Data di entrata in vigore
2017
California Privacy Rights Act (CPRA)
1° gennaio 2023
La nuova normativa CPRA entra in vigore nel 2023. Il CPRA prevede l’ampliamento di alcuni elementi chiave del CCPA e può essere considerato una versione più completa della legge.
Colorado Privacy Act
1° luglio 2023
Virginia Consumer Data Protection Act (VCDPA)
1° gennaio 2023
An Act Concerning Personal Data Privacy and Online Monitoring
1° luglio 2023
Utah Consumer Privacy Act
31 dicembre 2023
Maryland Online Consumer Personal Information Privacy Act
Nessuna normativa completa sulla privacy attualmente disponibile
La proposta di legge è naufragata, dopo l’approvazione in terza lettura al Senato e prima della lettura alla Camera, a causa della relazione sfavorevole della Commissione Questioni Economiche.
A Bill for an Act relating to consumer data protection
Nessuna normativa completa sulla privacy attualmente disponibile
La proposta di legge, in attesa della prima lettura al Senato, è stata deferita alla Commissione Giustizia. La proposta di legge sembra essere naufragata e non sono disponibili ulteriori informazioni.
Consumer Privacy Act
Nessuna normativa completa sulla privacy attualmente disponibile
La proposta di legge è naufragata durante la Legislatura 2021 dello Stato e non sono disponibili ulteriori informazioni. Ad oggi non risulta che l’Illinois abbia adottato una legge completa sulla privacy.
Consumer Data Privacy Act
Nessuna normativa completa sulla privacy attualmente disponibile
La proposta di legge non ha completato l’iter legislativo previsto e non ci sono aggiornamenti. Sembra che la proposta di legge sia naufragata dopo la mancata approvazione da parte della Commissione Finanza e Politica per il Commercio della Camera del Minnesota, a causa della fine della legislatura. Ad oggi non sembra che il Minnesota abbia adottato una legge completa sulla privacy.
Consumer Privacy Act
Nessuna normativa completa sulla privacy attualmente disponibile
La proposta di legge è naufragata il 30 maggio 2021 dopo la mancata approvazione entro fine legislatura da parte della Commissione Tecnologia e Ricerca della Camera dell’Alabama e non sono disponibili ulteriori informazioni.
The Oklahoma Computer Data Privacy Act
Nessuna normativa completa sulla privacy attualmente disponibile
La proposta di legge, in attesa della seconda lettura al Senato, è stata deferita alla Commissione Giustizia e poi alla Commissione Stanziamenti. La proposta di legge sembra essere naufragata e non sono disponibili ulteriori informazioni.
People’s Privacy Act
Nessuna normativa completa sulla privacy attualmente disponibile
La proposta di legge è naufragata a causa della mancata approvazione entro fine legislatura.
Privacy Act
Nessuna normativa completa sulla privacy attualmente disponibile
La proposta di legge è in attesa di esame da parte della Commissione Protezione e Affari dei Consumatori dell’Assemblea dello Stato di New York dal 7 gennaio 2022. La proposta di legge sembra non essere attiva e non sono disponibili ulteriori informazioni.
Massachusetts Information Privacy and Security Act
Nessuna normativa completa sulla privacy attualmente disponibile
La proposta di legge è stata sottoposta a un ordine di studio e attualmente è in attesa di esame da parte della Commissione Regolamentazione della Camera. Non sono disponibili ulteriori informazioni.
Nessuna normativa completa sulla privacy attualmente disponibile
La proposta di legge non ha completato l’iter legislativo previsto e sembra sia naufragata.
Nessuna normativa completa sulla privacy attualmente disponibile
Ad oggi non risulta che lo Stato del Kentucky abbia approvato una legge completa sulla privacy.
Nessuna normativa completa sulla privacy attualmente disponibile
Sembra che lo Stato del Maine abbia introdotto leggi sulla privacy non tanto complete quanto piuttosto settoriali. Ad esempio, la proposta di legge LD 913, originariamente destinata a introdurre la legge Maine Data Collection Protection Act, è stata modificata per regolamentare l’accesso agli atti dei tribunali civili.
Si applica a me?
Si applica a te se rientri nella categoria delSoggetto Addetto alla Raccolta dei Dati, ossia qualsiasi agenzia governativa, istituto di istruzione superiore, società di capitali, istituto finanziario o operatore al dettaglio, o di qualsiasi altro tipo di soggetto economico o associazione che, per qualsiasi finalità, tramite raccolta automatizzata o in altro modo, gestisce, raccoglie, diffonde o altrimenti tratta informazioni personali non pubbliche.
Operatori. Indica un soggetto che:è proprietario di o gestisce un sito web o un servizio online per scopi commerciali; raccoglie e conserva informazioni oggetto della legge riguardanti consumatori che risiedono in Nevada e che utilizzano o visitano il sito web o il servizio online; e rivolge intenzionalmente le proprie attività verso il Nevada, perfeziona parte della transazione con lo Stato del Nevada o un suo residente, si avvale intenzionalmente del privilegio di condurre attività in Nevada o intraprende in altro modo qualsiasi attività che costituisce un nesso sufficiente con lo Stato del Nevada per soddisfare i requisiti della Costituzione degli Stati Uniti. Intermediari di dati. Indica un soggetto la cui attività primaria consiste nell’acquisto, presso operatori o altri intermediari di dati, delle informazioni oggetto della legge riguardanti consumatori residenti in Nevada con cui il soggetto non ha un rapporto diretto e nella vendita di tali informazioni oggetto della legge.**In questa definizione di Operatore non rientrano le terze parti che trattano le informazioni personali per conto del proprietario del sito web o del servizio online.
La legge si applica a te se sei una persona giuridica che opera in California a scopo di lucro , che raccoglie le informazioni personali dei consumatori, o per conto di cui tali informazioni vengono raccolte e singolarmente , o congiuntamente con altri, determina le finalità e i mezzi del trattamento delle informazioni personali dei consumatori, e che soddisfa uno o più dei seguenti criteri : ricavi lordi annui superiori a 25.000.000 di dollari; annualmente acquista, riceve, vende o condivide le informazioni personali di 100.000 o più consumatori o famiglie; e/o genera almeno il 50% dei propri ricavi annui dalla vendita o dalla condivisione delle informazioni personali dei consumatori.
Sono incluse anche le controllate e le joint venture con una partecipazione minima del 40%.
La legge si applica a te se sei una persona giuridica che opera in Colorado o produce servizi o prodotti commerciali rivolti intenzionalmente ai residenti del Colorado econtrolla o tratta i dati personali di almeno 100.000 consumatori all’anno, o controlla o tratta i dati personali di almeno 25.000 consumatori e genera ricavi (o riceve uno sconto sul prezzo di beni e servizi) dalla vendita di dati personali.
La legge si applica a te se sei un soggetto che opera in Virginia o si rivolge ai residenti della Virginia e:controlla o tratta i dati personali di almeno 100.000 consumatori all’anno, o controlla o tratta i dati personali di almeno 25.000 consumatori e genera più del 50% dei ricavi lordi dalla vendita di dati personali.
La legge si applica a te se sei un’Attività (con o senza sede in Connecticut) che si rivolge ai residenti del Connecticut e che:durante un anno solare, controlla o tratta i dati personali di almeno 100.000 consumatori; o controlla o tratta i dati personali di almeno 25.000 consumatori e genera più del 50% dei propri ricavi lordi dalla vendita di dati personali.
Secondo la legge, per “attività” si intende:a scopo di lucro che raccoglie le informazioni personali di una persona o di un consumatore
La legge si applica a qualsiasi titolare o responsabile che svolge la propria attività nello Utah o produce un prodotto o un servizio rivolto ai residenti dello Utah, che ha ricavi annui minimi di 25.000.000 di dollari e che soddisfa uno o più dei seguenti criteri:durante un anno solare, controlla o tratta i dati personali di almeno 100.000 consumatori; o genera oltre il 50% dei ricavi lordi del soggetto dalla vendita di dati personali e controlla o tratta i dati personali di almeno 25.000 consumatori.
Chi protegge?
Residenti del Nevada
Consumatori. Persone fisiche che risiedono nello Stato della California.
Consumatori. Una persona fisica che è residente del Colorado e che agisce esclusivamente nell’ambito personale o familiare.
Consumatori. Persone fisiche che risiedono nello Stato della Virginia.
Consumatori. Una persona fisica che è residente del Connecticut
Consumatori. Una persona fisica che è residente dello Stato e che agisce nell’ambito personale o familiare.
Quali diritti la legge concede agli utenti?
Diritto di effettuare l’opt-out dalla vendita delle informazioni personali.
Vendita La comunicazione delle informazioni oggetto della legge da parte di un operatore o di un intermediario di dati a un soggetto che tratta le informazioni oggetto della legge per conto dell’operatore o dell’intermediario di dati; La comunicazione delle informazioni oggetto della legge da parte di un operatore a un soggetto con cui il consumatore ha un rapporto diretto per finalità di fornitura di un prodotto o di un servizio richiesto dal consumatore; La comunicazione delle informazioni oggetto della legge da parte di un operatore a un soggetto per finalità coerenti con le ragionevoli aspettative di un consumatore considerando il contesto in cui il consumatore ha fornito all’operatore le informazioni oggetto della legge; La comunicazione delle informazioni oggetto della legge da parte di un operatore o di un intermediario di dati a un soggetto che rappresenta una consociata dell’operatore o dell’intermediario di dati; La comunicazione o il trasferimento delle informazioni oggetto della legge da parte di un operatore o di un intermediario di dati a un soggetto come asset all’interno di una fusione, acquisizione, liquidazione giudiziale o altra operazione in cui il soggetto assume il controllo di tutti o parte degli asset dell’operatore o dell’intermediario di dati.
Diritto alla conoscenza e all’accesso Diritto alla cancellazione delle informazioni personali Diritto alla correzione delle informazioni personali inesatte Diritto di effettuare l’opt-out dalla vendita o dalla condivisione delle informazioni personali Diritto a limitare l’utilizzo/la comunicazione delle informazioni personali sensibili Diritto alla non discriminazione per l’esercizio dei diritti alla privacy dei consumatori
Vendita
Ai fini del presente titolo, un’attività non vende informazioni personali quando:
Un consumatore ricorre all’attività per o prescrive all’attività di provvedere intenzionalmente a:
Divulgare informazioni personali.
Interagire con una o più terze parti.
L’attività utilizza o condivide un identificatore per un consumatore che ha effettuato l’opt-out dalla vendita delle proprie informazioni personali o che ha limitato l’utilizzo delle proprie informazioni personali sensibili allo scopo di avvisare dei soggetti del fatto che il consumatore ha effettuato l’opt-out dalla vendita delle proprie informazioni personali o che ha limitato l’utilizzo delle proprie informazioni personali sensibili.
L’attività trasferisce a una terza parte le informazioni personali di un consumatore come asset all’interno di una fusione, acquisizione, liquidazione giudiziale o altra operazione in cui la terza parte assume il controllo di tutta o parte dell’attività, purché le informazioni siano utilizzate o condivise coerentemente con il presente titolo. Se una terza parte altera in modo sostanziale il modo in cui utilizza o condivide le informazioni personali di un consumatore in un modo che è sostanzialmente incoerente con le promesse fatte al momento della raccolta, dovrà dare al consumatore preventiva comunicazione della prassi nuova o modificata. La comunicazione sarà sufficientemente evidente e corposa da assicurare che i consumatori esistenti possano facilmente esercitare le proprie scelte coerentemente con il presente titolo. Questo comma non autorizza un’attività a effettuare modifiche retroattive sostanziali alla propria privacy policy in maniera tale da violare la normativa Unfair and Deceptive Practices Act (Chapter 5 (che inizia con la Section 17200) della Part 2 della Division 7 del Business and Professions Code).
“Condividere”, “condiviso/a/e/i” o “condivisione”
Ai fini del presente titolo, un’attività non condivide informazioni personali quando:
Un consumatore ricorre all’attività per o prescrive all’attività di divulgare intenzionalmente informazioni personali o interagire intenzionalmente con una o più terze parti.
L’attività utilizza o condivide un identificatore per un consumatore che ha effettuato l’opt-out dalla condivisione delle proprie informazioni personali o che ha limitato l’utilizzo delle proprie informazioni personali sensibili allo scopo di avvisare dei soggetti del fatto che il consumatore ha effettuato l’opt-out dalla condivisione delle proprie informazioni personali o ha limitato l’utilizzo delle proprie informazioni personali sensibili.
L’attività trasferisce a una terza parte le informazioni personali di un consumatore come asset all’interno di una fusione, acquisizione, liquidazione giudiziale o altra operazione in cui la terza parte assume il controllo di tutta o parte dell’attività, purché le informazioni siano utilizzate o condivise coerentemente con il presente titolo. Se una terza parte altera in modo sostanziale il modo in cui utilizza o condivide le informazioni personali di un consumatore in un modo che è sostanzialmente incoerente con le promesse fatte al momento della raccolta, dovrà dare al consumatore preventiva comunicazione della prassi nuova o modificata. La comunicazione sarà sufficientemente evidente e corposa da assicurare che i consumatori esistenti possano facilmente esercitare le proprie scelte coerentemente con il presente titolo. Questo comma non autorizza un’attività a effettuare modifiche retroattive sostanziali alla propria privacy policy in maniera tale da violare la normativa Unfair and Deceptive Practices Act (Chapter 5 (che inizia con la Section 17200) della Part 2 della Division 7 del Business and Professions Code).
Pubblicità mirata
Profilazione
Diritto di accesso e alla portabilità dei dati Diritto alla rettifica Diritto alla cancellazione Diritto di effettuare l’opt-out dal trattamento per finalità di pubblicità mirata, profilazione o vendita dei dati personali, e diritto di ricorso.
Vendita
Non include quanto segue:
la comunicazione di dati personali a un responsabile che tratta i dati personali per conto di un titolare;
la comunicazione di dati personali a una terza parte per finalità di fornitura di un prodotto o di un servizio richiesto dal consumatore;
la comunicazione o il trasferimento di dati personali a una consociata del titolare;
la comunicazione o il trasferimento a una terza parte di dati personali come asset all’interno di una proposta o effettiva fusione, acquisizione, liquidazione giudiziale o altra operazione in cui la terza parte assume il controllo di tutti o parte degli asset del titolare; o
la comunicazione di dati personali:
che un consumatore prescrive al titolare di comunicare o che comunica intenzionalmente ricorrendo al titolare per interagire con una terza parte; o
resi intenzionalmente disponibili da un consumatore al pubblico attraverso un canale di mass media.
Pubblicità mirata
Non include:
la pubblicità al consumatore in risposta alla richiesta di informazioni o di feedback del consumatore;
le pubblicità basate sulle attività all’interno dei siti web o delle applicazioni online del titolare stesso;
le pubblicità basate sul contesto della query di ricerca corrente di un consumatore, della sua visita a un sito web o a un’applicazione online; o
il trattamento dei dati personali esclusivamente a scopo di misurazione o di rendicontazione delle performance, della reach o della frequenza della pubblicità.
Profilazione
Diritto di accesso e alla portabilità dei dati Diritto alla cancellazione Diritto di rettifica Diritto di effettuare l’opt-out dal trattamento per finalità di pubblicità mirata, profilazione o vendita dei dati personali.
Vendita
Non include:
la comunicazione di dati personali a un responsabile che tratta i dati personali per conto del titolare;
la comunicazione di dati personali a una terza parte per finalità di fornitura di un prodotto o di un servizio richiesto dal consumatore;
la comunicazione o il trasferimento di dati personali a una consociata del titolare;
la comunicazione di informazioni che il consumatore (i) ha reso intenzionalmente disponibili al pubblico attraverso un canale di mass media e (ii) non ha limitato a un pubblico specifico; o
la comunicazione o il trasferimento di dati personali a una terza parte come asset all’interno di una fusione, acquisizione, liquidazione giudiziale o altra operazione in cui la terza parte assume il controllo di tutti o parte degli asset del titolare.
Pubblicità mirata
Non include:
le pubblicità basate sulle attività all’interno dei siti web o delle applicazioni online del titolare stesso;
le pubblicità basate sul contesto della query di ricerca corrente di un consumatore, della sua visita a un sito web o a un’applicazione online;
le pubblicità rivolte a un consumatore in risposta alla richiesta di informazioni o di feedback del consumatore; o
il trattamento dei dati personali trattati esclusivamente a scopo di misurazione o di rendicontazione delle performance, della reach o della frequenza della pubblicità.
Profilazione
Diritto di accesso e alla portabilità dei dati Diritto alla rettifica Diritto alla cancellazione Diritto di effettuare l’opt-out dal trattamento per finalità di pubblicità mirata, profilazione o vendita dei dati personali, e diritto di ricorso.
Vendita
Non include:
la comunicazione di dati personali a un responsabile che tratta i dati personali per conto del titolare,
la comunicazione di dati personali a una terza parte per finalità di fornitura di un prodotto o di un servizio richiesto dal consumatore,
la comunicazione o il trasferimento di dati personali a una consociata del titolare,
la comunicazione di dati personali laddove il consumatore prescriva al titolare di comunicare i dati personali o ricorra intenzionalmente al titolare per interagire con una terza parte,
la comunicazione di dati personali che il consumatore:
ha reso intenzionalmente disponibili al pubblico attraverso un canale di mass media, e
non ha limitato a un pubblico specifico, o
la comunicazione o il trasferimento di dati personali a una terza parte come asset all’interno di una fusione, acquisizione, liquidazione giudiziale o altra operazione, o di una proposta fusione, acquisizione, liquidazione giudiziale o altra operazione, in cui la terza parte assume il controllo di tutti o parte degli asset del titolare.
Pubblicità mirata
Non include:
le pubblicità basate sulle attività all’interno dei siti web o delle applicazioni online del titolare stesso;
le pubblicità basate sul contesto della query di ricerca corrente di un consumatore, della sua visita a un sito web o a un’applicazione online;
le pubblicità rivolte a un consumatore in risposta alla richiesta di informazioni o di feedback del consumatore; o
il trattamento dei dati personali esclusivamente a scopo di misurazione o di rendicontazione della frequenza, delle performance o della reach della pubblicità.
Profilazione
Diritto di accesso Diritto di rettifica Diritto alla cancellazione Diritto alla portabilità dei dati Diritto di effettuare l’opt-out dal trattamento dei dati personali del consumatore per finalità di:pubblicità mirata vendita di dati personali
Vendita
Non include:
la comunicazione di dati personali da parte di un titolare a un responsabile che tratta i dati personali per conto del titolare;
la comunicazione da parte di un titolare di dati personali a una consociata del titolare;
considerando il contesto in cui il consumatore ha fornito i dati personali al titolare, la comunicazione da parte del titolare di dati personali a una terza parte se la finalità è coerente con le ragionevoli aspettative del consumatore;
la comunicazione o il trasferimento di dati personali quando un consumatore prescrive a un titolare di:
comunicare i dati personali; o
interagire con una o più terze parti;
la comunicazione dei dati personali di un consumatore a una terza parte per finalità di fornitura di un prodotto o di un servizio richiesto dal consumatore o da un genitore o tutore legare di un minore;
la comunicazione di informazioni che il consumatore:
rende intenzionalmente disponibili al pubblico attraverso un canale di mass media; e
non limita a un pubblico specifico; o
il trasferimento da parte del titolare di dati personali a una terza parte come asset all’interno di una proposta o effettiva fusione, acquisizione o liquidazione giudiziale in cui la terza parte assume il controllo di tutti o parte degli asset del titolare.
Pubblicità mirata
Non include:
quanto basato sulle attività di un consumatore all’interno del sito web o dell’applicazione online di un titolare o di qualsiasi sito web o applicazione online affiliato/a;
quanto basato sul contesto della query di ricerca corrente di un consumatore o della sua visita a un sito web o a un’applicazione online;
quanto rivolto a un consumatore in risposta alla richiesta di informazioni, di prodotti, di servizi o di feedback del consumatore; o
il trattamento dei dati personali esclusivamente a scopo di misurazione o di rendicontazione della pubblicità.
Devo fornire un’informativa sulla privacy?
SÌ
La tua privacy policy deve includere quanto segue:
le categorie di informazioni personali che raccogli attraverso il tuo servizio online e le terze parti con cui potresti condividere le informazioni; una descrizione del procedimento (se presente) con cui i singoli consumatori possono esaminare e richiedere modifiche alle proprie informazioni, raccolte attraverso il tuo servizio online; se vendi o meno le informazioni personali dei consumatori; un indirizzo di richiesta designato a cui i consumatori possono inviarti una richiesta di non vendere le proprie informazioni personali; una descrizione del procedimento per avvisare i consumatori delle modifiche alla tua informativa sulla privacy; una dichiarazione sulla possibilità o meno che terze parti raccolgano informazioni personali riguardanti le attività online del singolo consumatore nel corso del tempo e su diversi siti web o servizi online; e la data di entrata in vigore dell’informativa.
SÌ
La tua privacy policy deve includere quanto segue:
le categorie di informazioni personali, se presenti, che l’attività ha venuto o condiviso con terze parti nei 12 mesi precedenti, con indicazione delle relative terze parti e della finalità economica o commerciale; una dichiarazione del fatto che l’attività abbia conoscenza effettiva di vendere o condividere le informazioni personali di consumatori di età inferiore ai 16 anni; le categorie di informazioni personali, se presenti, che l’attività ha comunicato per una finalità economica a terze parti nei 12 mesi precedenti, con indicazione delle relative terze parti e della finalità economica/commerciale; una dichiarazione sulla possibilità o meno che l’attività utilizzi o comunichi informazioni personali sensibili per finalità diverse da quelle specificate; eventuali link a un portale o a un modulo di richiesta online per presentare una richiesta al fine di ottenere informazioni sulle informazioni personali raccolte, comunicate o vendute; se l’attività utilizza o comunica informazioni personali sensibili per motivi diversi da quelli specificati, i consumatori dovranno essere informati del proprio diritto a limitare l’utilizzo o la comunicazione delle proprie informazioni personali sensibili; una descrizione generale del processo che l’attività utilizza per verificare la richiesta di un consumatore di conoscere, cancellare e correggere, se del caso, anche in relazione a qualsiasi informazione che il consumatore deve fornire; una spiegazione di come sarà trattato un segnale di preferenza relativo all’opt-out del consumatore (ad esempio se il segnale si applica al dispositivo, al browser, all’account del consumatore e/o alle vendite offline, e in quali circostanze) e come il consumatore può utilizzare il segnale di preferenza relativo all’opt-out; i requisiti aggiuntivi sulla rendicontazione per le attività che raccolgono grandi quantità di informazioni personali, se applicabili (Consulta la Section 7102 delle normative successive per un elenco completo dei requisiti aggiuntivi sulla rendicontazione e altre informazioni correlate) .
SÌ
La tua privacy policy deve includere quanto segue:
categorie di dati personali raccolti e trattati dal titolare o da un responsabile per conto del titolare le finalità per le quali le categorie di dati personali sono trattate in che modo i consumatori possono esercitare i propri diritti in che modo un consumatore può ricorrere contro l’azione di un titolare in relazione alla richiesta del consumatore i recapiti di contatto del titolare le categorie di dati personali che il titolare condivide con terze parti, se presenti le categorie di terze parti, se presenti, con le quali il titolare condivide dati personali.
SÌ
La tua privacy policy deve includere quanto segue:
le categoria di dati personali trattati dal titolare; la finalità del trattamento dei dati personali; in che modo i consumatori possono esercitare i propri diritti di consumatori in che modo un consumatore può ricorrere contro la decisione di un titolare in relazione alla richiesta del consumatore le categorie di dati personali che il titolare condivide con terze parti (se presenti) le categorie di terze parti (se presenti) con le quali il titolare condivide dati personali
SÌ
Informazioni da comunicare nell’informativa:
le categoria di dati personali trattati dal titolare; la finalità del trattamento dei dati personali; in che modo i consumatori possono esercitare i propri diritti di consumatore (incluso in che modo un consumatore può ricorrere contro la decisione di un titolare in relazione alla richiesta del consumatore); le categorie di dati personali che il titolare condivide con terze parti (se presenti); le categorie di terze parti (se presenti) con le quali il titolare condivide dati personali; uno o più mezzi protetti e affidabili per permettere ai consumatori di presentare una richiesta di esercizio dei propri diritti di consumatore.
SÌ
Nell’informativa è necessario comunicare le seguenti informazioni:
le categoria di dati personali trattati dal titolare; le finalità per le quali le categorie di dati personali sono trattate; in che modo e dove i consumatori possono esercitare un diritto, incluso in che modo un consumatore può ricorrere contro l’azione di un titolare in relazione alla richiesta del consumatore di esercitare un diritto; le categorie di dati personali che il titolare condivide con terze parti (se presenti); le categorie di terze parti (se presenti) con le quali il titolare condivide dati personali; se è coinvolta la vendita di dati personali a terzi o il trattamento per la pubblicità mirata, il titolare dovrà comunicare al consumatore in che modo il consumatore può esercitare il diritto di effettuare l’opt-out.
Gli strumenti di tracciamento (ad esempio i cookie) sono regolamentati?
NO
NO
NO
NO
NO
NO
Devo rispettare i segnali di preferenza relativi all’opt-out dei consumatori? (ad esempio GPC – Global Privacy Control )
NO
SÌ
Secondo il CPRA, è necessario notare che le attività devono anche consentire e trattare i segnali di preferenza relativi all’opt-out dei consumatori
Con “segnale di preferenza relativo all’opt-out” si intende un segnale inviato da una piattaforma, una tecnologia o un meccanismo per conto del consumatore che comunica la scelta del consumatore di effettuare l’opt-out dalla vendita e dalla condivisione delle informazioni personali. Il segnale effettuerà automaticamente l’opt-out dei consumatori dalla vendita e dalla condivisione delle loro informazioni personali per tutti i siti web che visitano, senza che questi debbano effettuare richieste singole.
SÌ
Se stai trattando dati personali per finalità di pubblicità mirata/vendita, devi consentire ai consumatori di esercitare il loro diritto di effettuare l’opt-out da tale trattamento, attraverso un meccanismo di opt-out universale selezionato dall’utente.
Questo requisito entra in vigore il 1° luglio 2024.
Nonostante la decisione di un consumatore di esercitare il proprio diritto di effettuare l’opt-out attraverso un meccanismo di opt-out universale, puoi comunque offrire ai consumatori la possibilità di prestare il proprio consenso al trattamento dei dati personali per finalità di pubblicità mirata/vendita.
NO
SÌ
Entro il 1° gennaio 2025, devi consentire ai consumatori di effettuare l’opt-out dal trattamento dei loro dati personali per finalità di pubblicità mirata/vendita, attraverso un segnale di preferenza relativo all’opt-out. Questo segnale può essere inviato tramite una piattaforma, una tecnologia o un meccanismo e indica l’intenzione dei consumatori di effettuare l’opt-out dal suddetto trattamento o vendita.
NO
Devo permettere ai consumatori di effettuare l’opt-out dal trattamento dei dati personali per alcune finalità?
SÌ
Un consumatore può, in qualsiasi momento, presentare una richiesta verificata a un operatore attraverso un indirizzo di richiesta designato, in cui prescrive all’operatore di non procedere alla vendita delle informazioni oggetto della legge e riguardanti il consumatore che l’operatore ha raccolto o raccoglierà.
SÌ
Ai consumatori è concesso il diritto di effettuare l’opt-out dalla vendita o dalla condivisione delle proprie informazioni personali e di limitare l’utilizzo/la comunicazione delle proprie informazioni personali sensibili.
SÌ
La legge concede ai consumatori il diritto di effettuare l’opt-out dal trattamento dei dati personali per finalità di: pubblicità mirata; vendita di dati personali; o profilazione in applicazione di decisioni che producono effetti giuridici o analogamente significativi riguardanti un consumatore.
SÌ
La legge concede ai consumatori il diritto di effettuare l’opt-out dal trattamento dei dati personali per finalità di: pubblicità mirata; vendita di dati personali; o profilazione a supporto di decisioni che producono effetti giuridici o analogamente significativi riguardanti il consumatore.
SÌ
Ai consumatori è concesso il diritto di effettuare l’opt-out dal trattamento dei dati personali per finalità di: pubblicità mirata; vendita di dati personali; o profilazione in applicazione di decisioni esclusivamente automatizzate che producono effetti giuridici o analogamente significativi riguardanti il consumatore.
SÌ
Diritto di effettuare l’opt-out dal trattamento dei dati personali del consumatore per finalità di: pubblicità mirata; vendita dei dati personali.
Devo ottenere il consenso preventivo dei consumatori (opt-in) prima di trattare i dati sensibili?
NO
NO
SÌ
I titolari non tratteranno i dati sensibili dei consumatori senza prima ottenere il loro consenso o, nel caso del trattamento di dati personali riguardanti un minore appurato, senza prima ottenere il consenso del genitore o del tutore legale del minore.
SÌ
I titolari non tratteranno i dati sensibili riguardanti un consumatore senza ottenere il consenso del consumatore o, nel caso del trattamento di dati sensibili riguardanti un minore appurato, senza trattare tali dati conformemente alla normativa COPPA
SÌ
I titolari non tratteranno i dati sensibili riguardanti un consumatore senza ottenere il consenso del consumatore o, nel caso del trattamento di dati sensibili riguardanti un minore appurato, senza trattare tali dati conformemente alla normativa COPPA
NO
N/A (il trattamento dei dati sensibili è regolamentato secondo un approccio basato sull’opt-out), tuttavia un titolare non può trattare i dati sensibili raccolti di un consumatore senza: prima fornire al consumatore un’informativa chiara e la possibilità di effettuare l’opt-out dal trattamento; o, nel caso del trattamento di dati personali riguardanti un minore appurato, trattare i dati conformemente alla normativa federale Children’s Online Privacy Protection Act (COPPA)
Quali sono le conseguenze in caso di violazione?
Sanzione civile per la violazione o provvedimento di intimazione. Sanzioni civili fino a 5.000 dollari per ciascuna violazione.
Sanzione civile di 25.000 dollari per ciascuna violazione o 7.500 dollari se la violazione è intenzionale o riguarda le informazioni personali di un minore.
Sanzione civile non superiore a 20.000 dollari per ciascuna violazione.
Sanzione civile fino a 7.500 dollari per ciascuna violazione.
Sanzione civile non superiore a 5.000 dollari per ciascuna violazione volontaria, più le spese sostenute dal Procuratore Generale per le indagini e la preparazione del caso, incluse le spese legali.
Avviando un’azione, il Procuratore Generale può recuperare (i) i danni diretti al consumatore; e (ii) un importo non superiore a 7.500 dollari per ciascuna violazione.
Nevada
California
Colorado
Virginia
Connecticut
Utah
Maryland
Iowa
Illinois
Minnesota
Alabama
Oklahoma
Washington
New York
Massachussetts
Arizona
Kentucky
Maine