⚖️ Il nuovo California Privacy Rights Act

Il trattamento e la conservazione dei dati stanno ormai raggiungendo degli standard molto elevati, che ormai, grazie anche alle recenti pronunce giurisprudenziali, devono essere rispettati anche fuori dalla UE.

In particolare, lo scorso 3 novembre 2020, la California ha approvato il California Privacy Rights Act (CPRA), ossia la legge che dal 1° gennaio 2023 modificherà e sostituirà l’ancora recente California Consumer Privacy Act (CCPA): il provvedimento recentemente approvato amplia i diritti concessi ai consumatori californiani e impone ulteriori obblighi per le imprese, al fine di allinearli maggiormente a quelli già previsti nell’Unione Europea dal Regolamento UE 679/2016.

L’approvazione del CPRA, che diventerà applicabile dal 1° luglio 2023, ha due effetti immediati, a prescindere dalla data di entrata in vigore:

– l’istituzione – entro 90 giorni dall’adozione del CPRA, quindi entro febbraio 2021 – della California Privacy Protection Agency (CPPA), che diventerà quindi la prima autorità di controllo statunitense per la protezione dei dati. Questa nuova agenzia avrà il duplice obiettivo di far rispettare la CPRA, indagando su possibili violazioni da parte delle imprese e collaborare con l’Attorney General. Un altro aspetto interessante è che sarà in gran parte finanziata dalle sanzioni comminate alle imprese.

– l’estensione della moratoria di due anni per l’applicazione della normativa in materia di trattamento dei dati personali nell’ambito B2B e del rapporto di lavoro, con le imprese che dovranno quindi adeguarsi entro il 1° gennaio 2023.

Oltre alla nascita della nuova autorità di vigilanza, il CPRA conferma le undici categorie di dati personali (in USA definiti “Personal Information” o “PI”) del CCPA, e aggiunge le seguenti definizioni:

– “Informazioni personali sensibili”, ossia tutte quelle informazioni di natura personale che comprendono – oltre alle categorie particolari di dati personali del GDPR (quali i dati relativi allo stato di salute, l’appartenenza religiosa o sindacale, l’origine razziale o etnica, informazioni relative alla vita o l’orientamento sessuale, nonché i dati genetici e biometrici) – il numero di previdenza sociale, la patente di guida, il numero di carta d’identità o di passaporto, i dati finanziari o relativi alle carte di debito e/o credito, i dati di geolocalizzazione, ma altresì le credenziali di accesso ad un account e il contenuto della posta, anche elettronica.

– “Terza parte”, ovvero qualsiasi soggetto terzo che non rientra tra i fornitori di servizi, gli appaltatori o qualsiasi altro soggetto con cui il consumatore decide di interagire intenzionalmente;

– “Profilazione” definita come “qualsiasi forma di elaborazione automatizzata” delle PI utilizzata “per analizzare o prevedere aspetti delle preferenze di una persona, della sua situazione economica, delle prestazioni lavorative, della salute, degli interessi, del comportamento, dell’ubicazione, dell’affidabilità o dei movimenti”.

Sulla scia del GDPR europeo, il CPRA introduce altresì nuovi obblighi informativi per le imprese che trattano dati personali dei consumatori californiani, oltre a nuovi diritti da questi ultimi esercitabili. In particolare, il CPRA:

– Richiede alle società che trattano PI di adottare periodi di conservazione prestabiliti al termine dei quali le PI devono essere obbligatoriamente eliminate. Inoltre, vige in capo alle società l’obbligo di informare i consumatori in merito al periodo di conservazione adottato oppure i criteri utilizzati per determinarlo.

– Prevede il diritto per i consumatori di limitare il trattamento e la comunicazione delle PI sensibili solo quando strettamente necessario per la fruizione di determinati beni e servizi scelti dal consumatore.

– Aggiunge il diritto di richiedere da parte del consumatore la correzione delle PI non accurate o inesatte.

– Estende il diritto per di opporsi alla vendita delle PI, già in parte previsto dal CCPA, e anche alla condivisione delle informazioni con terze parti per finalità di marketing. In altre parole, Nello stesso tempo, il CPRA, estende la necessità di ottenere il previo consenso per la vendita – e condivisione – di PI relative ai minori di 16 anni;

– Con riferimento al rapporto tra le imprese e le rispettive “terze parti”, precisa che queste ultime siano debitamente contrattualizzate al fine di garantire che il trattamento delle PI avvenga nel rispetto delle disposizioni del CPRA, assicurandone “lo stesso livello di protezione” anche a seguito di un eventuale trasferimento da un soggetto ad un altro.

– Introduce la possibilità di proporre un’azione giudiziaria nei confronti delle imprese che abbiano subito una violazione dei dati personali da cui derivi un pregiudizio per i consumatori.

Sebbene applicabile solo dal 1° luglio 2023, e al momento solo per i consumatori e gli utenti californiani – essendo il CPRA un provvedimento nazionale e non federale – la normativa analizzata indica come anche oltre oceano la tutela dei dati personal debba ormai adeguarsi agli standard europei.

L’adozione di norme simili ha senza dubbio anche un valore commerciale: dopo la nota sentenza Schrems II, che ha posto obblighi molto stringenti sulla conservazione dei dati dei cittadini UE al di fuori dello spazio europeo, è necessario per i colossi USA individuare uno spazio in cui iniziare ad adeguarsi agli obblighi imposti dalla CGUE.