Vediamo da vicino una innovativa legge Privacy la cui idea potrebbe arrivare a breve nel nostro ordinamento anche se con gli opportuni adattamenti.
Il California Consumer Privacy Act (CCPA) offre ai consumatori il diritto di rinunciare e impedire alle aziende di vendere le proprie informazioni personali. La disposizione di opt-out (scelta di non vendere) della legge californiana CCPA è in vigore dallo scorso anno
Quali sono i diritti riconosciuti nel CCPA:
Il diritto di conoscere quali informazioni personali sono raccolte e come vengono utilizzate e condivise;
Il diritto di cancellare le informazioni personali raccolte dalle aziende;
Il diritto di rinunciare alla vendita delle proprie informazioni personali; e
Il diritto alla non discriminazione per l'esercizio dei propri diritti CCPA, (su tale concetto torneremo più avanti)
Tali misure sono state approvate dal legislatore californiano a seguito dell'entrata in vigore in Europa del GDPR.
Sul diritto di rinuncia nella legge Californiana.
Il diritto di rinuncia - opt out - nel California Consumer Privacy Act offre ai consumatori la possibilità di impedire che l'azienda venda i dati raccolti a terze parti, con la possibilità però che tali dati siano utilizzati all'interno delle unità aziendali.
Scopo del CCPA, così come quello del GDPR Europeo, è quello di lasciare il controllo dei dati agli utenti.
Come funziona il diritto di scelta dell'utente?
A tutti gli utenti californiani dai 16 anni in sù, in quanto per i giovani di età inferiore vige un altra normativa che coinvolge i genitori. La scelta dell'utente consisterà nel "negare" il consenso alla vendita dei dati o concederlo, magari perché la mancata concessione comporta delle limitazioni di uso o un differente costo per il servizio richiesto via web.
É necessario quindi un apposito banner nei siti web come giá operante in Italia per la raccolta delle informazioni, dal quale quindi l'utente potrà decidere se accettare e quindi concedere la possibilità (opt in) o negare (opt out) la vendita dei propri dati.
Ma cosa comporta il diniego dell'utente per le aziende, ed a quali si applica?
In primo luogo, il CCPA si applica solo le aziende che hanno più di 25 milioni di dollari di fatturato, e possiedono informazioni personali su 50.000 persone o famiglie all'anno o ricevono più del 50% delle loro entrate dalla vendita di informazioni personali.
Se un'azienda non rientra in questi parametri, tecnicamente non ha bisogno di offrire il diritto di opt-out, ma tali limiti non sono così elevati come si pensa, di fatto per le imprese operative on line sono una somma minima, tantoppiu' che non è chiaro se tale soglia sia applicabile solo alle imprese titolari del sito web o alle imprese che forniscono il servizio.
In secondo luogo, le aziende devono individuare quali informazioni sono raccolte e quali saranno vendute/cedute a terzi.
Il concetto di vendita poi é molto più ampio del concetto italiano di vendita previsto dal codice civile.
La vendita di informazioni personali per la legge californiana è ampiamente definita dalla legge e include la vendita, il noleggio, il rilascio, la divulgazione, la diffusione, la messa a disposizione, il trasferimento o la comunicazione in altro modo oralmente, per iscritto, o per via elettronica o altri mezzi, delle informazioni personali di un consumatore da parte dell'azienda a un'altra azienda o una terza parte per un controvalore monetario o altra utilità.
In altre parole, la maggior parte dei trasferimenti di informazioni personali da impresa a impresa rientreranno nella definizione di vendita che nel sistema italiano definiremo più semplicemente con il termine: "qualunque messa a disposizione".
La definizione include semplicemente la messa a disposizione/divulgazione a terzi, e non è necessario il riferimento ad un prezzo per considerarla vendita.
Ma Perché la definizione di vendita è così ampia?
Lo scopo é prevenire l'elusione della legge privacy da parte delle imprese.
Tale fattispecie non sussiste ove il trasferimento é relativo ad un servizio specifico che preveda tale cessione o relative a quello scopo, il tutto con prova scritta per l'esenzione.
Quali informazioni potrebbero non essere trasferite dopo un opt-out?
Le informazioni personali sono ampiamente definite dalla legge, tra le altre citiamo a titolo esemplificativo il nome, indirizzo IP, indirizzo e-mail, numeri di previdenza sociale, informazioni commerciali quali record di proprietà personali, informazioni biometriche, cronologia delle ricerche, dati di geolocalizzazione, informazioni audio o visive, informazioni relative all'occupazione, informazioni sull'istruzione e deduzioni tratto da una qualsiasi delle informazioni identificate.
Protezione contro la disattivazione del servizio e prezzo da incentivazione.
Le imprese non possono discriminare i consumatori che esercitano i loro diritti, anche se possono offrire un prezzo diverso o proporre incentivi per ottenere il consenso. E' una clausola che consente attività di incentivazione alla concessione del consenso e che può prevedere dei veri e propri incentivi. Bisogna tener presente infatti che un diniego durerà 12 mesi prima che l'azienda possa richiedere nuovamente il consenso.
Una legge innovativa con spunti che potrebbero arrivare anche nel nostro ordinamento, opportunatamente adattati.
a cura di Aldo Lucarelli.