California Consumer Privacy Act: tra obblighi e potenziali rischi per le imprese

Negli Stati Uniti non esiste una legge federale omnibus sulla protezione dei dati personali che disciplini in modo uniforme la privacy dei consumatori: il quadro normativo risulta fortemente frammentato e si sviluppa prevalentemente a livello statale. In questo contesto, la California è stata la prima giurisdizione a introdurre una normativa organica sulla privacy dei consumatori: si tratta del California Consumer Privacy Act, le cui violazioni possono comportare sanzioni rilevanti. Per le imprese che intendono operare sul mercato statunitense è quindi fondamentale sapere quali sono i principali diritti riconosciuti ai consumatori da tale normativa, le procedure di esercizio, le modalità di applicazione, i soggetti preposti alla loro attuazione e, da ultimo, i limiti al diritto di azione privata (e una delle strategie alternative con cui i consumatori hanno inteso far valere direttamente i propri diritti nei confronti delle imprese).

Lo Stato della California è stato il primo a introdurre una normativa organica sulla privacy dei consumatori, il California Consumer Privacy Act (CCPA). Il CCPA presenta un ambito di applicazione circoscritto e non si estende automaticamente a tutte le imprese operanti negli Stati Uniti o in California. Esso trova applicazione, in via generale, nei confronti delle imprese che superano specifiche soglie, tra cui: ricavi annui lordi pari o superiori a 26,625 milioni di dollari (soglia soggetta ad aggiornamento periodico, calcolata su base globale e non limitata ai ricavi generati in California), l’acquisto, la vendita o la condivisione per cross-context behavioral advertising di dati personali relativi ad almeno 100.000 consumatori californiani su base annuale, oppure la realizzazione di almeno il 50% del fatturato annuo mediante la vendita di dati personaliLe società rientranti nell’ambito di applicazione del CCPA sono soggette a specifici obblighi. Tra questi, ad esempio, figura la predisposizione e la pubblicazione di una privacy policy che indichi, tra gli altri elementi, quali dati personali vengono raccolti, le relative fonti, le finalità del trattamento e gli eventuali soggetti con cui tali dati sono condivisi o a cui sono venduti. Sempre a titolo esemplificativo, il CCPA prevede anche l’obbligo di fornire ai consumatori una notice at collection prima che i loro dati personali siano effettivamente raccolti.Il CCPA riconosce inoltre ai consumatori californiani una serie di diritti in relazione ai dati personali che le imprese raccolgono e trattano, richiedendo a queste ultime di adottare processi e strumenti adeguati al fine di consentirne l’esercizio da parte dei consumatori e di gestire in modo efficace le relative richieste.I diritti dei consumatori previsti dal CCPASebbene siano previste alcune eccezioni, il CCPA riconosce in generale ai consumatori californiani il diritto di sapere quali informazioni personali siano state raccolte da un’impresa soggetta alla normativa (“right to know”). Essi possono inoltre richiedere una copia dei propri dati in un formato facilmente comprensibile per un consumatore medio e, ove tecnicamente fattibile, in un formato strutturato, di uso comune e leggibile da dispositivi automatici, anche al fine di consentirne la trasmissione a un altro soggetto su richiesta dell’interessato, senza impedimenti (“right to data portability”). Un consumatore californiano ha altresì il diritto di ottenere la rettifica dei dati personali inesatti detenuti dall’impresa (“right to correct”), nonché di richiedere la cancellazione delle informazioni personali che lo riguardano (“right to delete”).In aggiunta, può opporsi alla vendita e alla condivisione dei propri dati personali a terzi per finalità di cross-context behavioral advertising (“right to opt-out”) e chiedere la limitazione dell’uso e della divulgazione di dati sensibili (“right to limit the use and disclosure of sensitive personal information”).Come esercitare i diritti previsti dal CCPA In aggiunta al riconoscimento di tali diritti, il CCPA richiede che le imprese mettano a disposizione meccanismi chiari e facilmente accessibili per consentirne l’esercizio. Ciò comprende, ad esempio, la pubblicazione di informazioni di contatto sul proprio sito web, moduli online o indirizzi email dedicati attraverso cui i consumatori possano inoltrare le proprie richieste, nonché la creazione di link facilmente individuabili e denominati in modo chiaro per agevolare l’esercizio di diritti specifici, come nel caso del right to opt-out.Come e quando devono rispondere le aziendeGeneralmente, una volta ricevuta una richiesta relativa all’esercizio di uno dei diritti previsti dal CCPA da parte di un consumatore californiano, le aziende sono tenute a verificarla, ossia a confermare che il richiedente sia effettivamente la persona a cui si riferiscono i dati raccolti dall’impresa, e successivamente, devono inviare una comunicazione di conferma della ricezione entro 10 giorni lavorativi dalla data della richiesta stessa.Le imprese devono inoltre rispettare tempistiche precise per fornire una risposta sostanziale alle richieste dei consumatori. Per esempio, nel caso di richieste relative al right to delete, salvo eccezioni, le aziende sono tenute a procedere alla cancellazione dei dati e a confermare al consumatore che tali informazioni sono state effettivamente eliminate entro determinati termini. In generale, le richieste relative al right to opt-out e al right to limit the use and disclosure of sensitive personal information devono essere evase entro 15 giorni lavorativi, senza possibilità di proroga, mentre quelle riguardanti il right to access, right to data portability, right to correct e right to delete devono essere soddisfatte entro 45 giorni, con la possibilità di un’unica estensione, adeguatamente motivata, fino a un massimo complessivo di 90 giorni.Inoltre, in linea generale, le aziende sono tenute a comunicare le richieste ricevute alle parti terze con cui i dati personali sono stati condivisi, nonché ai soggetti che raccolgono o trattano tali dati per loro conto, affinché possano a loro volta ottemperare alle richieste dei consumatori. Quali sono le sanzioni per violazioni del CCPA?Nel caso in cui un’impresa violi il CCPA, ad esempio non offrendo ai consumatori californiani la possibilità di esercitare i diritti previsti dalla normativa discussi in precedenza, la stessa può essere soggetta a sanzioni amministrative pecuniarie anche rilevanti fino a, attualmente, 2.633 dollari per violazione o 7.988 dollari in caso di violazioni intenzionali, con importi complessivi potenzialmente molto elevati. L’assenza di diritto di azione privata L’applicazione della legge è, tuttavia, principalmente affidata alle autorità pubbliche competenti dello Stato della California, tra cui la California Privacy Protection Agency e il California Attorney General. Un aspetto particolarmente rilevante della normativa, quindi, è che, in linea generale, non è previsto un diritto di azione privata per i consumatori in caso di mancato rispetto dei diritti previsti dal CCPA. Tale diritto esiste solo in circostanze limitate, come nel caso di violazioni della sicurezza dei dati personali, i cosiddetti data breach. Ciò significa che, di norma, un consumatore che ritenga che un’azienda non abbia rispettato i propri diritti non può agire direttamente in giudizio sulla base del CCPA, ma può solamente segnalare la violazione alla California Privacy Protection Agency o al California Attorney General. Tali soggetti, laddove ritengano le imprese non conformi al CCPA, hanno l’autorità di imporre il pagamento di multe e/o l’adeguamento delle pratiche di gestione dei dati personali alla normativa. Ciò è avvenuto, ad esempio, quando le aziende non avevano meccanismi adeguati a consentire ai consumatori di esercitare i propri diritti o rendevano il processo eccessivamente complesso, chiedendo informazioni sensibili, come foto della carta d’identità o altri dati personali non strettamente necessari, prima di poter soddisfare le richieste dei consumatori.Azioni legali per violazioni del CCPA fondate su altre normativeNonostante l’assenza di un diritto di azione privata previsto dal CCPA, recentemente alcuni consumatori hanno sostenuto, e in alcuni casi i giudici hanno deliberato, che il mancato rispetto del right to opt-out possa costituire, tra le altre cose, un’intrusione nella vita privata (“intrusion upon seclusion”) o un’invasione della privacy (“invasion of privacy”), entrambe fondamento di azioni legali riconosciute dalla common law. La fattispecie concreta riguarda situazioni in cui l’azienda offriva la possibilità di opt-out dalla cross-context behavioral advertising tramite un cookie banner ma, una volta esercitato il diritto da parte del consumatore, consentiva comunque l’utilizzo dei cookie e la trasmissione dei dati a parti terze, violando così la richiesta di opt-out. Secondo il tribunale, tra le altre ragioni, l’affermazione dell’azienda secondo cui gli utenti potevano esercitare l’opt-out aveva creato una ragionevole aspettativa di privacy, potenzialmente violata dall’impresa. Di conseguenza, la causa non poteva essere archiviata in via preliminare, e i consumatori potevano effettivamente avviare un’azione legale basata su intrusion upon seclusion e invasion of privacy.In pratica, ciò significa che, sebbene un consumatore il cui right to opt-out non venga rispettato non possa agire direttamente sulla base del CCPA, sembra poter comunque intentare una causa sostenendo che tale violazione costituisca una pratica sanzionabile, creando di fatto un diritto di azione privata collegato alla violazione di alcuni diritti previsti dal CCPA. La situazione, inoltre, assume ancora maggiore rilevanza considerando che i consumatori possono promuovere class action basate su queste fonti di azioni legali, amplificando significativamente il rischio legale per le imprese.In conclusioneIl panorama normativo statunitense in materia di protezione dei dati personali è in continua evoluzione e, essendo un sistema relativamente recente, si caratterizza per un elevato dinamismo legislativo. Se inizialmente molte leggi statali si ispiravano a modelli simili, oggi si osserva una crescente differenziazione, con l’introduzione, in alcuni casi, di tutele più ampie a favore dei consumatori. Ad esempio, alcune normative statali, come quella adottata in Texas, prevedono che, se un’azienda non soddisfa la richiesta di un consumatore di esercitare i propri diritti sui dati personali previsti dalla legge, il consumatore possa presentare un appello contro tale decisione all’azienda stessa (e in seconda battuta fare ricorso all’Attorney General del Texas), mentre la normativa californiana non prevede un meccanismo analogo.In questo contesto dinamico, caratterizzato anche dal fatto che la maggior parte delle normative, come nel caso della legge californiana, si applica solo se la società soddisfa determinati criteri soglia, è fondamentale che le aziende che operano o intendono operare nel mercato statunitense non solo si conformino alle leggi applicabili, ma monitorino costantemente l’evoluzione normativa e l’eventuale raggiungimento di tali soglie. Eventuali cambiamenti nelle attività aziendali o nel fatturato possono infatti comportare l’applicazione di leggi precedentemente non rilevanti che, sebbene non prevedano un diritto di azione privata, non escludono la possibilità che i consumatori intraprendano comunque azioni legali contro un’impresa che non rispetta tali normative.Copyright © - Riproduzione riservata

Per accedere a tutti i contenuti senza limiti abbonati a IPSOA Quotidiano Premium 1 anno € 118,90 (€ 9,90 al mese) Acquista Primi 3 mesi € 19,90 poi € 35,90 ogni 3 mesi Acquista Sei già abbonato ? Accedi

Fonte: https://www.ipsoa.it/documents/quotidiano/2026/04/07/california-consumer-privacy-act-obblighi-potenziali-rischi-imprese