anonym.legal

By · Last updated 2026-06-05

Torna al BlogGDPR e Conformità

CCPA/CPRA 2025: Privacy AI in California

La CPPA ha emesso oltre 100 milioni di dollari in sanzioni nel 2024. Il CPRA copre 40 milioni di californiani e si applica a livello globale alla maggior parte delle aziende. 19 categorie di dati sensibili, decisioni automatizzate.

June 5, 202610 min di lettura
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA: Guida alla legge sulla privacy californiana

Aggiornato per il 2026.

Il Consumer Privacy Rights Act (CPRA) della California è entrato in vigore nel 2023. Ha istituito la California Privacy Protection Agency (CPPA). La CPPA è il primo organo regolatore statale sulla privacy negli USA. Nel 2024, la CPPA ha emesso oltre 100 milioni di dollari in sanzioni. Si tratta di enforcement reale — non di una regola sulla carta.

Chi deve conformarsi

Tre criteri determinano se la legge si applica. Un'azienda deve soddisfarne almeno uno.

  • Ricavi annui di 25 milioni di dollari o più.
  • Dati personali di 100.000 o più consumatori statali.
  • Oltre il 50% dei ricavi dalla vendita di informazioni personali.

Lo Stato ha 40 milioni di residenti. È la quinta economia al mondo. La maggior parte delle aziende globali soddisfa almeno uno dei criteri.

19 categorie di dati sensibili

La legge crea un livello speciale per i dati personali sensibili. Le aziende devono fornire ai consumatori un'informativa aggiuntiva e il diritto di limitarne l'uso. Le 19 categorie sono:

  1. Codice fiscale, patente di guida, documento d'identità statale, numeri di passaporto
  2. Numeri di conto finanziario o carta con codici di accesso
  3. Geolocalizzazione precisa (entro 1.852 metri)
  4. Origine razziale o etnica
  5. Convinzioni religiose o filosofiche
  6. Iscrizione sindacale
  7. Contenuto di email private o posta cartacea
  8. Informazioni genetiche
  9. Dati biometrici a fini identificativi
  10. Dati sanitari o medici
  11. Orientamento sessuale o vita sessuale
  12. Status migratorio (aggiunto nel 2024)
  13. Cartelle di salute mentale (aggiunto nel 2024)
  14. Status di cittadinanza
  15. Numeri di conto finanziario senza codici di accesso
  16. Status di disabilità
  17. Indicatori dello status lavorativo
  18. Informazioni sulle polizze assicurative
  19. Precedenti penali o arresti

Per ogni categoria, i consumatori possono limitare come un'azienda la usa e la condivide. Questo diritto è separato dal diritto generale di opt-out dalla vendita.

Cosa ha preso di mira la CPPA nel 2024

Le azioni della CPPA nel 2024 si sono concentrate in quattro aree.

Registrazione dei data broker. Lo Stato richiede ai data broker di registrarsi presso la CPPA. L'agenzia ha trovato centinaia di broker non registrati che vendevano profili di consumatori.

Strumenti di opt-out non funzionanti. Molte piattaforme di consenso non offrivano un reale opt-out. Il pulsante non funzionava, o l'opt-out copriva solo alcune finalità.

Decisioni AI senza informativa. Le regole AI del 2025 richiedono un'informativa quando strumenti automatizzati prendono decisioni rilevanti. Lavoro, credito e abitazione rientrano tutti in questa categoria. Diversi casi del 2024 hanno riguardato strumenti AI usati senza questa informativa.

Dati dei minori. Il California Age-Appropriate Design Code si applica a qualsiasi servizio che i minori potrebbero utilizzare. Quelle aziende devono completare una Valutazione d'impatto sulla protezione dei dati. La CPPA ha riscontrato che molte aziende non l'avevano effettuata.

Legge statale vs. GDPR: Differenze chiave

La conformità al GDPR non ti copre in California. Le leggi condividono obiettivi ma differiscono su punti essenziali.

Opt-out contro opt-in. Il GDPR richiede il consenso opt-in per la maggior parte degli usi di dati sensibili. La legge statale utilizza un modello opt-out. Il trattamento è consentito finché il consumatore non si oppone.

Diritti dei consumatori. Entrambe le leggi conferiscono diritti di accesso, cancellazione e rettifica. La legge statale aggiunge il diritto di opt-out dalle decisioni automatizzate. Anche il GDPR all'articolo 22 lo prevede, ma con ambito di applicazione più ristretto.

Dati dei dipendenti. La legge statale copre integralmente i dati personali dei dipendenti. Anche il GDPR lo fa, ma gli Stati membri UE hanno proprie norme sul lavoro. La privacy del personale in California spesso richiede un percorso di conformità dedicato.

Categorie sensibili. Le 19 categorie statali si sovrappongono parzialmente all'articolo 9 del GDPR. Lo status migratorio e i numeri di conto autonomi sono specifici della legge statale.

Consulta la guida alla conformità legale per capire come si sommano questi obblighi.

Requisiti per i fornitori AI

Le regole AI del 2025 creano obblighi precisi per le aziende che usano strumenti AI sui dati dei consumatori.

Contratti con i fornitori. I service provider devono sottoscrivere un accordo scritto. L'accordo deve coprire quattro aspetti. Primo: usare i dati solo per la finalità dichiarata. Secondo: eliminare i dati al termine del servizio. Terzo: trasferire le richieste di esercizio dei diritti dei consumatori. Quarto: mantenere un livello di sicurezza adeguato.

Informativa sulle decisioni automatizzate. Se uno strumento AI contribuisce a decisioni su credito, frodi o impiego — i consumatori devono essere informati. Devono anche avere la possibilità di effettuare l'opt-out.

Limiti sull'addestramento AI. Se i dati dei consumatori hanno addestrato un modello AI, quel modello ha dei vincoli. Non può essere usato per finalità incompatibili con il motivo originale della raccolta.

La soluzione concreta per la maggior parte dei team: rimuovere gli identificatori personali prima che i dati entrino in qualsiasi sistema AI. Questo soddisfa le regole sulle decisioni automatizzate e riduce il rischio per le categorie sensibili al tempo stesso.

Scopri come anonym.legal rimuove gli identificatori prima del trattamento AI su /security-compliance.

Punti chiave

La legge statale si applica alla maggior parte delle aziende globali con clienti in California. Introduce 19 categorie sensibili, un'agenzia di enforcement attiva e regole sull'informativa AI. La conformità al GDPR non sostituisce la conformità alla legge statale. Il passo più immediato: rimuovere gli identificatori personali prima che i dati entrino negli strumenti AI.

Leggi della minimizzazione dei dati su /docs/faq.

Fonti

  • CPPA: California Privacy Protection Agency. cppa.ca.gov.
  • Testo integrale del California Privacy Rights Act (CPRA). leginfo.legislature.ca.gov.
  • CPPA: Regolamenti sulle tecnologie per le decisioni automatizzate 2025. cppa.ca.gov.
  • California Age-Appropriate Design Code. leginfo.legislature.ca.gov.

Articoli Correlati

GDPR e Conformità

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR e Conformità

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR e Conformità

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto a proteggere i tuoi dati?

Inizia ad anonimizzare i PII con oltre 285 tipi di entità in 48 lingue.

Inizia Prova GratuitaVisualizza Funzionalità

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.