La soluzione completa per adeguare siti, app e aziende alle leggi degli Stati Uniti
Le leggi statali introducono nuovi requisiti per il trattamento dei dati personali e, di conseguenza, nuovi oneri legali e tecnici per le aziende. Adeguarsi può essere complicato. Le nostre soluzioni ti evitano di fare congetture in materia di conformità e ti permettono di soddisfare facilmente i requisiti, così tu puoi dedicarti al tuo business.
A quali leggi devo adeguarmi?
CPRA
Il California Privacy Rights Act (CPRA) riprende i provvedimenti del CCPA, aumenta i diritti dei consumatori e aggiunge nuovi requisiti per le aziende che trattano i dati personali degli utenti della California.
Si applica alle entità giuridiche che svolgono la loro attività commerciale in California, trattano le informazioni personali dei consumatori e soddisfano uno o più di questi requisiti:
- hanno un fatturato annuo lordo superiore a 25 milioni di dollari
- ogni anno acquistano, ricevono, vendono o condividono i dati personali di 100.000 o più consumatori o famiglie; oppure
- almeno il 50% del loro fatturato deriva dalla vendita o condivisione* di informazioni personali.
*Può includere le integrazioni di terza parte presenti sul tuo sito.
Non se devi adeguarti al CPRA?Fai questo quiz di 1 minuto
VCDPA
Il Virginia Consumer Data Protection Act (VCDPA) è diventato legge nel marzo 2021 e la Virgina è il secondo stato degli Stati Uniti, dopo la California, a promulgare una legge sulla privacy completa. Il VCDPA è entrato in vigore il 1 gennaio 2023.
Si applica alle persone che svolgono la loro attività in Virginia o forniscono beni o servizi agli utenti della Virginia e che:
- controllano o trattano i dati personali di almeno 100.000 consumatori in un anno; o
- controllano o trattano i dati personali di almeno 25.000 consumatori e generano più del 50% del loro profitto dalla vendita di dati personali.
CPA
Il Colorado Privacy Act (CPA) è entrato in vigore il 1° luglio 2023 ed è pensato per proteggere i diritti alla privacy dei residenti del Colorado disciplinando il modo in cui le aziende raccolgono, trattano e conservano i dati personali.
Si applica ai titolari che operano in Colorado o che si rivolgono intenzionalmente ai residenti del Colorado con prodotti o servizi commerciali e che:
- controllano o trattano i dati personali di almeno 100.000 consumatori nel corso di un anno civile; o
- ricavano proventi dalla vendita di dati personali e trattano o controllano i dati personali di almeno 25.000 consumatori.
CTDPA
Il Connecticut Data Privacy Act (CTDPA) è entrato in vigore il 1° luglio 2023 ed impone di fornire ai consumatori informative sulla privacy chiare e significative che includano, tra gli altri requisiti, informazioni sul trattamento dei dati personali, sulle finalità, sui diritti dei consumatori e sulla condivisione con terze parti.
Si applica ai soggetti che operano nel Connecticut oppure che producono prodotti o servizi rivolti ai residenti del Connecticut e che nel corso dell’anno civile precedente:
- Hanno controllato o trattato i dati personali di almeno 100.000 consumatori (esclusi i dati personali controllati o trattati esclusivamente per completare un’operazione di pagamento); o
- Hanno controllato o trattato i dati personali di almeno 25.000 consumatori e ricavato oltre il 25% dei propri proventi lordi dalla vendita di dati personali.
UCPA
Lo Utah Consumer Privacy Act (UCPA) è una nuova legge sulla privacy dei consumatori dello Utah che è entrata in vigore il 31 dicembre 2023. L'UCPA adotta un approccio alla privacy dei consumatori favorevole alle aziende. L’UCPA mira a fornire uno standard praticabile per le aziende proteggendo al contempo i diritti garantiti dei consumatori dello Utah.
Si applica a qualsiasi organizzazione che:
- Opera nello Utah; o
- Produce un prodotto o servizio rivolto a consumatori che sono residenti nello Utah;
- Ha proventi annuali pari ad almeno 25.000.000 dollari; e
- Raggiunge una o più delle seguenti soglie:
- Nel corso di un anno solare, controlla o tratta i dati personali di almeno 100.000 consumatori; o
- Ricava oltre il 50% dei proventi lordi dalla vendita di dati personali e controlla o tratta i dati personali di almeno 25.000 consumatori.
TDPSA
Il Texas Data Privacy and Security Act (TDPSA), noto anche come H.B. 4, è stato firmato dal governatore Greg Abbott il 18 giugno e è entrato in vigore il 1° luglio 2024.
La Legge si applica a:
- Aziende che operano in Texas;
- Producono prodotti o servizi per i residenti del Texas;
- Elaborano o vendono dati personali; e
- Non rientrano nella categoria delle piccole imprese secondo le linee guida della U.S. Small Business Administration.
MTCDPA
Il Texas Data Privacy and Security Act (TDPSA), noto anche come H.B. 4, è stato firmato dal governatore Greg Abbott il 18 giugno e è entrato in vigore il 1° luglio 2024.
La Legge si applica a:
- Aziende che operano in Texas;
- Producono prodotti o servizi per i residenti del Texas;
- Elaborano o vendono dati personali; e
- Non rientrano nella categoria delle piccole imprese secondo le linee guida della U.S. Small Business Administration.
Cronologia delle leggi degli Stati Uniti
-
Entra in vigore il California Consumer Privacy Act (CCPA), con un periodo di tolleranza di 6 mesi.
L’Office of the Attorney General inizia a monitorare e garantire attivamente il rispetto del CCPA, emettendo avvisi di non conformità e imponendo sanzioni se le violazioni persistono dopo il termine di regolarizzazione di 30 giorni.
-
Inizia il periodo di retroattività di 12 mesi del CPRA. Le aziende ora devono prendere in considerazione le informazioni personali raccolte e trattate nei 12 mesi antecedenti alla richiesta di un consumatore.
-
Entra in vigore il California Privacy Rights Act (CPRA), che modifica il CCPA. Non si applica più il termine di regolarizzazione di 30 giorni.
Per rispettare il CPRA, è possibile che sia necessario completare i passaggi seguenti:
È importante notare che i passaggi da completare per conformarti dipendono dalla natura della tua azienda e dal tipo di informazioni personali che raccogli e tratti. Valuta la tua azienda con questo quiz di appena 1 minuto
Per informazioni specifiche su come adeguarti a quanto sopra, consulta questa sezione: In che modo iubenda può aiutarti a rispettare il CPRA?Entra in vigore il Virginia Consumer Data Protection Act (VCDPA) e se ne garantisce il rispetto.
Per rispettare il VCDPA, è possibile che sia necessario completare i passaggi seguenti:
È importante notare che i passaggi specifici da completare per conformarti dipendono dalla natura della tua azienda, dal tipo di informazioni personali che raccogli e che tratti e da altri fattori.
Per informazioni specifiche su come adeguarti a quanto sopra, consulta questa sezione: In che modo iubenda può aiutarti a rispettare il VCDPA?Si garantisce il rispetto del California Privacy Rights Act (CPRA).
La California Privacy Protection Agency (CPPA) inizia a monitorare e garantire attivamente il rispetto del CPRA, stabilendo sanzioni o provvedimenti in caso di mancato adeguamento.
A seguito della decisione della Sacramento County Superior Court, l'entrata in vigore delle normative definitive emanate dalla California Privacy Protection Agency è stata rinviata al 29 marzo 2024. Tuttavia, la decisione non incide sulle disposizioni di legge del CPRA, che entrano in vigore il 1° luglio 2023.Entra in vigore il Colorado Privacy Act (CPA).
Per rispettare il CPA, è possibile che sia necessario completare i passaggi seguenti:
Per informazioni specifiche su come adeguarti a quanto sopra, consulta questa sezione: In che modo iubenda può aiutarti a rispettare il CPA?
Entra in vigore il Connecticut Data Privacy Act (CTDPA).
Per rispettare il CTDPA, è possibile che sia necessario completare i passaggi seguenti:
Per ulteriori informazioni su come adeguarti a quanto sopra, leggi questa pagina.
Entra in vigore l’Utah Consumer Privacy Act (UCPA).
Per rispettare l’UCPA, è possibile che sia necessario completare i passaggi seguenti:
Per ulteriori informazioni su come adeguarti a quanto sopra, leggi questa pagina.
-
Entra in vigore l’obbligo previsto dal Colorado Privacy Act di rispettare le richieste di opt-out dei consumatori effettuate attraverso un meccanismo universale di opt-out.
L'Oregon Consumer Privacy Act (OCPA) è ora in vigore
Ricorda che le aziende no-profit hanno un anno in più, fino al 1 luglio 2025, per adeguarsi a questa legge.
Il Texas Data Privacy and Security Act (TDPSA) è ora in vigore.
Il Montana Consumer Data Privacy Act (MTCDPA) è ora in vigore.
Tieni presente che le organizzazioni non profit e alcune altre categorie di entità sono esenti da questa legge.
-
Il Montana Consumer Data Privacy Act richiede alle aziende di riconoscere e rispettare i segnali universali di opt-out dei consumatori che scelgono di rinunciare alla vendita dei loro dati personali o alla pubblicità mirata.
-
L’Oregon Consumer Privacy Act richiede che le aziende riconoscano i segnali Global Privacy Controls di browser come Chrome, che permettono agli utenti di rinunciare alla vendita di dati o agli annunci pubblicitari mirati.
Cosa serve per adeguarsi alle leggi degli Stati Uniti?
Dal momento che le legislazioni cambiano da stato a stato, adeguarsi a ogni scenario può essere complicato. Le soluzioni di iubenda applicano gli standard più severi, per aiutarti a essere conforme con il minimo sforzo. Ti basta selezionare Leggi degli Stati Uniti nel generatore per adeguarti alle principali legislazioni negli USA.
Disponi di una privacy policy dettagliata
Requisito USALe aziende devono includere informazioni specifiche nelle loro privacy policy. Vanno indicati i diritti dei consumatori, le finalità del trattamento, le terze parti con cui vengono condivise le informazioni degli utenti, le fonti da cui provengono tali dati e altro ancora. Queste informazioni devono essere complete, aggiornate e facilmente accessibili tramite il tuo sito/app.
Le policy non sono valide senza le informazioni necessarie
Per essere conforme, la tua policy deve contenere almeno:
- Includi le categorie di informazioni personali che la tua azienda ha venduto o condiviso con terze parti negli ultimi 12 mesi, l’elenco delle relative terze parti e la tua finalità operativa. Devi indicare anche se non hai venduto o condiviso le informazioni personali degli utenti negli ultimi 12 mesi.
- Aggiungi un’indicazione circa il fatto o meno che la tua azienda vende o condivide intenzionalmente le informazioni personali di utenti di età inferiore ai 16 anni.
- Includi le categorie di informazioni personali che la tua azienda ha comunicato (per finalità operative) a terzi negli ultimi 12 mesi, l’elenco delle relative terze parti e le finalità della tua azienda. Dovrai inoltre indicare se non hai diffuso le informazioni personali dei consumatori nei 12 mesi precedenti.
- Specifica se la tua attività utilizza o comunica informazioni personali sensibili per finalità diverse da quelle specificate dalla legge in questione.
- Fornisci tutti i link ai portali o ai moduli di richiesta online in modo che i tuoi utenti possano presentare richieste relative alle loro informazioni personali oggetto di raccolta, comunicazione o vendita.
Ecco l'elenco completo delle informazioni che devi includere nella tua privacy policy secondo il CPRA.
- Includi le categorie di dati personali trattati dalla tua organizzazione.
- Includi le finalità del trattamento dei dati personali da parte della tua organizzazione.
- Informa gli utenti su come possono esercitare i loro diritti (leggi sotto), incluso come possono contestare una decisione riguardante le loro richieste. Devi fornire uno o più metodi per permettere agli utenti di presentare una richiesta.
- Includi le categorie di dati personali che la tua organizzazione condivide con eventuali terze parti.
- Includi le categorie delle eventuali terze parti con cui la tua organizzazione condivide i dati personali.
Nello specifico, il CPA impone di fornire un’informativa sulla privacy che includa le seguenti informazioni:
- Categorie di dati personali raccolti o trattati.
- Finalità per le quali sono trattate le categorie di dati personali.
- Come e dove i consumatori possono esercitare i loro diritti, comprese le informazioni di contatto e come contestare un’azione del titolare del trattamento in relazione alla richiesta di un consumatore.
- Categorie degli dati personali condivisi con eventuali terzi.
- Categorie delle eventuali terze parti con cui i dati personali vengono condivisi.
Troverai ulteriori dettagli qui →
La nuova legge sulla privacy del Connecticut impone di fornire ai consumatori un’informativa chiara e significativa che sia ragionevolmente accessibile. Ecco l’elenco di tutto quello che devi includere nella tua privacy policy per rispettare la nuova legge:
- Categorie di dati personali: La tua privacy policy deve includere l’elenco delle categorie di dati personali che tratti.
- Finalità del trattamento: La tua privacy policy deve indicare chiaramente le finalità del trattamento dei dati personali, incluso qualsiasi motivo per cui raccogli e utilizzi i dati personali, ad esempio per adempiere a un contratto o fornire un servizio.
- Diritti dei consumatori: La tua privacy policy deve spiegare in che modo i consumatori possono esercitare i loro diritti previsti dalla legge, incluso in che modo un consumatore può accedere, correggere, eliminare o limitare il trattamento dei propri dati personali. Devi anche includere informazioni su come un consumatore può contestare una decisione relativa a una sua richiesta.
- Condivisione con terze parti: Se condividi dati personali con terze parti, la tua privacy policy deve specificare le categorie di dati personali che condividi.
- Categorie di terze parti: La tua privacy policy deve anche specificare le categorie di terze parti con cui condividi i dati personali.
- Informazioni di contatto: La tua privacy policy deve fornire un indirizzo di posta elettronica attivo o un altro meccanismo online che i consumatori possono utilizzare per contattarti in caso di domande o dubbi sui propri dati personali.
- Vendita o pubblicità mirata: Se tratti dati personali per finalità di vendita o pubblicità mirata, la tua privacy policy deve indicarlo in modo chiaro e ben visibile. Devi inoltre fornire informazioni sulle modalità con cui i consumatori possono esercitare il loro diritto di eseguire l’opt-out da tale trattamento.
Troverai ulteriori dettagli qui →
Se nel tuo caso si applica lo Utah Consumer Privacy Act (UCPA), devi fornire una privacy policy ragionevolmente accessibile e chiara ai consumatori. La tua privacy policy deve includere quanto segue:
- Categorie di dati personali trattati: Identifica i tipi di dati personali raccolti e trattati dalla tua organizzazione, quali nomi, indirizzi e-mail e informazioni di pagamento.
- Finalità del trattamento dei dati personali: Descrivi i motivi per cui la tua organizzazione raccoglie e tratta i dati personali, ad esempio per evadere ordini, fornire assistenza ai clienti o migliorare prodotti o servizi.
- Diritti dei consumatori: Spiega come i consumatori possono esercitare i loro diritti, come il diritto di accedere e cancellare i propri dati personali. Ricorda che l’UCPA non concede ai consumatori il diritto di chiedere la correzione dei dati personali inesatti.
- Condivisione dei dati personali: Indica le categorie di dati personali che la tua organizzazione condivide con eventuali terze parti. Ad esempio, puoi condividere informazioni di pagamento con un processore di pagamento o indirizzi postali con un fornitore di servizi di spedizione.
- Terze parti: Identifica le categorie delle eventuali terze parti con cui la tua organizzazione condivide i dati personali, ad esempio vendor, fornitori di servizi o partner di marketing.
Troverai ulteriori dettagli qui →
Il Texas Data Privacy and Security Act richiede ai titolari di fornire ai consumatori un'informativa sulla privacy chiara e facilmente accessibile, che descriva, tra l'altro:
- le categorie di dati personali, inclusi i dati sensibili, se applicabili, che vengono trattati e le finalità del trattamento;
- come i consumatori possono esercitare i loro diritti; e
- lecategorie di dati personali condivisi con terze parti e le categorie di terze parti con cui le informazioni sono condivise.
Se i responsabili del trattamento effettuano la vendita di dati sensibili, sono tenuti a fornire un'adeguata informativa ai consumatori. Per determinati tipi di trattamento dei dati, i titolari del trattamento devono svolgere valutazioni specifiche sulla protezione dei dati.
Fornisci un’informativa sulla privacy chiara, che contenga:
- le categorie di dati personali trattati;
- le finalità di trattamento;
- le pratiche di condivisione;
- le informazioni di contatto; e
- come esercitare i diritti dei consumatori.
L'OCDPA prevede che i responsabili del trattamento offrano ai consumatori un’informativa sulla privacy chiara, accessibile e significativa. Tale informativa deve includere:
- Le categorie di dati personali (compresi i dati sensibili) trattati dal responsabile del trattamento e le finalità del trattamento.
- Le categorie di dati personali condivisi con terze parti e l'identità di questi ultimi.
- Dettagli su eventuali attività di trattamento legate alla pubblicità mirata.
- Istruzioni su come i consumatori possono contattare il responsabile del trattamento ed esercitare i loro diritti in materia di privacy, compresa la procedura di ricorso.
Generatore di Privacy e Cookie Policy
Personalizzabile grazie a oltre 2000 clausole in 14 lingue, aggiornate automaticamente se la legge cambia. Il nostro generatore ti permette di redigere un documento in pochi minuti e di integrarlo perfettamente sul tuo sito o la tua app.
Mostra un avviso e consenti l'opt-out
Il CPRA (modifica del CCPA) richiede di mostrare un’informativa prima o durante l'atto di raccolta che spieghi agli utenti quali categorie di dati personali saranno raccolti e per quali finalità. Inoltre, i consumatori devono avere la possibilità di eseguire l’opt-out da questo trattamento. In quanto azienda, hai quindi il dovere di informare i consumatori di questa opzione e di fornire i mezzi concreti per eseguire l’opt-out.
In particolare, devi:
- Rilevare se un consumatore si trova o meno in California e se ha visitato o meno il tuo sito web in precedenza
- Facilitare le richieste di opt-out tramite un link con la dicitura “Non vendere i miei dati personali” (“DNSMPI”)
- Invitare le terze parti interessate a cessare il trattamento dei dati del consumatore quando viene ricevuta una richiesta di opt-out.
- Mostrare al consumatore un'informativa contenente le informazioni necessarie alla prima visita del sito
Tieni presente che il VCDPA non prevede obblighi circa la presenza di link di opt-out che consentano agli utenti di eseguire l’opt-out dal trattamento dei dati personali per determinate finalità.
Infatti, le disposizioni del VCDPA trattano i diritti di opt-out degli utenti allo stregua di qualsiasi altro diritto degli utenti previsto da questa legge.
La tua azienda deve far fronte alle richieste degli utenti come segue:
- Devi far fronte alla richiesta entro 45 giorni. Puoi prorogare il periodo di risposta una sola volta di altri 45 giorni laddove ragionevolmente necessario, purché informi l’utente di questa proroga e del suo motivo durante il periodo di risposta iniziale di 45 giorni;
- Se ti rifiuti di adempiere alla richiesta di un utente, devi informare quest’ultimo del rifiuto entro 45 giorni, specificando il motivo del rifiuto e le istruzioni su come contestare la decisione;
- Se non sei in grado di verificare la richiesta tramite sforzi commerciali ragionevoli, non devi far fronte alla richiesta e puoi richiede maggiori informazioni, purché congrue e necessarie per identificare l’utente e la sua richiesta.
Tieni presente che il CPA non prevede obblighi circa la presenza di link di opt-out che consentano ai consumatori di eseguire l’opt-out dal trattamento dei dati personali per determinate finalità. Tuttavia, se stai trattando dati personali a fini di vendita o di pubblicità mirata, devi fornire ai consumatori un metodo chiaro e ben visibile per esercitare il loro diritto di opt-out.
Questo metodo deve essere descritto in modo chiaro e ben visibile nell'informativa sulla privacy e deve essere facilmente accessibile al di fuori dell'informativa sulla privacy.
Devi inoltre consentire ai consumatori di eseguire l’opt-out dal trattamento dei propri dati personali a fini di pubblicità mirata o di vendita attraverso un segnale di preferenza relativo all'opt-out inviato tramite una piattaforma, una tecnologia o un meccanismo, con il consenso del consumatore.
Questo meccanismo:
- non deve sfavorire in modo sleale gli altri titolari,
- richiede una scelta positiva e inequivocabile da parte del consumatore,
- deve essere facile da usare,
- deve essere il più coerente possibile con altri meccanismi analoghi richiesti da leggi o normative federali o statali, e
- deve consentire al titolare di determinare se il consumatore è residente nel Connecticut e se ha presentato una richiesta di opt-out legittima.
Secondo lo Utah Consumer Privacy Act (UCPA), i consumatori hanno il diritto di eseguire l’opt-out dal trattamento dei propri propri personali per finalità di pubblicità mirata o di vendita dei loro dati personali a terzi. Tuttavia, la legge non contiene indicazioni specifiche sulle modalità con cui si deve consentire ai consumatori di esercitare questo diritto.
Per rispettare l'UCPA, devi:
- fornire ai consumatori un mezzo per presentare le richieste di opt-out; e
- specificare il diritto che intendono esercitare.
Va notato che l’UCPA prevede i link di opt-out esclusivamente in relazione al diritto dei consumatori di eseguire l’opt-out dal trattamento dei dati sensibili.
Il TDPSA richiede il consenso dell'utente nei seguenti casi:
- Consenso esplicito per il trattamento dei dati sensibili: I responsabili del trattamento non possono trattare i dati sensibili senza il consenso esplicito dell'utente. Quando trattano i dati personali sensibili dei minori, i responsabili del trattamento devono anche rispettare il Children's Online Privacy Protection Act del 1998.
- Consenso al trattamento dei dati dei minori: Ai fini di questa legge, i minori sono definiti come individui di età inferiore ai 13 anni.
In genere, le aziende possono trattare i dati dei consumatori senza il loro consenso se le finalità del trattamento sono le stesse di quelle inizialmente comunicate. Per scopi che non sono ragionevolmente necessari e compatibili con quelli inizialmente specificati nella privacy policy, è necessario ottenere il consenso dell'utente.
Le aziende devono ottenere il consenso dei consumatori per le seguenti finalità:
- Trattamento di dati sensibili.
- Trattamento di dati personali di minori di età compresa tra 13 e 16 anni per la vendita e la pubblicità mirata, se l'azienda è a conoscenza della loro età.
Fornisci ai consumatori un metodo semplice per ritirare il loro consenso. Una volta che il consumatore revoca il consenso, interrompi il trattamento dei suoi dati personali entro 45 giorni.
Meccanismi di opt-out
- Dichiarare se i dati personali saranno venduti o utilizzati per pubblicità mirate.
- Fornire ai consumatori metodi di opt-out per la vendita di dati, la pubblicità mirata e la profilazione.
- Riconoscere segnali di opt-out verificabili da parte di rappresentanti autorizzati, inclusi i meccanismi di opt-out globali.
Entro il 1° gennaio 2025, le aziende devono permettere ai consumatori di disattivare la pubblicità mirata e la vendita dei propri dati personali utilizzando segnali di opt-out.
Per trattare i dati personali oltre quanto ragionevolmente necessario per le finalità inizialmente comunicate ai consumatori, le aziende devono ottenere il consenso esplicito e attivo dai consumatori. Le stesse linee guida sul consenso si applicano alla raccolta e all'elaborazione di qualsiasi informazione sensibile.
L'OCPA definisce chiaramente i requisiti per il consenso:
- I consumatori devono fornire un'azione chiara e affermativa.
- Il consenso deve essere inequivocabile e informato.
- Il meccanismo di consenso non può oscurare, ostacolare o compromettere il processo decisionale dei consumatori.
- I consumatori devono avere a disposizione un modo semplice e diretto per ritirare il proprio consenso in qualsiasi momento.
- L'assenza di azione da parte del consumatore non costituisce consenso.
Inoltre, è necessario ottenere il consenso attivo di un tutore legale per trattare i dati dei minori di età inferiore ai tredici anni, inclusi quelli relativi alla pubblicità mirata o alla vendita delle loro informazioni.
Privacy Controls and Cookie Solution per il CCPA
Avvisa i tuoi utenti e gestisci le richieste di opt-out. Compatibile con il CCPA Compliance Framework di IAB.
La nostra soluzione ti permette di:
Mostrare un link "Non vendere le mie informazioni personali" (DNSMPI) all'interno dell'avviso e in altre parti del sito/app, agevolando così l'opt-out
Rilevare la posizione e applicare automaticamente gli standard corretti, anche quando sono più di uno. Quando richiesto, la nostra soluzione ti permette di applicare agli stessi utenti sia gli standard CPRA (precedentemente CCPA) che gli standard GDPR
Salvare e passare automaticamente le preferenze degli utenti (tra cui l'opt-out) ai fornitori di servizi pubblicitari che supportano lo IAB CCPA Compliance Framework (come Google e AdRoll)
Mantieni un registro aggiornato per l'opt-out manuale
Requisito USACome indicato in precedenza, in modo simile al CPRA (precedentemente CCPA), molte di queste leggi conferiscono ai consumatori il diritto di opporsi. Qualora il trattamento sia in qualche modo manuale (cioè, non connesso a degli script, come nel caso del direct email marketing), le aziende potrebbero dover soddisfare manualmente le richieste di opt-out.
Inoltre, leggi come il CPRA prevedono che gli utenti non possano essere contattati per i 12 mesi successivi la richiesta. Per questo motivo è consigliabile tenere un registro comprensivo di dettagli dell'opt-out quali utente, data e fornitori da notificare in caso di richiesta.
Consent Database
Registro delle attività di trattamento dei dati
Il Registro delle attività di trattamento dei dati consente di registrare accuratamente i dati necessari per soddisfare le richieste dei consumatori.
La nostra soluzione archivia:
- i dettagli relativi alla sicurezza, come ad esempio quali membri della tua organizzazione hanno accesso ai dati degli utenti;
- gli eventuali fornitori che trattano dati personali a tuo nome;
- le finalità del trattamento aggiunte manualmente;
- i metodi di raccolta dati e altro ancora.
Sanzioni e provvedimenti per il mancato adeguamento
Sanzione civile di
2500$ per violazione o;
7500$ per violazione, se la violazione è intenzionale o riguarda le informazioni personali di un minore.
Sanzione civile fino a 7500$ per ogni violazione.
Se queste sanzioni non sembrano particolarmente elevate a confronto con quelle previste da altre normative, tieni presente che vanno intese per singola violazione e per consumatore. Possono quindi arrivare a costituire una somma considerevole anche per un’azienda con pochi clienti.
Quali sono i requisiti principali per i proprietari di siti web e app?
Condivisione e profilazione
Se ti rivolgi a utenti negli Stati Uniti, è possibile che tu debba adeguarti a leggi come il CPRA e il VCDPA per quanto riguarda la profilazione o la condivisione delle informazioni degli utenti. Quindi devi informare gli utenti che stai trattando i loro dati per queste finalità e dare loro la possibilità di opporsi alla condivisione (opt-out).
Registro dei consensi
In alcune regioni, come l’Europa e il Brasile, è richiesto tenere delle prove di consenso (anche note come registro dei consensi). Spesso, senza questo registro, i consensi che raccogli potrebbero non essere considerati validi e potresti violare la legge.
Requisiti per più regioni
Se ti rivolgi a utenti di varie regioni (come Europa e Stati Uniti), è possibile che tu debba adeguarti a più leggi sulla privacy contemporaneamente, come quella della California [CPRA] o il GDPR europeo. Quindi, nei tuoi documenti legali, devi predisporre clausole specifiche per ogni regione e molto altro.
Scelto da oltre 130.000 clienti in più di 100 Paesi
PROVA PRIMA DI ACQUISTARE o UTILIZZA LA VERSIONE GRATUITA
3039871 documenti già generati
FAQ
Come preparasi per il CPRA?
Il CPRA diventa legge il 1 gennnaio 2023, ed entra pienamente in vigore il 1 luglio 2023.
Come sempre, noi di iubenda teniamo d’occhio gli ultimi aggiornamenti e ci assicuriamo che tutti i nostri documenti e prodotti siano in linea, per aiutarti a essere conforme.
Se ti stai già adeguando al CCPA, potrebbe essere una buona idea iniziare a rivedere i procedimenti in atto e prendere nota di alcune cose.
Cosa devi fare per prepararti al VCDPA
Il Virginia’s Data Protection Act (VCDPA) si aggiunge alle leggi sulla privacy deli Stati Uniti.
Il VCDPA entra in vigore il 1 gennaio 2023.
Se la tua organizzazione rientra nel campo di applicazione del VCDPA, devi iniziare a valutar delle soluzioni affidabili e a prova di avvocato.
Se ancora non ne hai una, inizia a configurare tutto oggi, e noi ti informeremo quando le clausole saranno disponibili!
Documentazione e guide
- Il Virginia Consumer Data Protection Act (VCDPA)
- CPRA: introduzione al CCPA 2.0
- Come applicare alla privacy policy gli standard previsti dal CCPA
Le prossime leggi degli Stati Uniti
Non sai esattamente di cosa hai bisogno?
Leggi la nostra Guida Introduttiva
Chatta con noi oppure scrivi al supporto
Iscriviti a uno dei nostri prossimi webinar per ricevere una panoramica generale sugli obblighi di legge e per porci le tue domande in tempo reale
Soluzioni a 360° per adeguare i tuoi siti web e le tue app alle normative
Compliance per siti web e app
Generatore di Privacy e Cookie Policy
Crea la tua privacy e cookie policy in pochi minuti.
Personalizzabile grazie a oltre 2000 clausole in 14 lingue, aggiornate automaticamente se la legge cambia. Il nostro generatore ti permette di redigere un documento in pochi minuti e di integrarlo perfettamente sul tuo sito o la tua app.
Privacy Controls and Cookie Solution
Gestisci le preferenze di consenso come richiesto dalla Direttiva ePrivacy, dal GDPR, dal CPRA (modifica al CCPA) e dalla LGPD. Integrazione con il TCF di IAB e il CCPA Compliance Framework.
La nostra soluzione ti permette di mostrare un cookie banner/banner di consenso completamente personalizzabile, raccogliere il consenso ai cookie, implementare il blocco preventivo (incluso il blocco automatico), impostare le preferenze pubblicitarie e altro ancora.
Compliance per la tua organizzazione
Consent Database
Adegua i tuoi form al GDPR, al CCPA e alla LGPD: raccogli una prova del consenso e documenta opt-in e opt-out.
La nostra soluzione si integra perfettamente con i tuoi moduli di raccolta dati, si sincronizza con i tuoi documenti legali e include un'intuitiva dashboard che ti permette di recuperare i consensi in qualsiasi momento.
Registro delle attività di trattamento dei dati
Documenta le attività di trattamento dati all'interno della tua organizzazione.
Per adeguarsi alle leggi sulla privacy, in particolare il GDPR, le aziende devono mantenere un registro delle modalità di archiviazione e utilizzo dei dati dei propri utenti. La nostra soluzione ti permette di documentare facilmente tutte le attività di trattamento all'interno della tua organizzazione.