CCPA

Il popolo dello Stato della California agisce come segue:

SEZIONE 1. Questa misura è nota e può essere citata come “The California Consumer Privacy Act del 2018”.
SEC. 2. Il Legislatore rileva e dichiara che:
(a) Nel 1972, gli elettori della California hanno modificato la Costituzione della California per includere il diritto alla privacy tra i diritti “inalienabili” di tutte le persone. L’emendamento ha stabilito un diritto legale e applicabile alla privacy per ogni californiano. Fondamentale per questo diritto alla privacy è la capacità delle persone di controllare l’uso, inclusa la vendita, delle proprie informazioni personali.
(b) Da quando gli elettori della California hanno approvato il diritto alla privacy, il legislatore della California ha adottato meccanismi specifici per salvaguardare la privacy dei californiani, tra cui l’Online Privacy Protection Act, il Privacy Rights for California Minors in the Digital World Act e Shine the Light, un La legge della California intendeva fornire ai californiani “chi, cosa, dove e quando” di come le aziende gestiscono le informazioni personali dei consumatori.
(c) Allo stesso tempo, la California è uno dei leader mondiali nello sviluppo di nuove tecnologie e industrie correlate. Tuttavia, la proliferazione delle informazioni personali ha limitato la capacità dei californiani di proteggere e salvaguardare adeguatamente la propria privacy. È quasi impossibile fare domanda per un lavoro, crescere un figlio, guidare un’auto o fissare un appuntamento senza condividere le informazioni personali.
(d) Con l’aumento del ruolo della tecnologia e dei dati nella vita quotidiana dei consumatori, aumenta la quantità di informazioni personali condivise dai consumatori con le imprese. La legge della California non ha tenuto il passo con questi sviluppi e le implicazioni sulla privacy personale che circondano la raccolta, l’uso e la protezione delle informazioni personali.
(e) Molte aziende raccolgono informazioni personali dai consumatori della California. Possono sapere dove vive un consumatore e quanti figli ha un consumatore, quanto velocemente guida un consumatore, la personalità di un consumatore, le abitudini del sonno, informazioni biometriche e sanitarie, informazioni finanziarie, informazioni di geolocalizzazione precise e social network, solo per citarne alcune categorie.
(f) La divulgazione non autorizzata di informazioni personali e la perdita della privacy possono avere effetti devastanti per gli individui, che vanno da frode finanziaria, furto di identità e costi inutili al tempo personale e alle finanze, alla distruzione di proprietà, molestie, danni alla reputazione, stress emotivo e anche potenziali danni fisici.
(g) Nel marzo 2018, è emerso che decine di milioni di persone hanno avuto un uso improprio dei loro dati personali da una società di data mining chiamata Cambridge Analytica. Una serie di udienze del Congresso ha evidenziato che le nostre informazioni personali possono essere vulnerabili a un uso improprio se condivise su Internet. Di conseguenza, il nostro desiderio di controlli sulla privacy e trasparenza nelle pratiche dei dati è accresciuto.
(h) Le persone desiderano la privacy e un maggiore controllo sulle proprie informazioni. I consumatori della California dovrebbero essere in grado di esercitare il controllo sulle loro informazioni personali e vogliono essere certi che ci siano garanzie contro l’uso improprio delle loro informazioni personali. È possibile per le aziende rispettare la privacy dei consumatori e fornire un elevato livello di trasparenza alle proprie pratiche commerciali.
(i) Pertanto, è intenzione del legislatore promuovere il diritto alla privacy dei californiani offrendo ai consumatori un modo efficace per controllare le loro informazioni personali, garantendo i seguenti diritti:
(1) Il diritto dei californiani di sapere quali informazioni personali vengono raccolte su di loro.
(2) Il diritto dei californiani di sapere se le loro informazioni personali vengono vendute o divulgate ea chi.
(3) Il diritto dei californiani di dire no alla vendita di informazioni personali.
(4) Il diritto dei californiani di accedere alle proprie informazioni personali.
(5) Il diritto dei californiani a parità di servizio e prezzo, anche se esercitano i loro diritti alla privacy.
SEC. 3. Il titolo 1.81.5 (che inizia con la sezione 1798.100) è aggiunto alla parte 4 della divisione 3 del codice civile, per leggere:
TITOLO 1.81.5. Legge sulla privacy dei consumatori della California del 2018

1798.100. (a) Un consumatore ha il diritto di richiedere che un’azienda che raccoglie le informazioni personali di un consumatore gli comunichi le categorie e le informazioni personali specifiche che l’azienda ha raccolto.
(b) Un’impresa che raccoglie le informazioni personali di un consumatore informa i consumatori, presso o prima del punto di raccolta, delle categorie di informazioni personali da raccogliere e delle finalità per le quali le categorie di informazioni personali devono essere utilizzate. Un’azienda non deve raccogliere ulteriori categorie di informazioni personali o utilizzare le informazioni personali raccolte per scopi aggiuntivi senza fornire al consumatore un avviso coerente con questa sezione.
(c) Un’impresa fornisce le informazioni specificate nella sottosezione (a) a un consumatore solo dopo aver ricevuto una richiesta verificabile del consumatore.
(d) Un’impresa che riceve una richiesta verificabile del consumatore da parte di un consumatore di accedere alle informazioni personali deve prontamente adottare misure per divulgare e fornire, gratuitamente al consumatore, le informazioni personali richieste dalla presente sezione. Le informazioni possono essere consegnate per posta o elettronicamente e, se fornite elettronicamente, le informazioni devono essere in un formato portatile e, nella misura tecnicamente fattibile, in un formato facilmente utilizzabile che consenta al consumatore di trasmettere tali informazioni a un’altra entità senza impedimenti. Un’azienda può fornire informazioni personali a un consumatore in qualsiasi momento, ma non è tenuta a fornire informazioni personali a un consumatore più di due volte in un periodo di 12 mesi.
(e) Questa sezione non richiede a un’azienda di conservare le informazioni personali raccolte per una singola transazione una tantum, se tali informazioni non vengono vendute o conservate dall’azienda o di reidentificare o collegare in altro modo le informazioni che non sono mantenute in un modo che sarebbero considerate informazioni personali.
(1) Conservare tutte le informazioni personali raccolte per una singola transazione una tantum, se le informazioni non vengono vendute o conservate dall’azienda.
(2) Reidentificare o collegare in altro modo tutti i dati che, nel normale svolgimento dell’attività, non vengono conservati in modo tale da essere considerati informazioni personali.

1798.105. (a) Un consumatore ha il diritto di richiedere che un’azienda cancelli tutte le informazioni personali sul consumatore che l’azienda ha raccolto dal consumatore.
(b) Un’azienda che raccoglie informazioni personali sui consumatori deve divulgare, ai sensi del comma (A) del paragrafo (5) della suddivisione (a) della Sezione 1798.130, i diritti del consumatore di richiedere la cancellazione delle informazioni personali del consumatore.
(c) Un’impresa che riceve una richiesta verificabile da un consumatore di cancellare le informazioni personali del consumatore ai sensi della sottosezione (a) della presente sezione, cancella le informazioni personali del consumatore dai suoi archivi e ordina a qualsiasi fornitore di servizi di cancellare le informazioni personali del consumatore dai loro record.
(d) Un’impresa o un fornitore di servizi non è tenuto a soddisfare la richiesta di un consumatore di cancellare le informazioni personali del consumatore se è necessario che l’impresa o il fornitore di servizi conservi le informazioni personali del consumatore al fine di:
(1) Completare la transazione per la quale sono state raccolte le informazioni personali, fornire un bene o un servizio richiesto dal consumatore, o ragionevolmente previsto nel contesto di un rapporto commerciale in corso con il consumatore, o altrimenti eseguire un contratto tra l’azienda e il consumatore.
(2) Rileva incidenti di sicurezza, protegge da attività dannose, ingannevoli, fraudolente o illegali; o perseguire i responsabili di tale attività.
(3) Eseguire il debug per identificare e riparare gli errori che compromettono la funzionalità prevista esistente.
(4) Esercitare la libertà di parola, garantire il diritto di un altro consumatore di esercitare il proprio diritto alla libertà di parola o esercitare un altro diritto previsto dalla legge.
(5) Rispettare il California Electronic Communications Privacy Act ai sensi del Capitolo 3.6 (a partire dalla Sezione 1546) del Titolo 12 della Parte 2 del Codice Penale.
(6) Impegnarsi in ricerche scientifiche, storiche o statistiche pubbliche o sottoposte a revisione paritaria nell’interesse pubblico che aderiscono a tutte le altre leggi sull’etica e sulla privacy applicabili, quando è probabile che la cancellazione delle informazioni da parte delle aziende renda impossibile o pregiudichi gravemente il raggiungimento di tale ricerca, se il consumatore ha fornito il consenso informato.
(7) Consentire usi esclusivamente interni ragionevolmente allineati con le aspettative del consumatore in base al rapporto del consumatore con l’impresa.
(8) Rispettare un obbligo legale.
(9) In caso contrario utilizzare le informazioni personali del consumatore, internamente, in modo lecito e compatibile con il contesto in cui il consumatore ha fornito le informazioni.

1798.110. (a) Un consumatore ha il diritto di richiedere che un’impresa che raccoglie informazioni personali sul consumatore gli comunichi quanto segue:
(1) Le categorie di informazioni personali che ha raccolto su quel consumatore.
(2) Le categorie di fonti da cui vengono raccolte le informazioni personali.
(3) Lo scopo aziendale o commerciale per la raccolta o la vendita di informazioni personali.
(4) Le categorie di terzi con cui l’azienda condivide le informazioni personali.
(5) Le informazioni personali specifiche che ha raccolto su quel consumatore.
(b) Un’azienda che raccoglie informazioni personali su un consumatore deve divulgare al consumatore, ai sensi del paragrafo (3) della suddivisione (a) della Sezione 1798.130, le informazioni specificate nella suddivisione (a) al ricevimento di una richiesta verificabile da parte del consumatore.
(c) Un’azienda che raccoglie informazioni personali sui consumatori deve divulgare, ai sensi del comma (B) del paragrafo (5) della suddivisione (a) della Sezione 1798.130:
(1) Le categorie di informazioni personali che ha raccolto su quel consumatore.
(2) Le categorie di fonti da cui vengono raccolte le informazioni personali.
(3) Lo scopo aziendale o commerciale per la raccolta o la vendita di informazioni personali.
(4) Le categorie di terzi con cui l’azienda condivide le informazioni personali.
(5) Le informazioni personali specifiche che l’azienda ha raccolto su quel consumatore.
(d) Questa sezione non richiede che un’azienda esegua quanto segue:
(1) Conservare le informazioni personali su un consumatore raccolte per una singola transazione una tantum se, nel normale svolgimento dell’attività, tali informazioni sul consumatore non vengono conservate.
(2) Reidentificare o collegare in altro modo tutti i dati che, nel normale svolgimento dell’attività, non vengono conservati in modo tale da essere considerati informazioni personali.

1798.115. (a) Un consumatore ha il diritto di richiedere che un’azienda che vende le informazioni personali del consumatore, o che le divulga per scopi commerciali, gli comunichi:
(1) Le categorie di informazioni personali raccolte dall’azienda sul consumatore.
(2) Le categorie di informazioni personali che l’azienda ha venduto sul consumatore e le categorie di terzi a cui le informazioni personali sono state vendute, per categoria o categorie di informazioni personali per ciascuna terza parte a cui le informazioni personali sono state vendute.
(3) Le categorie di informazioni personali che l’azienda ha divulgato sul consumatore per scopi commerciali.
(b) Un’azienda che vende informazioni personali su un consumatore, o che divulga le informazioni personali di un consumatore per scopi commerciali, deve divulgare, ai sensi del paragrafo (4) della suddivisione (a) della Sezione 1798.130, le informazioni specificate nella suddivisione (a) al consumatore al ricevimento di una richiesta verificabile da parte del consumatore.
(c) Un’impresa che vende le informazioni personali dei consumatori, o che divulga le informazioni personali dei consumatori per scopi commerciali, deve divulgare, ai sensi del paragrafo (C) del paragrafo (5) della sottodivisione (a) della Sezione 1798.130:
(1) La categoria o le categorie di informazioni personali dei consumatori che ha venduto, o se l’azienda non ha venduto le informazioni personali dei consumatori, deve rivelare tale fatto.
(2) La categoria o le categorie di informazioni personali dei consumatori che ha divulgato per scopi commerciali, o se l’azienda non ha divulgato le informazioni personali dei consumatori per scopi commerciali, deve divulgare tale fatto.
(d) Una terza parte non può vendere informazioni personali su un consumatore che sono state vendute a terzi da un’azienda a meno che il consumatore non abbia ricevuto un avviso esplicito e gli sia data l’opportunità di esercitare il diritto di rinuncia ai sensi di 1798.120.

1798.120. (a) Un consumatore ha il diritto, in qualsiasi momento, di indirizzare un’attività che vende informazioni personali sul consumatore a terzi affinché non vendano le informazioni personali del consumatore. Questo diritto può essere denominato diritto di recesso.
(b) Un’azienda che vende le informazioni personali dei consumatori a terzi deve fornire un avviso ai consumatori, ai sensi della suddivisione (a) della Sezione 1798.135, che queste informazioni possono essere vendute e che i consumatori hanno il diritto di rinunciare alla vendita delle loro informazioni personali.
(c) Un’impresa che ha ricevuto istruzioni da un consumatore di non vendere le informazioni personali del consumatore o, nel caso di informazioni personali di un consumatore minorenne non ha ricevuto il consenso a vendere le informazioni personali del consumatore minore, è vietata, ai sensi del paragrafo (4 ) della sottosezione (a) dell’articolo 1798.135, dalla vendita delle informazioni personali del consumatore dopo aver ricevuto l’indicazione del consumatore, a meno che il consumatore non fornisca successivamente un’espressa autorizzazione alla vendita delle informazioni personali del consumatore.
(d) Nonostante la suddivisione (a), un’impresa non può vendere le informazioni personali dei consumatori se l’impresa è effettivamente a conoscenza che il consumatore ha meno di 16 anni di età, a meno che il consumatore, nel caso di consumatori tra i 13 e i 16 anni maggiorenne, o il genitore o tutore del consumatore, nel caso di consumatori di età inferiore a 13 anni, ha autorizzato affermativamente la vendita dei dati personali del consumatore. Si considera che un’azienda che volontariamente disattende l’età del consumatore abbia avuto conoscenza effettiva dell’età del consumatore. Questo diritto può essere denominato “diritto di adesione”.

1798.125. (a) (1) Un’impresa non deve discriminare un consumatore perché il consumatore ha esercitato uno qualsiasi dei diritti del consumatore ai sensi del presente titolo, incluso, ma non limitato a:
(A) Negare beni o servizi al consumatore.
(B) addebitare prezzi o tariffe differenti per beni o servizi, anche attraverso l’utilizzo di sconti o altri vantaggi o l’imposizione di sanzioni.
(C) Fornire un diverso livello o qualità di beni o servizi al consumatore, se il consumatore esercita i diritti del consumatore ai sensi del presente titolo.
(D) Suggerendo che il consumatore riceverà un prezzo o una tariffa diversa per beni o servizi o un livello o una qualità diversi di beni o servizi.
(2) Nulla in questa suddivisione vieta a un’impresa di addebitare a un consumatore un prezzo o una tariffa diversi, o di fornire un livello o una qualità diversi di beni o servizi al consumatore, se tale differenza è ragionevolmente correlata al valore fornito al consumatore da i dati del consumatore.
(b) (1) Un’impresa può offrire incentivi finanziari, compresi pagamenti ai consumatori come compenso, per la raccolta di informazioni personali, la vendita di informazioni personali o la cancellazione di informazioni personali. Un’azienda può anche offrire al consumatore un prezzo, una tariffa, un livello o una qualità diversi di beni o servizi se tale prezzo o differenza è direttamente correlato al valore fornito al consumatore dai dati del consumatore.
(2) Un’impresa che offre incentivi finanziari ai sensi della suddivisione (a), deve notificare ai consumatori gli incentivi finanziari ai sensi della Sezione 1798.135.
(3) Un’impresa può inserire un consumatore in un programma di incentivi finanziari solo se il consumatore dà all’impresa il previo consenso di partecipazione ai sensi della Sezione 1798.135 che descrive chiaramente i termini materiali del programma di incentivi finanziari e che può essere revocato dal consumatore in ogni momento.
(4) Un’impresa non deve utilizzare pratiche di incentivi finanziari di natura ingiusta, irragionevole, coercitiva o usurante.

1798.130. (a) Al fine di conformarsi alle Sezioni 1798.100, 1798.105, 1798.110, 1798.115 e 1798.125, in una forma ragionevolmente accessibile ai consumatori, un’impresa deve:
(1) Mettere a disposizione dei consumatori due o più metodi designati per presentare le richieste di informazioni che devono essere divulgate ai sensi degli articoli 1798.110 e 1798.115, compreso, come minimo, un numero verde e se l’azienda gestisce un sito Web Internet , un indirizzo di un sito Web.
(2) Divulgare e fornire gratuitamente le informazioni richieste a un consumatore entro 45 giorni dalla ricezione di una richiesta verificabile da parte del consumatore. L’azienda deve prontamente adottare misure per determinare se la richiesta è verificabile, ma ciò non estende l’obbligo dell’azienda di divulgare e fornire le informazioni entro 45 giorni dal ricevimento della richiesta del consumatore. Il periodo di tempo per fornire le informazioni richieste può essere prorogato una volta di ulteriori 45 giorni quando ragionevolmente necessario, a condizione che il consumatore sia informato della proroga entro il primo periodo di 45 giorni. La comunicazione copre il periodo di 12 mesi che precedono il ricevimento da parte dell’azienda della richiesta verificabile e deve essere effettuata per iscritto e consegnata tramite l’account del consumatore presso l’azienda, se il consumatore mantiene un account con l’azienda, o per posta o per via elettronica all’indirizzo opzione del consumatore se il consumatore non mantiene un conto con l’azienda, in un formato facilmente utilizzabile che consente al consumatore di trasmettere queste informazioni da un’entità a un’altra entità senza impedimenti. L’azienda non richiede al consumatore di creare un account con l’azienda al fine di effettuare una richiesta verificabile.
(3) Ai fini della suddivisione (b) della Sezione 1798.110:
(A) Per identificare il consumatore, associare le informazioni fornite dal consumatore nella richiesta verificabile a qualsiasi informazione personale precedentemente raccolta dall’azienda sul consumatore.
(B) Individuare per categoria o categorie le informazioni personali raccolte sul consumatore nei 12 mesi precedenti con riferimento alla categoria o alle categorie elencate nella suddivisione (c) che descrive più da vicino le informazioni personali raccolte.
(4) Ai fini della suddivisione (b) della Sezione 1798.115:
(A) Identificare il consumatore e associare le informazioni fornite dal consumatore nella richiesta verificabile a qualsiasi informazione personale precedentemente raccolta dall’azienda sul consumatore.
(B) Identificare per categoria o categorie le informazioni personali del consumatore che l’azienda ha venduto nei 12 mesi precedenti facendo riferimento alla categoria enumerata nella suddivisione (c) che descrive più da vicino le informazioni personali e fornisce le categorie di terzi a cui le informazioni personali del consumatore sono state vendute nei 12 mesi precedenti con riferimento alla categoria o alle categorie elencate nella suddivisione (c) che descrive più da vicino le informazioni personali vendute. L’impresa pubblica le informazioni in un elenco separato da un elenco generato ai fini del comma (C).
(C) Identificare per categoria o categorie le informazioni personali del consumatore che l’azienda ha divulgato per uno scopo commerciale nei 12 mesi precedenti con riferimento alla categoria o alle categorie elencate nella suddivisione (c) che descrive più da vicino le informazioni personali e fornisce le categorie di terzi a cui le informazioni personali del consumatore sono state comunicate per motivi commerciali nei 12 mesi precedenti con riferimento alla categoria o alle categorie elencate nella suddivisione (c) che descrive più da vicino le informazioni personali comunicate. L’impresa pubblica le informazioni in un elenco separato da un elenco generato ai fini del comma (B).
(5) Divulgare le seguenti informazioni nella sua politica o politiche sulla privacy online se l’azienda ha una politica o politiche sulla privacy online e in qualsiasi descrizione specifica della California dei diritti alla privacy dei consumatori, o se l’azienda non mantiene tali politiche, sul suo Internet sito Web e aggiornare tali informazioni almeno una volta ogni 12 mesi:
(A) Una descrizione dei diritti di un consumatore ai sensi delle Sezioni 1798.110, 1798.115 e 1798.125 e uno o più metodi designati per la presentazione delle richieste.
(B) Ai fini della suddivisione (c) della Sezione 1798.110, un elenco delle categorie di informazioni personali raccolte sui consumatori nei 12 mesi precedenti con riferimento alla categoria o alle categorie elencate nella suddivisione (c) che descrivono più da vicino le informazioni personali raccolte.
(C) Ai fini dei commi (1) e (2) della suddivisione (c) della Sezione 1798.115, due distinti elenchi:
(i) Un elenco delle categorie di informazioni personali che ha venduto sui consumatori nei 12 mesi precedenti facendo riferimento alla categoria o alle categorie elencate nella suddivisione (c) che descrivono più da vicino le informazioni personali vendute, o se l’azienda non ha venduto informazioni personali dei consumatori nei 12 mesi precedenti, l’azienda deve divulgare tale fatto.
(ii) Un elenco delle categorie di informazioni personali che ha divulgato sui consumatori per scopi commerciali nei 12 mesi precedenti con riferimento alla categoria enumerata nella sottodivisione (c) che descrivono più fedelmente le informazioni personali divulgate, o se l’azienda ha non ha divulgato le informazioni personali dei consumatori per scopi commerciali nei 12 mesi precedenti, l’azienda deve divulgare tale fatto.
(6) Garantire che tutte le persone responsabili della gestione delle richieste dei consumatori sulle pratiche relative alla privacy dell’azienda o sulla conformità dell’azienda al presente titolo siano informate di tutti i requisiti delle Sezioni 1798.110, 1798.115, 1798.125 e di questa sezione, e di come indirizzare i consumatori a esercitare i propri diritti sotto quelle sezioni.
(7) Utilizzare le informazioni personali raccolte dal consumatore in relazione alla verifica da parte dell’azienda della richiesta del consumatore esclusivamente a fini di verifica.
(b) Un’impresa non è obbligata a fornire le informazioni richieste dalle Sezioni 1798.110 e 1798.115 allo stesso consumatore più di due volte in un periodo di 12 mesi.
(c) Le categorie di informazioni personali che devono essere divulgate ai sensi delle Sezioni 1798.110 e 1798.115 seguono la definizione di informazioni personali nella Sezione 1798.140.

1798.135. (a) Un’impresa che deve conformarsi alla Sezione 1798.120 deve, in una forma ragionevolmente accessibile ai consumatori:
(1) Fornire un collegamento chiaro e visibile sulla home page Internet dell’azienda, intitolato “Non vendere le mie informazioni personali”, a una pagina Web Internet che consente a un consumatore, o a una persona autorizzata dal consumatore, di rinunciare alla vendita dei dati personali del consumatore. Un’azienda non deve richiedere a un consumatore di creare un account per indirizzare l’azienda a non vendere le informazioni personali del consumatore.
(2) Includere una descrizione dei diritti di un consumatore ai sensi della Sezione 1798.120, insieme a un collegamento separato alla pagina Web Internet “Non vendere le mie informazioni personali” in:
(A) La sua politica o le sue politiche sulla privacy online se l’azienda dispone di una politica o delle politiche sulla privacy online.
(B) Qualsiasi descrizione specifica della California dei diritti alla privacy dei consumatori.
(3) Garantire che tutte le persone responsabili della gestione delle richieste dei consumatori sulle pratiche sulla privacy dell’azienda o sulla conformità dell’azienda al presente titolo siano informate di tutti i requisiti della Sezione 1798.120 e di questa sezione e di come indirizzare i consumatori a esercitare i propri diritti ai sensi di tali sezioni.
(4) Per i consumatori che esercitano il loro diritto di opporsi alla vendita delle proprie informazioni personali, astenersi dal vendere le informazioni personali raccolte dall’azienda sul consumatore.
(5) Per un consumatore che ha rinunciato alla vendita delle informazioni personali del consumatore, rispettare la decisione del consumatore di rinunciare per almeno 12 mesi prima di richiedere che il consumatore autorizzi la vendita delle informazioni personali del consumatore.
(6) Utilizzare le informazioni personali raccolte dal consumatore in relazione alla presentazione della richiesta di rinuncia del consumatore esclusivamente allo scopo di soddisfare la richiesta di rinuncia.
(b) Nulla in questo titolo deve essere interpretato in modo da richiedere a un’azienda di rispettare il titolo includendo i collegamenti e il testo richiesti sulla home page che l’azienda mette a disposizione del pubblico in generale, se l’azienda mantiene una home page separata e aggiuntiva che è dedicato ai consumatori della California e che include i collegamenti e il testo richiesti, e l’azienda adotta misure ragionevoli per garantire che i consumatori della California siano indirizzati alla home page per i consumatori della California e non alla home page resa disponibile al pubblico in generale.
(c) Un consumatore può autorizzare un’altra persona esclusivamente a rinunciare alla vendita delle informazioni personali del consumatore per conto del consumatore e un’azienda deve conformarsi a una richiesta di rinuncia ricevuta da una persona autorizzata dal consumatore ad agire per conto del consumatore , ai sensi dei regolamenti adottati dal Procuratore Generale.

1798.140. Ai fini di questo titolo:
(a) “Informazioni aggregate sui consumatori”: le informazioni relative a un gruppo o una categoria di consumatori, da cui sono state rimosse le singole identità dei consumatori, che non sono collegate o ragionevolmente collegabili a nessun consumatore o famiglia, anche tramite un dispositivo. “Informazioni sui consumatori aggregate” non significa uno o più record dei singoli consumatori che sono stati anonimizzati.
b) “informazioni biometriche”: le caratteristiche fisiologiche, biologiche o comportamentali di un individuo, compreso l’acido desossiribonucleico (DNA) di un individuo, che possono essere utilizzate, singolarmente o in combinazione tra loro o con altri dati identificativi, per stabilire l’identità individuale. Le informazioni biometriche includono, a titolo esemplificativo, immagini dell’iride, retina, impronta digitale, viso, mano, palmo, motivi venosi e registrazioni vocali, da cui un modello identificativo, come un’impronta facciale, un modello di minuzia o un’impronta vocale , possono essere estratti e schemi o ritmi di battitura, schemi o ritmi dell’andatura e dati su sonno, salute o esercizio che contengono informazioni identificative.
(c) “Commercio” significa:
(1) Una ditta individuale, una partnership, una società a responsabilità limitata, una società, un’associazione o un’altra entità legale organizzata o gestita a scopo di lucro o beneficio finanziario dei suoi azionisti o altri proprietari, che raccoglie informazioni personali dei consumatori o per conto di cui tali informazioni vengono raccolte e che da solo, o insieme ad altri, determina le finalità e i mezzi del trattamento delle informazioni personali dei consumatori, che opera nello Stato della California e che soddisfa una o più delle seguenti soglie:
(A) Ha entrate lorde annuali superiori a venticinque milioni di dollari ($ 25.000.000), come rettificato ai sensi del paragrafo (5) della suddivisione (a) della Sezione 1798.185.
(B) Da solo o in combinazione, ogni anno acquista, riceve per scopi commerciali dell’azienda, vende o condivide per scopi commerciali, da soli o in combinazione, le informazioni personali di 50.000 o più consumatori, famiglie o dispositivi.
(C) Deriva il 50 percento o più dei suoi ricavi annuali dalla vendita delle informazioni personali dei consumatori.
(2) Qualsiasi entità che controlla o è controllata da un’impresa, come definita nel paragrafo (1), e che condivide un marchio comune con l’impresa. “Controllo” o “controllato” indica la proprietà o il potere di voto di oltre il 50 percento delle azioni in circolazione di qualsiasi classe di titoli con diritto di voto di un’impresa; controllo a qualsiasi titolo sull’elezione della maggioranza degli amministratori, o di soggetti che esercitano analoghe funzioni; o il potere di esercitare un’influenza controllante sulla gestione di una società. “Marchio comune” indica un nome, un marchio di servizio o un marchio condiviso.
(d) “scopo aziendale” indica l’uso di informazioni personali per scopi operativi dell’azienda o di un fornitore di servizi, o altri scopi notificati, a condizione che l’uso di informazioni personali sia ragionevolmente necessario e proporzionato per raggiungere lo scopo operativo per il quale il le informazioni personali sono state raccolte o trattate o per un altro scopo operativo compatibile con il contesto in cui le informazioni personali sono state raccolte. Gli scopi commerciali sono:
(1) Audit relativo a un’interazione in corso con il consumatore e transazioni simultanee, inclusi, a titolo esemplificativo, il conteggio delle impressioni degli annunci per i visitatori unici, la verifica del posizionamento e la qualità delle impressioni degli annunci e la verifica della conformità a questa specifica e ad altri standard.
(2) Rilevare incidenti di sicurezza, proteggersi da attività dannose, ingannevoli, fraudolente o illegali e perseguire i responsabili di tale attività.
(3) Debug per identificare e riparare gli errori che compromettono la funzionalità prevista esistente.
(4) Uso transitorio a breve termine, a condizione che le informazioni personali che non siano divulgate a terzi e non siano utilizzate per costruire un profilo su un consumatore o alterare in altro modo l’esperienza di un singolo consumatore al di fuori dell’interazione corrente, inclusa, a titolo esemplificativo ma non esaustivo a, la contestuale personalizzazione degli annunci mostrati nell’ambito della stessa interazione.
(5) Prestazione di servizi per conto dell’azienda o del fornitore di servizi, inclusi il mantenimento o la manutenzione di conti, la fornitura di assistenza clienti, l’elaborazione o l’esecuzione di ordini e transazioni, la verifica delle informazioni sui clienti, l’elaborazione di pagamenti, la fornitura di finanziamenti, la fornitura di servizi pubblicitari o di marketing, la fornitura di servizi analitici o fornendo servizi simili per conto dell’azienda o del fornitore di servizi.
(6) Intraprendere ricerca interna per lo sviluppo tecnologico e la dimostrazione.
(7) Intraprendere attività per verificare o mantenere la qualità o la sicurezza di un servizio o dispositivo che è di proprietà, fabbricato, fabbricato o controllato dall’azienda e per migliorare, aggiornare o potenziare il servizio o dispositivo che è di proprietà, prodotto , fabbricati per o controllati dall’azienda.
(e) “Raccoglie”, “raccolto” o “raccolta” significa acquistare, noleggiare, raccogliere, ottenere, ricevere o accedere a qualsiasi informazione personale relativa a un consumatore con qualsiasi mezzo. Ciò include la ricezione di informazioni dal consumatore, in modo attivo o passivo, o l’osservazione del comportamento del consumatore.
(f) “Finalità commerciali” significa promuovere gli interessi commerciali o economici di una persona, ad esempio inducendo un’altra persona ad acquistare, affittare, affittare, aderire, abbonarsi, fornire o scambiare prodotti, beni, proprietà, informazioni o servizi, o consentire o effettuare, direttamente o indirettamente, una transazione commerciale. Gli “scopi commerciali” non includono, allo scopo di impegnarsi in discorsi, che i tribunali statali o federali hanno riconosciuto come discorsi non commerciali, inclusi discorsi politici e giornalismo.
(g) “Consumatore” indica una persona fisica residente in California, come definita nella Sezione 17014 del Titolo 18 del California Code of Regulations, come detta sezione letta il 1 settembre 2017, comunque identificata, anche da qualsiasi identificatore univoco.
(h) “Deidentificato” indica informazioni che non possono ragionevolmente identificare, riferirsi, descrivere, essere in grado di essere associate o collegate, direttamente o indirettamente, a un determinato consumatore, a condizione che un’azienda che utilizza informazioni non identificate:
(1) Ha implementato salvaguardie tecniche che vietano la reidentificazione del consumatore a cui le informazioni possono riguardare.
(2) Ha implementato processi aziendali che vietano specificamente la reidentificazione delle informazioni.
(3) Ha implementato processi aziendali per prevenire il rilascio involontario di informazioni non identificate.
(4) Non tenta di reidentificare le informazioni.
(i) “Metodi designati per l’invio delle richieste” indica un indirizzo postale, un indirizzo e-mail, una pagina Web Internet, un portale Web Internet, un numero di telefono gratuito o altre informazioni di contatto applicabili, in base alle quali i consumatori possono presentare una richiesta o un’indicazione sotto questo titolo, e qualsiasi nuovo mezzo adatto ai consumatori per contattare un’azienda, come approvato dal procuratore generale ai sensi della Sezione 1798.185.
(j) “Dispositivo” indica qualsiasi oggetto fisico in grado di connettersi a Internet, direttamente o indirettamente, oa un altro dispositivo.
(k) “Informazioni sull’assicurazione sanitaria” indica il numero di polizza assicurativa del consumatore o il numero di identificazione dell’abbonato, qualsiasi identificatore univoco utilizzato da un assicuratore sanitario per identificare il consumatore, o qualsiasi informazione nella domanda del consumatore e nella storia dei sinistri, compresi eventuali ricorsi, se il le informazioni sono collegate o ragionevolmente collegabili a un consumatore o a un nucleo familiare, anche tramite un dispositivo, da un’azienda o da un fornitore di servizi.
(l) “Pagina iniziale” indica la pagina introduttiva di un sito Web Internet e qualsiasi pagina Web Internet in cui vengono raccolte informazioni personali. Nel caso di un servizio online, come un’applicazione mobile, per homepage si intende la pagina della piattaforma dell’applicazione o la pagina di download, un collegamento all’interno dell’applicazione, ad esempio dalla configurazione dell’applicazione, “Informazioni”, “Informazioni” o pagina delle impostazioni e qualsiasi altro luogo che consenta ai consumatori di rivedere l’avviso richiesto dalla suddivisione (a) della Sezione 1798.145, incluso, a titolo esemplificativo, prima di scaricare l’applicazione.
(m) “Deduzione” o “deduzione” indica la derivazione di informazioni, dati, ipotesi o conclusioni da fatti, prove o un’altra fonte di informazioni o dati.
(n) “Persona” indica un individuo, una proprietà, un’azienda, una partnership, una joint venture, un sindacato, un trust aziendale, una società, una società, una società a responsabilità limitata, un’associazione, un comitato e qualsiasi altra organizzazione o gruppo di persone che agiscono di concerto.
(o) (1) “Informazioni personali”: informazioni che identificano, si riferiscono, descrivono, possono essere associate o potrebbero ragionevolmente essere collegate, direttamente o indirettamente, con un particolare consumatore o nucleo familiare. Le informazioni personali includono, ma non sono limitate a, quanto segue:
(A) Identificatori come nome reale, alias, indirizzo postale, identificatore personale univoco, indirizzo Internet Protocol dell’identificatore online, indirizzo e-mail, nome dell’account, numero di previdenza sociale, numero di patente, numero di passaporto o altri identificatori simili.
(B) Qualsiasi categoria di informazioni personali descritte nella sottosezione (e) della Sezione 1798.80.
(C) Caratteristiche delle classificazioni protette ai sensi della legge californiana o federale.
(D) Informazioni commerciali, inclusi record di proprietà personali, prodotti o servizi acquistati, ottenuti o presi in considerazione, o altre storie o tendenze di acquisto o consumo.
(E) Informazioni biometriche.
(F) Informazioni sull’attività su Internet o su altre reti elettroniche, inclusi, a titolo esemplificativo ma non esaustivo, cronologia di navigazione, cronologia delle ricerche e informazioni relative all’interazione di un consumatore con un sito Web, un’applicazione o una pubblicità Internet.
(G) Dati di geolocalizzazione.
(H) Informazioni audio, elettroniche, visive, termiche, olfattive o simili.
(I) Informazioni professionali o relative al lavoro.
(J) Informazioni sull’istruzione, definite come informazioni che non sono informazioni di identificazione personale pubblicamente disponibili come definito nel Family Educational Rights and Privacy Act (20 USC sezione 1232g, 34 CFR Parte 99).
(K) Inferenze tratte da qualsiasi informazione identificata in questa suddivisione per creare un profilo su un consumatore che rifletta le preferenze, le caratteristiche, le tendenze psicologiche, le preferenze, le predisposizioni, il comportamento, gli atteggiamenti, l’intelligenza, le abilità e le attitudini del consumatore.
(2) Le “Informazioni personali” non includono informazioni pubblicamente disponibili. A tal fine, per “disponibile al pubblico” si intendono le informazioni legalmente rese disponibili dai registri del governo federale, statale o locale, se esistono condizioni associate a tali informazioni. “Disponibile al pubblico” non significa informazioni biometriche raccolte da un’azienda su un consumatore all’insaputa del consumatore. Le informazioni non sono “disponibili al pubblico” se tali dati sono utilizzati per uno scopo non compatibile con lo scopo per il quale i dati sono conservati e resi disponibili negli archivi del governo o per il quale sono conservati pubblicamente. “Disponibile al pubblico” non include le informazioni sui consumatori che sono state rese anonime o le informazioni aggregate sui consumatori.
(p) “identificatore probabilistico” indica l’identificazione di un consumatore o di un dispositivo con un grado di certezza più probabile che non basato su categorie di informazioni personali incluse o simili alle categorie elencate nella definizione di informazioni personali.
(q) “Trattamento” indica qualsiasi operazione o insieme di operazioni che sono eseguite su dati personali o su insiemi di dati personali, anche con mezzi automatizzati.
(r) “Pseudonimizzare” o “Pseudonimizzare” significa il trattamento delle informazioni personali in modo da rendere le informazioni personali non più attribuibili a un consumatore specifico senza l’uso di informazioni aggiuntive, a condizione che le informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche e organizzative per garantire che le informazioni personali non siano attribuite a un consumatore identificato o identificabile.
(s) “Ricerca” indica lo studio e l’osservazione scientifica, sistematica, compresa la ricerca di base o la ricerca applicata che è nell’interesse pubblico e che aderisce a tutte le altre leggi sull’etica e alla privacy applicabili o agli studi condotti nell’interesse pubblico nell’area della salute pubblica . La ricerca con informazioni personali che potrebbero essere state raccolte da un consumatore nel corso delle interazioni del consumatore con un servizio o dispositivo aziendale per altri scopi deve essere:
(1) Compatibile con lo scopo commerciale per il quale sono state raccolte le informazioni personali.
(2) Successivamente pseudonimizzato e anonimizzato, o anonimizzato e in forma aggregata, in modo tale che le informazioni non possano ragionevolmente identificare, riferirsi, descrivere, essere in grado di essere associate o essere collegate, direttamente o indirettamente, a un determinato consumatore.
(3) Soggetta a garanzie tecniche che vietano la reidentificazione del consumatore cui possono riferirsi le informazioni.
(4) Soggetto a processi aziendali che vietano specificamente la reidentificazione delle informazioni.
(5) Reso soggetto a processi aziendali per impedire il rilascio involontario di informazioni non identificate.
(6) Protetto da ogni tentativo di reidentificazione.
(7) Utilizzati esclusivamente per finalità di ricerca compatibili con il contesto in cui i dati personali sono stati raccolti.
(8) Non essere utilizzato per scopi commerciali.
(9) Sottoposto dall’impresa che conduce la ricerca a controlli di sicurezza aggiuntivi limitano l’accesso ai dati della ricerca solo alle persone fisiche necessarie per svolgere lo scopo della ricerca.
(t) (1) “Vendere”, “vendita”, “vendita” o “venduto” significa vendere, affittare, rilasciare, rivelare, diffondere, mettere a disposizione, trasferire o altrimenti comunicare oralmente, per iscritto o per via elettronica o altri mezzi, le informazioni personali di un consumatore da parte dell’azienda a un’altra azienda oa una terza parte per un corrispettivo monetario o di altro valore.
(2) Ai fini del presente titolo, un’azienda non vende informazioni personali quando:
(A) Un consumatore utilizza o indirizza l’azienda a divulgare intenzionalmente informazioni personali o utilizza l’azienda per interagire intenzionalmente con una terza parte, a condizione che la terza parte non venda anche le informazioni personali, a meno che tale divulgazione non sia coerente con le disposizioni del presente titolo. Un’interazione intenzionale si verifica quando il consumatore intende interagire con la terza parte, tramite una o più interazioni deliberate. Passare il mouse sopra, disattivare l’audio, mettere in pausa o chiudere un determinato contenuto non costituisce l’intenzione del consumatore di interagire con una terza parte.
(B) L’azienda utilizza o condivide un identificatore per un consumatore che ha rinunciato alla vendita delle informazioni personali del consumatore allo scopo di avvisare terzi che il consumatore ha rinunciato alla vendita delle informazioni personali del consumatore.
(C) L’azienda utilizza o condivide con un fornitore di servizi le informazioni personali di un consumatore che sono necessarie per svolgere scopi commerciali se sono soddisfatte entrambe le seguenti condizioni: servizi che il fornitore di servizi esegue per conto dell’azienda, a condizione che il servizio il fornitore inoltre non vende le informazioni personali.
(i) L’azienda ha comunicato che le informazioni vengono utilizzate o condivise nei suoi termini e condizioni coerenti con la Sezione 1798.135.
(ii) Il fornitore di servizi non raccoglie, vende o utilizza ulteriormente le informazioni personali del consumatore se non se necessario per eseguire lo scopo commerciale.
(D) L’azienda trasferisce a terzi le informazioni personali di un consumatore come un bene che fa parte di una fusione, acquisizione, fallimento o altra transazione in cui la terza parte assume il controllo di tutta o parte dell’azienda, a condizione che tali informazioni viene utilizzato o condiviso coerentemente con le Sezioni 1798.110 e 1798.115. Se una terza parte altera sostanzialmente il modo in cui utilizza o condivide le informazioni personali di un consumatore in un modo sostanzialmente incoerente con le promesse fatte al momento della raccolta, deve informare preventivamente il consumatore della pratica nuova o modificata. L’avviso deve essere sufficientemente evidente e solido per garantire che i consumatori esistenti possano facilmente esercitare le loro scelte in conformità con la Sezione 1798.120. Questo comma non autorizza un’azienda ad apportare modifiche sostanziali e retroattive alla politica sulla privacy o apportare altre modifiche alla propria politica sulla privacy in un modo che violerebbe la legge sulle pratiche ingannevoli e sleali (Capitolo 5 (a partire dalla Sezione 17200) della Parte 2 della Divisione 7 del Codice delle Imprese e delle Professioni).
(u) “Servizio” o “servizi” indica lavoro, manodopera e servizi, compresi i servizi forniti in relazione alla vendita o alla riparazione di beni.
(v) “Fornitore di servizi” indica una ditta individuale, una società di persone, una società a responsabilità limitata, una società, un’associazione o un’altra entità legale organizzata o gestita a scopo di lucro o beneficio finanziario dei suoi azionisti o altri proprietari, che elabora le informazioni per conto di un’azienda e a cui l’azienda divulga le informazioni personali di un consumatore per uno scopo commerciale ai sensi di un contratto scritto, a condizione che il contratto vieti all’entità che riceve le informazioni di conservare, utilizzare o divulgare le informazioni personali per qualsiasi scopo diverso da quello specifico scopo di eseguire i servizi specificati nel contratto per l’azienda, o come altrimenti consentito dal presente titolo, compreso il mantenimento, l’utilizzo o la divulgazione delle informazioni personali per uno scopo commerciale diverso dalla fornitura dei servizi specificati nel contratto con l’azienda.
(w) “Terza parte” indica una persona che non è una delle seguenti:
(1) L’azienda che raccoglie informazioni personali dai consumatori sotto questo titolo.
(2) Una persona a cui l’azienda divulga le informazioni personali di un consumatore per uno scopo commerciale ai sensi di un contratto scritto, a condizione che il contratto:
(A) Vieta alla persona di ricevere le informazioni personali da:
(i) Vendita delle informazioni personali.
(ii) Conservare, utilizzare o divulgare le informazioni personali per qualsiasi scopo diverso dallo scopo specifico di eseguire i servizi specificati nel contratto, incluso conservare, utilizzare o divulgare le informazioni personali per uno scopo commerciale diverso dalla fornitura dei servizi specificati nel contratto.
(iii) Conservazione, utilizzo o divulgazione delle informazioni al di fuori del rapporto commerciale diretto tra la persona e l’azienda.
(B) Include una certificazione rilasciata dalla persona che riceve le informazioni personali che la persona comprende le restrizioni di cui al sottoparagrafo (A) e li rispetterà.
Una persona coperta dal paragrafo (2) che violi una qualsiasi delle restrizioni stabilite in questo titolo sarà responsabile delle violazioni. Un’azienda che divulga informazioni personali a una persona coperta dal paragrafo (2) in conformità con il paragrafo (2) non è responsabile ai sensi del presente titolo se la persona che riceve le informazioni personali le utilizza in violazione delle restrizioni stabilite nel presente titolo, a condizione che che, al momento della divulgazione delle informazioni personali, l’azienda non ha l’effettiva conoscenza, o motivo di ritenere, che la persona intenda commettere tale violazione.
(x) “identificatore univoco” o “identificatore personale univoco” indica un identificatore persistente che può essere utilizzato per riconoscere un consumatore, una famiglia o un dispositivo collegato a un consumatore o famiglia, nel tempo e attraverso diversi servizi, tra cui, ma non limitato a, un identificatore di dispositivo; un indirizzo di protocollo Internet; cookie, beacon, pixel tag, identificatori di annunci per dispositivi mobili o tecnologie simili; numero cliente, pseudonimo univoco o alias utente; numeri di telefono o altre forme di identificatori persistenti o probabilistici che possono essere utilizzati per identificare un particolare consumatore o dispositivo. Ai fini di questa suddivisione, per “famiglia” si intende un genitore affidatario o tutore e tutti i figli minorenni sui quali il genitore o tutore ha la custodia.
(y) “Richiesta verificabile del consumatore” indica una richiesta presentata da un consumatore, da un consumatore per conto del figlio minore del consumatore, o da una persona fisica o iscritta alla Segreteria di Stato, autorizzata dal consumatore ad agire per conto del consumatore, e che l’impresa possa ragionevolmente verificare, ai sensi del regolamento adottato dal procuratore generale ai sensi del paragrafo (7) della sottosezione (a) dell’articolo 1798.185, di essere il consumatore sul quale l’impresa ha raccolto informazioni personali. Un’impresa non è obbligata a fornire informazioni al consumatore ai sensi degli articoli 1798.110 e 1798.115 se l’impresa non può verificare, ai sensi della presente suddivisione e dei regolamenti adottati dal procuratore generale ai sensi del paragrafo (7) della sottosezione (a) dell’articolo 1798.185, che il il consumatore che effettua la richiesta è il consumatore su cui l’azienda ha raccolto informazioni o è una persona autorizzata dal consumatore ad agire per conto di tale consumatore.

1798.145. (a) Gli obblighi imposti alle imprese da questo titolo non limitano la capacità di un’impresa di:
(1) Rispettare le leggi federali, statali o locali.
(2) Rispettare un’indagine civile, penale o normativa, indagine, citazione o citazione da parte delle autorità federali, statali o locali.
(3) Cooperare con le forze dell’ordine in merito a comportamenti o attività che l’azienda, il fornitore di servizi o terzi ritengono ragionevolmente e in buona fede possano violare la legge federale, statale o locale.
(4) Esercitare o difendere diritti legali.
(5) Raccogliere, utilizzare, conservare, vendere o divulgare informazioni sui consumatori non identificate o nelle informazioni aggregate sui consumatori.
(6) Raccogliere o vendere le informazioni personali di un consumatore se ogni aspetto di tale condotta commerciale si svolge interamente al di fuori della California. Ai fini del presente titolo, la condotta commerciale si svolge interamente al di fuori della California se l’azienda ha raccolto tali informazioni mentre il consumatore si trovava al di fuori della California, nessuna parte della vendita delle informazioni personali del consumatore è avvenuta in California e nessuna informazione personale raccolta mentre il consumatore era in California è venduto. Questo paragrafo non consente a un’azienda di archiviare, anche su un dispositivo, informazioni personali su un consumatore quando il consumatore si trova in California e quindi di raccogliere tali informazioni personali quando il consumatore e le informazioni personali archiviate si trovano al di fuori della California.
(b) Gli obblighi imposti alle aziende dalle Sezioni da 1798.110 a 1798.135, inclusi, non si applicano laddove il rispetto da parte dell’azienda del titolo violi un privilegio probatorio ai sensi della legge della California e non impedisca a un’azienda di fornire le informazioni personali di un consumatore a una persona coperta da un privilegio probatorio ai sensi della legge della California come parte di una comunicazione privilegiata.
(c) La presente legge non si applica alle informazioni protette o sanitarie raccolte da un’entità coperta disciplinata dalla Legge sulla riservatezza delle informazioni mediche (Parte 2.6 (a partire dalla Sezione 56 della Divisione 1)) o disciplinata dalla privacy, sicurezza e le regole di notifica delle violazioni emesse dal Dipartimento federale della salute e dei servizi umani, parti 160 e 164 del titolo 45 del codice dei regolamenti federali, stabilite ai sensi della legge sulla portabilità e disponibilità dell’assicurazione sanitaria del 1996. Ai fini di questa suddivisione, si applica la definizione di “informazioni mediche” nella Sezione 56.05 e si applicano le definizioni di “informazioni sanitarie protette” e “entità coperta” dalla normativa federale sulla privacy.
(d) Il presente titolo non si applica alla vendita di informazioni personali a o da un’agenzia di segnalazione dei consumatori se tali informazioni devono essere segnalate o utilizzate per generare una segnalazione del consumatore come definito dalla sottosezione (d) della sezione 1681a del titolo 15 del Codice degli Stati Uniti e l’uso di tali informazioni è limitato dal Fair Credit Reporting Act federale (15 USC Sec. 1681 e segg.).
(e) Questo titolo non si applica alle informazioni personali raccolte, elaborate, vendute o divulgate ai sensi della legge federale Gramm-Leach-Bliley (legge pubblica 106-102) e dei regolamenti di attuazione, se sono in conflitto con tale legge.
(f) Questo titolo non si applica alle informazioni personali raccolte, elaborate, vendute o divulgate ai sensi del Driver’s Privacy Protection Act del 1994 (18 USC Sec. 2721 e segg.), se sono in conflitto con tale atto.
(g) Nonostante l’obbligo di un’impresa di rispondere e onorare le richieste sui diritti dei consumatori ai sensi del presente titolo:
(1) Se necessario, un periodo di tempo per rispondere a qualsiasi richiesta verificata del consumatore può essere esteso fino a 90 giorni aggiuntivi, tenendo conto della complessità e del numero delle richieste. L’azienda informa il consumatore di tale proroga entro 45 giorni dal ricevimento della richiesta, unitamente ai motivi del ritardo.
(2) Se l’azienda non interviene su richiesta del consumatore, l’azienda deve informare il consumatore, senza indugio e al più tardi entro il termine consentito per la risposta dalla presente sezione, dei motivi per non agire e di eventuali diritti che il consumatore potrebbe avere per impugnare la decisione all’impresa.
(3) Se le richieste di un consumatore sono manifestamente infondate o eccessive, in particolare a causa del loro carattere ripetitivo, un’impresa può addebitare una tariffa ragionevole, tenendo conto dei costi amministrativi per fornire le informazioni o comunicazioni o intraprendere l’azione richiesta, oppure rifiutarsi di dar seguito alla richiesta e comunicare al consumatore il motivo del rifiuto della richiesta. L’impresa ha l’onere di dimostrare che qualsiasi richiesta verificata del consumatore è manifestamente infondata o eccessiva.
(h) Un’azienda che divulga informazioni personali a un fornitore di servizi non è responsabile ai sensi del presente titolo se il fornitore di servizi che riceve le informazioni personali le utilizza in violazione delle restrizioni stabilite nel titolo, a condizione che, al momento della divulgazione informazioni personali, l’azienda non è a conoscenza o non ha motivo di credere che il fornitore di servizi intenda commettere tale violazione. Allo stesso modo, un fornitore di servizi non è responsabile ai sensi del presente titolo per gli obblighi di un’azienda per la quale fornisce servizi come stabilito nel presente titolo.
(i) Questo titolo non deve essere interpretato in modo da richiedere a un’azienda di reidentificare o collegare in altro modo informazioni che non sono conservate in un modo che sarebbe considerato informazioni personali.
(j) I diritti concessi ai consumatori e gli obblighi imposti all’impresa in questo titolo non pregiudicano i diritti e le libertà degli altri consumatori.

1798.150. (a) (1) Qualsiasi consumatore le cui informazioni personali non crittografate o non oscurate, come definito nel sottoparagrafo (A) del paragrafo (1) della sottodivisione (d) della Sezione 1798.81.5, sono soggette ad accesso ed esfiltrazione non autorizzati, furto o la divulgazione a seguito della violazione da parte dell’azienda dell’obbligo di implementare e mantenere ragionevoli procedure e pratiche di sicurezza adeguate alla natura delle informazioni per proteggere le informazioni personali può avviare un’azione civile per uno dei seguenti casi:
(A) Risarcire i danni per un importo non inferiore a cento dollari ($ 100) e non superiore a settecentocinquanta ($ 750) per consumatore per incidente o danni effettivi, a seconda di quale sia maggiore.
(B) provvedimento ingiuntivo o dichiarativo.
(C) Qualsiasi altro provvedimento che il tribunale ritenga opportuno.
(2) Nel valutare l’ammontare dei danni legali, il tribunale deve considerare una o più delle circostanze rilevanti presentate da una qualsiasi delle parti in causa, inclusi, ma non limitati a, la natura e la gravità della cattiva condotta, il numero delle violazioni, la persistenza della cattiva condotta, il periodo di tempo durante il quale si è verificata la cattiva condotta, l’intenzionalità della cattiva condotta dell’imputato e le attività, le passività e il patrimonio netto dell’imputato.
(b) Le azioni ai sensi della presente sezione possono essere intentate da un consumatore se sono soddisfatti tutti i seguenti requisiti:
(1) Prima di avviare qualsiasi azione contro un’impresa per danni legali su base individuale o a livello di classe, un consumatore deve fornire un preavviso scritto di 30 giorni lavorativi che identifichi le disposizioni specifiche di questo titolo che il consumatore sostiene siano state o siano state violate . Nel caso in cui la riparazione sia possibile, se entro i 30 giorni l’azienda pone effettivamente rimedio alla violazione rilevata e fornisce al consumatore espressa dichiarazione scritta che le violazioni sono state sanate e che non si verificheranno ulteriori violazioni, nessuna azione per danni individuali di legge o di classe – possono essere avviati ampi danni legali nei confronti dell’azienda. Nessun avviso è richiesto prima che un singolo consumatore avvii un’azione esclusivamente per l’effettivo danno patrimoniale subito a seguito delle presunte violazioni del presente titolo. Se un’azienda continua a violare questo titolo in violazione della dichiarazione scritta espressa fornita al consumatore ai sensi della presente sezione, il consumatore può avviare un’azione contro l’azienda per far valere la dichiarazione scritta e può perseguire i danni legali per ogni violazione della dichiarazione scritta espressa , nonché ogni altra violazione del titolo successiva alla dichiarazione scritta.
(2) Un consumatore che intenta un’azione come definito nel paragrafo (1) della sottodivisione (c) deve notificare al Procuratore Generale entro 30 giorni che l’azione è stata intentata.
(3) Il procuratore generale, dopo aver ricevuto tale avviso, dovrà, entro 30 giorni, eseguire una delle seguenti operazioni:
(A) Comunicare al consumatore che propone l’azione l’intenzione del Procuratore Generale di perseguire un’azione contro la violazione. Se il procuratore generale non procede entro sei mesi, il consumatore può procedere con l’azione.
(B) Astenersi dall’agire entro il termine di 30 giorni, consentendo al consumatore che propone l’azione di procedere.
(C) Avvisare il consumatore che propone l’azione che il consumatore non deve procedere con l’azione.
(c) Nulla in questo atto deve essere interpretato come base per un diritto privato di azione ai sensi di qualsiasi altra legge. Ciò non deve essere interpretato per esonerare le parti da eventuali doveri o obblighi imposti da altre leggi o dalla Costituzione degli Stati Uniti o della California.

1798.155. Qualsiasi azienda o terza parte può chiedere il parere del procuratore generale per indicazioni su come conformarsi alle disposizioni del presente titolo.
(a) Un’azienda viola questo titolo se non riesce a sanare una presunta violazione entro 30 giorni dalla notifica della presunta non conformità. Qualsiasi azienda, fornitore di servizi o altra persona che violi questo titolo sarà passibile di una sanzione civile come previsto nella Sezione 17206 del Codice degli affari e delle professioni in un’azione civile intentata a nome del popolo dello Stato della California dal procuratore Generale. Le sanzioni civili previste in questa sezione saranno valutate e recuperate esclusivamente in un’azione civile intentata in nome del popolo dello Stato della California dal Procuratore Generale.
(b) Nonostante la Sezione 17206 del Codice degli affari e delle professioni, qualsiasi persona, azienda o fornitore di servizi che violi intenzionalmente questo titolo può essere passibile di una sanzione civile fino a settemilacinquecento dollari ($ 7.500) per ogni violazione.
(c) In deroga alla Sezione 17206 del Codice delle Imprese e delle Professioni, qualsiasi sanzione civile inflitta ai sensi della Sezione 17206 per una violazione di questo titolo, e i proventi di qualsiasi transazione di un’azione promossa ai sensi della sottosezione (a), saranno ripartiti come segue :
(1) Venti per cento al Fondo per la privacy dei consumatori, creato nell’ambito del Fondo generale ai sensi della sottosezione (a) della Sezione 1798.109, con l’intento di compensare completamente eventuali costi sostenuti dai tribunali statali e dal procuratore generale in relazione a questo titolo.
(2) Ottanta per cento alla giurisdizione per conto della quale è stata promossa l’azione che porta alla sanzione civile.
(d) È intenzione del Legislatore che le percentuali specificate nella suddivisione (c) essere adeguato se necessario per garantire che eventuali sanzioni civili valutate per una violazione di questo titolo compensino completamente eventuali costi sostenuti dai tribunali statali e dal procuratore generale in relazione a questo titolo, compreso un importo sufficiente per coprire eventuali disavanzi da un precedente anno fiscale.

1798.160. (a) Viene creato un fondo speciale denominato “Fondo per la privacy dei consumatori” all’interno del Fondo generale presso il Tesoro dello Stato, ed è disponibile su stanziamento da parte del legislatore per compensare eventuali costi sostenuti dai tribunali statali in relazione alle azioni intentate per far valere questo titolo e tutte le spese sostenute dal procuratore generale nell’espletamento delle funzioni di procuratore generale ai sensi del presente titolo.
(b) I fondi trasferiti al Consumer Privacy Fund saranno utilizzati esclusivamente per compensare eventuali costi sostenuti dai tribunali statali e dal procuratore generale in relazione a questo titolo. Tali fondi non possono essere oggetto di stanziamento o trasferimento da parte del legislatore per nessun altro scopo, a meno che il Direttore delle Finanze non determini che i fondi superano il finanziamento necessario per compensare integralmente le spese sostenute dai tribunali statali e dal procuratore generale in connessione con tale titolo, nel qual caso il Legislatore potrà stanziare fondi eccedenti per altri scopi.

1798.175. Questo titolo ha lo scopo di rafforzare il diritto costituzionale alla privacy e di integrare le leggi vigenti in materia di informazioni personali dei consumatori, incluso, a titolo esemplificativo, il Capitolo 22 (a partire dalla Sezione 22575) della Divisione 8 del Codice delle Imprese e delle Professioni e il Titolo 1.81 (a partire dalla Sezione 1798.80). Le disposizioni di questo titolo non si limitano alle informazioni raccolte elettronicamente o su Internet, ma si applicano alla raccolta e alla vendita di tutte le informazioni personali raccolte da un’azienda presso i consumatori. Ove possibile, la legge relativa ai dati personali dei consumatori dovrebbe essere interpretata in armonia con le disposizioni del presente titolo, ma in caso di conflitto tra altre leggi e le disposizioni del presente titolo, le disposizioni di legge che offrono la massima protezione per prevale il diritto alla privacy dei consumatori.

1798.180. Questo titolo è una questione di interesse in tutto lo stato e sostituisce e annulla tutte le regole, i regolamenti, i codici, le ordinanze e altre leggi adottate da una città, contea, città e contea, comune o agenzia locale in merito alla raccolta e alla vendita delle informazioni personali dei consumatori da un’impresa.

1798.185. (a) Entro il 1° gennaio 2020, il Procuratore Generale solleciterà un’ampia partecipazione del pubblico per adottare regolamenti volti a promuovere gli scopi del presente titolo, inclusi, a titolo esemplificativo, i seguenti settori:
(1) Aggiornare, se necessario, ulteriori categorie di informazioni personali rispetto a quelle elencate nella sottodivisione (c) della Sezione 1798.130 e nella sottosezione (o) della Sezione 1798.140 al fine di affrontare i cambiamenti nella tecnologia, le pratiche di raccolta dei dati, gli ostacoli all’implementazione e i problemi di privacy.
(2) Aggiornare, se necessario, la definizione di identificatori univoci per far fronte ai cambiamenti nella tecnologia, alla raccolta dei dati, agli ostacoli all’attuazione e ai problemi di privacy e categorie aggiuntive alla definizione dei metodi designati per presentare le richieste per facilitare la capacità di un consumatore di ottenere informazioni da un affari ai sensi della Sezione 1798.130.
(3) Stabilire eventuali eccezioni necessarie per conformarsi alla legge statale o federale, comprese, a titolo esemplificativo, quelle relative ai segreti commerciali e ai diritti di proprietà intellettuale, entro un anno dal passaggio di questo titolo e se necessario successivamente.
(4) Stabilire regole e procedure per quanto segue, entro un anno dal passaggio di questo titolo e se necessario successivamente:
(A) Per facilitare e disciplinare la presentazione di una richiesta da parte di un consumatore di rinunciare alla vendita di informazioni personali ai sensi del paragrafo (1) della sottodivisione (a) della Sezione 1798.145.
(B) Per disciplinare la conformità aziendale con la richiesta di rinuncia di un consumatore.
(C) Lo sviluppo e l’uso di un logo o di un pulsante di rinuncia riconoscibile e uniforme da parte di tutte le aziende per promuovere la consapevolezza dei consumatori sull’opportunità di rinunciare alla vendita di informazioni personali.
(5) Adeguamento della soglia monetaria di cui al comma (A) del paragrafo (1) della suddivisione (b) della Sezione 1798.106 nel gennaio di ogni anno dispari per riflettere qualsiasi aumento dell’Indice dei prezzi al consumo.
(6) Stabilire regole, procedure ed eventuali eccezioni necessarie per garantire che gli avvisi e le informazioni che le imprese sono tenute a fornire ai sensi del presente titolo siano forniti in modo facilmente comprensibile dal consumatore medio, siano accessibili ai consumatori con disabilità , e sono disponibili nella lingua utilizzata principalmente per interagire con il consumatore, compresa la definizione di regole e linee guida relative alle offerte di incentivi finanziari, entro un anno dal passaggio di questo titolo e secondo necessità.
(7) Stabilire regole e procedure per promuovere gli scopi delle Sezioni 1798.110 e 1798.115 e per facilitare la capacità del consumatore o del suo agente autorizzato di ottenere informazioni ai sensi della Sezione 1798.130, con l’obiettivo di ridurre al minimo l’onere amministrativo per i consumatori, tenendo conto della disponibilità tecnologia, problemi di sicurezza e onere per l’azienda, per regolare la determinazione dell’azienda che una richiesta di informazioni ricevuta da un consumatore è una richiesta verificabile, incluso il trattamento di una richiesta presentata tramite un account protetto da password gestito dal consumatore con l’azienda mentre il consumatore ha effettuato l’accesso all’account come richiesta verificabile e fornendo un meccanismo per un consumatore che non mantiene un account con l’azienda per richiedere informazioni attraverso l’autenticazione dell’identità del consumatore da parte dell’azienda, entro un anno dal passaggio di questo titolo e come necessario in seguito.
(b) Il Procuratore Generale può adottare regolamenti aggiuntivi, se necessario, per promuovere gli scopi del presente titolo.

1798.190. Se una serie di passaggi o operazioni facessero parte di un’unica operazione intesa fin dall’inizio con l’intento di evitare il raggiungimento di questo titolo, inclusa la divulgazione di informazioni da parte di un’impresa a terzi al fine di evitare la definizione di vendita, un tribunale disattende le fasi o le operazioni intermedie ai fini dell’attuazione degli scopi del presente titolo.

1798.192. Qualsiasi disposizione di un contratto o accordo di qualsiasi tipo che pretenda di rinunciare o limitare in qualsiasi modo i diritti del consumatore ai sensi del presente titolo, incluso, ma non limitato a, qualsiasi diritto a un rimedio o mezzo di esecuzione, è considerata contraria all’ordine pubblico e sarà nullo e inapplicabile. Questa sezione non impedisce a un consumatore di rifiutarsi di richiedere informazioni a un’azienda, di rifiutarsi di rinunciare alla vendita delle informazioni personali del consumatore da parte di un’azienda o di autorizzare un’azienda a vendere le informazioni personali del consumatore dopo aver precedentemente rinunciato.

1798.194. Questo titolo deve essere liberamente interpretato per realizzare i suoi scopi.

1798.196. Questo titolo ha lo scopo di integrare la legge federale e statale, se consentito, ma non si applica se tale richiesta è prevenuta o in contrasto con la legge federale o la Costituzione della California.

1798.198. (a) Fatta salva la limitazione prevista nella suddivisione (b), questo titolo entrerà in vigore il 1° gennaio 2020.
(b) Il presente atto diventa operativo solo se il provvedimento di iniziativa n. 17-0039, The Consumer Right to Privacy Act del 2018, è ritirato dal ballottaggio ai sensi dell’articolo 9604 del Codice elettorale.

SEC. 4. (a) Le disposizioni di questo disegno di legge sono separabili. Se una qualsiasi disposizione del presente disegno di legge o della sua applicazione è ritenuta nulla, tale nullità non pregiudica altre disposizioni o domande che possono essere rese effettive senza la disposizione o la domanda non valide.