Skip to main content

CCPA, CPRA e leggi sulla privacy statunitensi: la conformità dei cookie oltre l'Europa

Gli Stati Uniti adottano un approccio alla privacy dei cookie profondamente diverso da quello europeo. Non esiste una legge federale sui cookie, né un obbligo universale di consenso, né un'unica autorità per la protezione dei dati. Al suo posto, un mosaico sempre più esteso di leggi statali sulla privacy dà vita a un panorama di crescente complessità per gli operatori di siti web. Comprendere l'approccio statunitense — e le sue differenze rispetto al GDPR — è fondamentale per qualsiasi azienda con visitatori provenienti da entrambe le sponde dell'Atlantico.

Il panorama della privacy negli Stati Uniti: una panoramica

La distinzione più importante tra la normativa sui cookie statunitense ed europea riguarda il modello regolatorio:

  • Modello UE: opt-in. È necessario ottenere il consenso prima di installare cookie non essenziali. L'impostazione predefinita è l'assenza di tracciamento.
  • Modello USA: opt-out. È possibile raccogliere e condividere informazioni personali per impostazione predefinita, ma occorre garantire ai consumatori la possibilità di rinunciare. L'impostazione predefinita è il tracciamento, con un interruttore per disattivarlo.

Questa differenza di filosofia si riflette in ogni aspetto della regolamentazione dei cookie. Nell'UE, un banner dei cookie chiede l'autorizzazione. Negli Stati Uniti, un banner dei cookie (se presente) di norma informa gli utenti del loro diritto di rinunciare.

All'inizio del 2026, leggi statali complete sulla privacy sono state adottate in almeno 15 stati, con molti altri che le stanno attivamente valutando. Tuttavia, solo alcune hanno implicazioni specifiche per la conformità dei cookie.

California: CCPA e CPRA

La California è lo stato statunitense più rilevante in materia di regolamentazione della privacy. Il California Consumer Privacy Act (CCPA), in vigore dal 1° gennaio 2020, è stata la prima legge statale completa sulla privacy. È stata modificata in modo sostanziale dal California Privacy Rights Act (CPRA), entrato pienamente in vigore il 1° gennaio 2023, con l'applicazione da parte della California Privacy Protection Agency (CPPA) a partire dal 1° luglio 2023.

Il rapporto tra i cookie e il CCPA/CPRA

Il CCPA/CPRA non regolamenta i cookie in modo diretto. Regola invece la raccolta, la vendita e la condivisione di informazioni personali, che comprende i dati raccolti attraverso i cookie. I concetti chiave sono:

  • Le "informazioni personali" ai sensi del CCPA/CPRA includono identificativi online, indirizzi IP, cronologia di navigazione e informazioni sull'interazione di un consumatore con un sito web — tutti dati comunemente raccolti tramite i cookie.
  • La "vendita" è definita in senso ampio come la messa a disposizione di informazioni personali a un terzo dietro corrispettivo monetario o altro corrispettivo di valore. Se i cookie pubblicitari di terze parti presenti sul tuo sito condividono i dati dei visitatori con reti pubblicitarie, ciò può costituire una "vendita" ai sensi del CCPA.
  • La "condivisione" (introdotta dal CPRA) riguarda la messa a disposizione di informazioni personali a terzi per la pubblicità comportamentale cross-context, indipendentemente dal fatto che vi sia uno scambio di denaro. Ciò include esplicitamente i cookie pubblicitari nell'ambito di applicazione.

Requisiti principali

  1. Link "Do Not Sell or Share My Personal Information": se il tuo sito web vende o condivide informazioni personali (il che include la maggior parte degli scenari relativi ai cookie pubblicitari), devi fornire un link chiaramente etichettato nella homepage che consenta ai consumatori di rinunciare. È l'equivalente statunitense di un meccanismo di consenso ai cookie, sebbene operi su base opt-out anziché opt-in.
  2. Global Privacy Control (GPC): ai sensi delle disposizioni del CPRA definite dalla CPPA, le aziende devono trattare i segnali GPC inviati dal browser di un utente come una valida richiesta di opt-out. Il GPC è un segnale a livello di browser (concettualmente simile al vecchio Do Not Track, ma giuridicamente vincolante ai sensi del CCPA/CPRA). Se il browser di un utente invia un segnale GPC, devi interrompere la vendita o la condivisione delle sue informazioni personali — il che significa disattivare i cookie pubblicitari e di tracciamento per quell'utente.
  3. Informativa nell'informativa sulla privacy: la tua informativa sulla privacy deve indicare le categorie di informazioni personali raccolte, le finalità della raccolta, le categorie di terzi con cui le informazioni sono condivise e se le informazioni sono vendute o condivise.
  4. Informazioni personali sensibili: il CPRA introduce il diritto "Limit the Use of My Sensitive Personal Information". Se i cookie raccolgono informazioni sensibili (come la geolocalizzazione precisa), i consumatori devono poterne limitare l'uso.
  5. Minori: per i consumatori di età inferiore ai 16 anni, il CCPA/CPRA passa a un modello opt-in. Non puoi vendere o condividere le informazioni personali di un consumatore che sai avere meno di 16 anni senza un consenso affermativo (dal consumatore stesso se ha tra 13 e 15 anni, da un genitore o tutore se ha meno di 13 anni).

Chi deve conformarsi

Il CCPA/CPRA si applica alle aziende a scopo di lucro che operano in California e che soddisfano una delle seguenti soglie: fatturato lordo annuo superiore a 25 milioni di dollari; acquisto, vendita o condivisione delle informazioni personali di 100.000 o più consumatori o nuclei familiari; oppure derivazione del 50% o più del fatturato annuo dalla vendita o condivisione delle informazioni personali dei consumatori.

Altre leggi statali sulla privacy negli Stati Uniti

Diversi altri stati hanno adottato leggi complete sulla privacy con implicazioni per la conformità dei cookie. Sebbene nessuna sia dettagliata quanto il CCPA/CPRA, tutte stabiliscono temi coerenti in materia di diritti di opt-out e trasparenza dei dati.

Colorado Privacy Act (CPA)

In vigore dal: 1° luglio 2023. Applicato da: Procuratore Generale del Colorado.

Richiede diritti di opt-out per la pubblicità mirata e la vendita di dati personali. Le aziende devono rispettare i meccanismi di opt-out universale (come il GPC). Le disposizioni del Colorado richiedono espressamente un metodo di opt-out "chiaro e ben visibile" e riconoscono i segnali di opt-out universale, rendendo la conformità al GPC di fatto obbligatoria per le aziende interessate.

Connecticut Data Privacy Act (CTDPA)

In vigore dal: 1° luglio 2023. Applicato da: Procuratore Generale del Connecticut.

Simile alla legge del Colorado. Richiede l'opt-out per la pubblicità mirata, la vendita di dati personali e la profilazione. Richiede il riconoscimento dei meccanismi di opt-out universale a partire dal 1° gennaio 2025. Prevede protezioni specifiche per i dati sensibili che richiedono il consenso opt-in.

Virginia Consumer Data Protection Act (VCDPA)

In vigore dal: 1° gennaio 2023. Applicato da: Procuratore Generale della Virginia.

Prevede diritti di opt-out per la pubblicità mirata e la vendita di dati personali. Non richiede il riconoscimento dei segnali di opt-out universale (a differenza di California, Colorado e Connecticut). Richiede il consenso per il trattamento dei dati sensibili.

Texas Data Privacy and Security Act (TDPSA)

In vigore dal: 1° luglio 2024. Applicato da: Procuratore Generale del Texas.

Notevolmente ampio nell'ambito di applicazione, senza soglie di fatturato — si applica a qualsiasi entità che opera in Texas, tratta dati personali e non è una piccola impresa secondo la definizione dell'SBA. Richiede l'opt-out per la pubblicità mirata e la vendita di dati. Richiede il riconoscimento dei meccanismi di opt-out universale.

Oregon Consumer Privacy Act (OCPA)

In vigore dal: 1° luglio 2024. Applicato da: Procuratore Generale dell'Oregon.

Si applica alle aziende che controllano o trattano i dati di oltre 100.000 consumatori dell'Oregon, oppure di oltre 25.000 consumatori se derivano oltre il 25% del fatturato dalla vendita di dati. Prevede diritti di opt-out standard e richiede un periodo di rettifica di 30 giorni per le violazioni.

Confronto: stati USA vs. GDPR

Requisito GDPR/ePrivacy CCPA/CPRA Altri stati USA
Modello di consenso Opt-in (consenso preventivo) Opt-out Opt-out
Consenso ai cookie richiesto prima dell'installazione No No
Banner dei cookie richiesto Di fatto sì No (richiesto link di opt-out) No
Consenso granulare per categoria No No
Diritto di rinunciare al tracciamento Sì (non prestando il consenso) Sì ("Do Not Sell/Share") Sì (pubblicità mirata/vendita di dati)
GPC/opt-out universale richiesto Non specificato Variabile (CA, CO, CT, TX: sì)
Informativa sulla privacy richiesta
Dati sensibili: opt-in richiesto Sì (consenso esplicito) Diritto di limitarne l'uso Variabile (nella maggior parte: opt-in)
Applicazione DPA + azione privata (limitata) CPPA + AG + diritto di azione privata (violazioni dei dati) Solo Procuratore Generale
Sanzioni massime 4% del fatturato globale / 20 milioni di € 2.500 $/violazione; 7.500 $/intenzionale Variabile; in genere 7.500-10.000 $

Approccio pratico: la conformità al GDPR copre la maggior parte dei requisiti statunitensi

Se il tuo sito web è già conforme al GDPR, sei in una buona posizione anche per la conformità statunitense. Il modello opt-in del GDPR è più rigoroso di qualsiasi modello opt-out statale. Tuttavia, esistono requisiti specifici degli Stati Uniti che il GDPR non affronta:

  1. Link "Do Not Sell or Share": il GDPR richiede la gestione del consenso, ma non uno specifico link "Do Not Sell or Share". Se hai visitatori dalla California e soddisfi le soglie del CCPA, hai bisogno di questo link.
  2. Riconoscimento del segnale GPC: sebbene il GDPR non richieda il riconoscimento dei segnali del browser, diversi stati statunitensi lo impongono. L'implementazione del riconoscimento del GPC è semplice e dimostra rispetto per le preferenze degli utenti.
  3. Informative specifiche nell'informativa sulla privacy: il CCPA/CPRA richiede informative formattate in modi specifici (categorie di informazioni raccolte nei 12 mesi precedenti, categorie di fonti, ecc.) che differiscono dai requisiti dell'informativa sulla privacy del GDPR.
  4. "Do Not Track" vs. GPC: il vecchio segnale del browser Do Not Track (DNT) non è mai stato giuridicamente vincolante. Il GPC è il suo successore ed è giuridicamente vincolante ai sensi del CCPA/CPRA e di diverse altre leggi statali. Assicurati che la tua piattaforma di gestione del consenso riconosca e agisca in base ai segnali GPC.

La prospettiva di una legge federale statunitense sulla privacy

L'American Data Privacy and Protection Act (ADPPA) si è avvicinato all'approvazione più di qualsiasi precedente proposta di legge federale sulla privacy quando ha superato la House Energy and Commerce Committee nel luglio 2022, ma alla fine si è arenato. Le successive sessioni del Congresso hanno visto nuove proposte, ma all'inizio del 2026 nessuna legge federale sulla privacy è stata adottata.

I principali ostacoli rimangono:

  • Prevalenza (preemption): se una legge federale debba prevalere sulle leggi statali (la California si oppone a una prevalenza che indebolirebbe il CCPA/CPRA).
  • Diritto di azione privata: se gli individui debbano poter citare direttamente in giudizio le aziende per violazioni della privacy.
  • Opt-in vs. opt-out: se lo standard federale debba adottare un modello opt-in per i dati sensibili o mantenere l'approccio opt-out.

Finché non verrà adottata una legge federale, le aziende dovranno destreggiarsi in un mosaico stato per stato. Il consiglio pratico rimane: creare un sistema di gestione del consenso in grado di soddisfare i requisiti più restrittivi (opt-in del GDPR) e aggiungere funzionalità specifiche per gli Stati Uniti (link di opt-out, supporto GPC) secondo necessità.

Raccomandazioni per la conformità globale

Per i siti web che si rivolgono a visitatori sia dell'UE sia degli Stati Uniti, l'approccio più efficiente è:

  1. Implementare una gestione del consenso conforme al GDPR come base di partenza. Questo ti offre il modello più rigoroso, che di per sé soddisfa i requisiti meno stringenti.
  2. Aggiungere un meccanismo "Do Not Sell or Share" se soddisfi le soglie del CCPA o hai un traffico significativo dalla California.
  3. Implementare il riconoscimento del segnale GPC per tutti i visitatori. È un'implementazione tecnica semplice con notevoli vantaggi legali.
  4. Utilizzare la geolocalizzazione per offrire esperienze di consenso adeguate. I visitatori dell'UE vedono un banner opt-in; i visitatori statunitensi vedono un avviso meno invasivo con opzioni di opt-out. Ciò bilancia la conformità con l'esperienza utente.
  5. Mantenere informative complete sulla privacy che soddisfino sia i requisiti del GDPR sia quelli del CCPA/CPRA.

La tendenza globale è inequivocabilmente orientata verso una maggiore tutela della privacy e un maggiore controllo degli utenti sulle tecnologie di tracciamento. Creare fin da ora un solido sistema di gestione del consenso è un investimento che darà i suoi frutti man mano che continueranno a emergere nuove normative.

Il tuo sito web è conforme alle normative sui cookie?

Scansiona il tuo sito web gratuitamente e trova tutti i cookie in pochi minuti.

Scansiona i tuoi cookie gratis