anonym.legal

By · Last updated 2026-06-05

Înapoi la BlogGDPR & Conformitate

CCPA/CPRA 2025: Confidențialitatea IA în California

CPPA a emis amenzi de peste 100 de milioane de dolari în 2024. CPRA acoperă 40 de milioane de californieni și se aplică global majorității companiilor. 19 categorii de date sensibile, reguli privind deciziile automate.

June 5, 202610 min citire
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA: Ghid privind legea californie a confidențialității

Actualizat pentru 2026.

Legea californiana privind drepturile la confidențialitate (CPRA) a intrat în vigoare în 2023. A înființat California Privacy Protection Agency (CPPA). CPPA este prima autoritate statală de reglementare a confidențialității din SUA. În 2024, CPPA a emis amenzi de peste 100 de milioane de dolari. Aceasta este aplicare activă — nu o regulă pe hârtie.

Cine trebuie să se conformeze

Trei criterii determină dacă legea se aplică. O companie trebuie să îndeplinească cel puțin unul:

  • Venituri anuale de 25 de milioane de dolari sau mai mult.
  • Date cu caracter personal de la 100.000 sau mai mulți consumatori din stat.
  • Peste 50% din venituri provenind din vânzarea de informații cu caracter personal.

Statul are 40 de milioane de locuitori și este a cincea economie din lume. Cele mai multe companii globale îndeplinesc cel puțin un criteriu.

19 categorii de date sensibile

Legea creează un nivel special pentru datele cu caracter personal sensibile. Companiile trebuie să ofere consumatorilor o notificare suplimentară și dreptul de a limita utilizarea. Cele 19 tipuri sunt:

  1. Numere de securitate socială, permis de conducere, ID de stat sau pașaport
  2. Numere de cont financiar sau card cu coduri de acces
  3. Geolocalizare precisă (în raza de 1.852 de metri)
  4. Origine rasială sau etnică
  5. Convingeri religioase sau filozofice
  6. Apartenența la sindicate
  7. Conținutul email-urilor private sau al corespondenței poștale
  8. Informații genetice
  9. Date biometrice pentru identificare
  10. Dosare medicale sau de sănătate
  11. Orientare sexuală sau viață sexuală
  12. Statut de imigrare (adăugat în 2024)
  13. Dosare de sănătate mintală (adăugat în 2024)
  14. Statut de cetățenie
  15. Numere de cont financiar fără coduri de acces
  16. Statut de dizabilitate
  17. Indicatori de statut de angajare
  18. Informații despre polița de asigurare
  19. Dosare penale sau de arestare

Pentru fiecare categorie, consumatorii pot limita modul în care o companie le utilizează și le partajează. Acest drept este separat de dreptul general de a opta afară din vânzare.

Ce a vizat CPPA în 2024

Acțiunile CPPA din 2024 s-au concentrat pe patru domenii.

Înregistrarea brokerilor de date. Statul impune brokerilor de date să se înregistreze la CPPA. Agenția a descoperit sute de brokeri neînregistrați care vindeau profiluri ale consumatorilor.

Instrumente de retragere defectuoase. Multe platforme de consimțământ nu ofereau o retragere reală. Butonul nu funcționa sau retragerea acoperea doar unele utilizări.

Decizii IA fără notificare. Regulile IA din 2025 impun notificarea atunci când instrumentele automate iau decizii importante. Locurile de muncă, creditul și locuința intră în această categorie. Mai multe cazuri din 2024 au vizat instrumente IA utilizate fără această notificare.

Înregistrările copiilor. Codul de proiectare adecvat vârstei din California se aplică oricărui serviciu pe care minorii sunt susceptibili să îl utilizeze. Acele companii trebuie să efectueze o Evaluare a Impactului asupra Protecției Datelor. CPPA a constatat că multe companii nu au efectuat această evaluare.

Legea statală vs. GDPR: diferențe cheie

Conformitatea cu GDPR nu vă acoperă în California. Legile au obiective comune, dar diferă pe puncte esențiale.

Retragere versus consimțământ. GDPR impune consimțământul activ pentru cele mai multe utilizări ale datelor sensibile. Legea statului utilizează un model de retragere — prelucrarea este permisă până când consumatorul obiectează.

Drepturile consumatorilor. Ambele legi acordă drepturi de acces, ștergere și corectare. Legea statului adaugă dreptul de a refuza deciziile automate. Articolul 22 din GDPR acoperă și acest aspect, dar cu o sferă mai îngustă.

Înregistrările angajaților. Legea statului acoperă integral datele cu caracter personal ale angajaților. GDPR la fel, dar statele membre UE au propriile reguli de angajare. Confidențialitatea personalului în California necesită adesea o abordare separată de conformitate.

Tipuri de date sensibile. Cele 19 tipuri din lege se suprapun parțial cu Articolul 9 din GDPR. Statutul de imigrare și numerele de cont independente sunt specifice legislației statului.

Consultați ghidul de conformitate legală pentru modul în care aceste obligații se suprapun.

Cerințe privind furnizorii de IA

Regulile IA din 2025 creează obligații clare pentru companiile care utilizează instrumente IA pe înregistrările consumatorilor.

Contracte cu furnizorii. Furnizorii de servicii trebuie să semneze un acord scris care să acopere patru aspecte: utilizarea înregistrărilor exclusiv în scopul declarat; ștergerea înregistrărilor la încheierea serviciului; transmiterea cererilor de drepturi ale consumatorilor; menținerea unei securități adecvate.

Notificarea deciziilor automatizate. Dacă un instrument IA contribuie la decizii privind creditul, frauda sau angajarea, consumatorii trebuie informați și trebuie să li se ofere posibilitatea de retragere.

Limitele antrenării IA. Dacă înregistrările consumatorilor au antrenat un model IA, acel model are restricții. Nu poate fi utilizat în scopuri care contrazic motivul original al colectării.

Soluția directă pentru cele mai multe echipe: eliminarea ID-urilor cu caracter personal înainte ca înregistrările să intre în orice sistem IA. Aceasta respectă regulile privind deciziile IA și reduce simultan riscul legat de tipurile sensibile.

Aflați cum anonym.legal elimină identificatorii înainte de prelucrarea IA la /security-compliance.

Puncte cheie

Legea californiana acoperă cele mai multe companii globale cu clienți în stat. Adaugă 19 tipuri de date sensibile, o agenție activă de aplicare și reguli de notificare IA. Conformitatea cu GDPR nu înlocuiește conformitatea cu legea statului. Pasul cel mai clar: eliminați ID-urile cu caracter personal înainte ca înregistrările să intre în instrumentele IA.

Citiți despre minimizarea datelor la /docs/faq.

Surse

  • CPPA: California Privacy Protection Agency. cppa.ca.gov.
  • Textul integral al California Privacy Rights Act (CPRA). leginfo.legislature.ca.gov.
  • CPPA: Regulamentele privind tehnologia decizională automatizată 2025. cppa.ca.gov.
  • California Age-Appropriate Design Code. leginfo.legislature.ca.gov.

Articole Asemănătoare

GDPR & Conformitate

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformitate

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformitate

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pregătit să vă protejați datele?

Începeți să anonimizati PII cu 285+ tipuri de entități în 48 de limbi.

Începeți Proba GratuităVizualizați Funcționalitățile

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.