La soluzione completa per adeguare siti, app e aziende alle leggi degli Stati Uniti

Le leggi statali introducono nuovi requisiti per il trattamento dei dati personali e, di conseguenza, nuovi oneri legali e tecnici per le aziende. Adeguarsi può essere complicato. Le nostre soluzioni ti evitano di fare congetture in materia di conformità e ti permettono di soddisfare facilmente i requisiti, così tu puoi dedicarti al tuo business.

Scopri di più sui requisiti legali

Genera un avviso per il CCPA

A quali leggi devo adeguarmi?

In generale, le leggi sulla privacy degli Stati Uniti come il CPRA (precedentemente CCPA) e il VCDPA possono applicarsi a te se ti rivolgi a utenti che hanno sede in quegli stati e, allo stesso tempo, se soddisfi uno dei requisiti delineati qui di seguito.

CPRA

VCDPA

CPA

CTDPA

UCPA

TDPSA

MTCDPA

OCPA

NJDPA

DPDPA

NHDPA

Nevada Privacy Law

NDPA

Il California Privacy Rights Act (CPRA) riprende i provvedimenti del CCPA, aumenta i diritti dei consumatori e aggiunge nuovi requisiti per le aziende che trattano i dati personali degli utenti della California.
Si applica alle entità giuridiche che svolgono la loro attività commerciale in California, trattano le informazioni personali dei consumatori e soddisfano uno o più di questi requisiti:

hanno un fatturato annuo lordo superiore a 25 milioni di dollari
ogni anno acquistano, ricevono, vendono o condividono i dati personali di 100.000 o più consumatori o famiglie; oppure
almeno il 50% del loro fatturato deriva dalla vendita o condivisione* di informazioni personali.

*Può includere le integrazioni di terza parte presenti sul tuo sito.

Non se devi adeguarti al CPRA?Fai questo quiz di 1 minuto

Il Virginia Consumer Data Protection Act (VCDPA) è diventato legge nel marzo 2021 e la Virgina è il secondo stato degli Stati Uniti, dopo la California, a promulgare una legge sulla privacy completa. Il VCDPA è entrato in vigore il 1 gennaio 2023.

Si applica alle persone che svolgono la loro attività in Virginia o forniscono beni o servizi agli utenti della Virginia e che:

controllano o trattano i dati personali di almeno 100.000 consumatori in un anno; o
controllano o trattano i dati personali di almeno 25.000 consumatori e generano più del 50% del loro profitto dalla vendita di dati personali.

Il Colorado Privacy Act (CPA) è entrato in vigore il 1° luglio 2023 ed è pensato per proteggere i diritti alla privacy dei residenti del Colorado disciplinando il modo in cui le aziende raccolgono, trattano e conservano i dati personali.

Si applica ai titolari che operano in Colorado o che si rivolgono intenzionalmente ai residenti del Colorado con prodotti o servizi commerciali e che:

controllano o trattano i dati personali di almeno 100.000 consumatori nel corso di un anno civile; o
ricavano proventi dalla vendita di dati personali e trattano o controllano i dati personali di almeno 25.000 consumatori.

Il Connecticut Data Privacy Act (CTDPA) è entrato in vigore il 1° luglio 2023 ed impone di fornire ai consumatori informative sulla privacy chiare e significative che includano, tra gli altri requisiti, informazioni sul trattamento dei dati personali, sulle finalità, sui diritti dei consumatori e sulla condivisione con terze parti.

Si applica ai soggetti che operano nel Connecticut oppure che producono prodotti o servizi rivolti ai residenti del Connecticut e che nel corso dell’anno civile precedente:

Hanno controllato o trattato i dati personali di almeno 100.000 consumatori (esclusi i dati personali controllati o trattati esclusivamente per completare un’operazione di pagamento); o
Hanno controllato o trattato i dati personali di almeno 25.000 consumatori e ricavato oltre il 25% dei propri proventi lordi dalla vendita di dati personali.

Lo Utah Consumer Privacy Act (UCPA) è una nuova legge sulla privacy dei consumatori dello Utah che è entrata in vigore il 31 dicembre 2023. L'UCPA adotta un approccio alla privacy dei consumatori favorevole alle aziende. L’UCPA mira a fornire uno standard praticabile per le aziende proteggendo al contempo i diritti garantiti dei consumatori dello Utah.

Si applica a qualsiasi organizzazione che:

Opera nello Utah; o
Produce un prodotto o servizio rivolto a consumatori che sono residenti nello Utah;
Ha proventi annuali pari ad almeno 25.000.000 dollari; e
Raggiunge una o più delle seguenti soglie:
Nel corso di un anno solare, controlla o tratta i dati personali di almeno 100.000 consumatori; o
Ricava oltre il 50% dei proventi lordi dalla vendita di dati personali e controlla o tratta i dati personali di almeno 25.000 consumatori.

Il Texas Data Privacy and Security Act (TDPSA), noto anche come H.B. 4, è stato firmato dal governatore Greg Abbott il 18 giugno e è entrato in vigore il 1° luglio 2024.

La Legge si applica a:

Aziende che operano in Texas;
Producono prodotti o servizi per i residenti del Texas;
Elaborano o vendono dati personali; e
Non rientrano nella categoria delle piccole imprese secondo le linee guida della U.S. Small Business Administration.

Il Montana Consumer Data Privacy Act (MTCDPA) è entrato in vigore il 1° ottobre 2024. Questa legge ha l'obiettivo di offrire ai residenti del Montana più controllo sui loro dati personali, garantendo la loro privacy in un mondo digitale in rapida evoluzione.

La legge si applica alle aziende che operano in Montana o che si rivolgono ai suoi residenti e che soddisfano uno dei seguenti criteri:

Controllano o elaborano i dati personali di almeno 50.000 consumatori (esclusi i dati delle transazioni di pagamento), oppure
Controllano o elaborano i dati di almeno 25.000 consumatori e ricavano più del 25% del loro fatturato lordo dalla vendita di dati personali.

Le organizzazioni non profit e alcune altre categorie di entità sono esenti da questa legge.

L'Oregon Consumer Privacy Act (OCPA) è stato firmato dal Governatore Tina Kotek il 18 luglio 2023 ed è entrato in vigore il 1° luglio 2024. Questa legge è stata concepita per rafforzare i diritti alla privacy dei residenti dell'Oregon.

L'OCPA si applica alle aziende che operano in Oregon o che forniscono prodotti o servizi ai residenti dell'Oregon e che:

Controllano o elaborano i dati personali di 100.000 o più consumatori dell'Oregon, oppure
Controllano o elaborano i dati personali di 25.000 o più consumatori dell'Oregon e ricavano il 25% o più del loro fatturato annuale dalla vendita di tali dati.

Le organizzazioni non profit hanno tempo fino al 1° luglio 2025 per conformarsi a questa legge, con un'estensione di un anno rispetto agli altri.

Il New Jersey Data Protection Act (NJDPA) mira a rafforzare i diritti alla privacy dei residenti del New Jersey regolando il modo in cui le aziende raccolgono, utilizzano e gestiscono i dati personali.

Si applica alle entità che:

Svolgono attività commerciali nel New Jersey; oppure
Producono prodotti o servizi destinati ai residenti del New Jersey, e:

Gestiscono o trattano i dati personali di 100.000 o più consumatori; oppure
Ricavano oltre il 50% dei propri introiti lordi dalla vendita di dati personali.

Il Delaware Personal Data Privacy Act (DPDPA) richiede alle aziende di adottare pratiche trasparenti per il trattamento dei dati e garantisce ai residenti del Delaware diritti sul controllo dei propri dati personali.

Si applica a qualsiasi entità che:

Svolge attività commerciali nel Delaware; oppure
Offre prodotti o servizi mirati ai residenti del Delaware, e:

Gescisce o elabora i dati personali di almeno 100.000 residenti del Delaware; o
Ottiene oltre il 50% dei suoi ricavi lordi dalla vendita di dati personali e gestisce o tratta i dati personali di almeno 25.000 residenti del Delaware.

Il New Hampshire Data Protection Act (NHPA) impone rigorose misure di tutela della privacy dei dati per i residenti del New Hampshire, definendo le responsabilità delle aziende in merito al trattamento dei dati personali.

Si applica a qualsiasi entità che:

Svolge attività commerciali nel New Hampshire; oppure
Ha come destinatari dei propri prodotti o servizi i residenti del New Hampshire, e:

Gestisce o tratta i dati personali di almeno 100.000 consumatori durante l'anno solare precedente; oppure
Ottiene oltre il 50% dei suoi ricavi dalla vendita di dati personali e tratta i dati personali di almeno 25.000 consumatori.

La Legge sulla Privacy del Nevada offre importanti tutele ai consumatori residenti in Nevada riguardo al trattamento dei loro dati personali da parte delle aziende.

Si applica a:

Qualsiasi azienda che svolge attività commerciali in Nevada; oppure
Offre prodotti o servizi ai residenti del Nevada, e:

Gestisce o tratta i dati personali di 100.000 o più consumatori durante un anno solare; oppure
Ottiene oltre il 50% dei suoi ricavi dalla vendita di dati personali e tratta i dati personali di almeno 25.000 consumatori.

Il Nebraska Data Privacy Act (NDPA) è stato creato per garantire ai consumatori del Nebraska il diritto di controllare i propri dati personali, assicurando che le aziende rispettino principi di trasparenza e responsabilità nel trattamento dei dati.

Si applica a:

Qualsiasi azienda che opera in Nebraska; oppure;
Produce o fornisce prodotti o servizi destinati ai residenti del Nebraska, e:

Gestisce o tratta i dati personali di almeno 100.000 consumatori durante l'anno solare precedente; oppure
Ottiene oltre il 50% dei suoi ricavi dalla vendita di dati personali e tratta i dati personali di almeno 25.000 consumatori.

CPRA

hanno un fatturato annuo lordo superiore a 25 milioni di dollari
ogni anno acquistano, ricevono, vendono o condividono i dati personali di 100.000 o più consumatori o famiglie; oppure
almeno il 50% del loro fatturato deriva dalla vendita o condivisione* di informazioni personali.

*Può includere le integrazioni di terza parte presenti sul tuo sito.

Non se devi adeguarti al CPRA?Fai questo quiz di 1 minuto

VCDPA

Si applica alle persone che svolgono la loro attività in Virginia o forniscono beni o servizi agli utenti della Virginia e che:

controllano o trattano i dati personali di almeno 100.000 consumatori in un anno; o
controllano o trattano i dati personali di almeno 25.000 consumatori e generano più del 50% del loro profitto dalla vendita di dati personali.

CPA

Si applica ai titolari che operano in Colorado o che si rivolgono intenzionalmente ai residenti del Colorado con prodotti o servizi commerciali e che:

controllano o trattano i dati personali di almeno 100.000 consumatori nel corso di un anno civile; o
ricavano proventi dalla vendita di dati personali e trattano o controllano i dati personali di almeno 25.000 consumatori.

CTDPA

Si applica ai soggetti che operano nel Connecticut oppure che producono prodotti o servizi rivolti ai residenti del Connecticut e che nel corso dell’anno civile precedente:

Hanno controllato o trattato i dati personali di almeno 100.000 consumatori (esclusi i dati personali controllati o trattati esclusivamente per completare un’operazione di pagamento); o
Hanno controllato o trattato i dati personali di almeno 25.000 consumatori e ricavato oltre il 25% dei propri proventi lordi dalla vendita di dati personali.

UCPA

Si applica a qualsiasi organizzazione che:

Opera nello Utah; o
Produce un prodotto o servizio rivolto a consumatori che sono residenti nello Utah;
Ha proventi annuali pari ad almeno 25.000.000 dollari; e
Raggiunge una o più delle seguenti soglie:
Nel corso di un anno solare, controlla o tratta i dati personali di almeno 100.000 consumatori; o
Ricava oltre il 50% dei proventi lordi dalla vendita di dati personali e controlla o tratta i dati personali di almeno 25.000 consumatori.

TDPSA

Il Texas Data Privacy and Security Act (TDPSA), noto anche come H.B. 4, è stato firmato dal governatore Greg Abbott il 18 giugno e è entrato in vigore il 1° luglio 2024.

La Legge si applica a:

Aziende che operano in Texas;
Producono prodotti o servizi per i residenti del Texas;
Elaborano o vendono dati personali; e
Non rientrano nella categoria delle piccole imprese secondo le linee guida della U.S. Small Business Administration.

MTCDPA

La legge si applica alle aziende che operano in Montana o che si rivolgono ai suoi residenti e che soddisfano uno dei seguenti criteri:

Controllano o elaborano i dati personali di almeno 50.000 consumatori (esclusi i dati delle transazioni di pagamento), oppure
Controllano o elaborano i dati di almeno 25.000 consumatori e ricavano più del 25% del loro fatturato lordo dalla vendita di dati personali.

Le organizzazioni non profit e alcune altre categorie di entità sono esenti da questa legge.

NJDPA

Si applica alle entità che:

Svolgono attività commerciali nel New Jersey; oppure
Producono prodotti o servizi destinati ai residenti del New Jersey, e:

Gestiscono o trattano i dati personali di 100.000 o più consumatori; oppure
Ricavano oltre il 50% dei propri introiti lordi dalla vendita di dati personali.

DPDPA

Si applica a qualsiasi entità che:

Svolge attività commerciali nel Delaware; oppure
Offre prodotti o servizi mirati ai residenti del Delaware, e:

Gescisce o elabora i dati personali di almeno 100.000 residenti del Delaware; o
Ottiene oltre il 50% dei suoi ricavi lordi dalla vendita di dati personali e gestisce o tratta i dati personali di almeno 25.000 residenti del Delaware.

NHDPA

Si applica a qualsiasi entità che:

Svolge attività commerciali nel New Hampshire; oppure
Ha come destinatari dei propri prodotti o servizi i residenti del New Hampshire, e:

Gestisce o tratta i dati personali di almeno 100.000 consumatori durante l'anno solare precedente; oppure
Ottiene oltre il 50% dei suoi ricavi dalla vendita di dati personali e tratta i dati personali di almeno 25.000 consumatori.

Nevada Privacy Law

La Legge sulla Privacy del Nevada offre importanti tutele ai consumatori residenti in Nevada riguardo al trattamento dei loro dati personali da parte delle aziende.

Si applica a:

Qualsiasi azienda che svolge attività commerciali in Nevada; oppure
Offre prodotti o servizi ai residenti del Nevada, e:

Gestisce o tratta i dati personali di 100.000 o più consumatori durante un anno solare; oppure
Ottiene oltre il 50% dei suoi ricavi dalla vendita di dati personali e tratta i dati personali di almeno 25.000 consumatori.

NDPA

Si applica a:

Qualsiasi azienda che opera in Nebraska; oppure;
Produce o fornisce prodotti o servizi destinati ai residenti del Nebraska, e:

Gestisce o tratta i dati personali di almeno 100.000 consumatori durante l'anno solare precedente; oppure
Ottiene oltre il 50% dei suoi ricavi dalla vendita di dati personali e tratta i dati personali di almeno 25.000 consumatori.

Cosa serve per adeguarsi alle leggi degli Stati Uniti?

Dal momento che le legislazioni cambiano da stato a stato, adeguarsi a ogni scenario può essere complicato. Le soluzioni di iubenda applicano gli standard più severi, per aiutarti a essere conforme con il minimo sforzo. Ti basta selezionare Leggi degli Stati Uniti nel generatore per adeguarti alle principali legislazioni negli USA.

Disponi di una privacy policy dettagliata

Requisito USA

Le aziende devono includere informazioni specifiche nelle loro privacy policy. Vanno indicati i diritti dei consumatori, le finalità del trattamento, le terze parti con cui vengono condivise le informazioni degli utenti, le fonti da cui provengono tali dati e altro ancora. Queste informazioni devono essere complete, aggiornate e facilmente accessibili tramite il tuo sito/app.

Le policy non sono valide senza le informazioni necessarie

Per essere conforme, la tua policy deve contenere almeno:

Includi le categorie di informazioni personali che la tua azienda ha venduto o condiviso con terze parti negli ultimi 12 mesi, l’elenco delle relative terze parti e la tua finalità operativa. Devi indicare anche se non hai venduto o condiviso le informazioni personali degli utenti negli ultimi 12 mesi.
Aggiungi un’indicazione circa il fatto o meno che la tua azienda vende o condivide intenzionalmente le informazioni personali di utenti di età inferiore ai 16 anni.
Includi le categorie di informazioni personali che la tua azienda ha comunicato (per finalità operative) a terzi negli ultimi 12 mesi, l’elenco delle relative terze parti e le finalità della tua azienda. Dovrai inoltre indicare se non hai diffuso le informazioni personali dei consumatori nei 12 mesi precedenti.
Specifica se la tua attività utilizza o comunica informazioni personali sensibili per finalità diverse da quelle specificate dalla legge in questione.
Fornisci tutti i link ai portali o ai moduli di richiesta online in modo che i tuoi utenti possano presentare richieste relative alle loro informazioni personali oggetto di raccolta, comunicazione o vendita.

Ecco l'elenco completo delle informazioni che devi includere nella tua privacy policy secondo il CPRA.

Includi le categorie di dati personali trattati dalla tua organizzazione.
Includi le finalità del trattamento dei dati personali da parte della tua organizzazione.
Informa gli utenti su come possono esercitare i loro diritti (leggi sotto), incluso come possono contestare una decisione riguardante le loro richieste. Devi fornire uno o più metodi per permettere agli utenti di presentare una richiesta.
Includi le categorie di dati personali che la tua organizzazione condivide con eventuali terze parti.
Includi le categorie delle eventuali terze parti con cui la tua organizzazione condivide i dati personali.

Nello specifico, il CPA impone di fornire un’informativa sulla privacy che includa le seguenti informazioni:

Categorie di dati personali raccolti o trattati.
Finalità per le quali sono trattate le categorie di dati personali.
Come e dove i consumatori possono esercitare i loro diritti, comprese le informazioni di contatto e come contestare un’azione del titolare del trattamento in relazione alla richiesta di un consumatore.
Categorie degli dati personali condivisi con eventuali terzi.
Categorie delle eventuali terze parti con cui i dati personali vengono condivisi.

Troverai ulteriori dettagli qui →

La nuova legge sulla privacy del Connecticut impone di fornire ai consumatori un’informativa chiara e significativa che sia ragionevolmente accessibile. Ecco l’elenco di tutto quello che devi includere nella tua privacy policy per rispettare la nuova legge:

Categorie di dati personali: La tua privacy policy deve includere l’elenco delle categorie di dati personali che tratti.
Finalità del trattamento: La tua privacy policy deve indicare chiaramente le finalità del trattamento dei dati personali, incluso qualsiasi motivo per cui raccogli e utilizzi i dati personali, ad esempio per adempiere a un contratto o fornire un servizio.
Diritti dei consumatori: La tua privacy policy deve spiegare in che modo i consumatori possono esercitare i loro diritti previsti dalla legge, incluso in che modo un consumatore può accedere, correggere, eliminare o limitare il trattamento dei propri dati personali. Devi anche includere informazioni su come un consumatore può contestare una decisione relativa a una sua richiesta.
Condivisione con terze parti: Se condividi dati personali con terze parti, la tua privacy policy deve specificare le categorie di dati personali che condividi.
Categorie di terze parti: La tua privacy policy deve anche specificare le categorie di terze parti con cui condividi i dati personali.
Informazioni di contatto: La tua privacy policy deve fornire un indirizzo di posta elettronica attivo o un altro meccanismo online che i consumatori possono utilizzare per contattarti in caso di domande o dubbi sui propri dati personali.
Vendita o pubblicità mirata: Se tratti dati personali per finalità di vendita o pubblicità mirata, la tua privacy policy deve indicarlo in modo chiaro e ben visibile. Devi inoltre fornire informazioni sulle modalità con cui i consumatori possono esercitare il loro diritto di eseguire l’opt-out da tale trattamento.

Troverai ulteriori dettagli qui →

Se nel tuo caso si applica lo Utah Consumer Privacy Act (UCPA), devi fornire una privacy policy ragionevolmente accessibile e chiara ai consumatori. La tua privacy policy deve includere quanto segue:

Categorie di dati personali trattati: Identifica i tipi di dati personali raccolti e trattati dalla tua organizzazione, quali nomi, indirizzi e-mail e informazioni di pagamento.
Finalità del trattamento dei dati personali: Descrivi i motivi per cui la tua organizzazione raccoglie e tratta i dati personali, ad esempio per evadere ordini, fornire assistenza ai clienti o migliorare prodotti o servizi.
Diritti dei consumatori: Spiega come i consumatori possono esercitare i loro diritti, come il diritto di accedere e cancellare i propri dati personali. Ricorda che l’UCPA non concede ai consumatori il diritto di chiedere la correzione dei dati personali inesatti.
Condivisione dei dati personali: Indica le categorie di dati personali che la tua organizzazione condivide con eventuali terze parti. Ad esempio, puoi condividere informazioni di pagamento con un processore di pagamento o indirizzi postali con un fornitore di servizi di spedizione.
Terze parti: Identifica le categorie delle eventuali terze parti con cui la tua organizzazione condivide i dati personali, ad esempio vendor, fornitori di servizi o partner di marketing.

Troverai ulteriori dettagli qui →

Il Texas Data Privacy and Security Act richiede ai titolari di fornire ai consumatori un'informativa sulla privacy chiara e facilmente accessibile, che descriva, tra l'altro:

le categorie di dati personali, inclusi i dati sensibili, se applicabili, che vengono trattati e le finalità del trattamento;
come i consumatori possono esercitare i loro diritti; e
lecategorie di dati personali condivisi con terze parti e le categorie di terze parti con cui le informazioni sono condivise.

Se i responsabili del trattamento effettuano la vendita di dati sensibili, sono tenuti a fornire un'adeguata informativa ai consumatori. Per determinati tipi di trattamento dei dati, i titolari del trattamento devono svolgere valutazioni specifiche sulla protezione dei dati.

Fornisci un’informativa sulla privacy chiara, che contenga:

le categorie di dati personali trattati;
le finalità di trattamento;
le pratiche di condivisione;
le informazioni di contatto; e
come esercitare i diritti dei consumatori.

L'OCDPA prevede che i responsabili del trattamento offrano ai consumatori un’informativa sulla privacy chiara, accessibile e significativa. Tale informativa deve includere:

Le categorie di dati personali (compresi i dati sensibili) trattati dal responsabile del trattamento e le finalità del trattamento.
Le categorie di dati personali condivisi con terze parti e l'identità di questi ultimi.
Dettagli su eventuali attività di trattamento legate alla pubblicità mirata.
Istruzioni su come i consumatori possono contattare il responsabile del trattamento ed esercitare i loro diritti in materia di privacy, compresa la procedura di ricorso.

Il The New Jersey Data Protection Act (NJDPA) richiede alle aziende di fornire un'informativa sulla privacy che includa i seguenti elementi:

Categorie di dati personali raccolti: La tua privacy policy deve specificare i tipi di dati personali che raccogli o tratti (ad esempio, nomi, dettagli di contatto e informazioni di pagamento).
Finalità del trattamento: Devi dichiarare chiaramente le ragioni per il trattamento dei dati personali, come l'evasione degli ordini, la fornitura di servizi o le attività di marketing.
Diritti dei consumatori: La tua privacy policy deve spiegare come i consumatori possono esercitare i propri diritti ai sensi del NJDPA, inclusi come possono accedere, correggere o eliminare i propri dati personali e come rinunciare alla vendita o al trattamento pubblicitario mirato dei propri dati personali.
Condivisione con terze parti: La tua politica deve dettagliare le categorie di dati personali condivisi con terze parti, se applicabile.
Categorie di terze parti: Devi specificare i tipi di terze parti con cui condividi dati personali, come fornitori di servizi, partner di marketing o vendor.

Puoi trovare ulteriori dettagli qui →

Il Delaware Personal Data Privacy Act (DPDPA) richiede che l’informativa sulla privacy includa quanto segue:

Categorie di dati personali raccolti: Elenca le categorie di dati personali che tratti (ad esempio, nomi, dettagli di contatto e informazioni di pagamento).
Finalità del trattamento: Indica chiaramente le finalità per il trattamento dei dati, incluso l’adempimento di contratti o la fornitura di servizi.
Diritti dei consumatori: Spiega come i consumatori possono esercitare i loro diritti ai sensi del DPDPA, come accedere, eliminare o limitare i propri dati personali. Dovrebbe anche fornire informazioni su come rinunciare alla vendita o al trattamento pubblicitario mirato dei propri dati.
Condivisione con terze parti: Divulga le categorie di dati personali che condividi con terze parti, se presenti.
Categorie di terze parti: Identifica le terze parti con cui condividi dati personali, come fornitori di analisi, fornitori di servizi o partner commerciali.

Puoi trovare ulteriori dettagli qui →

Ai sensi del New Hampshire Data Protection Act (NHDPA), la tua privacy policy deve includere quanto segue:

Categorie di dati personali raccolti: Specifica i tipi di dati personali che raccogli, come nomi, indirizzi email o informazioni di pagamento.
Finalità del trattamento: Descrivi perché raccogli e tratti i dati personali, sia per l'adempimento del contratto, la fornitura del servizio o il marketing.
Diritti dei consumatori: Informa i consumatori dei loro diritti di accesso, correzione o cancellazione dei propri dati personali e di come possono esercitare questi diritti ai sensi della legge del New Hampshire. Includi informazioni su come rinunciare alla vendita dei dati o al loro trattamento per pubblicità mirata.
Condivisione con terze parti: La tua policy deve dichiarare quali categorie di dati personali vengono condivise con terze parti.
Categorie di terze parti: Identifica le terze parti con cui condividi dati personali, come fornitori di servizi, partner commerciali o agenzie di marketing.

Puoi trovare ulteriori dettagli qui →

La Legge sulla Privacy del Nevada richiede alle aziende di includere le seguenti informazioni nelle loro policy:

Categorie di dati personali raccolti: Specifica i tipi di dati personali che raccogli (ad esempio, dettagli di contatto, identificatori online, ecc.).
Finalità del trattamento: Indica le ragioni per cui raccogli e tratti i dati personali, come la fornitura di servizi, l'adempimento di contratti o attività di marketing.
Diritti dei consumatori: È necessario spiegare il diritto dei consumatori di rinunciare alla vendita dei propri dati personali e i passaggi per esercitare tale diritto.
Condivisione con terze parti: Indica quali dati personali, se presenti, vengono condivisi con terze parti.
Categorie di terze parti: Elenca le terze parti con cui condividi i dati personali, come gestori di pagamenti, fornitori di servizi o partner pubblicitari.

Puoi trovare ulteriori dettagli qui →

Il Nebraska Data Privacy Act richiede che la tua privacy policy includa quanto segue:

Categorie di dati personali raccolti: Identifica le categorie di dati personali che tratti (ad esempio, informazioni di contatto, dati finanziari, ecc.).
Finalità del trattamento: Descrivi le ragioni per il trattamento dei dati personali, come l'adempimento di contratti, la fornitura di servizi o lo svolgimento di attività di marketing.
Diritti dei consumatori: Spiega come i consumatori possono esercitare i propri diritti ai sensi del NDPA, come accedere ai propri dati personali, richiederne la cancellazione o la limitazione del trattamento, e rinunciare alla vendita dei dati o alla pubblicità mirata.
Condivisione con terze parti: La tua privacy policy deve dichiarare eventuali dati personali condivisi con terze parti.
Categorie di terze parti: Devi identificare i tipi di terze parti con cui condividi dati personali, come vendor, fornitori di servizi o partner commerciali.

Puoi trovare ulteriori dettagli qui →

Soluzione

Generatore di Privacy e Cookie Policy

Crea la tua privacy e cookie policy in pochi minuti.

Personalizzabile grazie a oltre 2000 clausole in fino a 27 lingue, aggiornate automaticamente se la legge cambia. Il nostro generatore ti permette di redigere un documento in pochi minuti e di integrarlo perfettamente sul tuo sito o la tua app.

Scopri di più

Mostra un avviso e consenti l'opt-out

Il CPRA (modifica del CCPA) richiede di mostrare un’informativa prima o durante l'atto di raccolta che spieghi agli utenti quali categorie di dati personali saranno raccolti e per quali finalità. Inoltre, i consumatori devono avere la possibilità di eseguire l’opt-out da questo trattamento. In quanto azienda, hai quindi il dovere di informare i consumatori di questa opzione e di fornire i mezzi concreti per eseguire l’opt-out.

In particolare, devi:

Rilevare se un consumatore si trova o meno in California e se ha visitato o meno il tuo sito web in precedenza
Facilitare le richieste di opt-out tramite un link con la dicitura “Non vendere i miei dati personali” (“DNSMPI”)
Invitare le terze parti interessate a cessare il trattamento dei dati del consumatore quando viene ricevuta una richiesta di opt-out.
Mostrare al consumatore un'informativa contenente le informazioni necessarie alla prima visita del sito

Tieni presente che il VCDPA non prevede obblighi circa la presenza di link di opt-out che consentano agli utenti di eseguire l’opt-out dal trattamento dei dati personali per determinate finalità.

Infatti, le disposizioni del VCDPA trattano i diritti di opt-out degli utenti allo stregua di qualsiasi altro diritto degli utenti previsto da questa legge.

La tua azienda deve far fronte alle richieste degli utenti come segue:

Devi far fronte alla richiesta entro 45 giorni. Puoi prorogare il periodo di risposta una sola volta di altri 45 giorni laddove ragionevolmente necessario, purché informi l’utente di questa proroga e del suo motivo durante il periodo di risposta iniziale di 45 giorni;
Se ti rifiuti di adempiere alla richiesta di un utente, devi informare quest’ultimo del rifiuto entro 45 giorni, specificando il motivo del rifiuto e le istruzioni su come contestare la decisione;
Se non sei in grado di verificare la richiesta tramite sforzi commerciali ragionevoli, non devi far fronte alla richiesta e puoi richiede maggiori informazioni, purché congrue e necessarie per identificare l’utente e la sua richiesta.

Tieni presente che il CPA non prevede obblighi circa la presenza di link di opt-out che consentano ai consumatori di eseguire l’opt-out dal trattamento dei dati personali per determinate finalità. Tuttavia, se stai trattando dati personali a fini di vendita o di pubblicità mirata, devi fornire ai consumatori un metodo chiaro e ben visibile per esercitare il loro diritto di opt-out.

Questo metodo deve essere descritto in modo chiaro e ben visibile nell'informativa sulla privacy e deve essere facilmente accessibile al di fuori dell'informativa sulla privacy.

Devi inoltre consentire ai consumatori di eseguire l’opt-out dal trattamento dei propri dati personali a fini di pubblicità mirata o di vendita attraverso un segnale di preferenza relativo all'opt-out inviato tramite una piattaforma, una tecnologia o un meccanismo, con il consenso del consumatore.
Questo meccanismo:

non deve sfavorire in modo sleale gli altri titolari,
richiede una scelta positiva e inequivocabile da parte del consumatore,
deve essere facile da usare,
deve essere il più coerente possibile con altri meccanismi analoghi richiesti da leggi o normative federali o statali, e
deve consentire al titolare di determinare se il consumatore è residente nel Connecticut e se ha presentato una richiesta di opt-out legittima.

Secondo lo Utah Consumer Privacy Act (UCPA), i consumatori hanno il diritto di eseguire l’opt-out dal trattamento dei propri propri personali per finalità di pubblicità mirata o di vendita dei loro dati personali a terzi. Tuttavia, la legge non contiene indicazioni specifiche sulle modalità con cui si deve consentire ai consumatori di esercitare questo diritto.

Per rispettare l'UCPA, devi:

fornire ai consumatori un mezzo per presentare le richieste di opt-out; e
specificare il diritto che intendono esercitare.

Va notato che l’UCPA prevede i link di opt-out esclusivamente in relazione al diritto dei consumatori di eseguire l’opt-out dal trattamento dei dati sensibili.

Il TDPSA richiede il consenso dell'utente nei seguenti casi:

Consenso esplicito per il trattamento dei dati sensibili: I responsabili del trattamento non possono trattare i dati sensibili senza il consenso esplicito dell'utente. Quando trattano i dati personali sensibili dei minori, i responsabili del trattamento devono anche rispettare il Children's Online Privacy Protection Act del 1998.
Consenso al trattamento dei dati dei minori: Ai fini di questa legge, i minori sono definiti come individui di età inferiore ai 13 anni.

In genere, le aziende possono trattare i dati dei consumatori senza il loro consenso se le finalità del trattamento sono le stesse di quelle inizialmente comunicate. Per scopi che non sono ragionevolmente necessari e compatibili con quelli inizialmente specificati nella privacy policy, è necessario ottenere il consenso dell'utente.

Le aziende devono ottenere il consenso dei consumatori per le seguenti finalità:

Trattamento di dati sensibili.
Trattamento di dati personali di minori di età compresa tra 13 e 16 anni per la vendita e la pubblicità mirata, se l'azienda è a conoscenza della loro età.

Fornisci ai consumatori un metodo semplice per ritirare il loro consenso. Una volta che il consumatore revoca il consenso, interrompi il trattamento dei suoi dati personali entro 45 giorni.

Meccanismi di opt-out

Dichiarare se i dati personali saranno venduti o utilizzati per pubblicità mirate.
Fornire ai consumatori metodi di opt-out per la vendita di dati, la pubblicità mirata e la profilazione.
Riconoscere segnali di opt-out verificabili da parte di rappresentanti autorizzati, inclusi i meccanismi di opt-out globali.

Entro il 1° gennaio 2025, le aziende devono permettere ai consumatori di disattivare la pubblicità mirata e la vendita dei propri dati personali utilizzando segnali di opt-out.

Per trattare i dati personali oltre quanto ragionevolmente necessario per le finalità inizialmente comunicate ai consumatori, le aziende devono ottenere il consenso esplicito e attivo dai consumatori. Le stesse linee guida sul consenso si applicano alla raccolta e all'elaborazione di qualsiasi informazione sensibile.

L'OCPA definisce chiaramente i requisiti per il consenso:

I consumatori devono fornire un'azione chiara e affermativa.
Il consenso deve essere inequivocabile e informato.
Il meccanismo di consenso non può oscurare, ostacolare o compromettere il processo decisionale dei consumatori.
I consumatori devono avere a disposizione un modo semplice e diretto per ritirare il proprio consenso in qualsiasi momento.
L'assenza di azione da parte del consumatore non costituisce consenso.

Inoltre, è necessario ottenere il consenso attivo di un tutore legale per trattare i dati dei minori di età inferiore ai tredici anni, inclusi quelli relativi alla pubblicità mirata o alla vendita delle loro informazioni.

Ai sensi del New Jersey Data Protection Act (NJDPA), le aziende devono fornire un meccanismo chiaro e ben visibile che consenta ai consumatori di rinunciare alla vendita dei propri dati personali, così come al trattamento dei dati personali per scopi di pubblicità mirata.

Questo meccanismo deve:

Essere facile da usare e accessibile ai consumatori,

richiedere una scelta positiva e chiara da parte del consumatore,

Essere coerente con altri meccanismi di opt-out stabiliti da regolamenti federali o statali.

Inoltre, le aziende devono rispettare le richieste di opt-out e adottare le misure necessarie in modo tempestivo.

Il Delaware Personal Data Privacy Act (DPDPA) obbliga le aziende a consentire ai consumatori di rinunciare alla vendita dei propri dati personali o al trattamento di tali dati per pubblicità mirata. Il meccanismo di opt-out deve:

Essere facilmente accessibile e facile da usare per i consumatori,
Fornire istruzioni chiare per l'invio di una richiesta di opt-out,
Essere conforme a tutte le normative federali o statali applicabili in materia di preferenze sulla privacy.

Il meccanismo dovrebbe anche garantire che le imprese possano verificare l'identità del consumatore che effettua la richiesta.

Ai sensi del New Hampshire Data Protection Act, i consumatori hanno il diritto di rinunciare al trattamento dei propri dati personali per pubblicità mirata o per la vendita. Le aziende sono tenute a:

Fornire un metodo chiaro e facile da utilizzare per consentire ai consumatori di inviare richieste di opt-out,
Consentire ai consumatori di inviare richieste tramite un'interfaccia facilmente accessibile,
Assicurarsi che i meccanismi di opt-out siano conformi sia alle leggi sulla privacy statali che federali.

L'opt-out deve essere rispettato tempestivamente e i consumatori devono essere informati su come i loro dati personali saranno trattati.

La legge sulla privacy del Nevada concede ai consumatori il diritto di rinunciare alla vendita dei propri dati personali. Per conformarsi a questa legge, le imprese devono:

Fornire un meccanismo facilmente accessibile attraverso il quale i consumatori possono inviare richieste di opt-out,
Indicare chiaramente come il consumatore può esercitare il proprio diritto di opt-out dalla vendita dei dati,
Assicurarsi che il meccanismo di opt-out sia il più semplice e diretto possibile.

Le aziende devono rispettare la richiesta di opt-out del consumatore comunicare al consumatore che le sue preferenze sono state registrate con successo.

Il Nebraska Data Privacy Act richiede alle aziende di consentire ai consumatori di rinunciare alla vendita dei dati personali o al loro trattamento per pubblicità mirata. Per conformarsi all'NDPA, le aziende devono:

Fornire un metodo di opt-out chiaro e accessibile per i consumatori,
Assicurarsi che il meccanismo sia facile da usare e coerente con altre normative federali e statali,
Far sapere ai consumatori come verranno utilizzati i loro dati e come possono esercitare i loro diritti di opt-out.

Una volta effettuata una richiesta di opt-out, le aziende devono agire prontamente e in conformità con le preferenze espresse dal consumatore.

Soluzione

Privacy Controls and Cookie Solution per il CCPA

Avvisa i tuoi utenti e gestisci le richieste di opt-out. Compatibile con il CCPA Compliance Framework di IAB.

La nostra soluzione ti permette di:

Mostrare un avviso di raccolta dati per informare gli utenti

Mostrare un link "Non vendere le mie informazioni personali" (DNSMPI) all'interno dell'avviso e in altre parti del sito/app, agevolando così l'opt-out

Rilevare la posizione e applicare automaticamente gli standard corretti, anche quando sono più di uno. Quando richiesto, la nostra soluzione ti permette di applicare agli stessi utenti sia gli standard CPRA (precedentemente CCPA) che gli standard GDPR

Salvare e passare automaticamente le preferenze degli utenti (tra cui l'opt-out) ai fornitori di servizi pubblicitari che supportano lo IAB CCPA Compliance Framework (come Google e AdRoll)

Privacy Controls and Cookie Solution di iubenda supporta le preferenze di opt-out signal come GPC e GPP come richiesto dal CPRA

Scopri di più

Mantieni un registro aggiornato per l'opt-out manuale

Requisito USA

Come indicato in precedenza, in modo simile al CPRA (precedentemente CCPA), molte di queste leggi conferiscono ai consumatori il diritto di opporsi. Qualora il trattamento sia in qualche modo manuale (cioè, non connesso a degli script, come nel caso del direct email marketing), le aziende potrebbero dover soddisfare manualmente le richieste di opt-out.

Inoltre, leggi come il CPRA prevedono che gli utenti non possano essere contattati per i 12 mesi successivi la richiesta. Per questo motivo è consigliabile tenere un registro comprensivo di dettagli dell'opt-out quali utente, data e fornitori da notificare in caso di richiesta.

Soluzione

Consent Database

Il nostro Consent Database si integra con i tuoi form per permetterti di passare via API le preferenze dei consumatori (tra cui l'opt-out) ad un'intuitiva dashboard. Puoi registrare tutti i dettagli rilevanti, inclusi data e ora dell'opt-out, la versione della privacy policy mostrata all'utente al momento della richiesta, user ID, e-mail e persino l'indirizzo IP, così da ottenere una richiesta verificabile.

Scopri di più

Registro delle attività di trattamento dei dati

Il Registro delle attività di trattamento dei dati consente di registrare accuratamente i dati necessari per soddisfare le richieste dei consumatori.

La nostra soluzione archivia:

i dettagli relativi alla sicurezza, come ad esempio quali membri della tua organizzazione hanno accesso ai dati degli utenti;
gli eventuali fornitori che trattano dati personali a tuo nome;
le finalità del trattamento aggiunte manualmente;
i metodi di raccolta dati e altro ancora.

Scopri di più

Sanzioni e provvedimenti per il mancato adeguamento

Sanzione civile di
2500$ per violazione o;
7500$ per violazione, se la violazione è intenzionale o riguarda le informazioni personali di un minore.

Sanzione civile fino a 7500$ per ogni violazione.

Se queste sanzioni non sembrano particolarmente elevate a confronto con quelle previste da altre normative, tieni presente che vanno intese per singola violazione e per consumatore. Possono quindi arrivare a costituire una somma considerevole anche per un’azienda con pochi clienti.

Quali sono i requisiti principali per i proprietari di siti web e app?

Condivisione e profilazione

Se ti rivolgi a utenti negli Stati Uniti, è possibile che tu debba adeguarti a leggi come il CPRA e il VCDPA per quanto riguarda la profilazione o la condivisione delle informazioni degli utenti. Quindi devi informare gli utenti che stai trattando i loro dati per queste finalità e dare loro la possibilità di opporsi alla condivisione (opt-out).

Registro dei consensi

In alcune regioni, come l’Europa e il Brasile, è richiesto tenere delle prove di consenso (anche note come registro dei consensi). Spesso, senza questo registro, i consensi che raccogli potrebbero non essere considerati validi e potresti violare la legge.

Requisiti per più regioni

Se ti rivolgi a utenti di varie regioni (come Europa e Stati Uniti), è possibile che tu debba adeguarti a più leggi sulla privacy contemporaneamente, come quella della California [CPRA] o il GDPR europeo. Quindi, nei tuoi documenti legali, devi predisporre clausole specifiche per ogni regione e molto altro.

Scelto da oltre 140.000 clienti in più di 100 Paesi

“Se, come me, fai parte di un team smart e non sopporti aggiornare la tua privacy policy ogni volta che aggiungi del codice al tuo sito, allora iubenda fa per te. È incredibilmente conveniente e super facile da utilizzare.”

Genera un avviso per il CCPA

PROVA PRIMA DI ACQUISTARE o UTILIZZA LA VERSIONE GRATUITA

3126375 documenti già generati

FAQ

Come preparasi per il CPRA?

Il CPRA diventa legge il 1 gennnaio 2023, ed entra pienamente in vigore il 1 luglio 2023.

Come sempre, noi di iubenda teniamo d’occhio gli ultimi aggiornamenti e ci assicuriamo che tutti i nostri documenti e prodotti siano in linea, per aiutarti a essere conforme.

Se ti stai già adeguando al CCPA, potrebbe essere una buona idea iniziare a rivedere i procedimenti in atto e prendere nota di alcune cose.

Scopri di più sul CCPA 2.0
e cosa devi fare per adeguarti

Cosa devi fare per prepararti al VCDPA

Il Virginia’s Data Protection Act (VCDPA) si aggiunge alle leggi sulla privacy deli Stati Uniti.

Il VCDPA entra in vigore il 1 gennaio 2023.

Se la tua organizzazione rientra nel campo di applicazione del VCDPA, devi iniziare a valutar delle soluzioni affidabili e a prova di avvocato.

Se ancora non ne hai una, inizia a configurare tutto oggi, e noi ti informeremo quando le clausole saranno disponibili!

Scopri di più sul Virginia’s
Data Protection Act (VCDPA)

Documentazione e guide

Le prossime leggi degli Stati Uniti

Vedi tutte le guide

Non sai esattamente di cosa hai bisogno?

Leggi la nostra Guida Introduttiva

Chatta con noi oppure scrivi al supporto

Iscriviti a uno dei nostri prossimi webinar per ricevere una panoramica generale sugli obblighi di legge e per porci le tue domande in tempo reale

Tutti i nostri prodotti sono conformi al livello AAA delle WCAG

Soluzioni a 360° per adeguare i tuoi siti web e le tue app alle normative

Compliance per siti web e app

Generatore di Privacy e Cookie Policy

Scopri di più

Privacy Controls and Cookie Solution

Gestisci le preferenze di consenso come richiesto dalla Direttiva ePrivacy, dal GDPR, dal CPRA (modifica al CCPA) e dalla LGPD. Integrazione con il TCF di IAB e il CCPA Compliance Framework.

La nostra soluzione ti permette di mostrare un cookie banner/banner di consenso completamente personalizzabile, raccogliere il consenso ai cookie, implementare il blocco preventivo (incluso il blocco automatico), impostare le preferenze pubblicitarie e altro ancora.

Scopri di più

Compliance per la tua organizzazione

Consent Database

Adegua i tuoi form al GDPR, al CCPA e alla LGPD: raccogli una prova del consenso e documenta opt-in e opt-out.

La nostra soluzione si integra perfettamente con i tuoi moduli di raccolta dati, si sincronizza con i tuoi documenti legali e include un'intuitiva dashboard che ti permette di recuperare i consensi in qualsiasi momento.

Scopri di più

Registro delle attività di trattamento dei dati

Documenta le attività di trattamento dati all'interno della tua organizzazione.

Per adeguarsi alle leggi sulla privacy, in particolare il GDPR, le aziende devono mantenere un registro delle modalità di archiviazione e utilizzo dei dati dei propri utenti. La nostra soluzione ti permette di documentare facilmente tutte le attività di trattamento all'interno della tua organizzazione.

Scopri di più

La soluzione completa per adeguare siti, app e aziende alle leggi degli Stati Uniti

A quali leggi devo adeguarmi?

CPRA

VCDPA

CPA

CTDPA

UCPA

TDPSA

MTCDPA

OCPA

NJDPA

DPDPA

NHDPA

Nevada Privacy Law

NDPA

CPRA

VCDPA

CPA

CTDPA

UCPA

TDPSA

MTCDPA

NJDPA

DPDPA

NHDPA

Nevada Privacy Law

NDPA

Cronologia delle leggi degli Stati Uniti

1° GENN. 2020

California Consumer Privacy Act (CCPA)

1° LUGLIO 2020

California Consumer Privacy Act (CCPA)

1° GENN. 2022

California Privacy Rights Act (CPRA)

1° GENN. 2023

California Privacy Rights Act (CPRA)

Virginia Consumer Data Protection Act (VCDPA)

1° LUGLIO 2023

California Privacy Rights Act (CPRA)

Colorado Privacy Act (CPA)

Connecticut Data Privacy Act (CTDPA)

31 DIC. 2023

Utah Consumer Privacy Act (UCPA)

1° LUGLIO 2024

Colorado Privacy Act (CPA)

Oregon Consumer Privacy Act (OCPA)

Texas Data Privacy and Security Act (TDPSA)

1 OTTOBRE 2024

Montana Consumer Data Privacy Act (MTCDPA)

1 GENNAIO 2025

Montana Consumer Data Privacy Act (MTCDPA)

Utah Consumer Privacy Act (UCPA)

1 LUGLIO 2025

Oregon Consumer Privacy Act (OCPA)

1 SETTEMBRE 2025

Texas Data Privacy and Security Act (TDPSA)

1 OTTOBRE 2025

Montana Consumer Data Privacy Act (MTCDPA)

1 GENNAIO 2026

Iowa Consumer Data Privacy Act (ICDPA)

1 LUGLIO 2026

Oregon Consumer Privacy Act (OCPA)

1 GENNAIO 2027

New Jersey Data Protection Act (NJDPA)

New Hampshire Data Protection Act (NHDPA)

1 LUGLIO 2027

Delaware Personal Data Privacy Act (DPDPA)

1 GENNAIO 2028

Nevada Privacy Law

Nebraska Data Privacy Act (NDPA)

Cosa serve per adeguarsi alle leggi degli Stati Uniti?

Disponi di una privacy policy dettagliata

Le policy non sono valide senza le informazioni necessarie

La tua privacy policy ai sensi del CPRA (modifica del CCPA)

La tua privacy policy ai sensi del VCDPA

La tua privacy policy ai sensi del CPA

La tua privacy policy ai sensi del CTDPA

La tua privacy policy ai sensi dell'UCPA

La tua privacy policy ai sensi del TDPSA

La tua privacy policy ai sensi del MTCDPA

Sanzione civile di
2500$ per violazione o;
7500$ per violazione, se la violazione è intenzionale o riguarda le informazioni personali di un minore.