Iubenda logo
Inizia la generazione

Documentazione

Indice dei contenuti

Il Virginia Consumer Data Protection Act (VCDPA)

Il Virginia Consumer Data Protection Act (VCDPA) è diventato legge nel marzo 2021 e la Virgina è il secondo stato degli Stati Uniti, dopo la California, a promulgare una legge sulla privacy completa. 

Il VCDPA è entrato in vigore il 1 gennaio 2023, e riguarda le organizzazioni che svolgono la loro attività in Virginia o forniscono beni o servizi ai residenti della Virginia.  In altre parole, la tua organizzazione non deve avere sede in Virginia perché si applichi il VCDPA.

🚀 In questo articolo puoi scoprire di più sul VCDPA, incluso se ti riguarda e come adeguarsi.

Cos’è il Virginia Consumer Data Protection Act (VCDPA)?

Il VCDPA garantisce agli utenti il diritto di accedere ai propri dati e richiederne la cancellazione. Le organizzazioni sono tenute ad adempiere a queste richieste. Inoltre, le aziende che trattano i dati personali per diverse finalità, tra cui gli annunci personalizzati e la vendita, devono completare una valutazione sulla sicurezza dei dati.

Per il VCDPA, dato personale indica ogni informazione che è collegata o ragionevolmente collegabile a un individuo identificato o identificabile.

In questo contesto, anche gli indirizzi IP possono essere considerati dati personali.

Il VCDPA riguarderà anche la mia organizzazione?

Per rientrare nel campo di applicazione dell’atto, le organizzazioni devono soddisfare uno dei seguenti requisiti, che fanno riferimento a un numero minimo di utenti interessati. 

Il VCDPA si applica a organizzazioni che controllano o trattano:
  1. i dati personali di almeno 100.000 utenti in un anno, o 
  2. i dati personali di almeno 25.000 utenti e generano più del 50% del loro profitto dalla vendita di questi dati

Continua a leggere per scoprire come adeguarti 👇

📌 La tua privacy policy per il VCDPA

Devi fornire ai tuoi utenti un’informativa sulla privacy accessibile, chiara ed esaustiva. Ecco una lista delle informazioni che devi includere. 

Checklist Privacy Policy ✅

Includi le categorie di dati personali che la tua organizzazione tratta.

Includi le finalità del trattamento.

Spiega ai tuoi utenti come possono esercitare i loro diritti (vedi sotto) e come possono contestare una decisione riguardante le loro richieste. Devi fornire uno o più metodi per inviare una richiesta.

Includi le categorie di dati personali che la tua organizzazione condivide con terze parti, se ce ne sono.

Includi le categorie di terze parti, se ci sono, con le quali la tua organizzazione condivide dati personali.

Per il VCDPA, ai residenti della Virginia vengono garantiti i seguenti diritti:

  • il diritto di sapere se i loro dati personali vengono raccolti o trattati;
  • il diritto di accedere ai loro dati personali, raccolti o trattati dal titolare;
  • il diritto di ottenere una copia fruibile e utilizzabile dei loro dati in possesso del titolare;
  • il diritto di non essere discriminati per l’esercizio dei loro diritti; 
  • il diritto alla correzione dei dati inesatti; 
  • il diritto alla cancellazione dei dati personali; e 
  • il diritto di opporsi (opt-out) alla raccolta e trattamento dei dati personali, per le finalità di annunci personalizzati, vendita e profilazione.

Nel testo del VCDPA non c’è alcun riferimento all’obbligo di link di opt-out, per garantire all’utente di effettuare l’opt-out dal trattamento dei dati personali per alcune finalità.

Infatti, le disposizioni del VCDPA trattano il diritto all’opt-out allo stesso modo degli altri diritti presenti nell’atto. Scopri come rispondere alle richieste degli utenti qui sotto 👇

📌 Come rispondere alle richieste degli utenti

La tua azienda deve far fronte alle richieste degli utenti come segue:

  • hai 45 giorni per rispondere. puoi estendere il periodo di risposta di altri 45 giorni laddove necessario, purché informi l’utente di questa estensione e del motivo che lo richiede;
  • se ti rifiuti di adempiere alla richiesta di un utente, devi informarlo del rifiuto nell’arco di 45 giorni, specificando il motivo del rifiuto e le istruzioni su come contestare la decisione;
  • se non sei in grado di verificare la richiesta con degli sforzi ragionevoli, non devi adempiere alla richiesta e puoi richiede maggiori informazioni, necessarie per identificare l’utente e la sua richiesta.

📌 Cosa succede se non mi adeguo al VCDPA?

Dal momento che il VCDPA non predispone un’autorità per la privacy, il Procuratore Generale ha l’autorità esclusiva per farlo rispettare.

Nei 30 giorni precedenti a qualsiasi azione, il Procuratore Generale invierà un avviso scritto identificando le disposizioni che sono state violate o sono in violazione:

👉 se, entro 30 giorni, rimedi alla violazione e invii al Procuratore Generale una dichiarazione scritta a proposito, non ci sarà nessuna azione contro la tua azienda.

👉 se la tua azienda continua a violare le disposizioni dell’atto oltre i 30 giorni o la dichiarazione scritta inviata al Procuratore Generale, il Procuratore Generale può avviare un’azione ed emettere un’ordinanza per bloccare le violazioni e delle sanzioni civili fino a 7500$ per ogni violazione.

Cosa devi fare per prepararti al VCDPA

Il Virginia’s Data Protection Act (VCDPA) si aggiunge alle leggi sulla privacy degli Stati Uniti.

Se la tua organizzazione è già conforme al GDPR e al CCPA/CPRA della California, allora è probabile che non ci sia molto da fare per adeguarti anche al VCDPA della Virginia.

🚀
Il VCDPA è entrato in vigore il 1 gennaio 2023

Se la tua organizzazione rientra nel campo di applicazione del VCDPA, devi valutare delle soluzioni affidabili e a prova di avvocato.

Se ancora non ne hai una, inizia a configurare tutto oggi.

Inizia la generazione