CalOPPA: La legge californiana sulla protezione della privacy online spiegata

La California è stata il primo stato americano ad approvare una legge sulla privacy dei dati nel 2004 con il California Online Privacy Protection Act(CalOPPA).

In questa guida, vi aiuto a semplificare la conformità alla CalOPPA per la vostra attività online, riassumendo i principali requisiti legali e presentando una lista di controllo per aiutare la vostra piattaforma a conformarsi a questa legge sulla privacy della California.

Che cos'è il California Online Privacy Protection Act (CalOPPA)?

Il CalOPPA è una legge dello Stato della California ed è stato uno dei primi regolamenti sulla privacy dei dati implementati negli Stati Uniti, emanato il 1° luglio 2004.

La legge richiede che tutte le aziende online che servono utenti in California abbiano un'informativa sulla privacy sul proprio sito web e stabilisce standard legali per la presentazione, la formulazione e l'attuazione dell'informativa.

Sebbene non esista una legge federale statunitense sulla privacy dei dati, esistono diverse leggi statali che potete conoscere meglio consultando la nostra mappa interattiva della legge sulla privacy degli Stati Uniti.

Termini chiave e definizioni del CalOPPA

Per capire come conformarsi al CalOPPA, è necessario familiarizzare con i seguenti termini chiave - ho fornito le definizioni così come appaiono nel testo effettivo della legge:

Cosa prevede la legge sulla protezione della privacy online della California?

Il CalOPPA copre i diritti alla privacy dei residenti in California stabilendo i componenti essenziali che devono comparire in una politica sulla privacy.

Qualsiasi sito web, app o servizio online destinato o disponibile per i residenti in California deve essere conforme alla legge.

Pertanto, ha un campo di applicazione ampio e consente a tutti i consumatori online di fare affidamento su un'informativa sulla privacy pubblicata online, ritenendo i fornitori di servizi online responsabili del linguaggio che utilizzano.

Requisiti della legge sulla protezione della privacy online della California

Il CalOPPA definisce i requisiti specifici relativi a due concetti chiave:

1. Informazioni di identificazione personale (PII)
2. Richieste di non tracciamento (DNT)

Informazioni di identificazione personale (PII)

Le piattaforme online qualificate che raccolgono informazioni di identificazione personale o PII devono pubblicare un'informativa sulla privacy conforme al CalOPPA.

Le PII comprendono qualsiasi dato dell'utente che possa identificare un individuo o una famiglia, e il testo del CalOPPA elenca i seguenti elementi specifici:

• Nome e cognome
• Indirizzo stradale
• Indirizzo e-mail
• Numero di telefono
• Numero di previdenza sociale
• Indirizzi IP
• Dettagli fisici come altezza, peso e colore dei capelli

Rientra nella definizione anche qualsiasi altro dato o informazione personale che qualcuno potrebbe utilizzare insieme agli elementi di cui sopra per identificare le persone (ad esempio, la data di nascita).

Il termine "PII" è ormai considerato obsoleto ed è stato sostituito con " informazioni personali" per tenere meglio conto di ulteriori leggi sulla privacy, come il California Consumer Privacy Act(CCPA) e il General Data Protection Regulation (GDPR).GDPR).

Richieste di non tracciamento (DNT)

Il CalOPPA richiede che i siti web e le app spieghino chiaramente se onorano o meno le richieste Do-Not-Track (DNT) nella loro informativa sulla privacy. Il CalOPPA non richiede che un sito web o un'app onorino o meno le richieste DNT, ma semplicemente che rendano noto se le onorano o meno.

Come suggerisce il nome, la richiesta di non tracciare è un meccanismo attraverso il quale gli utenti di un sito web esprimono la loro preferenza in merito al tracciamento delle loro attività di navigazione online da parte del sito stesso.

Gli utenti di Internet possono attivare un'impostazione sul proprio browser web per indicare la propria preferenza per il DNT.

Leggi sulla privacy della California rispetto ad altri Stati: Somiglianze e differenze

Il CalOPPA è molto diverso dalle leggi sulla privacy degli Stati Uniti elencate di seguito, la maggior parte delle quali si concentra sulla protezione dei consumatori:

• California Consumer Protection Act (CCPA), come modificato dal California Privacy Rights Act (CPRA) - attualmente in vigore
• Legge sulla privacy del Colorado (CPA) - attualmente in vigore
• Legge sulla privacy dei dati del Connecticut (CTDPA) - attualmente in vigore
• Legge sulla privacy dei dati personali del Delaware (DPDPA) - entrata in vigore il 1° gennaio 2025
• Carta dei diritti digitali della Florida (FDBR) - attualmente in vigore
• Legge sulla protezione dei dati dei consumatori dell'Indiana (Indiana CDPA) - in vigore dal 1° gennaio 2026.
• Legge sulla protezione dei dati dei consumatori dell'Iowa (Iowa CDPA) - in vigore dal 1° gennaio 2025.
• Legge sulla privacy dei consumatori del Montana (MCDPA) - attualmente in vigore
• Legge sulla privacy dei consumatori dell'Oregon (OCPA) - attualmente in vigore
• Legge sulla privacy e la sicurezza dei dati del Texas (TDPSA) - attualmente in vigore
• Legge sulla privacy dei consumatori dello Utah (UCPA) - attualmente in vigore
• Legge sulla protezione dei dati dei consumatori della Virginia (VCDPA) - attualmente in vigore

Nella tabella seguente è possibile confrontare queste leggi con il CalOPPA.

Qual è l'impatto del CalOPPA sui consumatori?

Il CalOPPA ha un impatto sui consumatori californiani fornendo loro politiche sulla privacy trasparenti, in modo che sappiano quali dati vengono raccolti da un sito web o da un servizio online e se il sito rispetta o meno le richieste DNT.

Inoltre, rende più facile per queste persone richiedere la correzione o la cancellazione delle informazioni.

Ma anche gli utenti di Internet al di fuori della California traggono vantaggio dal CalOPPA: la legge fa sì che quasi tutti i siti web abbiano un'informativa sulla privacy molto più facile da leggere e trovare.

A chi si applica il CalOPPA?

CalOPPA è una legge dello Stato della California che protegge i diritti alla privacy dei residenti in California.

Le aziende con sede in California o i cui servizi sono disponibili per gli utenti californiani devono attenersi ai requisiti del CalOPPA.

In che modo le aziende sono interessate dal CalOPPA?

Il CalOPPA ha un impatto sulle aziende descrivendo le linee guida per la creazione di una politica sulla privacy conforme alla California.

In che modo il CalOPPA influisce sulla mia politica sulla privacy?

I siti web e le app che rientrano nel campo di applicazione del CalOPPA devono includere le seguenti informazioni nella loro informativa sulla privacy:

• La data di entrata in vigore,
• Un elenco dei tipi di PII che vengono raccolti e delle modalità con cui gli utenti possono rinunciare alla raccolta dei dati,
• Una spiegazione delle modalità con cui gli utenti possono richiedere la revisione e la cancellazione delle proprie PII,
• Una spiegazione degli aggiornamenti e delle modifiche all'informativa sulla privacy comunicati agli utenti,
• Una dichiarazione che indichi se le PII sono condivise con terzi (compresi Google Analytics, AdSense, strumenti di live chat, integrazioni di social login, ecc,)
• Una dichiarazione che indica se le richieste DNT vengono onorate o meno.

La clausola che prevede la spiegazione di come le aziende gestiscono le richieste di non tracciabilità è stata aggiunta al CalOPPA tramite un emendamento nel gennaio 2014.

Si noti che il CalOPPA non richiede di aderire alle richieste di DNT da parte degli utenti, ma deve indicare come il vostro sito web o servizio online gestisce tali richieste.

Inoltre, l'informativa sulla privacy deve soddisfare diversi requisiti di accessibilità, tra cui i seguenti:

Se la vostra azienda soddisfa la soglia del California Consumer Privacy Act (CCPA), ci sono ulteriori requisiti di privacy che dovete implementare.

Chi deve rispettare il CalOPPA?

Tutte le aziende che hanno sede in California o che servono i residenti della California devono rispettare il CalOPPA.

I servizi online sono per loro natura transnazionali, quindi il CalOPPA si applica anche se la vostra azienda o i vostri server non sono fisicamente situati in California o negli Stati Uniti.

A differenza del CCPA, non ci sono soglie minime di fatturato o di volume di clienti: l'unico criterio è che i vostri servizi siano accessibili agli utenti in California.

La legge ha una soglia ampia e fa sì che anche i blogger con potenziali visitatori dalla California debbano adottare una politica sulla privacy per il loro blog.

Oltre ai siti web, CalOPPA si applica alle applicazioni su smartphone e tablet.

Nel 2012, infatti, l'ufficio del procuratore generale della California ha inviato avvisi a quasi 100 proprietari di app che all'epoca non erano conformi alle disposizioni del CalOPPA.

"Abbiamo lavorato duramente per garantire che gli sviluppatori di app siano consapevoli dei loro obblighi legali di rispettare la privacy dei californiani", ha dichiarato il procuratore generale dell'epoca, Kamala D. Harris, che ha poi ricoperto la carica di vicepresidente degli Stati Uniti.

Ha aggiunto: "È fondamentale prendere tutte le misure necessarie per far rispettare le leggi sulla privacy della California".

Chi è esente dal CalOPPA?

I siti web non commerciali che non raccolgono PII e i siti web o altri servizi online non disponibili in California sono esenti dal CalOPPA.

Come possono le aziende conformarsi al CalOPPA?

Per conformarsi al CalOPPA, le aziende devono inserire un link ben visibile a un'informativa sulla privacy su tutti i siti web, le app e i servizi online.

L'informativa sulla privacy deve soddisfare i requisiti specifici di formattazione e informazione previsti dalla legge.

Come viene applicata la CalOPPA?

L'Ufficio del Procuratore Generale della California può applicare le disposizioni del CalOPPA.

Inoltre, la Federal Trade Commission (FTC) può intentare cause legali relative al CalOPPA se non si rispettano i requisiti di privacy sul proprio sito web o app.

Quando la non conformità viene rilevata per la prima volta, avete 30 giorni di tempo per correggere la situazione.

Ricordate di includere i dati raccolti attraverso le e-mail di marketing nella vostra politica sulla privacy.

Multe e sanzioni ai sensi della legge sulla protezione della privacy online della California

L'inosservanza del CalOPPA viene affrontata attraverso le disposizioni della legge californiana sulla concorrenza sleale.

Se non riuscite a conformarvi entro il periodo di grazia di 30 giorni, rischiate una sanzione massima di 2.500 dollari per ogni violazione.

Si potrebbe pensare che queste multe sembrino di poco conto rispetto a leggi sulla privacy come le seguenti:

• Regolamento generale sulla protezione dei datiGDPR multeGDPR ): 20 milioni di euro (22 milioni di dollari) o il 4% del vostro fatturato annuo lordo, a seconda di quale sia il valore più alto
• Legge sulla protezione della privacy online dei bambini (multe COPPA): Fino a 40.000 dollari

Ma tenete presente la qualifica di "per violazione" del CalOPPA: ogni visita al vostro sito web, anche se non conforme, può essere considerata una violazione, il che significa che le multe si moltiplicano rapidamente.

CalOPPA e Delta

La causa CalOPPA di più alto profilo è stata intentata contro Delta Airlines nel 2012, quando la sua applicazione mobile non ha soddisfatto i requisiti di visibilità relativi alla collocazione dell'informativa sulla privacy.

Delta Airlines aveva un'informativa sulla privacy conforme al CalOPPA sul suo sito web principale, ma non sulla sua app.

Il caso evidenzia l'importanza di garantire che le politiche sulla privacy coprano tutte le vostre piattaforme, comprese le applicazioni mobili.

Alla fine, la causa è stata archiviata a causa dell'Airline Deregulation Act, che esenta il settore aereo da specifici interventi governativi.

Tuttavia, se ciò fosse accaduto a un'azienda operante in quasi tutti gli altri settori, la multa avrebbe potuto raggiungere i 2,5 milioni di dollari con soli 1000 download di app.

CalOPPA e Google

Un altro indicatore della forte influenza della CalOPPA è che Google ha dovuto inserire un link alla sua informativa sulla privacy nella homepage di Google Search, cosa che è avvenuta per la prima volta nel 2007.

Prevenendo una potenziale azione legale, Google ha risposto a diverse discussioni online sulla sua non conformità al CalOPPA collegandosi alla sua politica sulla privacy sulla homepage di Google.

Come Termly contribuisce alla conformità alla CalOPPA

Termly's generatore di informativa sulla privacy può aiutare la vostra azienda a conformarsi alla CalOPPA e a numerose altre leggi sulla privacy.

È intuitivo e facile da usare, eliminando le seccature e la confusione dal vostro percorso di conformità alla privacy.

Tutto ciò che dovete fare è rispondere a semplici domande sulla vostra azienda e sulle sue attività di trattamento dei dati.

Il generatore crea un'informativa sulla privacy unica, basata sulle vostre risposte, che potrete inserire nel vostro sito web o nella vostra applicazione mobile: è facilissimo!

Esistono altre leggi sulla privacy in California?

La California ha diverse altre leggi sulla privacy, tra cui le seguenti:

• Legge sulla privacy dei consumatori della California(CCPA): La prima legge completa sulla protezione della privacy dei consumatori negli Stati Uniti.
• Legge sui diritti alla privacy della California(CPRA): Modifica alcune parti del CCPA.
• Legge "Shine the Light"(Illumina la luce): Delinea i requisiti per la condivisione dei dati personali per il marketing diretto.
• California Invasion of Privacy Act(CIPA): Protegge le persone che utilizzano telefoni fissi o mobili.
• Legge sulla riservatezza delle informazioni mediche(CMIA): Delinea i requisiti per la riservatezza delle informazioni e delle cartelle cliniche.
• Legge sull'accesso del paziente alle cartelle cliniche(PAHRA): Descrive i diritti dei consumatori sull'accesso alle proprie cartelle cliniche e sanitarie.
• Legge sulla privacy delle informazioni finanziarie della California(CALFIPA): Limita e vieta la vendita o la condivisione dei dati finanziari dei consumatori senza ottenere il consenso.
• Legge sui diritti alla privacy per i minori della California nel mondo digitale(Eraser Law): Protegge i dati dei minori noti in California, consentendo loro il diritto all'oblio.

Lista di controllo CalOPPA

Ecco una lista di controllo semplice e organizzata per aiutare i vostri siti web e le vostre applicazioni a diventare conformi a CalOPPA.

Seguire questa lista di controllo vi aiuterà a creare un'informativa sulla privacy completa che spieghi in modo esauriente agli utenti del sito come gestite i loro dati personali.

Riassunto

Se possedete un sito web o un'applicazione disponibile per i californiani, è vostra responsabilità redigere un'informativa sulla privacy conforme al CalOPPA.

Dato l'ambito di applicazione relativamente ristretto del CalOPPA, il rispetto di tutte le linee guida è piuttosto semplice.

La conformità al CalOPPA è anche un trampolino di lancio per soddisfare requisiti molto più ampi delineati da leggi come il CCPA, la severa legislazione californiana con implicazioni globali.

Per evitare di incorrere in sanzioni legali ora e in futuro, iniziate oggi stesso le vostre iniziative di conformità al CalOPPA utilizzando Termlygeneratore di informativa sulla privacy.

Per saperne di più su chi scrive

Scritto da Josh Langeland, CIPM

Ciao, sono Josh! Sono un ingegnere della privacy appassionato dell'uso della tecnologia per rispettare la privacy degli utenti. Mi trovo a mio agio nell'intersezione tra la tecnologia complessa e le leggi sulla privacy in continua evoluzione. Se non sto redigendo una revisione del progetto o riarchitettando un sistema, potrei trovarmi a leggere una biografia o a fare un'escursione nel parco nazionale più vicino. Per saperne di più su chi scrive

Recensito da Masha Komnenic CIPP/E, CIPM, CIPT, FIP Direttore di Global Privacy