Utah: un altro stato che approva una legge sulla privacy dei dati, l'UCPA
Pubblicato: 2022-05-31
Nel marzo del 2022, il governatore dello Utah Spencer J. Cox ha firmato in legge il Senate Bill (SB) 227, noto anche come Utah Consumer Privacy Act (UCPA) .
L'UCPA è una legge sulla privacy intersettoriale che conferisce ai consumatori dello Utah significativi diritti alla privacy sulle loro informazioni personali. Qualsiasi dato connesso a una persona fisica identificata o identificabile è noto come dato personale . Ulteriori requisiti di conformità si applicano a categorie di "dati sensibili" definite in modo più preciso. La legge entrerà in vigore il 31 dicembre 2023.
L'UCPA è simile ma non identico agli statuti sulla privacy dei consumatori di California, Virginia, Nevada e Colorado. È fortemente ispirato al Virginia Consumer Data Protection Act (VCDPA) e alcuni elementi simili a VCDPA possono essere trovati anche nel Colorado Privacy Act.
A prima vista, alcune caratteristiche dell'UCPA sembrano simili al California Consumer Privacy Act (CCPA). In pratica, tuttavia, si tratta di un approccio alla privacy dei consumatori più morbido e più favorevole alle imprese rispetto ai suoi predecessori .
In che modo l'UCPA è diverso dalle altre leggi sulla privacy statali
Ecco un confronto ad alto livello delle disposizioni UCPA con quelle di
- Il Colorado Privacy Act (CPA)
- La legge sulla privacy dello Stato del Nevada (SB200)
- VCDPA
- CCPA (modificato dal California Privacy Rights Act (CPRA))
- Il Regolamento Generale sulla Protezione dei Dati (GDPR)
| Disposizioni chiave | Utah UCPA | Colorado CPA | Nevada SB220 | Virginia CDPA | California CCPA + CPRA | GDPR Europa | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Capacità di elaborazione | |||||||||||||||||||||||||||||||||||||||||
| Minimizzazione dei dati | sì | sì | – | sì | No | sì | |||||||||||||||||||||||||||||||||||
| Scopo consentito | sì | sì | – | sì | No | sì | |||||||||||||||||||||||||||||||||||
| Diritti individuali | |||||||||||||||||||||||||||||||||||||||||
| Diritto di ricevere la comunicazione delle attività di trattamento | sì | sì | sì | sì | sì | sì | |||||||||||||||||||||||||||||||||||
| Diritto di accesso ai dati personali | sì | sì | – | sì | sì | sì | |||||||||||||||||||||||||||||||||||
| Diritto alla portabilità dei dati. I dati dovrebbero essere disponibili in un formato facilmente utilizzabile per il trasferimento da un'entità/piattaforma a un'altra. | sì | sì | . | sì | sì | sì | |||||||||||||||||||||||||||||||||||
| Diritto di correggere gli errori nei dati personali | No | sì | – | sì | No | sì | |||||||||||||||||||||||||||||||||||
| Diritto di cancellare i dati personali | sì | sì | – | sì | sì | sì | |||||||||||||||||||||||||||||||||||
| Diritto di rinunciare alla pubblicità comportamentale | sì | No | – | sì | No | sì | |||||||||||||||||||||||||||||||||||
| Diritto di opposizione alla profilazione automatizzata e al processo decisionale | sì | No | – | sì | No | sì | |||||||||||||||||||||||||||||||||||
| Diritto alla non discriminazione per l'esercizio di tali diritti | sì | sì | – | sì | sì | sì | |||||||||||||||||||||||||||||||||||
| Diritto di rinunciare alla vendita di informazioni personali | sì | sì | sì | sì | sì | No | |||||||||||||||||||||||||||||||||||
| Accettare o rifiutare il trattamento di informazioni sensibili | Decidere di uscire | Adesione | – | Adesione | Decidere di uscire | Adesione | |||||||||||||||||||||||||||||||||||
| Diritto di ricorso rigetto delle richieste | No | No | – | sì | No | No | |||||||||||||||||||||||||||||||||||
| Responsabilità/Governance | |||||||||||||||||||||||||||||||||||||||||
| Valutazioni sulla protezione dei dati | No | sì | – | sì | No | sì | |||||||||||||||||||||||||||||||||||
| Sicurezza | |||||||||||||||||||||||||||||||||||||||||
| Sicurezza dei dati appropriata per proteggere le informazioni | No | sì | – | sì | sì | sì | |||||||||||||||||||||||||||||||||||
| Notifica di violazione | sì | sì | – | sì | sì | sì | |||||||||||||||||||||||||||||||||||
| Trasferimenti di dati al di fuori dello Spazio economico europeo (SEE) | |||||||||||||||||||||||||||||||||||||||||
| Misure aggiuntive per i trasferimenti internazionali | sì | sì | – | No | No | sì | |||||||||||||||||||||||||||||||||||
| Trasferimenti a Terzi | |||||||||||||||||||||||||||||||||||||||||
| Requisiti contrattuali negli accordi con i fornitori di servizi | No | sì | – | sì | sì | sì | |||||||||||||||||||||||||||||||||||
| Marketing | |||||||||||||||||||||||||||||||||||||||||
| Consenso ai cookie Adtech | No | No | – | sì | sì | sì | |||||||||||||||||||||||||||||||||||
| Consenso ottenuto prima del marketing diretto | No | sì | – | No | No | sì | |||||||||||||||||||||||||||||||||||
| Agenzie di contrasto | |||||||||||||||||||||||||||||||||||||||||
| Dipartimento del Commercio dello Utah | Procuratore generale | – | Procuratore generale | procuratore generale, CPPA | DPA | ||||||||||||||||||||||||||||||||||||
| Data operativa | |||||||||||||||||||||||||||||||||||||||||
| 31 dicembre 2023 | 1 luglio 2023 | 1 ottobre 2019 | 1 gennaio 2023 | 1 gennaio 2020/ 1 gennaio 2023 | 25 maggio 2018 | ||||||||||||||||||||||||||||||||||||
Come evidente dalla tabella sopra, le aziende che rispettano CCPA, CPRA, VCDPA e CPA probabilmente non avranno problemi a soddisfare i criteri dell'UCPA.
L'UCPA utilizza la nomenclatura "controllore" e "responsabile del trattamento" del GDPR e non offre ai consumatori un diritto privato di azione per presunte violazioni. Come tutte le altre normative governative, consente ai consumatori di controllare le proprie informazioni personali .
Tuttavia, fa anche alcune distinzioni vitali.
Ad esempio, l'UCPA non dà ai consumatori il diritto di far correggere gli errori nei propri dati personali , né richiede ai titolari del trattamento di condurre valutazioni d'impatto sulla protezione dei dati (DPIA) di specifiche operazioni di trattamento.
I mandati dell'UCPA riguardavano le aziende di fornire ai consumatori avvisi e l'opportunità di rinunciare prima di elaborare i loro dati sensibili.
Ciò contrasta con il VCDPA e il CPA, che richiedono l'autorizzazione di attivazione per raccogliere ed elaborare dati sensibili. Inoltre, invece di rivolgersi direttamente al Procuratore Generale (AG), i reclami dei consumatori vengono inoltrati attraverso il Dipartimento del Commercio dello Utah, che può presentare problemi all'AG.
Disposizioni chiave dell'UCPA
Ecco alcune disposizioni chiave dell'UCPA.
Definizione ampia di Dati Personali e Dati Sensibili
Secondo l'UCPA, i dati personali sono tutte le informazioni che si riferiscono o possono essere ragionevolmente collegate a un individuo identificato o identificabile. Classifica determinati tipi di dati come "dati sensibili", che sono soggetti a standard e limitazioni aggiuntivi non applicabili ad altri tipi di dati personali.
Meno diritti dell'interessato
I consumatori hanno quattro diritti fondamentali ai sensi dell'UCPA:
- Diritto di accesso: il diritto di sapere se un responsabile del trattamento sta elaborando o meno i dati personali del consumatore e di avere accesso a tali dati.
- Diritto alla cancellazione: il diritto del consumatore alla cancellazione dei dati personali forniti al responsabile del trattamento.
- Diritto alla portabilità: il diritto di ottenere una copia dei dati personali del consumatore precedentemente forniti al titolare del trattamento in un formato portatile e facilmente accessibile, consentendo ai consumatori di trasmettere i dati a un altro titolare del trattamento senza restrizioni.
- Diritto di recesso: Il diritto di rifiutare il trattamento dei dati personali per la "pubblicità mirata" e la "vendita".
Nonostante tutti questi importanti diritti, l'UCPA, a differenza di altre leggi statali, non offre ai consumatori la possibilità di far correggere informazioni personali imprecise.
Avvisi sulla privacy accessibili e chiari
L'UCPA richiede inoltre ai titolari del trattamento di fornire ai consumatori un avviso che dovrebbe contenere almeno le seguenti informazioni:
- Le tipologie di dati personali trattati dal titolare
- Le finalità per le quali sono trattate le diverse categorie di dati
- Come i clienti possono esercitare i propri diritti
- Le tipologie di dati personali che l'eventuale titolare del trattamento condivide con terzi
- Terze parti con cui il titolare del trattamento scambia dati personali , se applicabile
Accordi sul trattamento dei dati più leggeri (DPA)
L'UCPA include accordi sul trattamento dei dati più leggeri e richiede che un responsabile del trattamento si colleghi a un responsabile del trattamento. Questo responsabile gestisce e tratta i dati personali per conto del titolare.
I termini che il titolare e il responsabile del trattamento stipulano dovrebbero specificare:
- Natura e scopo dell'accordo
- Durata dell'elaborazione
- Il tipo di interessato
- I diritti e gli obblighi di ciascuna parte
I responsabili del trattamento dovrebbero inoltre obbligare tutti i subappaltatori a mantenere la riservatezza e commissionarli solo attraverso un contratto documentato . Il presente contratto considera il subappaltatore responsabile del trattamento se si prende cura dei dati per conto di un responsabile del trattamento.
A differenza di altre leggi sulla privacy, l'UCPA non richiede termini di elaborazione dei dati per controllare i responsabili del trattamento o consentire ai titolari del trattamento di rinunciare al subappalto di un responsabile del trattamento.
Requisiti di sicurezza familiari
L'UCPA ha una sezione sulla sicurezza. Specifica che i titolari del trattamento adottano adeguate pratiche amministrative, tecniche e fisiche di sicurezza dei dati per proteggere i dati personali ed eliminare i prevedibili rischi di danno per i consumatori in base alle dimensioni, alla portata, al volume e alla natura del trattamento.
Elenco di controllo della conformità UCPA di Convert
Le organizzazioni che operano nello Utah dovrebbero considerare l'UCPA allo stesso modo delle altre leggi statali. Tuttavia, può essere difficile selezionare ogni casella quando si tratta di conformità.
Per aiutare le organizzazioni a navigare nelle complessità dell'UCPA, abbiamo compilato questo pratico elenco di controllo di conformità.
Ecco cosa devi tenere a mente:
- Assicurati che la tua attività sia coperta dall'UCPA . Le organizzazioni devono valutare se soddisfano la soglia giurisdizionale dell'UCPA, inclusa la soglia del volume finanziario e dei dati.
- Riconsidera la tua politica sulla privacy. Rivedi la tua politica sulla privacy per riflettere il trattamento dei dati personali, la comunicazione di ulteriori diritti dei consumatori e l'identificazione dei mezzi per i consumatori per esercitare tali diritti.
- Utilizzare ragionevoli pratiche di sicurezza dei dati per proteggere i propri dati. Esamina le tue politiche, pratiche e controlli di sicurezza informatica per assicurarti che soddisfino gli standard del settore.
- Consenti ai visitatori di rinunciare al trattamento dei propri dati personali (se applicabile). Fornire un modo per i residenti dello Utah di esercitare il loro diritto di rinunciare se un'azienda vende o utilizza le proprie informazioni personali per pubblicità mirata.
- Implementare un meccanismo di raccolta dei dati sensibili. Le aziende non devono raccogliere dati sensibili senza dare ai consumatori un avviso e l'opportunità di rinunciare. Per ottemperare a tale obbligo, le aziende dovrebbero implementare adeguati sistemi di opt-out.
- Ricevi e rispondi tempestivamente alle richieste dei consumatori. Sviluppare procedure per accettare, tracciare, riconoscere e soddisfare le richieste dei consumatori di esercitare i loro diritti di accesso e cancellazione UCPA.
Converti rispetta tutte le leggi sulla privacy (UE + USA)
La conformità alle leggi dello Utah dovrebbe essere gestita allo stesso modo delle altre leggi statali, con modifiche linguistiche minori per chiarezza che si applicano solo ai residenti dello Utah. L'UCPA può richiedere un diverso targeting geografico dei messaggi di opt-out, che deve essere espressamente indicato.
Convert tiene d'occhio la legislazione statale sulla privacy e sulla sicurezza informatica. Per ulteriori informazioni su "come prepararsi per l'UCPA" e altre nuove leggi sulla privacy degli Stati Uniti, consultare la nostra roadmap GDPR .
