Privacy, il divieto di vendita dei dati nella legge Californiana, CCPA.

Vediamo da vicino una innovativa legge Privacy la cui idea potrebbe arrivare a breve nel nostro ordinamento anche se con gli opportuni adattamenti.


Il California Consumer Privacy Act (CCPA) offre ai consumatori il diritto di rinunciare e impedire alle aziende di vendere le proprie informazioni personali. La disposizione di opt-out (scelta di non vendere) della legge californiana CCPA è in vigore dallo scorso anno


Quali sono i diritti riconosciuti nel CCPA:


Il diritto di conoscere quali informazioni personali sono raccolte e come vengono utilizzate e condivise;

Il diritto di cancellare le informazioni personali raccolte dalle aziende;

Il diritto di rinunciare alla vendita delle proprie informazioni personali; e

Il diritto alla non discriminazione per l'esercizio dei propri diritti CCPA, (su tale concetto torneremo più avanti)

Tali misure sono state approvate dal legislatore californiano a seguito dell'entrata in vigore in Europa del GDPR.


Sul diritto di rinuncia nella legge Californiana.


Il diritto di rinuncia - opt out - nel California Consumer Privacy Act offre ai consumatori la possibilità di impedire che l'azienda venda i dati raccolti a terze parti, con la possibilità però che tali dati siano utilizzati all'interno delle unità aziendali.

Scopo del CCPA, così come quello del GDPR Europeo, è quello di lasciare il controllo dei dati agli utenti.


CCPA, Gdpr e Privacy con l'avvocato Aldo Lucarelli.
Privacy, il CCPA californiano ed il divieto di vendita dei dati.

Come funziona il diritto di scelta dell'utente?


A tutti gli utenti californiani dai 16 anni in sù, in quanto per i giovani di età inferiore vige un altra normativa che coinvolge i genitori. La scelta dell'utente consisterà nel "negare" il consenso alla vendita dei dati o concederlo, magari perché la mancata concessione comporta delle limitazioni di uso o un differente costo per il servizio richiesto via web.


É necessario quindi un apposito banner nei siti web come giá operante in Italia per la raccolta delle informazioni, dal quale quindi l'utente potrà decidere se accettare e quindi concedere la possibilità (opt in) o negare (opt out) la vendita dei propri dati.


Ma cosa comporta il diniego dell'utente per le aziende, ed a quali si applica?


In primo luogo, il CCPA si applica solo le aziende che hanno più di 25 milioni di dollari di fatturato, e possiedono informazioni personali su 50.000 persone o famiglie all'anno o ricevono più del 50% delle loro entrate dalla vendita di informazioni personali.


Se un'azienda non rientra in questi parametri, tecnicamente non ha bisogno di offrire il diritto di opt-out, ma tali limiti non sono così elevati come si pensa, di fatto per le imprese operative on line sono una somma minima, tantoppiu' che non è chiaro se tale soglia sia applicabile solo alle imprese titolari del sito web o alle imprese che forniscono il servizio.


In secondo luogo, le aziende devono individuare quali informazioni sono raccolte e quali saranno vendute/cedute a terzi.


Il concetto di vendita poi é molto più ampio del concetto italiano di vendita previsto dal codice civile.

La vendita di informazioni personali per la legge californiana è ampiamente definita dalla legge e include la vendita, il noleggio, il rilascio, la divulgazione, la diffusione, la messa a disposizione, il trasferimento o la comunicazione in altro modo oralmente, per iscritto, o per via elettronica o altri mezzi, delle informazioni personali di un consumatore da parte dell'azienda a un'altra azienda o una terza parte per un controvalore monetario o altra utilità.


In altre parole, la maggior parte dei trasferimenti di informazioni personali da impresa a impresa rientreranno nella definizione di vendita che nel sistema italiano definiremo più semplicemente con il termine: "qualunque messa a disposizione".