Skip to main content

CCPA, CPRA u l-Liġijiet dwar il-Privatezza fl-Istati Uniti: Konformità tal-Cookies Lil Hinn mill-Ewropa

L-Istati Uniti jieħdu approċċ fundamentalment differenti għall-privatezza tal-cookies minn dak tal-Ewropa. M'hemmx liġi federali dwar il-cookies, l-ebda rekwiżit universali ta' kunsens, u l-ebda awtorità unika għall-protezzjoni tad-data. Minflok, taħlita dejjem tikber ta' liġijiet dwar il-privatezza fil-livell ta' stat toħloq pajsaġġ dejjem aktar kumpless għall-operaturi tal-websites. Il-fehim tal-approċċ Amerikan — u kif dan jiddiferixxi mill-GDPR — huwa essenzjali għal kwalunkwe negozju li għandu viżitaturi miż-żewġ naħat tal-Atlantiku.

Il-Pajsaġġ tal-Privatezza fl-Istati Uniti: Ħarsa Ġenerali

L-aktar distinzjoni importanti bejn il-liġi tal-cookies fl-Istati Uniti u fl-UE hija l-mudell regolatorju:

  • Mudell tal-UE: Opt-in. Trid tikseb kunsens qabel ma tissettja cookies mhux essenzjali. Bħala default, ma jkun hemm l-ebda traċċar.
  • Mudell tal-Istati Uniti: Opt-out. Tista' tiġbor u taqsam informazzjoni personali bħala default, imma trid tagħti lill-konsumaturi l-abbiltà li joħorġu (opt out). Id-default huwa t-traċċar, b'buttuna biex tintefa.

Din id-differenza fil-filosofija tidher f'kull aspett tar-regolamentazzjoni tal-cookies. Fl-UE, banner tal-cookies jitlob permess. Fl-Istati Uniti, banner tal-cookies (jekk jeżisti xejn) tipikament jinforma lill-utenti bid-dritt tagħhom li joħorġu (opt out).

Sal-bidu tal-2026, liġijiet komprensivi dwar il-privatezza fil-livell ta' stat ġew promulgati f'mill-inqas 15-il stat, b'aktar taħt kunsiderazzjoni attiva. Madankollu, ftit biss għandhom implikazzjonijiet speċifiċi għall-konformità tal-cookies.

California: CCPA u CPRA

California hija l-aktar stat sinifikanti fl-Istati Uniti għar-regolamentazzjoni tal-privatezza. Il-California Consumer Privacy Act (CCPA), fis-seħħ mill-1 ta' Jannar 2020, kien l-ewwel liġi komprensiva dwar il-privatezza fil-livell ta' stat. Ġie emendat sostanzjalment mill-California Privacy Rights Act (CPRA), li daħal fis-seħħ b'mod sħiħ fl-1 ta' Jannar 2023, bl-infurzar mill-California Privacy Protection Agency (CPPA) li beda fl-1 ta' Lulju 2023.

Kif il-Cookies Jirrelataw mal-CCPA/CPRA

Il-CCPA/CPRA ma jirregolawx il-cookies direttament. Minflok, jirregolaw il-ġbir, il-bejgħ u l-qsim ta' informazzjoni personali, li tinkludi data miġbura permezz tal-cookies. Il-kunċetti ewlenin huma:

  • "Informazzjoni personali" taħt il-CCPA/CPRA tinkludi identifikaturi onlajn, indirizzi IP, storja tan-navigazzjoni, u informazzjoni dwar l-interazzjoni ta' konsumatur ma' website — li kollha komunement jinġabru permezz tal-cookies.
  • "Bejgħ" huwa definit b'mod wiesa' bħala li tagħmel informazzjoni personali disponibbli lil parti terza għal kunsiderazzjoni monetarja jew oħra ta' valur. Jekk il-cookies tar-reklamar ta' partijiet terzi fuq is-sit tiegħek jaqsmu d-data tal-viżitaturi ma' netwerks tar-reklami, dan jista' jikkostitwixxi "bejgħ" taħt il-CCPA.
  • "Qsim" (miżjud mill-CPRA) ikopri li tagħmel informazzjoni personali disponibbli lil partijiet terzi għal reklamar imġiebi bejn kuntesti differenti, irrispettivament minn jekk jinbidilx il-flus. Dan iġib b'mod espliċitu l-cookies tar-reklamar fl-ambitu.

Rekwiżiti Ewlenin

  1. Link "Do Not Sell or Share My Personal Information": Jekk il-website tiegħek ibigħ jew jaqsam informazzjoni personali (li tinkludi ħafna mix-xenarji tal-cookies tar-reklamar), trid tipprovdi link b'tikketta ċara fuq il-paġna ewlenija tiegħek li tippermetti lill-konsumaturi joħorġu (opt out). Dan huwa l-ekwivalenti Amerikan ta' mekkaniżmu ta' kunsens tal-cookies, għalkemm jopera fuq bażi ta' opt-out aktar milli opt-in.
  2. Global Privacy Control (GPC): Taħt ir-regolamenti tal-CPRA finalizzati mill-CPPA, in-negozji jridu jittrattaw is-sinjali tal-GPC mibgħuta mill-browser ta' utent bħala talba valida ta' opt-out. GPC huwa sinjal fil-livell tal-browser (simili fil-kunċett għall-Do Not Track antik, imma legalment vinkolanti taħt il-CCPA/CPRA). Jekk il-browser ta' utent jibgħat sinjal GPC, trid twaqqaf il-bejgħ jew il-qsim tal-informazzjoni personali tiegħu — li jfisser li tiddiżattiva l-cookies tar-reklamar u tat-traċċar għal dak l-utent.
  3. Żvelar fil-politika tal-privatezza: Il-politika tal-privatezza tiegħek trid tiżvela l-kategoriji ta' informazzjoni personali miġbura, l-iskopijiet tal-ġbir, il-kategoriji ta' partijiet terzi li magħhom l-informazzjoni tinqasam, u jekk l-informazzjoni tinbiegħx jew tinqasamx.
  4. Informazzjoni personali sensittiva: Il-CPRA jintroduċi dritt "Limit the Use of My Sensitive Personal Information". Jekk il-cookies jiġbru informazzjoni sensittiva (bħal ġeolokalizzazzjoni preċiża), il-konsumaturi jridu jkunu jistgħu jillimitaw l-użu tagħha.
  5. Minorenni: Għall-konsumaturi taħt is-16-il sena, il-CCPA/CPRA jinbidlu għal mudell opt-in. Ma tistax tibgħi jew taqsam l-informazzjoni personali ta' konsumatur li taf li għandu inqas minn 16-il sena mingħajr kunsens affermattiv (mill-konsumatur jekk 13-15, minn ġenitur/kustodju jekk taħt it-13).

Min Irid Jikkonforma

Il-CCPA/CPRA japplikaw għal negozji bi profitt li jagħmlu negozju f'California u jilħqu kwalunkwe wieħed mil-limiti li ġejjin: dħul gross annwali li jaqbeż il-$25 miljun; xiri, bejgħ jew qsim tal-informazzjoni personali ta' 100,000 konsumatur jew unità domestika jew aktar; jew ġbir ta' 50% jew aktar tad-dħul annwali mill-bejgħ jew il-qsim tal-informazzjoni personali tal-konsumaturi.

Liġijiet Oħra dwar il-Privatezza fl-Istati Amerikani

Diversi stati oħra promulgaw liġijiet komprensivi dwar il-privatezza b'implikazzjonijiet għall-konformità tal-cookies. Filwaqt li l-ebda waħda mhi daqshekk dettaljata bħall-CCPA/CPRA, dawn jistabbilixxu temi konsistenti dwar id-drittijiet ta' opt-out u t-trasparenza tad-data.

Colorado Privacy Act (CPA)

Fis-seħħ: 1 ta' Lulju 2023. Infurzat minn: l-Avukat Ġenerali ta' Colorado.

Jeħtieġ drittijiet ta' opt-out għar-reklamar immirat u l-bejgħ ta' data personali. In-negozji jridu jonoraw mekkaniżmi universali ta' opt-out (bħal GPC). Ir-regoli ta' Colorado speċifikament jeħtieġu metodu ta' opt-out "ċar u prominenti" u jirrikonoxxu sinjali universali ta' opt-out, u b'hekk jagħmlu l-konformità mal-GPC effettivament mandatorja għan-negozji koperti.

Connecticut Data Privacy Act (CTDPA)

Fis-seħħ: 1 ta' Lulju 2023. Infurzat minn: l-Avukat Ġenerali ta' Connecticut.

Simili għal-liġi ta' Colorado. Jeħtieġ opt-out għar-reklamar immirat, il-bejgħ ta' data personali, u l-profiling. Jeħtieġ ir-rikonoxximent ta' mekkaniżmi universali ta' opt-out mill-1 ta' Jannar 2025. Jipprovdi protezzjonijiet speċifiċi għad-data sensittiva li teħtieġ kunsens opt-in.

Virginia Consumer Data Protection Act (VCDPA)

Fis-seħħ: 1 ta' Jannar 2023. Infurzat minn: l-Avukat Ġenerali ta' Virginia.

Jipprovdi drittijiet ta' opt-out għar-reklamar immirat u l-bejgħ ta' data personali. Ma jeħtieġx ir-rikonoxximent ta' sinjali universali ta' opt-out (b'differenza minn California, Colorado, u Connecticut). Jeħtieġ kunsens għall-ipproċessar ta' data sensittiva.

Texas Data Privacy and Security Act (TDPSA)

Fis-seħħ: 1 ta' Lulju 2024. Infurzat minn: l-Avukat Ġenerali ta' Texas.

Notevolment wiesa' fl-ambitu tiegħu mingħajr limitu ta' dħul — japplika għal kwalunkwe entità li tmexxi negozju f'Texas li tipproċessa data personali u mhijiex negozju żgħir kif definit mill-SBA. Jeħtieġ opt-out għar-reklamar immirat u l-bejgħ ta' data. Jeħtieġ ir-rikonoxximent ta' mekkaniżmi universali ta' opt-out.

Oregon Consumer Privacy Act (OCPA)

Fis-seħħ: 1 ta' Lulju 2024. Infurzat minn: l-Avukat Ġenerali ta' Oregon.

Japplika għal negozji li jikkontrollaw jew jipproċessaw id-data ta' 100,000+ konsumatur ta' Oregon, jew 25,000+ konsumatur jekk jiġbru 25%+ tad-dħul mill-bejgħ ta' data. Jipprovdi drittijiet standard ta' opt-out u jeħtieġ perjodu ta' rimedju ta' 30 jum għall-vjolazzjonijiet.

Paragun: Stati Amerikani vs. GDPR

Rekwiżit GDPR/ePrivacy CCPA/CPRA Stati Amerikani Oħra
Mudell ta' kunsens Opt-in (kunsens minn qabel) Opt-out Opt-out
Kunsens tal-cookies meħtieġ qabel is-settjar Iva Le Le
Banner tal-cookies meħtieġ Effettivament iva Le (link opt-out meħtieġ) Le
Kunsens granulari skont il-kategorija Iva Le Le
Dritt li toħroġ mit-traċċar Iva (billi ma tagħtix kunsens) Iva ("Do Not Sell/Share") Iva (reklami immirati/bejgħ ta' data)
GPC/opt-out universali meħtieġ Mhux speċifikat Iva Ivarja (CA, CO, CT, TX: iva)
Politika tal-privatezza meħtieġa Iva Iva Iva
Data sensittiva: opt-in meħtieġ Iva (kunsens espliċitu) Dritt li tillimita l-użu Ivarja (ħafna: opt-in)
Infurzar DPAs + azzjoni privata (limitata) CPPA + AG + dritt privat ta' azzjoni (ksur ta' data) Avukat Ġenerali biss
Multi massimi 4% tal-fatturat globali / €20M $2,500/vjolazzjoni; $7,500/intenzjonali Ivarja; tipikament $7,500-$10,000

Approċċ Prattiku: Il-Konformità mal-GDPR Tkopri l-Biċċa l-Kbira tar-Rekwiżiti Amerikani

Jekk il-website tiegħek diġà jikkonforma mal-GDPR, inti tinsab f'pożizzjoni tajba għall-konformità Amerikana. Il-mudell opt-in tal-GDPR huwa aktar strett minn kwalunkwe mudell opt-out ta' xi stat Amerikan. Madankollu, hemm rekwiżiti Amerikani speċifiċi li l-GDPR ma jindirizzax:

  1. Link "Do Not Sell or Share": Il-GDPR jeħtieġ ġestjoni tal-kunsens, imma mhux link speċifiku "Do Not Sell or Share". Jekk għandek viżitaturi minn California u tilħaq il-limiti tal-CCPA, teħtieġ dan il-link.
  2. Rikonoxximent tas-sinjal GPC: Filwaqt li l-GDPR ma jeħtieġx ir-rikonoxximent ta' sinjali tal-browser, diversi stati Amerikani jimponuh. L-implimentazzjoni tar-rikonoxximent tal-GPC hija sempliċi u turi rispett għall-preferenzi tal-utent.
  3. Żvelar speċifiku fil-politika tal-privatezza: Il-CCPA/CPRA jeħtieġu żvelar iffurmattjat b'modi speċifiċi (kategoriji ta' informazzjoni miġbura fit-12-il xahar preċedenti, kategoriji ta' sorsi, eċċ.) li jiddiferixxu mir-rekwiżiti tal-avviż ta' privatezza tal-GDPR.
  4. "Do Not Track" vs. GPC: Is-sinjal antik tal-browser Do Not Track (DNT) qatt ma kien legalment vinkolanti. GPC huwa s-suċċessur tiegħu u huwa legalment vinkolanti taħt il-CCPA/CPRA u diversi liġijiet oħra ta' stat. Aċċerta li l-pjattaforma ta' ġestjoni tal-kunsens tiegħek tirrikonoxxi u taġixxi fuq is-sinjali GPC.

Il-Prospett ta' Liġi Federali dwar il-Privatezza fl-Istati Uniti

L-American Data Privacy and Protection Act (ADPPA) resqet eqreb lejn l-approvazzjoni minn kwalunkwe abbozz federali dwar il-privatezza ta' qabel meta avvanzat mill-House Energy and Commerce Committee f'Lulju 2022, imma fl-aħħar mill-aħħar waqfet. Sessjonijiet sussegwenti tal-Kungress raw proposti mġedda, imma sal-bidu tal-2026, l-ebda liġi federali dwar il-privatezza ma ġiet promulgata.

L-ostakli ewlenin jibqgħu:

  • Preemption: Jekk liġi federali għandhiex tirbaħ fuq il-liġijiet tal-istati (California topponi preemption li ddgħajjef il-CCPA/CPRA).
  • Dritt privat ta' azzjoni: Jekk l-individwi għandhomx ikunu jistgħu jħarrku direttament lill-kumpaniji għal vjolazzjonijiet tal-privatezza.
  • Opt-in vs. opt-out: Jekk l-istandard federali għandux jadotta mudell opt-in għad-data sensittiva jew iżomm l-approċċ opt-out.

Sakemm tiġi promulgata liġi federali, in-negozji jridu jinnavigaw it-taħlita minn stat għal ieħor. Il-parir prattiku jibqa': ibni sistema ta' ġestjoni tal-kunsens li tista' tittratta l-aktar rekwiżiti restrittivi (opt-in tal-GDPR), u żid karatteristiċi speċifiċi għall-Istati Uniti (links opt-out, appoġġ għall-GPC) skont il-ħtieġa.

Rakkomandazzjonijiet għal Konformità Globali

Għal websites li jservu kemm viżitaturi mill-UE kif ukoll mill-Istati Uniti, l-aktar approċċ effiċjenti huwa:

  1. Implimenta ġestjoni tal-kunsens konformi mal-GDPR bħala l-bażi tiegħek. Dan jagħtik l-aktar mudell strett, li b'mod inherenti jissodisfa rekwiżiti inqas stretti.
  2. Żid mekkaniżmu "Do Not Sell or Share" jekk tilħaq il-limiti tal-CCPA jew għandek traffiku sinifikanti minn California.
  3. Implimenta r-rikonoxximent tas-sinjal GPC għall-viżitaturi kollha. Hija implimentazzjoni teknika sempliċi b'benefiċċji legali sinifikanti.
  4. Uża l-ġeolokalizzazzjoni biex tservi esperjenzi ta' kunsens xierqa. Il-viżitaturi mill-UE jaraw banner opt-in; il-viżitaturi Amerikani jaraw avviż inqas intrużiv b'għażliet ta' opt-out. Dan jibbilanċja l-konformità mal-esperjenza tal-utent.
  5. Żomm żvelar komprensiv tal-privatezza li jissodisfa kemm ir-rekwiżiti tal-GDPR kif ukoll dawk tal-CCPA/CPRA.

It-tendenza globali hija mingħajr dubju lejn protezzjoni akbar tal-privatezza u kontroll tal-utent fuq it-teknoloġiji tat-traċċar. Il-bini ta' ġestjoni robusta tal-kunsens issa huwa investiment li jrendi dividendi hekk kif jibqgħu joħorġu regolamenti ġodda.

Il-website tiegħek tikkonforma mar-regoli tal-cookies?

Skannja l-website tiegħek b'xejn u sib il-cookies kollha fi ftit minuti.

Skannja l-cookies tiegħek b'xejn