11 nuove leggi statunitensi sulla privacy coperte da Termly nel 2024

Scritto da: Natasha Piirainen Natasha Piirainen | Aggiornato il: 26 febbraio 2026

Recensito da: Masha Komnenic CIPP/E, CIPM, CIPT, FIPMasha Komnenic CIPP/E, CIPM, CIPT, FIP | Responsabile della privacy globale presso Termly

Genera un'informativa sulla privacy gratuita Fonte preferita da Google
Termly

Abbiamo recentemente aggiornato il nostro generatore di informativa sulla privacy per coprire altre 11 leggi sulla privacy:

Queste leggi si aggiungono alle seguenti che il nostro generatore e i nostri modelli già coprono:

Il nostro generatore include ora clausole e dettagli per aiutare le aziende a conformarsi a 26 leggi sulla privacy dei dati in tutto il mondo.

Descriverò brevemente ciascuna delle 11 leggi, la data di applicazione e i soggetti a cui si applicano.

Indice dei contenuti
  1. Rapido riassunto dell'aggiornamento di Termly: le 11 leggi
  2. Termly è sempre aggiornato
  3. Riassunto

Rapido riassunto dell'aggiornamento di Termly: le 11 leggi

Abbiamo aggiornato il nostro generatore di informativa sulla privacy per tenere conto delle 11 leggi sulla privacy a livello di Stato americano di prossima emanazione, descritte di seguito.

È possibile aggiungere queste leggi alla propria politica selezionandole singolarmente in una scheda a discesa che appare quando si risponde alle domande poste dal nostro generatore di informativa sulla privacy.

Legge sulla privacy dei dati personali del Delaware (DPDPA)

Data di applicazione: 1 gennaio 2025

Il DPDPA protegge le informazioni personali degli individui nello stato americano del Delaware e richiede i seguenti dettagli in una politica sulla privacy conforme:

  • Le categorie di dati personali trattati.
  • Lo scopo del trattamento.
  • Come i consumatori possono esercitare i loro diritti e ricorrere contro le decisioni del responsabile del trattamento in merito alle loro richieste.
  • Le categorie di dati personali eventualmente condivise con terzi.
  • Le categorie di soggetti terzi con cui i dati vengono condivisi, se presenti.
  • Un indirizzo e-mail attivo o un meccanismo online che i consumatori possono utilizzare per contattare il responsabile del trattamento.
  • Indicare se il responsabile del trattamento vende i dati personali o li utilizza per la pubblicità mirata e come il consumatore può rinunciare a queste attività di trattamento.
  • Uno o più modi sicuri con cui i consumatori possono presentare richieste per esercitare i propri diritti.
  • Un link al vostro sito web all'interno della vostra informativa sulla privacy che conduce a una pagina web in cui i consumatori possono rinunciare alla pubblicità mirata e alla vendita dei loro dati.

A quali aziende si applica

Secondo la sezione 12D-103 del DPDPA, devono conformarsi a questa legge le imprese che svolgono attività commerciali nello Stato o che producono prodotti o servizi destinati ai residenti e che soddisfano una delle seguenti condizioni durante un anno solare:

  • controllare o trattare le informazioni personali di non meno di 35.000 consumatori (escluse le informazioni personali trattate esclusivamente per completare le operazioni di pagamento) o
  • Controllare o trattare i dati personali di non meno di 10.000 consumatori e ricavare più del 20% del proprio fatturato annuo lordo dalla vendita di dati personali.

Carta dei diritti digitali della Florida (FDBR)

Data di applicazione: 1 luglio 2024

L'FDBR protegge i dati personali dei cittadini della Florida e obbliga le aziende a includere le seguenti informazioni in un'informativa sulla privacy:

  • Le categorie di dati personali e i dati personali sensibili trattati.
  • Lo scopo del trattamento dei dati.
  • Come i consumatori possono esercitare i loro diritti e impugnare le decisioni del responsabile del trattamento basate sulle loro richieste.
  • Le categorie di dati personali che il responsabile del trattamento condivide con terzi, se del caso.
  • Le categorie di terzi con cui il responsabile del trattamento condivide i dati, se presenti.
  • Una descrizione delle modalità di presentazione delle richieste di esercizio dei diritti da parte dei consumatori.

A quali aziende si applica

Secondo la Sezione 6. Sezione 501.703, l'FDBR si applica alle entità che svolgono attività commerciali in Florida o che forniscono beni e servizi a residenti nello Stato che soddisfano la definizione di cui alla Sezione 5. Sezione 501.702 della definizione di controllore.

Le aziende devono essere a scopo di lucro, avere un fatturato annuo lordo superiore a 1 miliardo di dollari e soddisfare una delle seguenti condizioni aggiuntive:

  • Ricavare il 50% o più delle proprie entrate dalla vendita di annunci online oppure
  • Gestire un altoparlante intelligente o un servizio di comando vocale (ma quelli collegati ai veicoli sono esenti) o
  • Gestire un app store o una piattaforma digitale che offra almeno 250.000 applicazioni software diverse.

Legge sulla protezione dei dati dei consumatori dell'Indiana (Indiana CDPA)

Data di applicazione: 1 gennaio 2026

Il CDPA dell'Indiana si applica ai dati personali dei cittadini dell'Indiana e richiede alle aziende di includere i seguenti dettagli in un'informativa sulla privacy:

  • Le categorie di dati personali raccolti.
  • Lo scopo del trattamento dei dati personali.
  • Come i consumatori possono esercitare i loro diritti e ricorrere contro la decisione del responsabile del trattamento in merito alla loro richiesta.
  • Le categorie di dati eventualmente condivise con terzi.
  • Le categorie di soggetti con cui i dati vengono condivisi, se presenti.

A quali aziende si applica

Secondo la sezione 1 della legge, le aziende devono conformarsi al CDPA dell'Indiana se svolgono attività commerciali nell'Indiana o producono prodotti o servizi destinati ai residenti dello Stato e, durante un anno solare, soddisfano una delle seguenti condizioni:

  • Controlla o elabora i dati personali di almeno 100.000 residenti nell'Indiana o
  • Controlla o elabora i dati personali di almeno 25.000 residenti nell'Indiana e ricava più del 50% del proprio fatturato annuo lordo dalla vendita di dati personali.

Legge sulla protezione dei dati dei consumatori dell'Iowa (Iowa CDPA)

Data di applicazione: 1 gennaio 2025

L ›Iowa CDPA protegge le informazioni personali dei cittadini dell'Iowa e richiede alle aziende di presentare agli utenti un'informativa sulla privacy che spieghi quanto segue:

  • Le categorie di dati personali trattati.
  • Lo scopo del trattamento dei dati.
  • Una descrizione di come i consumatori possono esercitare i loro diritti e ricorrere contro la decisione del responsabile del trattamento.
  • Le categorie di dati eventualmente condivise con terzi.
  • Le categorie di soggetti con cui i dati vengono condivisi, se presenti.
  • Indicare se un'azienda vende dati personali a terzi o si impegna in pubblicità mirate e come gli utenti possono scegliere di non partecipare a queste attività.
  • Stabilire e descrivere le modalità sicure e affidabili con cui i consumatori possono presentare le richieste di esercizio dei propri diritti.

A quali aziende si applica

Secondo il testo dell'Iowa CDPA, questa legge si applica alle entità che svolgono attività commerciali in Iowa o che producono prodotti e servizi destinati ai residenti dello Stato e che soddisfano una delle seguenti soglie durante un anno solare:

  • Controlla o tratta i dati personali di 100.000 o più consumatori o
  • Controlla o elabora i dati personali di almeno 25.000 consumatori e genera oltre il 50% del proprio fatturato annuo lordo dalla vendita di dati personali.

Legge sulla protezione dei dati dei consumatori del Kentucky (KCDPA)

Data di applicazione: 1 gennaio 2026

Il KCDPA protegge i dati personali dei cittadini del Kentucky e richiede che le aziende coperte forniscano agli utenti un'informativa sulla privacy che spieghi:

  • Le categorie di dati personali trattati.
  • La finalità del trattamento.
  • Come i consumatori possono esercitare i loro diritti e ricorrere contro la decisione del responsabile del trattamento in merito a una richiesta.
  • Le categorie di dati personali che il responsabile del trattamento condivide con terzi.
  • Le categorie dei terzi stessi.
  • Se il responsabile del trattamento vende i dati personali a terzi o li elabora per la pubblicità mirata.
  • Informazioni sulle modalità con cui i consumatori possono esercitare il loro diritto di rinunciare a tale trattamento.
  • Uno o più modi sicuri e affidabili per i consumatori di presentare richieste di intervento sui loro diritti.

A quali aziende si applica

Le imprese sono tenute a conformarsi al KCDPA se svolgono la loro attività commerciale o rivolgono i loro prodotti e servizi ai residenti dello Stato e soddisfano una delle seguenti condizioni durante un anno solare:

  • Tratta e controlla i dati personali di almeno 100.000 consumatori o
  • Tratta e controlla i dati personali di almeno 25.000 consumatori e ricava il 50% del fatturato annuo lordo dalla vendita di dati personali.

Legge sulla privacy dei dati dei consumatori del Montana (MCDPA)

Data di applicazione: 1 ottobre 2024

L'MCDPA si applica ai dati personali dei cittadini del Montana e impone alle aziende di presentare ai consumatori un'informativa sulla privacy che spieghi quanto segue:

  • Le categorie di dati personali trattati.
  • Lo scopo del trattamento dei dati.
  • Le categorie di dati personali che il titolare del trattamento condivide con terzi, se del caso.
  • Le categorie di soggetti terzi con cui il titolare del trattamento condivide i dati, se presenti.
  • Un indirizzo e-mail o un altro meccanismo che i consumatori possono utilizzare per contattare il responsabile del trattamento.
  • Una descrizione di come i consumatori possono esercitare i loro diritti, comprese le modalità di ricorso contro le decisioni del responsabile del trattamento in merito alle loro richieste.
  • Due o più modi in cui i consumatori possono presentare richieste di intervento sui loro diritti alla privacy.

A quali aziende si applica

Secondo la sezione 3 della legge, le imprese devono conformarsi all'MCDPA se svolgono attività commerciali in Montana o producono prodotti o servizi destinati ai residenti dello Stato e soddisfano una delle seguenti soglie:

  • Controlla o tratta i dati personali di almeno 50.000 consumatori, esclusi i dati personali controllati o trattati esclusivamente per completare un'operazione di pagamento o
  • Controlla o elabora i dati personali di non meno di 25.000 consumatori e ricava più del 25% del proprio fatturato annuo lordo dalla vendita di dati personali.

Legge sulla privacy dei dati del New Hampshire (SB 255)

Data di applicazione: 1 gennaio 2025

l'imminente legge sulla privacy del New Hampshire protegge i dati personali dei residenti nello Stato e richiede alle aziende di presentare agli utenti un'informativa sulla privacy che spieghi:

  • Le categorie di dati personali trattati.
  • Le finalità del trattamento dei dati.
  • Come i consumatori possono esercitare i loro diritti e ricorrere contro la decisione del responsabile del trattamento in merito a tali richieste.
  • Le categorie di dati eventualmente condivise con terzi.
  • Le categorie di soggetti terzi con cui i dati vengono condivisi, se presenti.
  • Un indirizzo e-mail attivo o un altro meccanismo online che il consumatore può utilizzare per contattare il responsabile del trattamento.
  • Se vendete i dati a terzi o se li trattate per pubblicità mirata.
  • Come il consumatore può rinunciare a questo tipo di trattamento dei dati.

A quali aziende si applica

Le organizzazioni che svolgono attività commerciali nel New Hampshire o che producono prodotti o servizi destinati ai residenti dello Stato che soddisfano i seguenti requisiti in un anno solare devono conformarsi alla legge:

  • controlla o tratta i dati personali di almeno 35.000 consumatori unici (esclusi i dati trattati esclusivamente per completare una transazione di pagamento) o
  • Controlla o elabora i dati personali di non meno di 10.000 consumatori unici e ricava più del 25% del proprio fatturato annuo lordo dalla vendita di dati personali.

Legge sulla privacy dei dati del New Jersey (NJDPA)

Data di applicazione: 16 gennaio 2025

Il NJDPA si applica ai dati personali delle persone nel New Jersey e richiede alle aziende di presentare agli utenti un avviso sulla privacy che spieghi:

  • Le categorie di informazioni di identificazione personale raccolte attraverso il servizio online.
  • Le categorie di tutti i terzi a cui l'operatore può divulgare le informazioni.
  • Se la terza parte raccoglie informazioni di identificazione personale nel tempo attraverso diversi servizi online.
  • Una descrizione delle modalità con cui le persone possono rivedere o chiedere di modificare le informazioni raccolte.
  • Come l'operatore comunicherà agli utenti le modifiche all'informativa sulla privacy e la data di entrata in vigore.
  • Uno o più metodi che i consumatori possono utilizzare per presentare richieste verificabili di attuazione dei loro diritti alla privacy.

A quali aziende si applica

Secondo la versione ufficiale del NJDPA, si applica alle entità che svolgono attività commerciali nel New Jersey o producono prodotti e servizi destinati ai residenti dello Stato e che soddisfano una delle seguenti soglie in un anno solare:

  • Controlla o tratta i dati personali di 100.000 persone, esclusi i dati trattati esclusivamente per completare un'operazione di pagamento , oppure
  • Controlla o elabora i dati personali di almeno 25.000 persone e ricava ricavi o riceve uno sconto per la vendita delle informazioni.

Legge sulla privacy dei consumatori dell'Oregon (OCPA)

Data di applicazione: 1 luglio 2024

L'OCPA protegge le informazioni personali dei cittadini dell'Oregon e obbliga le aziende a presentare agli utenti un'informativa sulla privacy che li informi sui seguenti dettagli:

  • Le categorie di dati personali trattati, compresi eventuali dati sensibili.
  • Lo scopo del trattamento delle informazioni.
  • Una spiegazione di come i consumatori possono esercitare i loro diritti e ricorrere contro il rifiuto di tali richieste da parte del responsabile del trattamento.
  • Un elenco di tutte le categorie di dati personali condivisi con terzi, compresi i dati sensibili.
  • Una descrizione delle categorie di terzi con cui condividete i dati personali.
  • Un indirizzo e-mail attivo o un metodo online che i consumatori possono utilizzare per contattare il responsabile del trattamento.
  • Qualsiasi denominazione commerciale registrata dal controllore presso il Segretario di Stato e qualsiasi denominazione commerciale presunta utilizzata dal controllore.
  • Una descrizione di qualsiasi trattamento dei dati personali per la pubblicità mirata o per la profilazione, in base alla quale un consumatore può rinunciare.
  • Una descrizione dei metodi stabiliti dal responsabile del trattamento per consentire ai consumatori di presentare richieste per dare seguito ai loro diritti.

A quali aziende si applica

Secondo la sezione 2(1) dell'OCPA, le aziende devono conformarsi a questa legge se conducono attività commerciali in Oregon o forniscono prodotti o servizi ai residenti dello Stato e soddisfano una delle seguenti condizioni nell'arco di un anno solare:

  • Controlla o tratta i dati personali di 100.000 o più consumatori, esclusi i dati controllati o trattati esclusivamente per completare le operazioni di pagamento o
  • Controlla o elabora i dati personali di 25.000 o più consumatori e ricava il 25% o più delle entrate lorde annuali dalla vendita di dati personali.

Legge sulla protezione delle informazioni del Tennessee (TIPA)

Data di applicazione: 1 luglio 2025

Il TIPA protegge le informazioni personali dei cittadini del Tennessee e richiede alle aziende di presentare agli utenti un'informativa sulla privacy che spieghi:

  • Quali sono le categorie di dati personali trattate dal responsabile del trattamento.
  • Lo scopo del trattamento dei dati personali.
  • Come possono esercitare i loro diritti, compreso il modo di ricorrere contro la decisione del responsabile del trattamento in merito a una richiesta.
  • Le categorie di informazioni personali che il titolare del trattamento condivide con terzi, se del caso.
  • Le categorie di terzi con cui il titolare del trattamento condivide le informazioni personali, se del caso.

A quali aziende si applica

Secondo la Sezione 2, Parte 47-18-3202. Secondo la Sezione 2, Parte 47-18-3202, il TIPA si applica alle entità che svolgono attività commerciali in Tennessee o che producono prodotti o servizi destinati ai residenti dello Stato, che hanno un fatturato annuo superiore a 25 milioni di dollari e che:

  • Controlla o elabora le informazioni personali di almeno 25.000 consumatori del Tennessee e ricava il 50% delle entrate annuali lorde dalla vendita di tali informazioni , oppure
  • Tratta o controlla le informazioni personali di almeno 175.000 consumatori del Tennessee durante un anno solare.

Legge sulla privacy e la sicurezza dei dati del Texas (TDPSA)

Data di applicazione: 1 luglio 2024

Il TDPSA si applica ai dati personali delle persone in Texas e obbliga le aziende a fornire agli utenti una nota sulla privacy che illustri le seguenti informazioni:

  • Le categorie di dati personali trattati, compresi i dati sensibili.
  • Lo scopo del trattamento dei dati.
  • Come i consumatori possono esercitare i loro diritti e la procedura di ricorso alla decisione.
  • Le categorie di dati eventualmente condivise con terzi.
  • Le categorie di soggetti con cui i dati vengono condivisi, se presenti.
  • Una descrizione delle modalità di presentazione delle richieste di esercizio dei diritti da parte dei consumatori.

A quali aziende si applica

Secondo la sezione 541.002 del TDPSA, le aziende devono conformarsi a questa legge se soddisfano le seguenti soglie:

  • Conduce affari in Texas o produce beni o servizi consumati da residenti dello Stato e
  • Tratta o vende dati personali e
  • Non è una piccola impresa secondo la definizione della Small Business Administration(SBA) degli Stati Uniti - ossia aziende con meno di 500 dipendenti - a meno che non si occupi della vendita di dati personali sensibili.

Termly è sempre aggiornato

La nostra missione è quella di aiutare le piccole e medie imprese a semplificare la conformità alle leggi sulla privacy dei dati, e ci impegniamo a rimanere aggiornati sulle leggi nuove, in arrivo e in evoluzione.

Il nostro team legale, gli ingegneri di prodotto e gli esperti in materia di privacy collaborano per apportare aggiornamenti ai generatori di politiche, se necessario, per garantire ai nostri utenti i prodotti di cui hanno bisogno.

Informiamo i nostri utenti di questi aggiornamenti inviando e-mail informative, creando comunicati stampa e pubblicando articoli di supporto.

Ci ripromettiamo di continuare a migliorare la nostra offerta incorporando altri atti legislativi man mano che entreranno in vigore.

Riassunto

Il nostro generatore di informativa sulla privacy può ora aiutare le aziende a soddisfare i requisiti di 26 diverse leggi sulla privacy.

Ci si aspetta che questo numero continui a crescere con l'emanazione di nuove leggi sulla privacy in tutto il mondo.

Natasha Piirainen

Scritto da Natasha Piirainen

Natasha Piirainen è una scrittrice specializzata in privacy con una laurea in inglese e filosofia conseguita presso il Wheaton College e oltre 10 anni di esperienza professionale nello sviluppo di contenuti basati sulla ricerca.

Leggi tutti i post di Natasha Piirainen
Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Revisionato da Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha Komnenic è consulente legale e Direttore della Privacy Globale Termly, laureata in giurisprudenza presso l'Università di Belgrado. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD).

Leggi tutti i post revisionati da Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Articoli correlati

Guarda le altre risorse