CCPA/CPRA 2025: Cosa richiede il California Privacy Rights Act ai fornitori di AI e di elaborazione dei dati

Il California Consumer Privacy Rights Act (CPRA, in vigore dal 2023) ha istituito la California Privacy Protection Agency (CPPA) come il primo regolatore statale della privacy negli Stati Uniti. La CPPA ha emesso oltre 100 milioni di dollari in azioni di enforcement nel 2024, dimostrando che la legge sulla privacy della California non è solo un quadro normativo, ma un ambiente di enforcement attivo.

L'ambito extraterritoriale della CPRA è l'aspetto più significativo per le aziende globali: la legge si applica a qualsiasi azienda con un fatturato annuale superiore a 25 milioni di dollari, o che elabora dati personali di 100.000 o più consumatori o famiglie californiane. Con 40 milioni di residenti in California e lo stato della California come quinta economia mondiale, la maggior parte delle imprese globali rientra sotto la giurisdizione della CPRA.

Categorie di Informazioni Personali Sensibili della CPRA

La CPRA crea un livello distinto di "informazioni personali sensibili" che richiedono una protezione maggiore e requisiti di divulgazione specifici. Le 19 categorie mappano strettamente alle categorie speciali dell'Articolo 9 del GDPR, ma con aggiunte specifiche per gli Stati Uniti:

1. Numeri di previdenza sociale, patente di guida, ID statale, numeri di passaporto
2. Conti finanziari, numeri di carte di debito/credito con codici di accesso
3. Geolocalizzazione precisa (entro 1.852 metri)
4. Origine razziale/etnica
5. Credenze religiose o filosofiche
6. Appartenenza a sindacati
7. Contenuto di email e posta cartacea (se non ampiamente disponibile)
8. Dati genetici
9. Dati biometrici per identificazione
10. Dati sanitari/medici
11. Orientamento sessuale o vita sessuale
12. Stato di immigrazione (aggiunto nei regolamenti del 2024)
13. Dati sulla salute mentale (aggiunto nei regolamenti del 2024)
14. Stato di cittadinanza
15. Numeri di conti finanziari (indipendenti, senza codici di accesso)
16. Stato di disabilità
17. Indicatori di stato occupazionale
18. Informazioni sulle polizze assicurative
19. Dati su precedenti penali o arresti

L'implicazione pratica: qualsiasi pipeline di elaborazione dei dati che gestisce queste categorie deve fornire ai consumatori il diritto di limitare l'uso e la divulgazione delle informazioni personali sensibili, separatamente dal diritto generale di opt-out dalla vendita.

Enforcement CPPA 2024: Cosa è stato preso di mira

La CPPA ha emesso azioni di enforcement e accordi nel 2024 prendendo di mira:

Violazioni della registrazione dei broker di dati: La California richiede ai broker di dati di registrarsi presso la CPPA. La CPPA ha trovato centinaia di broker di dati non registrati — organizzazioni che vendono dati di profilo personale senza la necessaria divulgazione.

Non conformità nella gestione del consenso: La CPPA ha scoperto che molte "piattaforme di gestione del consenso" delle aziende non fornivano effettivamente meccanismi di opt-out funzionali — o il pulsante di opt-out non funzionava, o l'opt-out si applicava solo a usi specifici dei dati mentre altri continuavano.

Decisioni automatizzate tramite AI: I regolamenti sulla AI della CPPA del 2025 richiedono alle aziende di notificare ai consumatori quando si utilizzano decisioni automatizzate per decisioni significative (occupazione, credito, alloggio) e di fornire meccanismi di opt-out significativi. Diverse azioni di enforcement nel 2024 hanno preso di mira strumenti di AI utilizzati senza una notifica adeguata.

Dati dei minori: Sotto il California Age-Appropriate Design Code (AADC), le aziende che potrebbero essere accessibili da minori devono condurre valutazioni d'impatto sulla protezione dei dati. La CPPA ha trovato molteplici aziende tecnologiche che non hanno completato le DPIA richieste.

CPRA vs. GDPR: Differenze chiave per le organizzazioni globali

Le organizzazioni che operano sia sotto il GDPR che sotto la CPRA affrontano requisiti di conformità che sono simili in linea di principio ma diversi nei dettagli:

Opt-out vs. opt-in: Il GDPR richiede il consenso opt-in per la maggior parte dell'elaborazione dei dati sensibili. La CPRA utilizza un modello di opt-out — l'elaborazione è lecita fino a quando il consumatore non opta per l'uscita. Questo significa che i meccanismi di consenso conformi al GDPR sono spesso più restrittivi di quanto richiesto dalla CPRA, ma le pratiche conformi alla CPRA potrebbero non soddisfare il GDPR.

Diritti dei soggetti dei dati: Entrambi richiedono diritti di accesso, cancellazione e correzione. La CPRA aggiunge un diritto di opt-out dalle decisioni automatizzate — più ampio rispetto alla disposizione più ristretta dell'Articolo 22 del GDPR sulle decisioni automatizzate.

Dati dei dipendenti: La CPRA si applica completamente ai dati personali dei dipendenti. Il GDPR ha un ambito simile, ma gli Stati membri hanno disposizioni specifiche per l'occupazione variabili. La privacy dei dipendenti in California è spesso un percorso di conformità distinto rispetto al GDPR per i dipendenti dell'UE.

Ambito dei dati sensibili: Le 19 categorie della CPRA si sovrappongono parzialmente con l'Articolo 9 del GDPR ma includono categorie (stato di immigrazione, numeri di conti finanziari, precedenti penali) che il GDPR tratta in modo diverso.

L'Implicazione della Conformità dei Fornitori di AI

I regolamenti sulla AI della CPRA del 2025 creano requisiti specifici per le organizzazioni che utilizzano strumenti di AI che elaborano dati dei consumatori californiani:

Requisiti contrattuali per i fornitori: I fornitori di servizi (fornitori che elaborano dati per conto dell'azienda) devono impegnarsi contrattualmente a: utilizzare i dati solo per lo scopo divulgato, cancellare i dati quando il servizio termina, consentire le richieste di diritti dei consumatori e implementare misure di sicurezza adeguate.

Divulgazione delle decisioni automatizzate: Se il tuo strumento di AI prende o contribuisce in modo significativo a decisioni sui consumatori californiani — valutazione del credito, segnalazione di frodi, moderazione dei contenuti, screening occupazionale — i consumatori devono essere informati e forniti di un opt-out significativo.

Provenienza dei dati di addestramento: Se i dati dei consumatori californiani sono stati utilizzati per addestrare un modello di AI, i requisiti di limitazione dello scopo della CPRA significano che gli output del modello di AI non possono essere utilizzati per scopi incompatibili con lo scopo di raccolta originale.

Per le organizzazioni che gestiscono dati dei consumatori californiani in sistemi di AI: la minimizzazione dei dati prima dell'elaborazione AI — rimuovendo PII prima che i dati entrino nelle pipeline di addestramento AI o negli strumenti di analisi AI — è il modo più semplice per soddisfare i requisiti di decisioni automatizzate della CPPA riducendo l'esposizione delle informazioni personali sensibili.

Fonti:

• CPPA: California Privacy Protection Agency
• CPRA: testo completo del California Privacy Rights Act
• CPPA: Regolamenti sulle decisioni automatizzate AI 2025