Come rendere il tuo sito Web WordPress conforme al CCPA
Pubblicato: 2020-04-29Dopo l'introduzione del GDPR nel 2018, ora c'è un'altra legge destinata a influenzare ulteriormente i webmaster di WordPress nel loro tentativo di rimanere conformi alle normative locali sulla privacy dei dati.
Il suo nome? Il California Consumer Protection Act (o CCPA in breve).
Questo nuovo atto legislativo è progettato per fornire ai californiani una maggiore protezione per quanto riguarda l'uso delle loro informazioni personali. È entrato in vigore all'inizio dell'anno 2020.
Questa guida ti guiderà attraverso quali sono i requisiti di conformità del sito Web CCPA. Spiega anche cosa significa in pratica per il tuo sito web e come implementare le modifiche necessarie. Quindi, senza ulteriori indugi, iniziamo discutendo i temi principali del CCPA.
Che cos'è il California Consumer Privacy Act (CCPA)?
Il CCPA è stato approvato nel 2018. Inizialmente introdotta come iniziativa volontaria, la legge ha richiesto solo sette giorni per essere approvata dai rispettivi organi della legislatura statale della California.
La legge è stata drammaticamente portata avanti negli organi legislativi dopo che i politici hanno ascoltato il coro di preoccupazioni in crescita da parte di elettori che ritenevano che la legge californiana non avesse tenuto il passo con la quantità di dati personali che i clienti condividono inconsapevolmente con le aziende.
In secondo luogo, lo scandalo Cambridge Analytica che ha avvolto Facebook e l'introduzione delle leggi sul regolamento generale sulla protezione dei dati (GDPR) nell'UE hanno accresciuto l'importanza di portare avanti questa legislazione.
Da quegli eventi nel giugno 2018, la legge è stata modificata in altre due occasioni. Il procuratore generale della California ha pubblicato una guida per aiutare le aziende a comprendere meglio come apportare le modifiche necessarie alle loro operazioni. La legge è entrata ufficialmente in vigore il 1 gennaio 2020.
Per quanto riguarda i dettagli del CCPA, la legge segue principalmente l'esempio fornito dal suo predecessore GDPR. Concede ai cittadini della California il diritto di:
- Sapere quali informazioni personali vengono raccolte su di loro
- Sapere se le loro informazioni personali vengono vendute o divulgate ea chi
- Dire no alla vendita delle loro informazioni personali
- Richiedere la cancellazione dei propri dati personali
- Accedi alle loro informazioni personali
- Uguale servizio e prezzo, anche se esercitano i propri diritti alla privacy
Con la legge compresa, probabilmente ti starai chiedendo se queste leggi si applicano a te, in particolare se il tuo sito web o la tua attività sono registrati al di fuori dello stato della California.
Il CCPA si applica alla tua attività?
Eliminare le implicazioni di qualsiasi legge sulla privacy è probabilmente la parte più difficile. Ma ora c'è stato abbastanza tempo perché la polvere si depositi. Ci sono alcune linee guida chiare su come e quando questa legge dovrebbe essere applicata.
Il primo elemento da notare è che questa legge riguarda la protezione delle informazioni personali dei cittadini e dei residenti della California. Ciò significa che le aziende o le organizzazioni che hanno rapporti con i cittadini sopra menzionati avranno la legge applicata a loro, indipendentemente dalla loro ubicazione.
Come parte della guida rilasciata dal procuratore generale della California, la legge si applica alle organizzazioni a scopo di lucro che soddisfano i seguenti criteri:
- Ha un reddito lordo annuo di oltre $ 25.000.000
- Acquista o riceve annualmente, per scopi commerciali o commerciali, vende o condivide le informazioni personali di 50.000 o più consumatori californiani
- Deriva il 50% o più dei suoi ricavi annuali dalla vendita delle informazioni personali dei consumatori californiani.
Se sei seduto lì a pensare: "Ottimo, la mia attività non soddisfa nessuno di questi criteri, non ho bisogno di apportare modifiche", hai ragione solo in parte. Questa nuova legge potrebbe ancora applicarsi per estensione. Se si effettuano transazioni con società che devono conformarsi al CCPA, potrebbe comunque essere necessario apportare le modifiche necessarie per conformarsi.
Ad esempio, se acquisti un elenco e-mail per scopi di marketing da un provider californiano che detiene milioni di record, dovrai apportare le modifiche previste dal CCPA per estensione. Allo stesso modo, se fornisci servizi di progettazione web WordPress ad aziende su larga scala, dovrai prestare attenzione per assicurarti di fornire un sito web conforme.
CCPA vs GDPR
La legislazione CCPA e GDPR, sebbene molto simili, presenta alcune differenze fondamentali. In primo luogo, il GDPR ha una portata molto più ampia del CCPA.
Il GDPR contiene obblighi per la nomina dei responsabili della protezione dei dati, la tenuta di un registro delle attività di trattamento e la necessità di valutazioni dell'impatto sulla protezione dei dati in circostanze specifiche. Non ci sono obblighi legali di questo tipo collegati al CCPA, anche se sono in vigore disposizioni simili.
Successivamente, il GDPR si basa sul principio fondamentale che dovrebbe esserci una base legale per il trattamento di qualsiasi aspetto dei dati personali. Tuttavia, il CCPA non si applica nemmeno ad alcuni set di dati personali. Ad esempio, le cartelle cliniche e le informazioni personali registrate ai fini della segnalazione del credito non sono coperte dal CCPA poiché si ritiene che siano coperte da una legislazione esistente separata.
Infine, le leggi disparate differiscono su un ultimo principio giuridico, che è la questione del consenso preventivo. Il CCPA non richiede alle aziende di chiedere il consenso preventivo per il trattamento delle informazioni personali, che è il pilastro giuridico centrale su cui si basa il GDPR.
In effetti, secondo il CCPA, un'azienda non ha bisogno del consenso preventivo di un utente prima di elaborare i propri dati, né un sito Web ha bisogno dell'autorizzazione preventiva di un utente prima di vendere i propri dati a terzi. Tuttavia, un cittadino californiano ha il diritto di "rinunciare" a tale trattamento e richiedere sia la visualizzazione che la rimozione dei propri dati.
In altre parole, il CCPA mira a fornire trasparenza e protezione dei dati a posteriori. Al contrario, il GDPR si concentra sul fornire ai cittadini dell'UE il potere di previo consenso al trattamento dei dati personali.
Come rendere il tuo sito web conforme al CCPA
Se il tuo sito WordPress deve essere aggiornato per soddisfare i requisiti di conformità del sito Web CCPA, i seguenti passaggi dovrebbero aiutarti a assicurarti di non infrangere la nuova legge sulla privacy.
Aggiorna la tua politica sulla privacy
Probabilmente hai già messo in atto una politica sulla privacy per allineare il tuo sito Web al GDPR, ma dovrai aggiornarlo per riflettere le modifiche richieste dal CCPA. In primo luogo, dovrai includere i nuovi diritti dei visitatori del sito web come stabilito dal CCPA.
Dovrai quindi includere diversi metodi di contatto in modo che i consumatori possano presentare le loro richieste per esercitare i loro diritti ai sensi della legislazione. È anche una buona idea aggiornare quali dati raccogli, come li ottieni e per quali scopi vengono utilizzati se una di queste informazioni è cambiata dall'introduzione del GDPR.
Ricorda di definire un processo trasparente passo dopo passo su come i clienti possono accedere e richiedere la rimozione dei loro dati. Infine, modifica la data della tua informativa sulla privacy per mostrare che questi aggiornamenti sono avvenuti dopo l'introduzione della nuova legge.
(Nota: se vendi le informazioni personali di 4.000.000 o più di consumatori californiani all'anno, potrebbe essere necessario includere ulteriori informazioni)
Indica ai clienti dove possono trovare ulteriori informazioni sulla tua Informativa sulla privacy e sul CCPA
Informare i clienti sulla politica sulla privacy e sui loro diritti ai sensi del CCPA sono requisiti durante il processo di raccolta dei loro dati. Nota, non è necessario il consenso (come da GDPR); invece, devi informarli di dove possono saperne di più su ciò che stai raccogliendo e perché.
Un modo eccellente per informare i tuoi clienti è tramite un'informativa sulla privacy o una barra dei cookie, come già fai ai fini del GDPR.
Avviso di conformità/privacy fornito tramite cookie bar o footer
Questo avviso sarà molto simile a quello che hai già fornito per conformarti al GDPR. Questi avvisi di conformità/privacy sono fondamentalmente versioni estremamente ridotte della tua politica sulla privacy.
Assicurati di includere un elenco di categorie di informazioni personali che raccogli dai consumatori e, per ciascuna categoria, elenca le finalità commerciali per le quali verranno utilizzate.
Avrai uno spazio limitato se visualizzi tramite un piè di pagina o una barra dei cookie, quindi sii il più diretto e puntuale possibile prima di includere collegamenti alla tua Informativa sulla privacy e alla pagina "Non vendere le mie informazioni personali".
Assicurati che l'opt-in/opt-out sia disponibile
Come accennato, non è necessario ottenere il consenso ai fini del CCPA. Tuttavia, dovrai fornire ai consumatori la possibilità di rinunciare alla raccolta dei dati personali. Tenendo presente ciò, ha senso raggruppare questa autorizzazione insieme al consenso preventivo richiesto per il GDPR se si dispone già di tali parametri.
Dati i criteri di dimensione aziendale in atto per CCPA, è probabile che tu abbia già implementato un'architettura del sito Web simile, quindi ha senso apportare le modifiche necessarie per soddisfare anche i requisiti CCPA.
Aggiungi una pagina "Non vendere le mie informazioni" e inserisci un link ad essa sulla tua home page
Se vendi le informazioni personali di residenti in California, la nuova legge ti obbliga ad avere una pagina web intitolata "Non vendere le mie informazioni personali" o "Non vendere le mie informazioni".
In quella pagina web appena creata è necessario includere le seguenti informazioni:
- Dettagli relativi al diritto del consumatore di opporsi alla vendita dei propri dati personali
- Un modulo di contatto per inviare una richiesta per tale rinuncia
- Informazioni relative ad altre modalità di contatto per l'opt-out
- Un collegamento alla tua Informativa sulla privacy
- L'onere della prova richiesto per quando un consumatore ha scelto di avere un agente autorizzato a presentare una richiesta di rinuncia per suo conto
Dovresti inserire un collegamento a questa pagina nel piè di pagina del tuo sito Web in modo che non sia mai a più di un clic di distanza.
Ottenere il consenso preventivo dei minori di età compresa tra 13 e 16 anni prima di vendere i dati
Ancora una volta, se sei nel settore della vendita di dati personali di residenti in California, non ti sarà consentito farlo per le persone di età compresa tra 13 e 16 anni senza previo consenso. Puoi scegliere di utilizzare la tua barra dei cookie per includere un messaggio in tal senso, con una casella di consenso di accompagnamento.
Oppure, se non hai alcun interesse a raccogliere dati su individui di questa età, potresti impostare una politica di distruzione di tutti i dati relativi a coloro che soddisfano questo criterio, che dovrebbe essere dettagliato nella tua Informativa sulla privacy.
Riepilogo
Sebbene sia indubbiamente vero che il CCPA non è di così vasta portata come il GDPR, dovrebbe comunque essere preso sul serio. È probabile che rappresenti solo una delle numerose leggi sulla privacy a livello statale che entreranno in vigore in tutta l'America nel corso del 2020.
Molti useranno il CCPA come modello taglia e incolla per le leggi relative ai rispettivi stati. Pertanto, ha senso modificare il tuo sito WordPress per aderire ai requisiti di conformità del sito Web CCPA ora in modo da poter continuare a rimanere conforme sia nei mercati dell'UE (GDPR) che in quelli nordamericani (CCPA et al.). Per informazioni più dettagliate sul CCPA, fare riferimento al sito web del Dipartimento di giustizia dello Stato della California.
Qui a WP White Security, prendiamo sul serio la conformità e la sicurezza. Sviluppiamo plug-in di sicurezza di nicchia e di utilità di amministrazione di alta qualità che aiutano gli amministratori a gestire e proteggere meglio i loro siti Web WordPress. Perché non dare un'occhiata al nostro portafoglio di plug-in per vedere come possiamo aiutarti a proteggere meglio il tuo sito Web e a gestirne gli utenti?