Blog

Preparati per la California Consumer Privacy Act (CCPA)

Con l’inizio del 2020 è entrata in vigore una nuova legge sulla privacy. A partire dal 1° gennaio 2020, in virtù del California Consumer Privacy Act (CCPA) chi usa il web può acconsentire o meno al trattamento dei propri dati personali da parte delle aziende per l’erogazione di annunci digitali. Questa legge è simile a quella entrata di recente in vigore nell’Unione Europea (GDPR), ma vi sono alcune sfumature di cui entrambe le parti dell’ecosistema dovranno tenere conto.

In Index Exchange stiamo implementando il framework di conformità al CCPA di IAB per OpenRTB (le specifiche sono disponibili qui), e consigliamo sia ai publisher con cui operiamo, sia ad altri attori dell’ecosistema ad tech di fare altrettanto. Nel quadro del CCPA, Index Exchange si considera un service provider, che provvede al trattamento dei dati personali in base alle indicazioni dei publisher nostri partner, e a loro vantaggio.

Per aiutare gli acquirenti e i publisher nostri partner a navigare in queste nuove acque, abbiamo preparato una serie di domande frequenti e una panoramica dei cambiamenti a venire:

Domande frequenti

Cos’è il CCPA?

Il CCPA è una nuova legge sulla privacy che permette agli utenti del web in California di negare il consenso al trattamento dei propri dati personali da parte delle aziende (anche per l’erogazione di annunci digitali).

Il CCPA riguarda tutte le aziende che trattano i dati personali di chi risiede in California. Il testo della legge usa il termine “vendere” dati personali, ma la definizione del termine è piuttosto ampia e comprende: “il prelievo, la raccolta, l’accesso, la ricezione, la divulgazione, la messa a disposizione, il trasferimento e la comunicazione dei dati da un’azienda a terzi a scopo di valutazione del valore”.

Per garantire la conformità alla legge, le aziende che raccolgono e “vendono” i dati personali dei residenti in California devono pubblicare sul loro sito web un banner recante un link con la dicitura “Non vendere i miei dati personali” tramite il quale gli utenti possono negare il consenso alla “vendita” delle proprie informazioni a terzi. In alternativa, le aziende possono scegliere di non fornire agli utenti che risiedono in California annunci personalizzati. Inoltre devono concedere ai consumatori il diritto di accedere ai propri dati personali in possesso delle aziende e di eliminarli.

Quando è entrato in vigore il CCPA?

La legge è entrata in vigore il 1° gennaio 2020. All’atto pratico, l’ufficio del procuratore generale della California ha specificato che la legge non verrà applicata prima del 1° luglio 2020.

Cos’è il framework US Privacy di IAB?

Il framework US Privacy di IAB è il tentativo, da parte del settore ad tech, di creare uno standard di conformità ai requisiti stabiliti dal CCPA e da eventuali future leggi sulla privacy negli Stati Uniti. Il framework stabilisce le modalità standard di raccolta e di trasmissione del segnale dei clienti che hanno deciso di negare il consenso.

Gli editori sono comunque liberi di non utilizzare il framework e di procedere secondo modalità non standard. In entrambi i casi, il segnale deve essere trasmesso agli exchange, i quali lo trasmetteranno a loro volta alle piattaforme DSP.

Cos’è un Limited Service Provider?

Il framework US Privacy di IAB include anche il Limited Service Provider Agreement, mediante il quale le parti che si trovano a valle, come gli exchange, possono standardizzare il loro rapporto con i publisher identificandosi come loro service provider.

Firmando l’accordo, tutte le parti a valle diventano Limited Service Provider e possono utilizzare i dati personali solo per determinati usi legati alla loro attività, come le limitazioni della frequenza, la misurazione degli annunci, la pubblicazione degli annunci, la prevenzione di frodi e altri scopi diversi dalla pubblicità personalizzata.

Cosa succede se un utente nega il consenso?

  • Come minimo, gli utenti vengono esclusi dal sito web e dalla combinazione dispositivo/browser per cui hanno scelto di negare il consenso. Ad esempio, se scelgo di negare il consenso a XYZ sul PC desktop, ciò non implica che il consenso sia automaticamente negato anche per l’app mobile di XYZ. Questo esempio, tuttavia, non è sempre calzante in quanto i publisher possono scegliere di sincronizzare la preferenza degli utenti in tutti i loro canali.
  • Se un utente nega il consenso, questo non significa che non riceverà più annunci, ma solo che i suoi dati personali non verranno più utilizzati per personalizzare gli annunci che riceverà.
  • Quando un utente decide di opporsi alla “vendita” dei propri dati è ancora possibile erogare i seguenti tipi di annunci:
    • annunci non personalizzati
    • annunci basati sui dati “first-party” degli editori (per esempio, nel caso del sito della CNN, i dati che la CNN ha raccolto direttamente sui suoi utenti)
    • annunci basati su dati di terze parti acquisiti prima dell’entrata in vigore del CCPA.

Cosa implica questo per me?

Per i partner di IX Library:

  •  Stiamo implementando il framework di conformità al CCPA di IAB per il nostro prodotto Library e presto potremo ricevere, gestire e trasmettere la scelta dei clienti di accordare o negare il consenso attraverso la stringa us_privacy.
    • Le specifiche tecniche di IAB destinate ai publisher sono disponibili qui.
    • Da parte tua non è richiesto alcun aggiornamento alla vostra implementazione di IX Library: se raccogli e condividi la stringa us_privacy secondo le specifiche fornite da IAB, IX Library rileverà il segnale automaticamente. Non appena sarai pronti, contatta il tuo responsabile commerciale Index Exchange per configurare IX Library in modo che legga il segnale.
    • È responsabilità degli editori raccogliere e trasmettere in modo accurato i segnali relativi al consenso dei clienti. È anche possibile, ma non obbligatorio, integrare l’aiuto di un Consent Management Provider (CMP) per gestire le preferenze dei clienti in merito al consenso.
  • Inoltre, IX Library condividerà la stringa us_privacy dell’API US Privacy con tutti gli adattatori certificati configurati nel prodotto. A quel punto, gli adattatori che supportano il CCPA saranno in grado di trasmettere il segnale alle rispettive piattaforme.
  • I partner che sottoscriveranno il Limited Service Provider Agreement di IAB non dovranno firmare alcuna integrazione contrattuale con Index Exchange.
  • Per i partner dell’adattatore di Prebid:
    • Abbiamo aggiornato l’integrazione con la libreria di Prebid in modo da includere la gestione della stringa us_privacy.
  • I publisher che utilizzano la libreria di Prebid dovranno aggiornare le loro integrazioni e distribuirle nei loro siti.
  • Ulteriori informazioni sugli aggiornamenti del CCPA in merito all’adattatore di Prebid sono disponibili qui e Index Exchange è indicato come adattatore che supporta il CCPA.

Per le DSP e le agenzie nostre partner:

  • Stiamo implementando il framework di conformità al CCPA di IAB per il nostro prodotto Library e presto potremo ricevere, gestire e trasmettere la scelta dei clienti di accordare o negare il consenso attraverso la stringa us_privacy.
  • Forniremo il campo us_privacy nell’oggetto Regulations. Per ulteriori dettagli consulta  la nostra knowledge base.

Se hai altre domande, non esitare a rivolgerti direttamente al responsabile del team per il tuo account.

Index Editor

Index Editor

Torna al blog