Comprendere il quadro normativo sulla privacy in California

La California è stata all’avanguardia negli Stati Uniti in materia di legislazione sulla privacy dei consumatori, e le sue leggi incidono sui siti web di tutto il mondo. Il California Consumer Privacy Act (CCPA), modificato in modo significativo dal California Privacy Rights Act (CPRA) in vigore da gennaio 2023, crea obblighi per qualsiasi azienda che raccolga informazioni personali di residenti in California — indipendentemente da dove tale azienda abbia sede fisica.

Per i proprietari di siti web, le implicazioni pratiche si concentrano su cookie, tecnologie di tracciamento e modalità di condivisione dei dati degli utenti con terze parti. Sebbene il modello californiano sia fondamentalmente diverso dal GDPR europeo, richiede comunque un’attenzione accurata ai meccanismi di consenso e ai diritti degli utenti.

CCPA/CPRA: a chi si applica?

La legge si applica alle imprese a scopo di lucro che soddisfano almeno una delle seguenti soglie:

• Fatturato annuo lordo superiore a 25 milioni di dollari.
• Acquisto, vendita o condivisione delle informazioni personali di 100.000 o più residenti, nuclei familiari o dispositivi della California ogni anno.
• Ottenimento di almeno il 50 per cento del fatturato annuo dalla vendita o condivisione delle informazioni personali dei residenti in California.

La seconda soglia è particolarmente importante per i siti con pubblicità. Se il tuo sito utilizza cookie di terze parti per la pubblicità mirata e riceve un traffico significativo dalla California, potresti trattare i dati di ben oltre 100.000 utenti californiani all’anno solo tramite tali cookie.

Opt-out vs opt-in: la differenza fondamentale rispetto al GDPR

Questa è la distinzione più importante da comprendere per i gestori di siti web. In base al GDPR, l’impostazione predefinita è l’opt-in: non puoi impostare cookie non essenziali finché l’utente non presta attivamente il consenso. In base a CCPA/CPRA, l’impostazione predefinita è l’opt-out: puoi trattare informazioni personali (anche tramite cookie) finché l’utente non ti dice di smettere.

Ciò significa che l’esperienza di consenso per i visitatori californiani appare fondamentalmente diversa:

• Approccio GDPR: Blocco di tutti i cookie non essenziali. Visualizzazione di un banner. Attesa di un consenso esplicito. Solo dopo vengono impostati i cookie.
• Approccio CCPA/CPRA: I cookie possono essere impostati per impostazione predefinita. Fornisci un link chiaro e ben visibile "Do Not Sell or Share My Personal Information". Quando un utente esercita questo diritto, interrompi la condivisione dei suoi dati con terze parti.

Tuttavia, esistono importanti eccezioni. Per i minori di 16 anni, CCPA/CPRA passa a un modello di opt-in — devi ottenere un consenso esplicito prima di vendere o condividere le loro informazioni personali. Per i bambini di età inferiore a 13 anni, tale consenso deve essere fornito da un genitore o tutore.

Il requisito "Do Not Sell or Share"

Il CPRA ha ampliato il diritto originario del CCPA "Do Not Sell" includendo la "condivisione" — prendendo di mira in modo specifico il tipo di scambio di dati che avviene tramite cookie pubblicitari di terze parti. Quando un utente visita il tuo sito e i tuoi cookie inviano i suoi dati di navigazione alle reti pubblicitarie, ciò costituisce una condivisione ai sensi del CPRA, anche se non avviene alcun trasferimento diretto di denaro.

I tuoi obblighi includono:

• Un link chiaro intitolato "Do Not Sell or Share My Personal Information" sulla tua homepage e nella tua informativa sulla privacy.
• Un meccanismo che consenta agli utenti di esercitare facilmente questo diritto, senza richiedere la creazione di un account.
• Il rispetto della richiesta entro 15 giorni lavorativi.
• Il divieto di discriminare gli utenti che esercitano questo diritto (ad esempio peggiorando la loro esperienza).

Global Privacy Control (GPC)

Il Global Privacy Control è un segnale a livello di browser che gli utenti possono attivare per comunicare automaticamente la loro preferenza di opt-out a ogni sito web che visitano. Browser importanti come Firefox e Brave supportano nativamente il GPC, e le estensioni del browser aggiungono il supporto a Chrome e ad altri.

In base ai regolamenti CPRA, le aziende devono rispettare i segnali GPC come una valida richiesta di opt-out. Questo ha implicazioni pratiche significative:

• Il tuo sito web deve essere in grado di rilevare l’header HTTP Sec-GPC: 1 o la proprietà JavaScript navigator.globalPrivacyControl.
• Quando viene rilevato, devi trattarlo come equivalente al clic dell’utente su "Do Not Sell or Share".
• I cookie di terze parti utilizzati per la pubblicità devono essere soppressi per questi utenti.

L’adozione del GPC è in costante crescita. Le stime suggeriscono che dal 5 al 10 per cento del traffico web trasporta ora un segnale GPC, e questa percentuale è più alta tra gli utenti più attenti alla privacy in California.

Quando hai davvero bisogno di un cookie banner per la California?

È qui che molte aziende si confondono. A rigor di termini, CCPA/CPRA non richiede un cookie banner in stile europeo a causa del modello di opt-out. Tuttavia, hai bisogno di:

• Un link "Do Not Sell or Share" facilmente accessibile.
• Un meccanismo per sopprimere la condivisione di dati con terze parti quando un utente effettua l’opt-out o invia un segnale GPC.
• Un’informativa sulla privacy che indichi le categorie di informazioni personali raccolte, le finalità e le terze parti con cui i dati vengono condivisi.
• Per i siti che servono anche visitatori europei, un banner di consenso conforme al GDPR che possa coesistere con il meccanismo di opt-out CCPA.

In pratica, la maggior parte dei siti che servono sia il pubblico europeo sia quello californiano implementa un’interfaccia di consenso unificata che adatta il proprio comportamento in base alla posizione del visitatore. Questo evita di dover mantenere due sistemi di consenso completamente separati.

Considerazioni pratiche di implementazione

Implementare la conformità CCPA/CPRA insieme alla conformità GDPR crea una sfida a doppia modalità. La tua piattaforma di gestione del consenso deve:

1. Rilevare con precisione la posizione del visitatore utilizzando la geolocalizzazione basata su IP.
2. Applicare il corretto quadro giuridico — opt-in per i visitatori SEE/Regno Unito, opt-out per i visitatori californiani e potenzialmente nessun requisito per i visitatori di altre regioni.
3. Gestire il link "Do Not Sell or Share" per i visitatori californiani, sia all’interno del banner sia come elemento autonomo della pagina.
4. Rilevare e rispettare i segnali GPC prima che vengano impostati cookie di terze parti.
5. Controllare di conseguenza il comportamento dei cookie — bloccando i cookie pubblicitari di terze parti per gli utenti che hanno effettuato l’opt-out, consentendo al contempo il proseguimento delle analisi di prima parte.

L’implementazione tecnica deve inoltre tenere conto della distinzione tra cookie di analisi di prima parte (generalmente consentiti ai sensi di CCPA/CPRA come finalità aziendale) e cookie pubblicitari di terze parti (che costituiscono condivisione e sono soggetti all’opt-out).

Geo-targeting di FlexyConsent per i visitatori californiani

FlexyConsent gestisce la sfida a doppia modalità tramite il geo-targeting automatico. Quando un visitatore californiano arriva sul tuo sito, FlexyConsent adatta il proprio comportamento per allinearsi ai requisiti CCPA/CPRA:

• Attivazione della modalità opt-out: Invece di bloccare tutti i cookie in anticipo, FlexyConsent mostra in modo ben visibile l’opzione obbligatoria "Do Not Sell or Share My Personal Information".
• Rilevamento del segnale GPC: FlexyConsent verifica automaticamente la presenza del segnale Global Privacy Control e, quando presente, sopprime la condivisione di dati con terze parti senza richiedere alcuna interazione da parte dell’utente.
• Blocco basato sulle categorie: Quando un utente californiano effettua l’opt-out, FlexyConsent blocca selettivamente i cookie pubblicitari e di tracciamento cross-site, preservando al contempo la funzionalità di analisi di prima parte che rientra nell’esenzione per finalità aziendale.
• Coesistenza fluida con il GDPR: La stessa installazione di FlexyConsent gestisce entrambi i quadri normativi. I visitatori europei vedono un banner di opt-in conforme al GDPR con controlli granulari per categoria. I visitatori californiani vedono il meccanismo di opt-out appropriato. I visitatori provenienti da regioni non regolamentate ricevono un avviso minimo o nessun banner, a seconda della tua configurazione.

In quanto Google-certified CMP che supporta IAB TCF 2.3 e Consent Mode V2, FlexyConsent garantisce che i segnali di consenso siano comunicati correttamente ai servizi Google indipendentemente dal quadro giuridico applicabile. Ciò significa che le configurazioni di Google Analytics e Google Ads funzionano correttamente sia per gli utenti europei che hanno effettuato l’opt-in sia per gli utenti californiani che non hanno effettuato l’opt-out.

Punto chiave: Il modello di opt-out della California può sembrare meno restrittivo dell’approccio di opt-in del GDPR, ma i requisiti pratici — in particolare riguardo ai segnali GPC e all’ampia definizione di "condivisione" — fanno sì che la maggior parte dei siti web supportati dalla pubblicità abbia bisogno di una soluzione sofisticata di gestione del consenso. Implementare un consenso geo-targeted che si adatti a entrambi i quadri normativi è molto più affidabile che cercare di applicare un unico approccio a livello globale.