TermsBox
PrezziBlog
AccediInizia
PrezziBlogAccedi
Inizia
  1. Home
  2. Blog
  3. Che cos'è il CCPA? La legge sulla privacy della California spiegata
CCPA

Che cos'è il CCPA? La legge sulla privacy della California spiegata

Scopri cosa significa il CCPA per la tua azienda. Guida completa che copre i requisiti del CCPA, i diritti dei consumatori, gli aggiornamenti del CPRA e come creare un'informativa sulla privacy conforme.

TermsBox Team|January 16, 202514 min read

Se gestisci un'azienda che serve residenti della California, il California Consumer Privacy Act (CCPA) potrebbe applicarsi a te. Questa legge sulla privacy di portata storica ha ridefinito il modo in cui le aziende gestiscono i dati personali negli Stati Uniti, e comprenderla è fondamentale per la conformità.

In questa guida spiegheremo tutto ciò che devi sapere sul CCPA in termini chiari e pratici: da chi si applica, ai diritti che concede ai consumatori, fino a come puoi garantire la conformità.

Che cos'è il CCPA?

Il California Consumer Privacy Act (CCPA) è una legge statale sulla protezione dei dati che offre ai residenti della California un maggiore controllo sulle informazioni personali che le aziende raccolgono su di loro. È entrata in vigore il 1 gennaio 2020, con l'avvio dell'applicazione il 1 luglio 2020.

Il CCPA viene spesso definito il "GDPR degli Stati Uniti" perché è stata la prima legge completa sulla privacy in America, sebbene presenti differenze significative rispetto alla sua controparte europea.

CCPA vs. CPRA: cosa è cambiato?

Nel novembre 2020, gli elettori della California hanno approvato la Proposition 24, che ha creato il California Privacy Rights Act (CPRA). Il CPRA è essenzialmente il CCPA 2.0: modifica e amplia la legge originale.

Le principali modifiche del CPRA entrate in vigore il 1 gennaio 2023:

  • Creazione di una nuova autorità di applicazione: la California Privacy Protection Agency (CPPA)
  • Introduzione della categoria delle "informazioni personali sensibili" con protezioni aggiuntive
  • Ampliamento del diritto di correzione dei dati inesatti
  • Aumento del periodo di retrospezione per le richieste di dati da 12 a 15 mesi
  • Triplicazione della soglia di fatturato da $25 million a $25 million (adeguata all'inflazione)
  • Aggiunta di nuove restrizioni sul processo decisionale automatizzato
  • Introduzione di valutazioni del rischio per il trattamento dei dati ad alto rischio

Quando oggi si parla di "CCPA", in genere si intende la legge così come modificata dal CPRA.

A chi si applica il CCPA?

Il CCPA si applica alle imprese a scopo di lucro che operano in California e soddisfano almeno una di queste soglie:

Soglia di fatturato

Fatturato lordo annuo superiore a $25 million (adeguato annualmente all'inflazione, attualmente $26.45 million per il 2025)

Soglia dei dati dei consumatori

Acquisto, vendita o condivisione delle informazioni personali di 100,000 o più consumatori o nuclei familiari della California all'anno

Fatturato derivante dalla vendita di dati

Derivazione del 50% o più del fatturato annuo dalla vendita o condivisione delle informazioni personali dei consumatori

Non sei sicuro se il CCPA si applica a te? Crea un'informativa sulla privacy conforme al CCPA per assicurarti di essere coperto indipendentemente dalle dimensioni della tua azienda.

Note importanti

  • Non è necessario avere sede in California: servire residenti della California è sufficiente
  • Le organizzazioni senza scopo di lucro sono generalmente esenti
  • I fornitori di servizi e gli appaltatori hanno obblighi diversi
  • La legge si applica alle informazioni personali raccolte sia online sia offline

Quali informazioni personali protegge il CCPA?

Il CCPA ha una definizione ampia di informazioni personali. Copre qualsiasi informazione che identifica, si riferisce o può ragionevolmente essere collegata a un particolare consumatore o nucleo familiare della California.

Categorie di informazioni personali

  1. Identificatori

    • Nome reale, alias, indirizzo postale, email, numero di telefono
    • Identificatore personale univoco, indirizzo IP, nome dell'account
    • Numero di previdenza sociale, patente di guida, numero di passaporto

  2. Registri dei clienti

    • Cronologia degli acquisti, informazioni di pagamento
    • Informazioni sull'impiego
    • Informazioni sull'istruzione

  3. Classificazioni protette

    • Età, razza, genere, orientamento sessuale
    • Stato civile, status di veterano
    • Stato di disabilità

  4. Informazioni commerciali

    • Prodotti o servizi acquistati
    • Cronologie di acquisto o consumo
    • Tendenze o preferenze

  5. Informazioni biometriche

    • Impronte digitali, dati di riconoscimento facciale
    • Impronte vocali, scansioni dell'iride
    • Modelli comportamentali

  6. Attività su Internet

    • Cronologia di navigazione, cronologia delle ricerche
    • Informazioni sull'interazione del consumatore con siti web o app
    • Dati sul percorso di navigazione

  7. Dati di geolocalizzazione

    • Dati di localizzazione precisa
    • Modelli di spostamento

  8. Dati sensoriali

    • Informazioni audio, elettroniche, visive o simili

  9. Informazioni professionali

    • Storia lavorativa attuale o passata
    • Valutazioni delle prestazioni

  10. Inferenze

    • Profilo che riflette preferenze, caratteristiche, comportamenti, atteggiamenti

Informazioni personali sensibili (ai sensi del CPRA)

Il CPRA ha creato una categoria speciale che richiede protezioni aggiuntive:

  • Numeri di previdenza sociale, patente di guida, passaporto
  • Credenziali dell'account con password
  • Geolocalizzazione precisa
  • Origine razziale o etnica, convinzioni religiose, appartenenza sindacale
  • Contenuto della posta, delle email e dei messaggi di testo
  • Dati genetici
  • Dati biometrici a fini di identificazione
  • Informazioni sanitarie
  • Vita sessuale o orientamento sessuale

Diritti dei consumatori ai sensi del CCPA

Il CCPA concede ai consumatori della California diversi diritti azionabili:

Diritto di conoscere

I consumatori possono richiedere:

  • Quali categorie di informazioni personali hai raccolto
  • Specifici elementi di informazioni personali in tuo possesso
  • Fonti di tali informazioni
  • Finalità aziendali della raccolta
  • Terze parti con cui hai condiviso i dati

Devi rispondere entro 45 days (con una possibile proroga di 45 giorni).

Diritto di cancellazione

I consumatori possono richiedere la cancellazione delle proprie informazioni personali, con alcune eccezioni (ad esempio, completamento delle transazioni, obblighi legali, finalità di sicurezza).

Diritto di rinunciare alla vendita/condivisione

I consumatori possono rinunciare alla vendita o condivisione delle proprie informazioni personali. Devi fornire un link chiaro "Do Not Sell or Share My Personal Information" sul tuo sito web.

Diritto di rettifica

Ai sensi del CPRA, i consumatori possono richiedere la rettifica di informazioni personali inesatte.

Diritto di limitare l'uso delle informazioni personali sensibili

Il CPRA consente ai consumatori di limitare l'uso e la divulgazione delle proprie informazioni personali sensibili a quanto necessario per fornire beni o servizi.

Diritto alla non discriminazione

Le aziende non possono discriminare i consumatori per aver esercitato i propri diritti ai sensi del CCPA. Tuttavia, puoi offrire incentivi finanziari per la raccolta dei dati se adeguatamente divulgati.

Obblighi aziendali ai sensi del CCPA

Se il CCPA si applica alla tua azienda, devi:

1. Fornire un'informativa sulla privacy

La tua informativa sulla privacy deve includere:

  • Categorie di informazioni personali raccolte
  • Fonti delle informazioni personali
  • Finalità aziendali della raccolta
  • Categorie di terze parti con cui condividi i dati
  • Diritti dei consumatori ai sensi del CCPA
  • Come esercitare tali diritti
  • Categorie di informazioni vendute o condivise (se applicabile)
  • Categorie di informazioni personali sensibili raccolte

2. Aggiungere i link richiesti

Devi fornire:

  • Un link chiaro e ben visibile intitolato "Do Not Sell or Share My Personal Information" (se vendi/condividi dati)
  • Un link a "Limit the Use of My Sensitive Personal Information" (se applicabile ai sensi del CPRA)
  • Link nella tua informativa sulla privacy per richiedere l'accesso/la cancellazione dei dati

3. Onorare le richieste dei consumatori

Stabilire una procedura per:

  • Verificare l'identità del consumatore
  • Rispondere alle richieste entro 45 giorni
  • Fornire i dati in un formato portabile e facilmente utilizzabile
  • Conservare i registri delle richieste per 24 mesi

4. Formare i dipendenti

Assicurati che i dipendenti che gestiscono le richieste o le domande dei consumatori siano formati sui requisiti del CCPA e sui diritti dei consumatori.

5. Aggiornare i contratti con i fornitori di servizi

I contratti con i fornitori di servizi devono:

  • Vietare la vendita delle informazioni personali
  • Vietare la conservazione o l'uso al di fuori del contratto
  • Richiedere la certificazione della conformità

6. Condurre valutazioni del rischio (CPRA)

Per le attività di trattamento ad alto rischio, condurre e presentare audit di cybersicurezza e valutazioni del rischio alla CPPA.

Privacy Policy Generator

Create a comprehensive privacy policy for your website or app. Create yours in minutes with TermsBox.

Generate Now

Pronto per la conformità? Genera un'informativa sulla privacy conforme al CCPA che copra tutte le informative richieste.

Sanzioni e applicazione del CCPA

Il CCPA prevede l'applicazione sia tramite via normativa sia tramite diritto privato di azione:

Sanzioni amministrative

Il procuratore generale della California (e ora la CPPA ai sensi del CPRA) può imporre:

  • Fino a $2,500 per violazione
  • Fino a $7,500 per violazione intenzionale

Le autorità di regolamentazione in genere prevedono un periodo di correzione di 30 giorni per le prime violazioni prima di imporre sanzioni.

Diritto privato di azione (violazioni dei dati)

I consumatori possono citare in giudizio direttamente per violazioni dei dati che coinvolgono:

  • Informazioni personali non crittografate o non oscurate
  • Risarcimenti previsti dalla legge da $100 a $750 per consumatore, per incidente
  • Danni effettivi se superiori

Azioni significative di applicazione del CCPA

  • Sephora - accordo da $1.2 million per non aver divulgato la vendita di informazioni personali e non aver onorato le richieste di rinuncia
  • DoorDash - accordo per notifica inadeguata delle vendite di dati
  • Rivenditori - molteplici accordi per la mancanza dei link "Do Not Sell"

La CPPA ha avviato l'applicazione attiva nel 2023 e ha segnalato un'azione più aggressiva in futuro.

Come conformarsi al CCPA

Ecco una tabella di marcia pratica per la conformità al CCPA:

Passo 1: Determinare se il CCPA si applica

Calcola:

  • Fatturato annuo
  • Numero di consumatori della California di cui tratti i dati
  • Percentuale di fatturato derivante dalla vendita di dati

Passo 2: Mappatura dei dati

Conduci un inventario dei dati:

  • Quali informazioni personali raccogli?
  • Da quali fonti?
  • Per quali finalità?
  • Con chi le condividi?
  • Per quanto tempo le conservi?

Passo 3: Aggiornare l'informativa sulla privacy

Assicurati che la tua informativa includa:

  • Tutte le informative richieste dal CCPA
  • Un linguaggio chiaro e semplice
  • Una posizione facile da trovare (link nel footer)
  • Un ciclo di aggiornamento di 12 mesi

Passo 4: Implementare i meccanismi per i diritti dei consumatori

Imposta:

  • Un modulo web per le richieste di accesso/cancellazione
  • Un numero di telefono gratuito (per le aziende con presenza online)
  • Un contatto email per le richieste
  • Una procedura di verifica dell'identità
  • Un flusso di lavoro per le risposte con monitoraggio della scadenza di 45 giorni

Passo 5: Aggiungere i link richiesti

Sul tuo sito web:

  • Link "Do Not Sell or Share My Personal Information" (se applicabile)
  • Link "Limit the Use of My Sensitive Personal Information" (se applicabile)
  • Link all'informativa sulla privacy nel footer

Passo 6: Rivedere i rapporti con le terze parti

Per i fornitori di servizi:

  • Aggiorna i contratti con il linguaggio del CCPA
  • Ottieni le certificazioni di conformità
  • Verifica le pratiche di condivisione dei dati

Passo 7: Formare il tuo team

Assicurati che il personale comprenda:

  • Cos'è il CCPA e a chi si applica
  • I diritti dei consumatori ai sensi del CCPA
  • Come gestire le richieste
  • Cosa costituisce una "vendita" di dati

Passo 8: Implementare i controlli tecnici

Imposta:

  • Gestione del consenso ai cookie (per la rinuncia alle vendite)
  • Flussi di lavoro per la cancellazione dei dati
  • Strumenti per la portabilità dei dati
  • Riconoscimento dei segnali di rinuncia (Global Privacy Control)

Hai bisogno di aiuto con i cookie? Crea un'informativa sui cookie che spieghi le tue pratiche di tracciamento e onori le richieste di rinuncia.

CCPA vs. GDPR: differenze principali

Sebbene entrambe le leggi proteggano la privacy dei consumatori, presentano differenze importanti:

Aspetto CCPA GDPR
Ambito Residenti della California Residenti dell'UE
Dimensione dell'azienda Soglie di fatturato/dati Tutte le aziende che trattano dati dell'UE
Modello di consenso Opt-out (eccetto minori) Opt-in richiesto
Vendita dei dati Deve consentire l'opt-out Generalmente vietata
Sanzioni Fino a $7,500/violazione Fino al 4% del fatturato globale
Responsabile della protezione dei dati Non richiesto Richiesto per alcuni
Base giuridica Non richiesta Da stabilire per ogni finalità
Applicazione AG statale, CPPA, consumatori Autorità di controllo

Punto chiave

Il GDPR è generalmente più completo e rigoroso. Se sei già conforme al GDPR, sei sulla buona strada per la conformità al CCPA, ma dovrai comunque affrontare requisiti specifici del CCPA come il link "Do Not Sell" e il linguaggio delle informative del CCPA.

Errori comuni di conformità al CCPA

Evita questi errori frequenti:

  1. Mancanza del link "Do Not Sell" - Richiesto anche se affermi di non "vendere" dati in senso tradizionale
  2. Informativa sulla privacy inadeguata - Deve includere tutte le 11 categorie di informative richieste
  3. Assenza di procedura di verifica - Devi verificare l'identità del consumatore prima di rispondere alle richieste
  4. Addebito per le richieste - Non puoi addebitare costi per le prime due richieste all'anno
  5. Discriminazione dei richiedenti - Non puoi negare il servizio o applicare prezzi diversi ai consumatori che esercitano i propri diritti
  6. Ignorare gli agenti autorizzati - Devi onorare le richieste degli agenti autorizzati dai consumatori
  7. Mancato rispetto del Global Privacy Control - Il CPRA richiede il riconoscimento dei segnali di rinuncia basati sul browser
  8. Mancanza di aggiornamenti contrattuali - Gli accordi con i fornitori di servizi devono includere un linguaggio specifico del CCPA

Il CCPA e altre leggi statali sulla privacy

Il CCPA ha ispirato leggi simili in tutti gli Stati Uniti:

  • Virginia (VCDPA) - In vigore dal 1 gennaio 2023
  • Colorado (CPA) - In vigore dal 1 luglio 2023
  • Connecticut (CTDPA) - In vigore dal 1 luglio 2023
  • Utah (UCPA) - In vigore dal 31 dicembre 2023
  • Iowa, Montana, Oregon, Tennessee, Texas - Varie date di entrata in vigore tra il 2024 e il 2025

Molte aziende adottano un approccio a livello nazionale utilizzando il CCPA come base di riferimento per evitare di mantenere programmi di conformità separati per ogni stato.

Iniziare con la conformità al CCPA

Il primo passo più importante è creare un'informativa sulla privacy conforme che:

  1. Divulghi chiaramente le tue pratiche sui dati - Cosa raccogli, perché e come
  2. Spieghi i diritti dei consumatori - Tutti i diritti disponibili ai sensi del CCPA/CPRA
  3. Fornisca meccanismi di contatto - Come i consumatori possono esercitare i propri diritti
  4. Elenchi le vendite/condivisioni di dati - Se applicabile, quali categorie vendi o condividi
  5. Si aggiorni annualmente - Rivedi e aggiorna almeno una volta ogni 12 mesi

Da lì, implementa i processi tecnici e operativi per onorare i diritti dei consumatori e mantenere la conformità.

Domande frequenti

Cosa significa la sigla CCPA?

CCPA è l'acronimo di California Consumer Privacy Act. Si tratta di una legge completa sulla protezione dei dati entrata in vigore il 1 gennaio 2020, che offre ai residenti della California il controllo sulle proprie informazioni personali.

A chi si applica il CCPA?

Il CCPA si applica alle imprese a scopo di lucro che operano in California e soddisfano almeno una di queste soglie: fatturato annuo superiore a $25 million, acquisto o vendita di informazioni personali di oltre 100,000 consumatori della California, oppure derivazione di oltre il 50% del fatturato dalla vendita di informazioni personali.

Quali sono le sanzioni per le violazioni del CCPA?

Le violazioni del CCPA possono comportare sanzioni fino a $2,500 per violazione o $7,500 per violazione intenzionale. Le violazioni dovute a violazioni dei dati possono dare luogo a cause da parte dei consumatori con risarcimenti da $100-$750 per incidente, per consumatore.

Qual è la differenza tra CCPA e CPRA?

Il CPRA (California Privacy Rights Act) è una modifica del CCPA entrata in vigore il 1 gennaio 2023. Amplia i diritti dei consumatori, crea la California Privacy Protection Agency e introduce requisiti più rigorosi per le informazioni personali sensibili.

Devo essere conforme sia al CCPA che al GDPR?

Se servi sia residenti della California sia residenti dell'UE, devi rispettare entrambe le leggi. Il CCPA è generalmente meno rigoroso del GDPR, quindi se sei già conforme al GDPR, probabilmente sei vicino alla conformità al CCPA.

Conclusione

Il CCPA rappresenta un cambiamento significativo nel diritto statunitense sulla privacy, offrendo ai consumatori della California un controllo concreto sulle proprie informazioni personali. Sebbene la conformità richieda impegno, come aggiornare le informative, implementare i meccanismi per le richieste, formare il personale, il principio fondamentale è semplice: essere trasparenti sulle pratiche relative ai dati e rispettare le scelte dei consumatori.

Per la maggior parte delle aziende, lo sforzo maggiore è il lavoro iniziale di conformità. Una volta aggiornata l'informativa sulla privacy, implementati i flussi di lavoro per le richieste e aggiunti i link richiesti, la conformità continua diventa una routine.

La chiave è iniziare ora. Con la CPPA che applica attivamente la legge e i consumatori sempre più consapevoli dei propri diritti, la conformità al CCPA non è più facoltativa per le aziende che servono i residenti della California.

Pronto a creare la tua informativa sulla privacy conforme al CCPA? Usa il nostro generatore gratuito per creare un'informativa completa che copra tutti i requisiti del CCPA in pochi minuti.

Related Tools

Privacy Policy Generator

Create a comprehensive privacy policy for your website or app

Cookie Policy Generator

Create a cookie policy for GDPR compliance

Related Articles

Ecommerce

Requisiti dell'informativa sulla privacy per l'ecommerce: cosa devono includere i negozi online

Guida completa ai requisiti dell'informativa sulla privacy per i siti web di ecommerce. Scopri quali informazioni devono fornire i negozi online su pagamenti, spedizioni e marketing.

January 17, 202511 min read
Legal Compliance

GDPR vs CCPA: le differenze principali spiegate

Confronta le leggi sulla privacy GDPR e CCPA. Scopri le differenze principali in ambito di applicazione, modelli di consenso, diritti dei consumatori e sanzioni per garantire la conformità della tua azienda.

January 17, 202513 min read
Mobile Apps

Requisiti dell'informativa sulla privacy per app mobili: guida alla conformità iOS e Android

Scopri i requisiti dell'informativa sulla privacy per le app mobili. Tratta le regole di Apple App Store e Google Play Store e la conformità legale per app iOS e Android.

January 16, 202513 min read

Ready to Create Your Legal Documents?

Generate professional privacy policies, terms of service, and more in minutes. Free to start, no credit card required.

View All Generators

On This Page

  • Che cos'è il CCPA?
  • CCPA vs. CPRA: cosa è cambiato?
  • A chi si applica il CCPA?
  • Soglia di fatturato
  • Soglia dei dati dei consumatori
  • Fatturato derivante dalla vendita di dati
  • Note importanti
  • Quali informazioni personali protegge il CCPA?
  • Categorie di informazioni personali
  • Informazioni personali sensibili (ai sensi del CPRA)
  • Diritti dei consumatori ai sensi del CCPA
  • Diritto di conoscere
  • Diritto di cancellazione
  • Diritto di rinunciare alla vendita/condivisione
  • Diritto di rettifica
  • Diritto di limitare l'uso delle informazioni personali sensibili
  • Diritto alla non discriminazione
  • Obblighi aziendali ai sensi del CCPA
  • 1. Fornire un'informativa sulla privacy
  • 2. Aggiungere i link richiesti
  • 3. Onorare le richieste dei consumatori
  • 4. Formare i dipendenti
  • 5. Aggiornare i contratti con i fornitori di servizi
  • 6. Condurre valutazioni del rischio (CPRA)
  • Sanzioni e applicazione del CCPA
  • Sanzioni amministrative
  • Diritto privato di azione (violazioni dei dati)
  • Azioni significative di applicazione del CCPA
  • Come conformarsi al CCPA
  • Passo 1: Determinare se il CCPA si applica
  • Passo 2: Mappatura dei dati
  • Passo 3: Aggiornare l'informativa sulla privacy
  • Passo 4: Implementare i meccanismi per i diritti dei consumatori
  • Passo 5: Aggiungere i link richiesti
  • Passo 6: Rivedere i rapporti con le terze parti
  • Passo 7: Formare il tuo team
  • Passo 8: Implementare i controlli tecnici
  • CCPA vs. GDPR: differenze principali
  • Punto chiave
  • Errori comuni di conformità al CCPA
  • Il CCPA e altre leggi statali sulla privacy
  • Iniziare con la conformità al CCPA
  • Domande frequenti
  • Conclusione
TermsBox

Scansiona il tuo sito web, genera automaticamente documenti legali, aggiungi un banner di consenso e mantieni la conformità. Un'unica piattaforma per tutto.

Prodotto

  • Scanner di cookie
  • Banner di consenso
  • Generatore di informativa sui cookie
  • Prezzi

Generatori

  • Generatore di informativa sulla privacy
  • Generatore di termini e condizioni
  • Generatore di EULA
  • Generatore di esclusione di responsabilità
  • Generatore di politica di reso e rimborso

Azienda

  • Chi siamo
  • Contatti
  • Informativa sulla privacy
  • Termini di servizio
  • Informativa sui cookie
GDPR
ePrivacy
CCPA
LGPD
Google Consent Mode v2
IAB TCF 2.2
© 2026 TermsBox. Tutti i diritti riservati.