GDPR vs CCPA: Tutto sul California Consumer Privacy Act del 2020 (e come si confronta con il GDPR)

GDPR Articolo 4, CCPA 1798.140

Interessati, definiti come persone identificate o identificabili ai quali i dati personali si riferiscono.

Consumatori, definiti come residenti in California che sono:

• In California per scopi diversi da quelli temporanei o transitori.
• Domiciliato in California ma attualmente fuori dallo Stato per uno scopo temporaneo o transitorio.

I consumatori includono:

• Clienti di beni e servizi per la casa.
• Dipendenti.
• Transazioni tra imprese.

Sebbene né il GDPR né il CCPA si applichino alle persone giuridiche, entrambi si applicano alle persone fisiche, ma con una differenza nel modo in cui sono definite. Il CCPA afferma chiaramente che si applica ai residenti in California, mentre il GDPR utilizza il termine più vago "interessato dell'UE" senza nominare alcun requisito di residenza o cittadinanza. Il CCPA protegge anche i dati che possono essere collegati a una particolare famiglia , non solo a un individuo come fa il GDPR.

GDPR Articolo 3, CCPA 1798.140

Titolari e Responsabili del trattamento:

• Stabiliti nell'UE che trattano dati personali nel contesto delle attività dello stabilimento dell'UE, indipendentemente dal fatto che il trattamento dei dati avvenga all'interno dell'UE.
• Non stabiliti nell'UE che trattano i dati personali degli interessati dell'UE in relazione all'offerta di beni o servizi nell'UE o al monitoraggio del loro comportamento.

Qualsiasi entità a scopo di lucro che opera in California, che soddisfa uno dei seguenti requisiti:

• Ha un fatturato lordo superiore a $ 25 milioni.
• Acquista, riceve, vende o condivide annualmente le informazioni personali di oltre 50.000 consumatori, famiglie o dispositivi per scopi commerciali.
• Deriva il 50 percento o più dei suoi ricavi annuali dalla vendita delle informazioni personali dei consumatori.

L'ambito di applicazione del GDPR è ampio: si applica a tutte le organizzazioni, dalle imprese alle istituzioni pubbliche e al settore non profit. Il CCPA nel frattempo ha limitato la sua applicabilità alle società a scopo di lucro che soddisfano requisiti molto chiari.

Per quanto riguarda l'ubicazione geografica, il GDPR si applica a qualsiasi azienda che elabora i dati degli interessati dell'UE, ovunque si trovino. Il CCPA non è chiaro su questo punto: le società che rientrano nella sua giurisdizione devono "fare affari in California", ma non chiarisce se l'azienda deve essere situata nello stato o soddisfare determinate soglie di profitto per qualificarsi come tale.

GDPR Articolo 4, CCPA 1798.140

I dati personali sono tutte le informazioni relative a un interessato identificato o identificabile. Il GDPR vieta il trattamento di categorie speciali definite di dati personali a meno che non si applichi una giustificazione legittima per il trattamento.

Le informazioni personali che identificano, si riferiscono, descrivono, possono essere associate o possono ragionevolmente essere collegate, direttamente o indirettamente, a un particolare consumatore o famiglia.

Il GDPR si applica a tutte le categorie di dati personali, mentre il CCPA si applica solo ai dati non coperti dalle leggi federali sulla privacy esistenti come il Gramm-Leach-Bliley Act (GLBA) o l'Health Information Portability and Accountability Act (HIPAA).

GDPR Articolo 4, CCPA 1798.140

I dati pseudonimi sono considerati dati personali. I dati anonimi non sono considerati dati personali.

Il CCPA non limita la capacità di un'azienda di raccogliere, utilizzare, conservare, vendere o divulgare informazioni sui consumatori anonimizzate o aggregate. Tuttavia, il CCPA stabilisce un limite elevato per affermare che i dati sono anonimizzati o aggregati. I dati pseudonimi possono qualificarsi come informazioni personali ai sensi del CCPA perché possono essere associati a un particolare consumatore o famiglia.

La definizione di “pseudonimizzazione” ai sensi del GDPR e del CCPA è molto simile in quanto trattasi di trattamento di dati personali in modo tale che i dati personali non possano più essere attribuiti a una persona identificata o identificabile senza l'uso di ulteriori informazioni, da mettendo in atto misure tecniche e organizzative che mantengano separate le informazioni aggiuntive necessarie per l'identificazione.

GDPR Articolo 13, CCPA 1798.100

I titolari del trattamento devono fornire informazioni dettagliate sulle proprie attività di raccolta e trattamento dei dati personali. L'informativa deve contenere specifiche informazioni a seconda che i dati siano raccolti direttamente presso l'interessato o un terzo.

Le imprese devono informare i consumatori su:

• Le categorie di informazioni personali raccolte.
• La destinazione d'uso per ciascuna categoria.

Sia il GDPR che il CCPA richiedono alle organizzazioni di rivelare cosa fanno con i dati personali che raccolgono. Il CCPA richiede tuttavia alle aziende di divulgare le vendite di dati e le attività relative al trattamento dei dati negli ultimi 12 mesi, mentre il GDPR non pone tali limitazioni.

GDPR Articolo 24, CCPA 1798.150

Il GDPR richiede che i titolari e gli incaricati del trattamento dei dati adottino misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

Il CCPA non impone direttamente requisiti di sicurezza dei dati. Tuttavia, stabilisce un diritto di azione per determinate violazioni dei dati risultanti da violazioni del dovere di un'azienda di attuare e mantenere pratiche e procedure di sicurezza ragionevoli adeguate al rischio derivante dalla legge vigente in California.

• Le categorie di informazioni personali raccolte.
• La destinazione d'uso per ciascuna categoria.

Sostanzialmente simile nell'approccio statutario, sebbene ragionevoli misure di sicurezza possano variare in una certa misura in base alle circostanze dell'organizzazione e all'interpretazione dell'autorità di regolamentazione.

GDPR Articolo 12 – Articolo 21, CCPA 1798.120

Diritti degli individui estesi :

• accedere alle loro informazioni;
• far correggere le imprecisioni;
• far cancellare le informazioni;
• prevenire il marketing diretto;
• prevenire il processo decisionale automatizzato e la profilazione;
• portabilità dei dati.

Diritti degli individui estesi :

• accedere alle loro informazioni;
• far correggere le imprecisioni;
• far cancellare le informazioni;
• prevenire il marketing diretto;
• prevenire il processo decisionale automatizzato e la profilazione;
• portabilità dei dati.

Mentre il GDPR richiede alle organizzazioni di ottenere il consenso preventivo degli interessati per l'elaborazione dei dati e l'accesso di terzi ai propri dati, il CCPA consente agli interessati di rinunciare alla vendita dei propri dati e richiede alle aziende di avere un collegamento visibile nella parte superiore della loro homepage a questo scopo.

Sia il GDPR che il CCPA offrono il diritto alla portabilità dei dati: vale a dire fornire ai consumatori i propri dati personali in un formato leggibile da dispositivo di uso comune che possono poi essere trasmessi a un'altra entità.

Il GDPR fa un ulteriore passo avanti in questa direzione, obbligando le organizzazioni a trasferire su richiesta le informazioni di un interessato a un altro titolare del trattamento.

Ai sensi del CCPA, le imprese sono tenute a fornire ai consumatori le informazioni solo elettronicamente in un formato facilmente utilizzabile.

Sebbene il diritto alla cancellazione del GDPR contenga alcune eccezioni degne di nota, come i dati necessari per esercitare il diritto alla libertà di espressione o i dati necessari per conformarsi al diritto dell'UE o degli Stati membri dell'UE, il CCPA amplia ulteriormente queste eccezioni includendo non solo la libertà di parola e di informazione necessari per i contratti, ma, in particolare, anche usi interni compatibili con il contesto in cui il consumatore ha fornito i dati.

GDPR Articolo 8, CCPA 1798.120

L'età predefinita del GDPR per il consenso è 16 anni, sebbene la legge dei singoli Stati membri possa abbassare l'età a non meno di 13 anni.

La persona con responsabilità genitoriale deve fornire il consenso per i bambini di età inferiore al consenso. I bambini devono ricevere un'informativa sulla privacy adeguata all'età.

I dati personali dei minori sono soggetti a requisiti di sicurezza elevati.

Il CCPA vieta la vendita di informazioni personali di un consumatore di età inferiore ai 16 anni senza consenso.

I bambini di età compresa tra 13 e 16 anni possono fornire direttamente il consenso. I minori di 13 anni richiedono il consenso dei genitori.

Il GDPR pone l'accento sulla protezione speciale dei minori e prevede disposizioni specifiche per la protezione dei dati personali dei minori quando trattati per fornire servizi della società dell'informazione.

Il CCPA crea una norma speciale per i minori per quanto riguarda la "vendita" di informazioni personali, tuttavia questa norma non si limita ai servizi della società dell'informazione.