Il California Consumer Privacy Act AB-375 (di seguito anche solo CCPA) è la legge californiana del 2018, entrata in vigore l’1 gennaio 2020 ed è volta a offrire ai consumatori un maggiore controllo sulle proprie informazioni personali raccolte dalle aziende.
La regolamentazione del trattamento dati della California è stata ispirata dal nostro Regolamento 2016/679 anche conosciuto come GDPR.
Come il GDPR, ad esempio, anche il CCPA, nonostante sia una legge statale della California, ha impatto su soggetti che operano al di fuori di tale stato in quanto mira a tutelare gli interessi del consumatore con riguardo alla circolazione dei propri dati personali, anche quando essi siano trasmessi al di fuori del territorio della California.
Il CCPA si applica in dettaglio a tutte quelle imprese che fanno business in California e che rispettano certe soglie dimensionali. Ai sensi della sez. 1798.140 CCPA, si tratta di imprese con un fatturato annuo superiore a 25.000.000 di dollari o che raccolgono i dati di più di 50.000 utenti unici (persone o devices) o che conseguono più del 50% dei loro ricavi dalla vendita di dati personali. Da notare che vengono incluse nell’elenco anche controllanti e controllate delle imprese sopra identificate che ne condividano il brand, senza fare alcun riferimento a criteri territoriali.
Lo scorso 3 novembre 2020 un’altra novità è sopraggiunta.
È stata approvata la proposta di estensione del CCPA mediante il testo del California Privacy Rights Act del 2020, avanzata su votazione degli elettori californiani e volta non ad abrogare, bensì ad integrare le previsioni del CCPA che entreranno in vigore dal primo gennaio 2023 e che approfondiremo in un prossimo articolo.
In questa sede, quindi, esamineremo i principali elementi dell’attuale normativa californiana in vigore.