CCPA: il Diritto all’Oblio arriva in California

Negli Stati Uniti, a differenza dell’Europa, c’è sempre stato un approccio normativo quasi trascurato nei confronti della protezione dei dati, in quanto non possiedono una normativa unica a livello nazionale, come il GDPR in Europa, bensì una varietà di leggi federali e statali che mirano, ognuna a suo modo, a proteggere la privacy dei cittadini e i dati online. Proprio guardando all’Europa ed al suo Regolamento, però, forse le cose stanno cambiando, con un progressivo avvicinamento tra il modello americano e quello europeo. A conferma di ciò, nel 2018 il legislatore dello stato della California ha approvato il rivoluzionario California Consumer Privacy Act (CCPA), entrato poi in vigore il 1° gennaio 2020: esso presenta non poche somiglianze con il Regolamento Generale sulla Protezione dei Dati dell’Unione Europea, da cui si è notato prenda molta ispirazione, ma anche diverse differenze che cercheremo ora di approfondire. Tale legge è fondamentale per l’arrivo in California di numerosi nuovi diritti per i residenti, tra i quali il diritto all’oblio, imponendo significativi obblighi di conformità e trasparenza alle imprese che raccolgono, archiviano e utilizzano le informazioni personali dei consumatori. 

Innanzitutto, il CCPA si applica alle aziende che hanno affari in California e che acquistano, condividono o vendono i dati personali di oltre 50.000 residenti in California, che guadagnano più del 50% delle loro entrate dalla vendita dei dati personali e che hanno un reddito annuale di oltre $25 milioni. Al contrario, il GDPR si applica a qualsiasi entità che raccolga, memorizzi o elabori dati personali di residenti o cittadini dell’UE, indipendentemente dalle dimensioni, dai guadagni, o dal luogo fisico in cui operi l’azienda: ciò significa che è legalmente vincolante anche per le società internazionali con operazioni globali, che offrono beni o servizi a residenti o cittadini dell’UE o che monitorano le attività delle persone all’interno dell’UE. Più simile è invece la definizione, nei due regolamenti, di “informazioni personali”: nel CCPA infatti tale definizione è molto ampia e racchiude elementi quali numeri di telefono, numeri di previdenza sociale, informazioni biometriche e indirizzi IP; definizione che troviamo ancora più ampia nel GDPR, dove vediamo compresi anche elementi quali informazioni finanziarie istituzionali, gruppo sanguigno e molte altre categorie di dati personali.

Tra tutte, la novità più importante però arrivata in America grazie al CCPA è sicuramente l’introduzione del diritto all’oblio, ovvero il diritto di essere “dimenticati”, ad esempio dal database di un’azienda, da cui si desidera che cancellare le proprie informazioni personali. Insieme al diritto all’oblio, un altro importante diritto introdotto dal CCPA è il diritto di rinunciare alla vendita delle proprie informazioni, che è ampiamente definito per comprendere qualsiasi scambio di informazioni dei consumatori di qualsiasi valore. Tali diritti sono garantiti ampiamente anche dal GDPR, il quale sancisce tra gli altri il diritto all’oblio (cancellazione dei dati), il diritto di accesso alle informazioni archiviate e utilizzate dalle aziende e diverse sanzioni indirizzate alle aziende che non adempiono a tali direttive. In conclusione, possiamo quindi notare che CCPA e GDPR sono entrambi progettati per incoraggiare e facilitare la trasparenza nella raccolta e trasmissione dei dati e soprattutto accordano entrambi alle persone il diritto di “essere dimenticate”, il diritto di accedere alle informazioni su di loro vendute e trattate e di interrompere il trattamento o correggere l’uso dei loro dati personali. In termini di copertura, il CCPA ha tuttavia una portata meno ampia rispetto al GDPR.