protette e disporre di un programma formale di risposta alle violazioni dei dati.

Quali sono le differenze tra GDPR e CCPA?

Ci sono molte differenze. È più facile concentrarsi sulle analogie, tra cui:

  • Obblighi di trasparenza/divulgazione,
  • Diritti dei consumatori per l'accesso, l'eliminazione e la ricezione di una copia dei dati,
  • Definizione di "provider di servizi" simile al modo in cui il GDPR definisce i "responsabili del trattamento" con un obbligo contrattuale simile, e
  • Definizione di "imprese" che comprende la definizione del GDPR di "controller".

La differenza più grande nel CCPA è il requisito fondamentale per consentire l'opt-out dalle vendite di dati a terze parti (con "vendita" ampiamente definita per includere la condivisione dei dati per considerazioni preziose).

Quali diritti devono essere garantiti dalle aziende ai sensi del CCPA?

Il CCPA richiede attività regolamentate che raccolgono, trasferiscono e vendono informazioni personali, tra le altre cose:

  • Fornire informazioni dettagliate ai clienti, prima della raccolta, relative alle categorie e agli scopi della raccolta.
  • Fornire informazioni più dettagliate in un'informativa sulla privacy relativa alle origini, agli scopi aziendali e alle categorie di informazioni personali raccolte, incluso il modo in cui tali categorie vengono vendute o trasferite ad altre entità.
  • Abilitare i diritti DSR di accesso, eliminazione e portabilità per le informazioni personali specifiche raccolte dall'utente.
  • Abilitare un controllo che consenta ai consumatori di rifiutare esplicitamente la vendita dei dati del consumatore. Tuttavia, i trasferimenti a entità esenti, ad esempio i provider di servizi, saranno consentiti.
  • Per i minori di 16 anni, abilitare un processo di consenso esplicito in modo che non sia possibile vendere le informazioni personali del minore senza acconsentire attivamente alla vendita.
  • Assicurarsi che gli utenti non siano discriminati per aver esercitato uno dei diritti ai sensi del CCPA.

In che modo si applicano i principi del CCPA ai minori?

  • Il CCPA introduce obblighi di consenso dei genitori coerenti con la legge Children's Online Privacy Protection Act (COPPA) per bambini di età inferiore ai 13 anni.
  • Per i bambini di età compresa tra i 13 e i 16 anni, ccpa impone un nuovo obbligo di ottenere il consenso esplicito del minore.

Usare Microsoft Purview Compliance Manager per valutare il rischio

Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Risorse