Il California Consumer Protection Act (CCPA) è considerata la prima legge completa in materia di privacy per gli Stati Uniti ed è diventata tale nel giugno 2018.
Alle stregua del GDPR, il California Consumer Protection Act impone alle aziende una serie di obblighi nei confronti dei consumatori che riguardano la conservazione e gestione dei dati personali, tra cui divulgazioni, diritti, rifiuti espliciti per la gestione di determinate informazioni e requisiti di consenso espliciti per i minori.
Le aziende che sono tenute a rispettare il CCPA devono svolgere attività commerciali in California e rispondere almeno ad uno dei seguenti requisiti:
- generare entrate lorde superiori a 25 milioni di dollari
- ricavare il 50% o più delle entrate annuali dalla vendita di informazioni personali degli utenti
- acquistare, vendere e condividere le informazioni personali di oltre 50.000 utenti.
Il CCPA prevede i seguenti diritti dei consumatori:
- diritto ad essere informati sulle modalità di trattamento dei loro dati durante e dopo la raccolta;
- diritto di accesso ai propri dati;
- diritto alla portabilità dei dati ovvero la possibilità di ricevere le informazioni ed i dati in un formato facilmente utilizzabile;
- formato ovvero le aziende interpellate devono rispondere per posta ordinaria o in formato elettronico;
- diritto alla cancellazione di qualsiasi dato raccolto;
- diritto di opposizione alla vendita dei propri dati
- diritto all’opt-in (consenso preventivo per i minori) per cui le aziende non possono vendere dati di consumatori di età inferiore ai 16 anni a meno che questi non abbiamo fatto l’opt-in.
- diritto a non essere discriminati dalla aziende a seguito della scelta di avvalersi di quanto previsto dalla legge a loro tutela.
Come previsto in Italia per l’adeguamento delle aziende al G.D.P.R., l’adeguamento al CCPA prevede un percorso senza dubbio articolato che prevede non solo delle implementazioni tecniche ma anche una buona pianificazione di attività migliorative e correttive.