Nel maggio 2024, i legislatori del Minnesota hanno approvato la prima legge sulla privacy dei dati dei consumatori nello Stato, il Minnesota Consumer Data Privacy Act(MCDPA).
Di seguito, vi illustrerò l'MCDPA, con i suoi requisiti, il suo impatto sulle imprese e sui consumatori e le sanzioni previste in caso di mancata osservanza.
- Che cos'è il Minnesota Consumer Data Privacy Act (MCDPA)?
- Termini e definizioni chiave dell'MCDPA
- Cosa prevede la legge sulla privacy dei dati dei consumatori del Minnesota?
- Requisiti della legge sulla privacy dei dati dei consumatori del Minnesota
- Legge sulla privacy dei dati dei consumatori del Minnesota rispetto ad altri Stati: Somiglianze e differenze
- Che impatto avrà l'MCDPA sui consumatori?
- A chi si applica l'MCDPA?
- Che impatto avrà l'MCDPA sulle imprese?
- Chi deve rispettare la nuova legge sulla privacy del Minnesota?
- Come possono le aziende prepararsi all'MCDPA?
- Come verrà applicato l'MCDPA?
- Multe e sanzioni ai sensi della legge sulla privacy dei dati dei consumatori del Minnesota
- In che modo Termly può contribuire alla conformità all'MCDPA?
- Esistono altre leggi sulla privacy in Minnesota?
- Riassunto
Che cos'è il Minnesota Consumer Data Privacy Act (MCDPA)?
Il Minnesota Consumer Data Privacy Act (MCDPA) è la prima legge completa sulla privacy dei consumatori dello Stato.
Il documento delinea le tutele e i diritti dei residenti sulle modalità di raccolta, elaborazione e utilizzo dei loro dati personali da parte di enti esterni.
La legge descrive anche le sanzioni in caso di non conformità.
Data di entrata in vigore dell'MCDPA
The MCDPA went into effect on July 31, 2025.
Termini e definizioni chiave dell'MCDPA
Per aiutarvi a comprendere meglio l'MCDPA, ho incluso alcuni termini chiave e le loro definizioni esattamente come appaiono nel testo della legge:
Questi termini sono utilizzati in tutta la guida tenendo conto di queste definizioni.
Cosa prevede la legge sulla privacy dei dati dei consumatori del Minnesota?
L'MCDPA riguarda i dati personali dei residenti nello Stato del Minnesota.
Non riguarda le informazioni de-identificate o disponibili al pubblico.
Requisiti della legge sulla privacy dei dati dei consumatori del Minnesota
Di seguito, spiego alcuni dei requisiti aziendali critici delineati dall'MCDPA.
Base giuridica per il trattamento dei dati personali
Secondo l'MCDPA, gli enti possono raccogliere solo i dati personali considerati ragionevoli e necessari per raggiungere gli scopi del trattamento comunicati al consumatore.
Per raccogliere informazioni che esulano da questo ambito o per raccogliere categorie di dati sensibili o dati di un bambino noto, è necessario ottenere il consenso legale degli utenti o dei loro tutori legali.
Consenso
L'MCDPA fornisce una definizione precisa di consenso del consumatore e, per essere considerato legittimo, deve soddisfare le seguenti condizioni:
- Il consenso deve essere dato liberamente, informato e non ambiguo.
- l'accettazione non può essere contorta con ampi termini di utilizzo o altro linguaggio simile.
- Passare il mouse su un contenuto, metterlo in pausa o chiuderlo non è considerato un consenso.
- Il consenso non può essere ottenuto attraverso un modello oscuro.
- I consumatori possono revocare il loro consenso in qualsiasi momento.
Obblighi contrattuali tra responsabili e incaricati del trattamento
L'MCDPA prevede che i responsabili del trattamento che collaborano con gli incaricati del trattamento firmino entrambi un contratto vincolante in cui si delinea quanto segue:
- Stabilire le istruzioni per il trattamento, la sua natura e finalità, i tipi di dati soggetti al trattamento, la sua durata, i diritti e gli obblighi di entrambe le parti.
- Assicurarsi che ogni persona che elabora i dati sia soggetta all'obbligo di riservatezza.
- Impegnare un subappaltatore solo dopo aver dato al responsabile del trattamento la possibilità di opporsi e richiedere al subappaltatore di firmare un contratto che illustri gli stessi obblighi.
- Su indicazione del responsabile del trattamento, l'incaricato del trattamento è tenuto a cancellare o restituire tutti i dati al termine del contratto, a meno che la conservazione non sia richiesta dalla legge.
- Su indicazione del responsabile del trattamento, l'incaricato del trattamento è tenuto a mettere a disposizione tutte le informazioni necessarie per dimostrare la conformità all'MCDPA.
- Richiedere all'incaricato del trattamento di consentire e contribuire a valutazioni e ispezioni ragionevoli da parte del responsabile del trattamento o di un valutatore designato.
Non discriminazione
L'MCDPA spiega che i responsabili del trattamento non possono trattare i dati personali in modo da discriminare illegittimamente il consumatore o una categoria di consumatori in base all'offerta o alla fornitura di:
- Alloggiamento
- Occupazione
- Credito
- Istruzione
- Merci
- Servizi
- Strutture
- Privilegi
- Vantaggi
- Alloggi di qualsiasi luogo di pubblica accoglienza
Meccanismi universali di opt-out
L'MCDPA conferisce esplicitamente ai consumatori il diritto di utilizzare un meccanismo universale di opt-out (UOOM) per presentare richieste verificabili per dare seguito ai loro diritti di opt-out.
La tecnologia UOOM, come il Global Privacy Controls(GPC), è un'impostazione o un'estensione del browser che gli utenti possono attivare per informare automaticamente i siti web che non vogliono essere oggetto di pubblicità mirata o che i loro dati siano venduti o condivisi con terze parti.
Valutazione della privacy e della protezione dei dati
L'MCDPA descrive i requisiti di valutazione della privacy e della protezione dei dati nella sezione 10 della legge.
I responsabili del trattamento sono tenuti a effettuare valutazioni sulla privacy e sulla protezione dei dati per uno dei seguenti motivi:
- Elaborare i dati ai fini di una pubblicità mirata
- La vendita di dati personali
- Trattare dati personali sensibili
- Qualsiasi attività di trattamento di dati personali che presenti un rischio elevato di danno per i consumatori.
- Trattamento dei dati personali per finalità di profilazione
La valutazione deve identificare e soppesare i vantaggi del trattamento rispetto ai rischi potenziali ad esso associati, attenuati da qualsiasi salvaguardia impiegata dal responsabile del trattamento.
Anche una valutazione utilizzata per soddisfare requisiti analoghi di un'altra legge sulla privacy di portata simile può essere considerata ai fini dell'MCDPA.
Requisiti per le piccole imprese
Secondo la sezione 9 dell'MCDPA, le entità che si qualificano come piccole imprese secondo la definizione della Small Business Administration degli Stati Uniti e che producono prodotti in Minnesota o si rivolgono a residenti dello Stato non possono vendere dati personali sensibili senza ottenere il consenso.
Anche se queste piccole imprese non sono tenute a seguire il resto delle linee guida dell'MCDPA, devono rispettare i diritti di consenso dei consumatori o rischiano di essere multate fino a 7.500 dollari per ogni violazione.
Legge sulla privacy dei dati dei consumatori del Minnesota rispetto ad altri Stati: Somiglianze e differenze
Anche diversi altri Stati americani dispongono di leggi sulla privacy, tra cui le seguenti:
- California Consumer Protection Act (CCPA), as amended by the California Privacy Rights Act (CPRA)
- Legge sulla privacy del Colorado (CPA)
- Legge sulla privacy dei dati del Connecticut (CTDPA)
- Legge sulla privacy dei dati personali del Delaware (DPDPA)
- Carta dei diritti digitali della Florida (FDBR)
- Legge sulla protezione dei dati dei consumatori dell'Iowa (Iowa CDPA)
- Legge sulla protezione dei dati dei consumatori dell'Indiana (Indiana CDPA)
- Legge sulla protezione dei dati dei consumatori del Kentucky (KCDPA)
- Legge sulla privacy dei dati online del Maryland (MODPA)
- Legge sulla privacy dei dati dei consumatori del Montana (MCDPA)
- Legge sulla privacy dei dati del Nebraska (NDPA)
- Legge sulla privacy dei dati del New Hampshire (NHDPL)
- Legge sulla privacy dei dati del New Jersey (NJDPA)
- Legge sulla privacy dei consumatori dell'Oregon (OCPA)
- Legge sulla protezione delle informazioni del Tennessee (TIPA)
- Legge sulla privacy e la sicurezza dei dati del Texas (TDPSA)
- Legge sulla privacy dei consumatori dello Utah (UCPA)
- Legge sulla protezione dei dati dei consumatori della Virginia (VCDPA)
You can compare these laws to the MCDPA in the table below.
| Legge dello Stato | Consenso opt-in per alcuni tipi di trattamento dei dati | Consenso di opt-out per alcuni tipi di trattamento dei dati | Devono presentare agli utenti un'informativa sulla privacy (o una nota). | Richiede valutazioni sulla protezione dei dati | Delinea gli obblighi contrattuali con gli elaboratori di terze parti | Permette di avviare cause civili o azioni private. | Deve rispettare i controlli globali della privacy/le impostazioni di privacy del browser |
| MN CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| CDPA Indiana | ✓ | ✓ | ✓ | ✓ | |||
| CDPA Iowa | ✓ | ✓ | ✓ | ||||
| KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MT CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
Che impatto avrà l'MCDPA sui consumatori?
L'MCDPA ha un impatto sui consumatori, concedendo loro i seguenti diritti sui propri dati personali:
- Confermare se un responsabile del trattamento sta trattando i propri dati personali e accedere alle categorie di dati personali trattati.
- Correggere le inesattezze dei propri dati personali.
- Cancellare i loro dati personali.
- Ottenere i dati personali raccolti su di loro in un formato portatile.
- Rifiuto del trattamento ai fini della pubblicità mirata.
- Rinunciare alla vendita dei propri dati personali.
- Optare per la profilazione a sostegno di decisioni automatizzate che producono effetti giuridici.
I consumatori hanno anche il diritto di ottenere un elenco delle specifiche terze parti a cui il responsabile del trattamento ha comunicato i loro dati personali.
Possono esercitare tali diritti presentando una richiesta al responsabile del trattamento in qualsiasi momento, specificando quali diritti desiderano esercitare.
A chi si applica l'MCDPA?
L'MCDPA si applica ai residenti del Minnesota che agiscono in un contesto individuale o familiare e non copre chiunque nello Stato agisca in un contesto lavorativo o commerciale.
Che impatto avrà l'MCDPA sulle imprese?
Oltre agli obblighi contrattuali e ai requisiti dell'UOOM che ho illustrato in precedenza in questa guida, l'MCDPA ha anche un impatto sulla privacy e sulle politiche sui cookie delle aziende.
In che modo l'MCDPA influirà sulla mia politica sulla privacy?
L'MCDPA ha un forte impatto sulle politiche sulla privacy e delinea requisiti più specifici rispetto alla maggior parte delle altre leggi statali sulla privacy in vigore negli Stati Uniti.
In particolare, la sezione 8 dell'MCDPA influisce sulle politiche sulla privacy delle aziende, imponendo loro di includere tutte le seguenti informazioni:
Inoltre, la legge stabilisce che le informative sulla privacy devono essere rese disponibili al pubblico in ogni lingua in cui il responsabile del trattamento fornisce un prodotto o un servizio soggetto all'informativa sulla privacy.
Deve essere accessibile e utilizzabile da persone con disabilità.
In caso di modifica sostanziale della politica, il responsabile del trattamento deve informare i consumatori interessati dalla modifica e dare loro la possibilità di rinunciare o revocare il consenso.
Infine, l'informativa sulla privacy deve essere pubblicata tramite un collegamento ipertestuale ben visibile che utilizzi la parola "privacy" sulla homepage del sito web o sulla pagina dell'app store o del download dell'applicazione mobile.
Se il responsabile del trattamento non utilizza un sito web, l'informativa sulla privacy deve essere presentata agli utenti in qualsiasi modo essi interagiscano abitualmente con il responsabile del trattamento, anche attraverso la posta.
In che modo l'MCDPA influisce sulla mia politica sui cookie?
L'MCDPA influisce sulle politiche aziendali in materia di cookie, in quanto la legge conferisce ai consumatori il diritto di rifiutare il trattamento dei dati, spesso effettuato mediante l'installazione di cookie sul browser degli utenti. Inoltre, definisce i requisiti di trasparenza che devono essere rispettati.
Se utilizzate i cookie di Internet per raccogliere dati personali dagli utenti del Minnesota, dovete comunicarlo chiaramente ai consumatori e informarli su come far valere i loro diritti.
Pertanto, ai sensi dell'MCDPA, la vostra politica sui cookie deve essere aggiornata, accurata e collegata alla vostra politica sulla privacy.
Chi deve rispettare la nuova legge sulla privacy del Minnesota?
La vostra azienda deve conformarsi all'MCDPA se conduce attività commerciali in Minnesota o produce prodotti e servizi destinati ai residenti dello Stato e soddisfa una o più delle seguenti condizioni:
- Controlla o tratta i dati personali di 100.000 consumatori nel corso di un anno solare, esclusi i dati trattati esclusivamente per completare una transazione di pagamento.
- Deriva oltre il 25% dei ricavi lordi dalla vendita di dati personali e tratta o controlla i dati di 25.000 consumatori o più.
Chi è esente dall'MCDPA?
Diverse entità sono esentate dal rispetto dell'MCDPA, tra cui le seguenti:
- Enti governativi
- Organizzazioni non profit istituite per individuare e prevenire le frodi assicurative
- Tribù indiane riconosciute a livello federale
- Alcune banche, cooperative di credito e compagnie di assicurazione
- Informazioni sanitarie protette disciplinate dall'Health Insurance Portability and Accessibility Act (HIPAA).
- Dati finanziari regolamentati dal Gramm-Leach-Bliley Act (GLBA)
Come possono le aziende prepararsi all'MCDPA?
Per prepararsi alla nuova legge sulla privacy dei dati del Minnesota, le aziende devono aggiornare le politiche sulla privacy e sui cookie per soddisfare tutte le linee guida di notifica delineate dall'MCDPA.
Utilizzare anche una gestione del consenso platform (CMP) per fornire agli utenti un modo per esercitare i loro diritti di opt-out per determinati trattamenti di dati, come la pubblicità mirata.
Aggiungete al vostro sito un modulo per la richiesta di accesso ai dati (DSAR), in modo che i residenti del Minnesota possano presentare richieste verificabili per esercitare i propri diritti, e istituite un processo di appello.
Infine, assicuratevi che il vostro sito web sia pronto a riconoscere le preferenze di opt-out dei consumatori impostate da UOOM come GPC e da altre estensioni e impostazioni del browser.
Come verrà applicato l'MCDPA?
Il procuratore generale del Minnesota ha la sola autorità di applicare l'MCDPA.
Le entità che presumibilmente violano la legge hanno un periodo di cura di 30 giorni che scade il 31 gennaio 2026.
Multe e sanzioni ai sensi della legge sulla privacy dei dati dei consumatori del Minnesota
Le multe per violazione dell'MCDPA possono raggiungere i 7.500 dollari per violazione.
Tuttavia, i consumatori non hanno diritto a un'azione privata ai sensi di questa legge.
In che modo Termly può contribuire alla conformità all'MCDPA?
Termly helps with MCDPA compliance by providing businesses with our Privacy Policy Generator, which includes the required notification details outlined by this and other laws.
Our legal team and data privacy experts back our policy generators, which are incredibly easy to use. It asks straightforward questions about your business and creates a comprehensive policy for you based on your answers.
We also offer a Consent Management Platform (CMP) you can configure to meet opt-out requirements outlined by the law.
It features a free Data Subject Access Request (DSAR) form, which makes it easier for you to present your Minnesota users with a way to submit verifiable requests to follow through on their new privacy rights.
Esistono altre leggi sulla privacy in Minnesota?
Il Minnesota è protetto da alcune altre leggi sulla privacy che lavoreranno in tandem con l'MCDPA una volta entrato in vigore, tra cui le seguenti:
- Capitolo 325M, Privacy su Internet: Questo capitolo illustra quando la divulgazione di informazioni personali su Internet è vietata, quando è richiesta e descrive le linee guida per i permessi e le autorizzazioni riguardanti i fornitori di servizi Internet.
- Capitolo 325E, Sezione 61, la legge sulla notifica delle violazioni: Questo capitolo descrive le linee guida per la notifica alle persone se i loro dati sono stati compromessi in una violazione e le responsabilità dell'entità coperta.
- Capitolo 325E, Sezione 64, Legge sulla sicurezza delle carte di plastica: Questo capitolo illustra i requisiti di notifica delle violazioni dei dati in relazione agli istituti finanziari.
- Capitolo 325E, Sezione 59, Uso dei numeri di previdenza sociale: Questo capitolo vieta agli enti di richiedere ai consumatori di condividere i numeri di previdenza sociale su Internet senza le dovute protezioni.
- Capitolo 626A, Sezione 02, Intercettazione e divulgazione di comunicazioni: Questo capitolo impedisce alle entità di intercettare determinate forme di comunicazione attraverso fili, mezzi elettronici o di altro tipo.
- Capitolo 609, Sezione 527, Furto di identità: Questo capitolo descrive le sanzioni previste nel caso in cui qualcuno trasferisca o utilizzi i dati o l'identità di un'altra persona per scopi illeciti.
- Capitolo 13, Minnesota Government Data Practices Act (MGDPA): Questo capitolo descrive i requisiti per la raccolta e l'utilizzo dei dati personali da parte degli enti governativi.
Riassunto
Se la vostra azienda è soggetta al rispetto della legge sulla privacy dei dati dei consumatori del Minnesota, assicuratevi di prendere le misure adeguate per prepararvi alla conformità:
- Assicuratevi che le vostre politiche sulla privacy e sui cookie siano aggiornate e accurate.
- Impostate il vostro sito web in modo da comprendere e rispettare le preferenze di opt-out dei consumatori utilizzando una tecnologia come UOOM.
- Aggiungete un modulo DSAR sul vostro sito web e descrivete la procedura di ricorso che i consumatori possono seguire per impugnare le vostre decisioni basate sulle loro richieste di privacy.
- Stipulare e firmare contratti adeguati se si lavora con terzi responsabili del trattamento dei dati.
- Eseguire valutazioni sulla privacy e sulla protezione dei dati per specifiche attività di trattamento.
Eliminate alcuni dei problemi di conformità alla privacy utilizzando soluzioni come il nostro generatore di informativa sulla privacy e CMP per soddisfare i requisiti previsti da leggi come l'MCDPA.
Per saperne di più su chi scrive
Scritto da Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy è un avvocato specializzato in privacy con precedenti esperienze in materia di privacy e cybersecurity nel settore pubblico e privato. In qualità di ex Westin Fellow presso l'iAPP, ha pubblicato diversi articoli, white paper e infografiche e ha condotto, coordinato e moderato webinar e panel, tutti riguardanti la privacy e la tecnologia della privacy negli Stati Uniti. Anokhy ha conseguito un master presso la Carnegie Mellon University e un dottorato in giurisprudenza presso l'università di Pittsburgh. Per saperne di più su chi scrive
