Aggiornamento sulla legislazione sulla privacy e l’IA in California – Gennaio 2026
Il nuovo anno è iniziato rapidamente. Febbraio si avvicina e le aziende stanno cominciando ad ambientarsi nel 2026, con alcune tendenze che emergono in modo chiaro. Le imprese stanno analizzando i progetti di legge sull’intelligenza artificiale e sulla privacy firmati lo scorso autunno. Il contenzioso relativo al California Invasion of Privacy Act (CIPA) non accenna a diminuire. Forse il fallimento del SB 690 e un altro anno di tempo stanno alimentando il contenzioso in questo ambito. A partire dal 21 gennaio 2026, sono state segnalate 40 violazioni di dati che hanno coinvolto più di 500 residenti californiani all’Attorney General della California, rispetto a 23 violazioni nello stesso periodo del 2025. Il contenzioso collettivo sulla privacy segue solitamente rapidamente tali segnalazioni, suggerendo che il 2026 sarà un anno ancora più attivo in questo campo.
Le indagini da parte dei regolatori proseguono. L’inizio dell’anno è un buon momento per rivedere il Written Information Security Program (WISP) e confermare l’implementazione corretta dei sistemi e delle misure che ne derivano. È inoltre opportuno aggiornare, se necessario, le avvertenze sulla privacy del sito web, assicurarsi che i gestori di consenso e i meccanismi di opt-out funzionino correttamente e condurre formazione sulla privacy e sulla cybersecurity. Ciò che è vecchio diventa nuovo, almeno ogni gennaio.
La California Privacy Protection Agency continua a concentrarsi sui broker di dati e, con la disponibilità della Delete Request and Opt-Out Platform (DROP), probabilmente intensificherà l’applicazione nel 2026. L’implementazione di DROP potrebbe non essere del tutto semplice, quindi si consiglia un piano di progetto dettagliato.
Normative sulla privacy dei consumatori
Le normative aggiornate del California Consumer Privacy Act del 2018 (CCPA) sono diventate operative il 1° gennaio 2026. Tra i nuovi obblighi vi sono audit annuali sulla cybersecurity, valutazioni del rischio per la privacy dei dati, avvisi di preuso e altri requisiti per le tecnologie di decisione automatizzata, con date di inizio scaglionate a seconda delle dimensioni dell’azienda.
Il legislatore della California si è riunito nuovamente il 5 gennaio 2026. Essendo nel secondo anno del biennio 2025-2026, i legislatori possono introdurre nuove leggi o tentare di far progredire quelle già presentate ma non approvate. Ad esempio, alcune proposte si sono bloccate nel Comitato per la Privacy e la Protezione dei Consumatori dell’Assemblea, dopo essere state approvate dal Senato: il SB 690 mirava a chiarire il conflitto tra CIPA e CCPA per limitare il contenzioso CIPA; il SB 420 richiedeva agli sviluppatori di sistemi decisionali automatizzati ad alto rischio di condurre valutazioni d’impatto prima della commercializzazione. La sessione legislativa attuale termina il 31 agosto 2026.
Leggi sull’IA e sulla privacy entrate in vigore
Le seguenti leggi sull’intelligenza artificiale e sulla privacy sono entrate in vigore il 1° gennaio 2026:
- AB 316 (Intelligenza artificiale: difese)
- AB 566 (CCPA: segnale di preferenza per l’opt-out)
- AB 853 (California AI Transparency Act)
- SB 53 (Modelli di intelligenza artificiale: grandi sviluppatori)
- SB 243 (Chatbot companion)
- SB 361 (Registrazione dei broker di dati: raccolta di dati)
- SB 446 (Modifica della Sezione 1798.82 del Codice Civile relativa alla notifica delle violazioni dei dati)
Il AB 566 richiede ai browser web di includere un’impostazione chiara e univoca che consenta agli utenti di inviare un segnale di preferenza per l’opt-out. Il AB 853 impone nuovi obblighi di trasparenza e divulgazione sui sistemi di IA generativa, modificando il California AI Transparency Act esistente. Su scala ancora più ampia, il SB 53 richiede ai grandi sviluppatori di IA di pubblicare quadri di gestione dei rischi e segnalare incidenti di sicurezza catastrofici allo Stato.
Il SB 446 impone la notifica delle violazioni dei dati ai residenti californiani interessati entro 30 giorni di calendario dalla scoperta o notifica della violazione, con le consuete eccezioni. Un rapporto di notifica delle violazioni deve essere presentato all’Attorney General della California entro 15 giorni dalla notifica agli individui interessati.
Nuove proposte di legge
Un certo numero di nuove leggi sull’IA e sulla privacy sono state introdotte. Le proposte SB 300, SB 867 e AB 1609 riguardano nuovi chatbot. Il AB 1064 (Leading Ethical AI Development (LEAD) for Kids Act) è stato vetoato dal Governatore lo scorso autunno. È stata introdotta una nuova misura di voto, il Parents & Kids Safe AI Act, e si stanno raccogliendo firme per inserirla sulla scheda elettorale di novembre 2026. È possibile che il legislatore californiano possa introdurre e il Governatore firmare nuova legislazione su questo tema, seguendo il modello del CCPA, che era originariamente una proposta di misura elettorale.
Il AB 1542 (modifica delle Sezioni 1798.100 e 1798.121 del Codice Civile relative alla privacy) proibirebbe, ai sensi del CCPA, a un’azienda, fornitore di servizi o appaltatore di vendere o condividere informazioni personali sensibili con terzi. La legge attuale consente al consumatore di rinunciare alla vendita o condivisione delle informazioni personali e di limitare l’uso e la divulgazione delle informazioni personali sensibili a determinati usi previsti dalla legge. Il AB 1542 potrebbe essere discusso in commissione il 5 febbraio 2026.
Rimanete sintonizzati: il 2026 promette di essere un altro anno interessante per la California.
