I problemi di privacy dei dati e le normative corrispondenti sono alcune delle maggiori sfide che le aziende devono affrontare oggi. Mentre le aziende colpite dal GDPR hanno subito l'ondata iniziale di multe, requisiti e standard, la privacy è ora una questione internazionale.
Gli Stati Uniti hanno già iniziato a muoversi verso una normativa sulla privacy rivoluzionaria. Con le leggi approvate in California e Nevada e le leggi pianificate in molti altri stati, le aziende dovrebbero aspettarsi un impatto nei prossimi mesi.
Questo articolo analizza le parti cruciali della legge/progetto di legge sulla regolamentazione della privacy di ciascuno stato, incluso chi copre, quando entrano in vigore, sanzioni, come ottenere la conformità e perché gli stati hanno adottato misure prima del governo federale per proteggere i dati personali del consumatore dati.
Il California Consumer Privacy Act
Essendo una delle prime leggi sulla privacy approvate dopo il GDPR, il CCPA funge da modello per altre fatture negli Stati Uniti. A partire dal 1 gennaio 2020, il CCPA si applica a un'azienda che raccoglie/elabora i dati personali dei residenti in California o opera in California. Queste aziende sono soggette al CCPA se:
- Supera un fatturato lordo di $ 25 milioni
- Acquista, ricevi, vendi o condividi (totale combinato) informazioni personali di 50.000 o più famiglie o dispositivi di consumatori
- Guadagna il 50% o più delle entrate annuali dalla vendita delle informazioni personali dei consumatori
Il CCPA concede ai consumatori diritti simili al GDPR, inclusa la divulgazione di informazioni personali e le richieste di dati personali. Le aziende sono tenute a rispondere alle richieste verificabili dei consumatori con informazioni, quali categorie e dati di informazioni personali, terze parti e categorie di terze parti con le quali i dati sono condivisi, e di più.
La sezione, nota come Richieste dell'interessato (DSR), consente agli utenti di accedere alle opzioni di eliminazione delle proprie informazioni personali. Inoltre, il CCPA richiede che le aziende visualizzino un collegamento "Non vendere le mie informazioni personali" sulla loro home page. Il CCPA sarà applicato dal Procuratore Generale e include multe fino a $ 7.500 per ogni singola violazione.
Legge sulla privacy del Nevada
La legge sulla privacy del Nevada è stata firmata il 29 maggio 2019 ed è entrata in vigore il 1 ottobre 2019, tre mesi prima del più noto CCPA. Le leggi sono molto simili ma hanno una grande differenza nel modo in cui viene definita la "vendita". La legge del Nevada è più ristretta, non copre tutti i fornitori di servizi ed è più indulgente con le istituzioni finanziarie. Secondo InfoLawGroup, la legge CCPA e quella del Nevada sono simili in quanto entrambe richiedono "alle aziende di elaborare un processo per verificare la legittimità di una richiesta di recesso da parte dei consumatori e richiedere alle imprese di rispondere alla richiesta entro 60 giorni”. Simile alla California, l'applicazione del Nevada spetta al Procuratore Generale e include multe fino a $ 5.000 per violazione.
Legge sulla privacy di New York
Nel maggio 2019, il senatore dello Stato di New York Kevin Thomas ha presentato uno dei progetti di legge più rivoluzionari in materia di privacy dei dati. I requisiti erano standard e includevano la possibilità per i residenti di accedere, correggere, eliminare e conservare i propri dati personali da terze parti.
Tuttavia, sono state aggiunte disposizioni più estese, come gli obblighi nei confronti dei fiduciari dei dati e il diritto per i residenti di intentare una causa contro le società se danneggiate a causa di una violazione. Questo diritto di azione privato è uno dei maggiori punti di separazione dalle altre normative e potrebbe incentivare i consumatori a perseguire le aziende che non sono conformi. Il disegno di legge è anche più ampio del CCPA, coprendo qualsiasi società che detiene i "dati sensibili dei residenti di New York", senza requisiti di entrate per le entità coperte.
Con leggi approvate in due stati, proposte di legge in altri e nove stati che approvano nuove leggi sulla notifica di violazione dei dati, siamo assistendo all'inizio di un massiccio spostamento verso la protezione dei dati dei consumatori e la responsabilità per le imprese che controllano e elaborarlo.
Per sostenere la conformità, le aziende devono essere consapevoli delle leggi attuali, delle future normative in vigore e del potenziale per standard diversi negli Stati Uniti. La creazione di processi per la gestione dei dati, la portabilità e la mappatura dei dati e i controlli di attivazione degli utenti sono alcune delle pratiche necessarie per le aziende che raccolgono dati personali.