Connecticut Data Privacy Act: come ci assicuriamo che la conversione rimanga conforme
Pubblicato: 2022-07-13
Con l'introduzione del Connecticut SB 6, comunemente indicato come Connecticut Data Privacy Act o "CTDPA" , il Connecticut si è unito ai ranghi di stati degli Stati Uniti come California, Virginia, Colorado, Nevada e Utah che hanno approvato leggi sulla privacy complete per proteggere le persone informazione personale.
Nonostante le normative sulla privacy e sulla sicurezza dei dati esistenti negli Stati Uniti da decenni, tali normative in precedenza si applicavano solo a specifiche attività, aree e tipi di dati.
Queste nuove normative statali, anziché limitare rigorosamente alcune forme di trattamento dei dati, rafforzano una tendenza crescente a proteggere i diritti alla privacy delle persone in modo più ampio.
Sempre più stati degli Stati Uniti stanno emanando leggi che regolano la gestione delle informazioni online. Dai un'occhiata alle nostre valutazioni delle leggi sulla privacy in
- Utah,
- California,
- Virginia,
- Nevada,
- Colorado
La differenza tra Connecticut SB 6 e altre leggi sulla privacy
Di seguito il dettaglio delle disposizioni Connecticut SB 6 confrontate con quelle del
- Lo Utah Consumer Privacy Act (UCPA)
- Il Colorado Privacy Act (CPA)
- La legge sulla privacy dello Stato del Nevada (SB200)
- Virginia VCDPA
- CCPA (modificato dal California Privacy Rights Act (CPRA))
- Il Regolamento Generale Europeo sulla Protezione dei Dati (GDPR)
| Disposizioni chiave | Connecticut SB6 | Utah UCPA | Colorado CPA | Nevada SB220 | Virginia CDPA | California CCPA + CPRA | GDPR Europa | ||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Capacità di elaborazione | |||||||||||||||||||||||||||||||||||||||||||||||
| Minimizzazione dei dati | sì | sì | sì | – | sì | No | sì | ||||||||||||||||||||||||||||||||||||||||
| Scopo consentito | sì | sì | sì | – | sì | No | sì | ||||||||||||||||||||||||||||||||||||||||
| Diritti individuali | |||||||||||||||||||||||||||||||||||||||||||||||
| Diritto di ricevere la comunicazione delle attività di trattamento | sì | sì | sì | sì | sì | sì | sì | ||||||||||||||||||||||||||||||||||||||||
| Diritto di accesso ai dati personali | sì | sì | sì | – | sì | sì | sì | ||||||||||||||||||||||||||||||||||||||||
| Diritto alla portabilità dei dati. I dati dovrebbero essere disponibili in un formato facilmente utilizzabile per il trasferimento da un'entità/piattaforma a un'altra. | sì | sì | sì | . | sì | sì | sì | ||||||||||||||||||||||||||||||||||||||||
| Diritto di correggere gli errori nei dati personali | sì | No | sì | – | sì | No | sì | ||||||||||||||||||||||||||||||||||||||||
| Diritto di cancellare i dati personali | sì | sì | sì | – | sì | sì | sì | ||||||||||||||||||||||||||||||||||||||||
| Diritto di rinunciare alla pubblicità comportamentale | sì | sì | No | – | sì | No | sì | ||||||||||||||||||||||||||||||||||||||||
| Diritto di opposizione alla profilazione automatizzata e al processo decisionale | sì | sì | No | – | sì | No | sì | ||||||||||||||||||||||||||||||||||||||||
| Diritto alla non discriminazione per l'esercizio di tali diritti | sì | sì | sì | – | sì | sì | sì | ||||||||||||||||||||||||||||||||||||||||
| Diritto di rinunciare alla vendita di informazioni personali | sì | sì | sì | sì | sì | sì | No | ||||||||||||||||||||||||||||||||||||||||
| Accettare o rifiutare il trattamento di informazioni sensibili | Decidere di uscire | Decidere di uscire | Adesione | – | Adesione | Decidere di uscire | Adesione | ||||||||||||||||||||||||||||||||||||||||
| Diritto di ricorso rigetto delle richieste | sì | No | No | – | sì | No | No | ||||||||||||||||||||||||||||||||||||||||
| Responsabilità/Governance | |||||||||||||||||||||||||||||||||||||||||||||||
| Valutazioni sulla protezione dei dati | sì | No | sì | – | sì | No | sì | ||||||||||||||||||||||||||||||||||||||||
| Sicurezza | |||||||||||||||||||||||||||||||||||||||||||||||
| Sicurezza dei dati appropriata per proteggere le informazioni | sì | No | sì | – | sì | sì | sì | ||||||||||||||||||||||||||||||||||||||||
| Notifica di violazione | sì | sì | sì | – | sì | sì | sì | ||||||||||||||||||||||||||||||||||||||||
| Trasferimenti di dati al di fuori dello Spazio economico europeo (SEE) | |||||||||||||||||||||||||||||||||||||||||||||||
| Misure aggiuntive per i trasferimenti internazionali | sì | sì | sì | – | No | No | sì | ||||||||||||||||||||||||||||||||||||||||
| Trasferimenti a Terzi | |||||||||||||||||||||||||||||||||||||||||||||||
| Requisiti contrattuali negli accordi con i fornitori di servizi | sì | No | sì | – | sì | sì | sì | ||||||||||||||||||||||||||||||||||||||||
| Marketing | |||||||||||||||||||||||||||||||||||||||||||||||
| Consenso ai cookie Adtech | sì | No | No | – | sì | sì | sì | ||||||||||||||||||||||||||||||||||||||||
| Consenso ottenuto prima del marketing diretto | sì | No | sì | – | No | No | sì | ||||||||||||||||||||||||||||||||||||||||
| Agenzie di contrasto | |||||||||||||||||||||||||||||||||||||||||||||||
| Procuratore generale | Dipartimento del Commercio dello Utah | Procuratore generale | – | Procuratore generale | procuratore generale, CPPA | DPA | |||||||||||||||||||||||||||||||||||||||||
| Data operativa | |||||||||||||||||||||||||||||||||||||||||||||||
| 1 luglio 2023 | 31 dicembre 2023 | 1 luglio 2023 | 1 ottobre 2019 | 1 gennaio 2023 | 1 gennaio 2020/ 1 gennaio 2023 | 25 maggio 2018 | |||||||||||||||||||||||||||||||||||||||||
Sembra che stia emergendo un modello nel modo in cui i legislatori statali si avvicinano a leggi di protezione della privacy di ampia portata, come illustrato nella tabella sopra.
Il Connecticut SB 6 adotta sezioni sostanziali degli statuti del Colorado e della Virginia praticamente alla lettera, compreso come definire i dati personali, come trattare le informazioni personali sensibili e quando condurre valutazioni d'impatto sulla protezione dei dati.
Quali sono le disposizioni chiave dell'SB 6 del Connecticut?
Di seguito sono elencate alcune delle disposizioni più significative del Connecticut SB 6:
1. Stessi diritti alla privacy delle altre leggi statali
Il Connecticut Data Privacy Act stabilisce una serie di diritti alla privacy individuali simili a quelli che si trovano nello Utah UCPA, Colorado CPA, Virginia VCDPA e California CCPA/CPRA.
Questi diritti includono la visualizzazione, la correzione, la copia e l'eliminazione delle informazioni personali.
I consumatori possono anche rinunciare al trattamento dei propri dati personali per la pubblicità, la vendita di dati e la creazione di profili.
SB 6, come le altre leggi statali sulla privacy, prevede un sistema di opt-in per il tipo di trattamento dei dati che coinvolgono i minori di età compresa tra 13 e 16 anni.
2. Richieste sulla privacy senza approvazione tecnica
Quando si tratta del modo in cui le richieste di diritti alla privacy vengono presentate e gestite, la nuova legge del Connecticut assomiglia più al CPA del Colorado che alla legge della Virginia.
Il Connecticut si unisce a California e Colorado nel richiedere alle aziende di offrire ai clienti la possibilità di rinunciare a pubblicità o vendite mirate attraverso una sorta di meccanismo tecnico. A differenza della California e del Colorado, tuttavia, il Connecticut SB 6 non richiede l'approvazione dei requisiti del meccanismo tecnico da parte dell'autorità di regolamentazione statale.
3. Definizione ampia di vendita di dati personali
Ai sensi del Connecticut SB 6, "vendita di dati personali" significa scambiare dati personali con denaro o altri corrispettivi preziosi con una terza parte.
Nell'abbracciare la "preziosa considerazione" insieme al corrispettivo monetario, SB 6 fornisce una definizione più completa di vendita, simile alle definizioni del California CCPA e del Colorado CPA.
Esistono diverse eccezioni alla definizione di vendita di dati personali, inclusa la divulgazione di dati personali su richiesta del consumatore, la divulgazione all'interno di un'azienda e la divulgazione o il trasferimento di dati personali a terzi nel contesto di un'acquisizione, fallimento, o qualche altro tipo di transazione.
4. Esecuzione solo da parte del procuratore generale
Connecticut SB 6 segue lo schema di consentire solo al procuratore generale di perseguire i reati.
Il procuratore generale del Connecticut, come quello del Colorado, è tenuto a offrire un preavviso di 60 giorni e l'opportunità di rettificare le infrazioni.
Le violazioni dell'SB 6 sono considerate pratiche commerciali ingannevoli ai sensi dello statuto degli atti e delle pratiche sleali e ingannevoli dello Stato e possono comportare sanzioni civili fino a $ 5.000 oltre a danni effettivi e punitivi, nonché spese e spese legali.
5. Maggiore sicurezza per le informazioni sensibili
Il Connecticut SB 6, come molte altre leggi sulla privacy, fornisce garanzie avanzate per tipi specifici di informazioni.
Questi "dati sensibili" includono informazioni sulla razza, l'etnia, le convinzioni religiose, la condizione o la diagnosi di salute fisica o mentale di una persona, la vita sessuale, l'orientamento sessuale, lo stato di cittadinanza o lo stato di immigrazione; dati genetici e biometrici utilizzabili per l'identificazione; informazioni raccolte dai bambini; e informazioni di geolocalizzazione.
Il trattamento dei dati sensibili richiede il consenso del consumatore e, inevitabilmente, aumenta il potenziale di danno per il consumatore, motivo per cui è necessaria una valutazione di impatto sulla privacy dei dati (DPIA).
6. Informativa sulla privacy
Connecticut SB 6 richiede alle organizzazioni di aggiornare le proprie Politiche sulla privacy per includere le seguenti informative:
- Le tipologie di dati personali che la società tratta;
- Perché l'azienda tratta i dati personali;
- Uno o più modi sicuri e affidabili per i consumatori di esercitare i propri diritti alla privacy, inclusa la possibilità di impugnare una decisione relativa a una richiesta di diritti alla privacy;
- Le categorie di dati personali scambiati con terzi, se presenti;
- Le tipologie di terzi con cui vengono scambiati i dati personali, se presenti;
- Un indirizzo email attivo dove un cliente può contattare l'azienda;
- Se un'azienda vende o elabora dati personali per pubblicità mirata, l'Informativa sulla privacy deve indicarlo, nonché in che modo i clienti possono rinunciare.
Piano di conformità alla privacy di Convert
Con l'introduzione di più leggi sulla privacy, possiamo aspettarci che il panorama cambierà ulteriormente, con una legislazione ancora più innovativa sulla privacy dei dati, nonché più cicli di commenti e revisioni.
Tutti questi fattori possono avere un impatto sul modo in cui il tuo software è conforme e su come è formulata la tua Informativa sulla privacy.
Quindi, in che modo Convert tiene traccia di tutti questi dati e si assicura che non trascuriamo nulla?
1. Creazione di avvisi di parole chiave rilevanti per la privacy
Iniziamo impostando Google Alert per i termini appropriati. Il nostro sistema ci avviserà ogni volta che viene approvata una nuova legislazione, viene introdotta una nuova proposta di legge o viene deciso un caso che contiene uno dei nostri termini di ricerca. Lo screenshot seguente illustra alcuni di questi avvisi.
I risultati della ricerca potrebbero non essere tutti pertinenti, quindi dobbiamo passare al setaccio gli avvisi per assicurarci di valutare solo i dati pertinenti.
Ogni buon ricercatore sa che non dovresti fare affidamento su un'unica fonte per tutte le tue informazioni. Ecco perché Convert è membro di diversi forum sulla privacy. Controlliamo anche i materiali forniti dall'Associazione Internazionale dei Professionisti della Privacy, su base settimanale.
L'IAPP, ad esempio, pubblica una tabella comparativa delle leggi sulla privacy (vedi sotto) che contiene informazioni utili su tutte le bollette sulla privacy che sono state introdotte.
2. Controllo dei siti web delle autorità per la protezione dei dati (DPA)
Sebbene sia fondamentale tenere traccia di nuovi progetti di legge, leggi e statuti, è altrettanto importante seguire le autorità di protezione dei dati e le loro interpretazioni. Entità come queste possono fornirti informazioni cruciali su cosa verrà applicato e come.
In un recente articolo, abbiamo sottolineato come l'Autorità austriaca per la protezione dei dati personali abbia reso illegale l'uso di Google Analytics.
3. Lettura degli articoli sulla privacy
Leggiamo articoli di opinione e storie sulla privacy e la tecnologia, nonché le prospettive del settore sulla privacy e informazioni su ciò che il pubblico in generale pensa delle attuali protezioni della privacy.
Sapere come l'industria e il pubblico in generale si sentono riguardo alla privacy e alla tecnologia ci aiuta a valutare i modelli nell'applicazione e nell'azione legislativa, nonché dove si dirigerà il nostro settore in futuro.
4. Politiche di aggiornamento e informazioni rilevanti
È importante notare che Convert si occupa di tutto quanto sopra non solo per le Politiche sulla privacy ma anche per Termini e condizioni, Contratti di licenza con l'utente finale, Disclaimer, Contratti e gli effettivi script di tracciamento A/B.
Dopo aver raccolto tutte le informazioni, determiniamo se apportare o meno revisioni alle politiche, quindi le aggiorniamo.
5. Informare i visitatori del sito web
Poiché un numero maggiore di consumatori verifica se un sito Web ha un'Informativa sulla privacy e quali pratiche sulla privacy sono indicate in tali politiche, il passaggio successivo è informare i visitatori del nostro sito Web e gli utenti di Convert in merito alle modifiche che stiamo apportando. Tutte le nuove leggi richiedono che le politiche sulla privacy indichino la data di entrata in vigore o l'ultima data modificata. Se la tua Informativa sulla privacy include questa informativa, gli utenti del sito web possono facilmente determinare se l'informativa è stata modificata semplicemente osservandone la data.
Il piano di Convert per il Connecticut SB 6
Se hai già un account Convert, non devi preoccuparti di nulla! Terremo traccia di questa nuova legge, nonché di eventuali revisioni o regolamenti, per te. Se la legge si applica a te, le tue politiche saranno riviste per includere le informative di cui sopra prima che la legge entri in vigore.
Monitoriamo da vicino la legislazione statale sulla privacy e sulla sicurezza informatica in Convert. Per ulteriori informazioni su "come prepararsi per l'SB 6" e altre nuove leggi sulla privacy degli Stati Uniti, visitare la nostra roadmap GDPR .
