Il Texas si è unito al crescente numero di Stati USA che hanno emanato leggi complete sulla privacy dei dati. Il 29 maggio, l’organo legislativo del Texas ha approvato il Texas Data Privacy and Security Act (TDPSA), noto anche come H.B. 4, che il 18 giugno è stato promulgato dal Governatore Greg Abbott.
La legge entrerà in vigore il 1° luglio 2024, dando così alle aziende poco più di un anno per mettersi in regola.
Questo articolo offre una panoramica delle disposizioni principali del Texas Data Privacy and Security Act e delle sue implicazioni per aziende e consumatori.
Il Texas Data Privacy and Security Act differisce dalle leggi sulla privacy vigenti nello Stato per via del suo vasto campo di applicazione: infatti, non prevede soglie in termini di ricavi o di volume di dati trattati. Si applica alle aziende e alle persone che:
Attenzione: Come già detto, la legge non prevede una soglia in termini di volume di dati trattati o di ricavi, perciò si applicherà alla maggior parte delle aziende del Texas. Tuttavia, le “small business”*, come definite dall’U.S. Small Business Administration (SBA), sono esentate da alcune disposizioni.
Per “small business”, secondo la definizione della Table of Size Standards (tabella degli standard dimensionali) della Small Business Administration (SBA), si intende un’azienda che rientra in determinati criteri basati sui codici del NAICS (North American Industry Classification System). Questi criteri variano significativamente tra i vari settori, con ricavi aziendali che oscillano da 1 milione di dollari a oltre 40 milioni di dollari e un numero di dipendenti compreso tra 100 e oltre 1.500.
Il Texas Data Privacy and Security Act concede diversi diritti ai consumatori rispetto ai loro dati personali.
Questi diritti offrono ai consumatori più controllo sui propri dati personali e sul loro utilizzo da parte delle aziende.
La legge impone restrizioni alla raccolta e al trattamento dei dati personali da parte dei titolari del trattamento.
I dati sensibili, comprese informazioni quali razza, etnia, religione, dati genetici o biometrici e geolocalizzazione precisa, possono essere trattati solo con il consenso del consumatore.
Il Texas Data Privacy and Security Act impone ai titolari del trattamento di fornire un’informativa sulla privacy ragionevolmente accessibile e chiara ai consumatori, che indichi tra l’altro:
Se i titolari effettuano la vendita di dati sensibili, sono tenuti a fornire un’informativa adeguata ai consumatori.
Per alcuni tipi di trattamento di dati, i titolari del trattamento devono completare delle valutazioni sulla protezione dei dati.
L’Attorney General del Texas è l’unica autorità responsabile di verificare e imporre il rispetto del Texas Data Privacy and Security Act.
Prima di agire nei confronti di un presunto trasgressore, l’Attorney General deve offrire un termine di regolarizzazione di 30 giorni per ovviare alla violazione. Scaduto il termine di regolarizzazione, l’Attorney General può imporre sanzioni fino a 7.500 dollari per ogni violazione, nonché chiedere provvedimenti ingiuntivi e spese legali.
