La lunga attesa per vedere se uno stato si sarebbe unito alla California nell’approvare una legge completa sulla privacy sta finalmente giungendo alla fine, dato che il Senato della Virginia ha approvato il Virginia Consumer Data Protection Act (CDPA) il 3 febbraio. Una versione identica della legge era già passata alla Camera dei Delegati della Virginia il 29 gennaio, il che significa che riconciliare le due versioni della legge prima della scadenza dell’11 febbraio sarà probabilmente una semplice formalità. Il disegno di legge sarà poi inviato al governatore della Virginia per la sua firma. Se dovesse essere firmato in legge, il Virginia CDPA entrerà in vigore il 1 gennaio 2023, lo stesso giorno del California Privacy Rights Act (CPRA).
Il CDPA prende in prestito principi dal CPRA, dal California Consumer Privacy Act (CCPA) e dal General Data Protection Regulation (GDPR), ma differisce anche da tutti e tre in aspetti chiave. Di seguito abbiamo riassunto le disposizioni chiave del CDPA. Continueremo a fornire aggiornamenti man mano che la legge si muove attraverso la legislatura della Virginia.
1. Applicabilità. Il CDPA prende in prestito dal CCPA in termini di utilizzo di requisiti di soglia per determinare l’applicabilità. La legge si applica alle “persone che conducono affari in [Virginia] o che producono prodotti o servizi che sono destinati ai residenti della [Virginia] e che: 1) durante un anno solare, controllano o elaborano i dati personali di almeno 100.000 residenti della Virginia o 2) controllano o elaborano i dati personali di almeno 25.000 residenti della Virginia e derivano oltre il 50 per cento delle entrate lorde dalla vendita di dati personali”.
2. Esenzioni. Nonostante sia etichettato come una legge “completa” sulla privacy, il CDPA ha una serie di esenzioni (molto simile al CCPA e CPRA). Alcune di queste esenzioni sono simili a quelle del CCPA e CPRA, ma in alcuni casi sono più ampie di quelle delle altre due leggi. Per esempio, invece di esentare solo le informazioni che sono soggette al Gramm-Leach-Bliley Act (GLBA) o le informazioni sanitarie protette sotto la Health Information Portability and Accountability Act (HIPAA), il CDPA non si applica alle “istituzioni finanziarie . . soggetto a [GLBA]” o a qualsiasi “entità coperta o socio d’affari governato da [HIPAA]”. La legge esenta anche le informazioni soggette alla maggior parte delle altre leggi federali, come le informazioni regolate dal Family Education and Privacy Act, il Fair Credit Reporting Act, il Farm Credit Act, il Children’s Online Privacy Protection Act (COPPA), e il Driver’s Privacy Protection Act.
Strumento di gestione consenso cookie | Effettua una prova gratis di 2 settimane
Effettua una prova gratis di 2 settimane di uno dei nostri piani a pagamento e crea un account gratis …
3. Distinzione controllore/elaboratore. Come il GDPR (e a differenza del CCPA, che distingue tra “imprese” e “fornitori di servizi”), il CDPA utilizza una dicotomia controllore/elaboratore per distinguere tra le entità che sono responsabili di determinare le finalità e i mezzi del trattamento dei dati personali e le entità che elaborano le informazioni personali per loro conto. Come il GDPR, il CDPA crea obblighi specifici sia per i controllori che per i processori (ed entrambi possono essere ritenuti responsabili ai sensi della legge).
4. Ampia definizione di dati personali. Simile alle altre tre leggi sulla privacy discusse, il CDPA ha un’ampia definizione di “dati personali”. Definisce il termine come “qualsiasi informazione che è collegata o ragionevolmente collegabile a una persona fisica identificata o identificabile”. La definizione di dati personali esclude esplicitamente le informazioni pubblicamente disponibili e i dati de-identificati (e la legge ha standard specifici per come le aziende devono trattare i dati de-identificati).
5. Inclusione della categoria dei dati sensibili. La CDPA ha una categoria separata etichettata “dati sensibili” che è definita come 1) dati personali che rivelano l’origine razziale o etnica, le convinzioni religiose, la diagnosi di salute mentale o fisica, l’orientamento sessuale, o la cittadinanza o lo stato di immigrazione; 2) dati genetici o biometrici (utilizzati allo scopo di identificare una persona fisica); 3) dati personali raccolti da un bambino; o 4) dati di geolocalizzazione precisi. I controllori possono trattare i dati sensibili solo con il consenso del consumatore (o con il consenso dei genitori in conformità con COPPA, nel caso dei dati dei bambini).
Sei un’agenzia, un programmatore web o un altro tipo di rivenditore?
Guadagna il 30% di commissione, dai un’occhiata al nostro programma per rivenditori o contattaci per un numero di clienti superiore a 500
6. Diritti individuali. Come tutte e tre le leggi precedentemente discusse, la CDPA crea diritti individuali per i residenti della Virginia che sono protetti dalla legge. Questi includono 1) il diritto di accesso; 2) il diritto di modifica; 3) il diritto di cancellazione; 4) il diritto alla portabilità dei dati; e 5) il diritto di rinunciare al trattamento dei dati personali per scopi di pubblicità mirata, vendita e profilazione a favore di decisioni che producono effetti legali o similmente significativi riguardanti il consumatore.
7. Valutazioni sulla protezione dei dati. Come il GDPR e il CPRA, il CDPA richiede alle entità di condurre valutazioni sulla protezione dei dati quando si trattano i dati in determinati contesti. In particolare, il CDPA richiede una valutazione della protezione dei dati quando un controllore 1) elabora dati personali ai fini della pubblicità mirata; 2) vende dati personali; 3) elabora dati personali ai fini della profilazione (in determinati contesti); 4) elabora dati sensibili; e 5) conduce qualsiasi attività di trattamento che presenta un rischio elevato di danno ai consumatori.
8. Applicazione. Come il CCPA, il CDPA è applicabile attraverso azioni civili intentate dal procuratore generale e comprende anche una disposizione di 30 giorni di cura. Le sanzioni ai sensi della CDPA sia per i controllori che per i processori possono arrivare fino a 7.500 dollari per violazione. A differenza della CCPA, la CDPA non ha alcun diritto di azione privata, anche per incidenti di sicurezza.