GDPR e CCPA Compliance

Cos’è il GDPR?

Abbiamo già trattato dell’importanza della protezione dei dati personali e del diritto all’oblio, fornendo una panoramica di cosa sia il GPDR e i suoi obiettivi generali.

Tuttavia, l’urgenza di capire come essere compliant al GDPR si fa sempre più stringente, soprattutto con le turbolenze provocate dall’innovazione apportata dalle nuove tecnologie, come l’Intelligenza Artificiale.

Dunque, tornando a noi: il General Data Protection Regulation è una normativa dell’UE emanata con l'obiettivo di proteggere la privacy e i dati dei cittadini.

Infatti, il regolamento stabilisce dei principi chiave che le organizzazioni sono tenute a rispettare, in modo da dimostrare che trattano i dati personali in modo lecito e corretto.

Sono stati introdotti concetti fondamentali come la responsabilizzazione (anche detta accountability) del titolare.

Questo significa che, chi ricopre questa figura, è responsabile della conformità della propria azienda al GDPR e, di conseguenza, deve possedere le documentazioni adeguate per dimostrare tale conformità in ogni momento.

Ma a chi si applica il GDPR?

Il regolamento GDPR si applica a tutte le organizzazioni che trattano dati personali di cittadini UE, indipendentemente dalla loro sede. Ciò significa che anche le aziende non UE che offrono beni o servizi a cittadini UE o che monitorano il loro comportamento all'interno dell'UE sono soggette al GDPR.

Come garantire la conformità al GDPR

Per essere compliant al GDPR, le aziende devono adottare diverse misure, tra cui:

• Registro dei trattamenti: documento obbligatorio per tutti i titolari, deve contenere informazioni su ogni trattamento di dati personali effettuato dall'organizzazione. Ad esempio le finalità del trattamento dati, categorie di destinatari a cui i dati personali sono stati o saranno comunicati, descrizione generale delle misure di sicurezza tecniche e organizzative, e altro ancora;

• Informative rese agli interessati: le informazioni devono essere chiare, concise e facilmente accessibili, e devono fornire all'interessato tutte le informazioni necessarie per comprendere come i suoi dati personali saranno trattati;

• Misure di sicurezza: i titolari del trattamento devono implementare misure di sicurezza per proteggere i dati personali dal trattamento non autorizzato o illecito e dalla perdita, distruzione o danneggiamento accidentale. Tali misure di sicurezza devono essere proporzionate ai rischi del trattamento.

C’è anche della documentazione aggiuntiva da poter redigere per dimostrare di essere in linea con il GDPR, come la valutazione d'impatto sulla protezione dei dati (DPIA).

Per informazioni più dettagliate, suggeriamo di affidarsi a fonti ufficiali e di leggere l’intero regolamento generale sulla protezione dei dati.

Cos’è il CCPA?

Anche il CCPA è una normativa emanata per la protezione dei dati, entrata in vigore nel 2020 e approvata in California, negli USA.

Questo California Consumer Privacy Act conferisce ai consumatori un maggiore controllo sui dati personali che vengono raccolti da aziende che operano in California.

La normativa si occupa di:

• diritto di informazione;
• diritto di accesso;
• diritto di cancellazione;
• diritto di non discriminazione.

Inoltre, il CCPA si applica alle aziende for profit che operano in California e che soddisfano uno dei seguenti criteri:

• Hanno un fatturato annuo lordo superiore a 25 milioni di dollari;

• Acquistano, vendono o condividono i dati personali di 100.000 o più residenti o famiglie californiane;

• Ottengono i dati personali di consumatori californiani attraverso la loro interazione con siti web o app che raggiungono una soglia annuale di accessi specifica.

Come garantire la conformità al CCPA

Garantire la conformità al CCPA richiede un approccio attento alle pratiche di gestione dei dati. Nello specifico, bisogna rispettare requisiti quali:

• Identificazione delle informazioni personali: le aziende devono identificare tutte le categorie di dati personali che raccolgono, utilizzano, condividono o vendono, come: nomi, indirizzi, indirizzi email, indirizzi IP, dati di navigazione web, identificatori online, e altro;

• Contenuto delle informative: le informative sulla privacy devono essere chiare, concise e facilmente accessibili, e devono fornire ai consumatori tutte le informazioni necessarie per comprendere come i loro dati personali saranno trattati;

• Diritti dei consumatori: I consumatori hanno il diritto di sapere quali dati vengono raccolti, richiedere la cancellazione dei dati, e optare per la non vendita dei dati personali. Le aziende devono implementare procedure per rispondere a queste richieste entro i tempi previsti (45 giorni, con la possibilità di un'estensione di 45 giorni);

• Misure di sicurezza: implementare misure di sicurezza tecniche e organizzative adeguate per proteggere i dati personali dal trattamento non autorizzato o illecito e dalla perdita, distruzione o danneggiamento accidentale. Ovviamente, le misure di sicurezza devono essere proporzionate ai rischi del trattamento.

Differenze tra GDPR e CCPA

Come abbiamo visto, sia il GDPR che il CCPA sono normative che condividono l'obiettivo di proteggere la privacy dei cittadini e con un effetto extra territoriale, ma che divergono sotto molteplici aspetti.

Prima di tutto, divergono per campo di applicazione. Mentre Il GDPR si applica a tutte le organizzazioni che trattano dati personali di cittadini UE, indipendentemente dalla loro sede, Il CCPA si applica alle aziende che operano in California o che raccolgono dati di residenti californiani.

Inoltre, questi regolamenti si concentrano su tipologie di dati differenti. Il General Data Protection Regulation si occupa di dati personali, inclusi nomi, indirizzi email, dati sanitari, dati biometrici adottando termini più specifici. Insomma, presenta una definizione più ampia ed elastica rispetto al CCPA.

Questo perché il regolamento della California, pur facendo riferimento ai dati personali elencando degli esempi specifici - indirizzi IP, cookie, beacon - non prevede una descrizione più generale dei casi.

Un altro aspetto da considerare riguarda le sanzioni. Il regolamento europeo prevede multe fino a 20 milioni di euro o fino al 4% del fatturato.

Quello californiano stabilisce, invece, diritti di risarcimento nel caso di determinate violazioni con danni che vanno dai 100 ai 750 dollari. Per le sanzioni civili, la somma è ben più alta, con multe che possono partire da $2500 fino ad arrivare a $7500.

Possiamo concludere affermando che questi due regolamenti adottano approcci diversi. Il GDPR è evidentemente più strutturato e proattivo alla protezione dei dati, mentre il CCPA enfatizza la trasparenza e il controllo dei consumatori.

Conclusioni

Sia il GDPR che il CCPA hanno rivoluzionato il modo in cui le organizzazioni trattano i dati personali, imponendo regole rigorose per garantire la privacy e la protezione degli individui.

Ad oggi, qualsiasi tipologia di impresa deve impegnarsi per assicurare, ai cittadini, utenti e consumatori, il pieno rispetto di quanto stabilito dalle normative da noi discusse.

Con l’avvento di nuove tecnologie e un valore sempre più elevato attribuito ai dati personali, come possiamo non attivarci per rendere la nostra impresa compliance al GDPR o al CCPA?