Legge sulla privacy dei dati dei consumatori della Pennsylvania: Prima occhiata e sintesi

Nel 2023, i legislatori hanno preso in considerazione il disegno di legge n. 1201 della Camera - la legge sulla privacy dei dati dei consumatori della Pennsylvania - che descriveva i requisiti aziendali per il trattamento dei dati personali e avrebbe garantito ai consumatori i diritti sulle loro informazioni.

In questa guida, scoprirete la proposta di legge sulla privacy della Pennsylvania, poi fallita, a chi si sarebbe dovuta applicare e le sue implicazioni per le aziende se fosse stata approvata.

AGGIORNAMENTO: la proposta di legge n. 1201 non è stata approvata e la Pennsylvania non dispone attualmente di una legge completa sulla privacy dei consumatori a livello statale. 

Che cos'era la legge sulla privacy dei dati dei consumatori della Pennsylvania (PCDPA)?

La legge sulla privacy dei dati dei consumatori della Pennsylvania(PCDPA) era una proposta di legge in discussione alla Camera dei Rappresentanti della Pennsylvania.

Sarebbe diventata la prima legge completa sulla protezione dei dati dei consumatori dello Stato, ma non è passata. 

Il testo delinea i requisiti per gli enti che desiderano raccogliere, elaborare e utilizzare le informazioni personali dei residenti in Pennsylvania e concede agli individui diritti e un certo controllo sulle loro informazioni.

Termini e definizioni chiave di PCDPA

Per comprendere meglio il disegno di legge sulla privacy della Pennsylvania, che è stato bocciato, esaminiamo alcuni termini e definizioni chiave esattamente come appaiono nel testo del disegno di legge:

Cosa prevede la legge sulla privacy dei dati dei consumatori della Pennsylvania?

Il PCDPA avrebbe riguardato le informazioni personali dei residenti nello Stato della Pennsylvania.

Non includeva nessuno nello Stato che agisse in un contesto lavorativo o commerciale.

In particolare, se le transazioni con un responsabile del trattamento si sono verificate esclusivamente nell'ambito del ruolo di una persona presso una società o un'altra entità, sono state escluse:

• I dipendenti
• Proprietari
• Direttori
• Ufficiali
• Contraenti di un'azienda
• Partenariati
• Ditte individuali
• Organizzazioni non profit
• Agenzie governative

Requisiti del PCDPA

Le aziende che si sarebbero qualificate come responsabili del trattamento dei dati ai sensi del PCDPA sarebbero state soggette a diversi requisiti, che illustro in dettaglio qui di seguito.

Obblighi dei responsabili del trattamento dei dati

In base alla sezione 5 del disegno di legge sulla privacy della Pennsylvania, i responsabili del trattamento avrebbero dovuto limitare la raccolta dei dati personali a quanto ritenuto ragionevolmente necessario ai fini del trattamento comunicato al consumatore.

Se un responsabile del trattamento volesse raccogliere informazioni aggiuntive che non rientrano in questo ambito, dovrebbe ottenere il consenso del consumatore.

Il consenso sarebbe stato necessario anche per il trattamento di dati personali sensibili o di informazioni su un bambino noto.

Consenso

Il PCDPA definisce chiaramente il consenso nella sezione 2 del disegno di legge.

La Commissione ha dichiarato che deve trattarsi di un'azione chiara e affermativa da parte del consumatore, che si concede liberamente per uno scopo specifico e inequivocabile.

Il consenso ai sensi del presente disegno di legge può includere una dichiarazione scritta, anche per via elettronica.

Tuttavia, non può includere l'accettazione di termini molto generici o ampi o di pratiche ingannevoli quali:

• Passaggio del mouse sul contenuto
• Silenziamento di qualcosa
• Mettere in pausa il contenuto
• Chiusura di un pop-up

Obblighi contrattuali tra responsabili e incaricati del trattamento dei dati

Secondo la sezione 6 del PCDPA, i responsabili del trattamento e gli incaricati del trattamento dovranno sottoscrivere contratti specifici che disciplinano le attività dell'incaricato del trattamento, tra cui:

• Garantire che l'incaricato del trattamento sia soggetto a un obbligo di riservatezza per quanto riguarda i dati personali.
• Richiedere all'incaricato del trattamento di cancellare o restituire tutti i dati su indicazione del responsabile del trattamento, a meno che la conservazione non sia richiesta dalla legge.
• Mettere a disposizione del controllore tutti i dati per dimostrare la conformità con il disegno di legge su richiesta ragionevole
• Richiedere a qualsiasi subappaltatore di firmare un contratto che preveda obblighi analoghi.
• l'incaricato del trattamento deve consentire e collaborare a ragionevoli valutazioni da parte del responsabile del trattamento o del valutatore designato per garantire che il trattamento soddisfi gli standard della PCDPA.

Valutazioni sulla protezione dei dati

Nella sezione 7 del disegno di legge, il PCDPA ha inoltre dettagliato i requisiti per l'esecuzione delle valutazioni sulla protezione dei dati.

Ha dichiarato che i responsabili del trattamento devono condurre e documentare una di queste valutazioni se le loro attività di trattamento presentano un rischio elevato di danno per i consumatori.

Il responsabile del trattamento dovrà identificare e soppesare i benefici e i rischi che possono avere un impatto sui diritti dei consumatori e tutte le salvaguardie in atto per mitigare o ridurre tali rischi.

Le entità avrebbero dovuto tenere conto di tutti i seguenti elementi nella valutazione:

• l'uso di dati de-identificati
• Le ragionevoli aspettative del consumatore
• Il contesto del trattamento dei dati e il rapporto tra responsabili del trattamento e consumatori

Meccanismi universali di opt-out

Se il PCDPA fosse diventato legge, entro il 2026 le entità coperte sarebbero state tenute a rispettare i meccanismi di opt-out universali (UooM) designati dai browser dei consumatori.

Il disegno di legge stabilisce che la tecnologia UooM approvata, come il Global Privacy Control (GPC), deve soddisfare i seguenti criteri:

• Non svantaggiare ingiustamente un altro controllore
• Non utilizzare un'impostazione predefinita, ma richiedere al consumatore di scegliere liberamente di rinunciare al trattamento o alla vendita dei propri dati.
• Essere facile da usare e di facile consumo
• Essere coerenti con altre piattaforme, tecnologie o meccanismi simili.
• Consentire al controllore di determinare se il consumatore è residente o meno in Pennsylvania.

La legge sulla privacy della Pennsylvania rispetto ad altre leggi statali: Somiglianze e differenze

La legge sulla privacy della Pennsylvania non è stata approvata, ma queste altre leggi statali sono attualmente in vigore o entreranno in vigore nel prossimo futuro:

• California Consumer Protection Act (CCPA), come modificato dal California Privacy Rights Act (CPRA) - attualmente in vigore
• Legge sulla privacy del Colorado (CPA) - attualmente in vigore
• Legge sulla privacy dei dati del Connecticut (CTDPA) - attualmente in vigore
• Legge sulla privacy dei dati personali del Delaware (DPDPA) - attualmente in vigore
• Carta dei diritti digitali della Florida (FDBR) - attualmente in vigore
• Legge sulla protezione dei dati dei consumatori dello Iowa (Iowa CDPA) - attualmente in vigore
• Legge sulla protezione dei dati dei consumatori dell'Indiana (Indiana CDPA) - entrata in vigore il 1° gennaio 2026
• Legge sulla protezione dei dati dei consumatori del Kentucky (KCDPA) - in vigore dal 1° gennaio 2026
• Legge sulla privacy dei dati dei consumatori del Minnesota (MCDPA) - in vigore dal 31 luglio 2025.
• Legge sulla protezione dei dati online del Maryland (MODPA) - in vigore dal 1º ottobre 2025.
• Legge sulla privacy dei consumatori del Montana (MCDPA) - attualmente in vigore
• Nebraska Data Privacy Act (NDPA) - attualmente in vigore
• Legge sulla privacy dei dati del New Hampshire (NHDPL) - attualmente in vigore
• Legge sulla privacy dei dati del New Jersey (NJDPA) - attualmente in vigore
• Legge sulla privacy dei consumatori dell'Oregon (OCPA) - attualmente in vigore
• Legge sulla protezione delle informazioni del Tennessee (TIPA) - in vigore dal 1° luglio 2025
• Legge sulla privacy e la sicurezza dei dati del Texas (TDPSA) - attualmente in vigore
• Legge sulla privacy dei consumatori dello Utah (UCPA) - attualmente in vigore
• Legge sulla protezione dei dati dei consumatori della Virginia (VCDPA) - attualmente in vigore

Nella tabella seguente è possibile confrontare alcune di queste leggi con il PCDPA.

Quale sarebbe l'impatto sui consumatori del PCDPA?

Se la legge sulla privacy dei dati dei consumatori della Pennsylvania fosse stata approvata, avrebbe garantito ai residenti dello Stato alcuni diritti sulle modalità di elaborazione e utilizzo delle loro informazioni.

In particolare, secondo la sezione 3 del disegno di legge, i consumatori avrebbero potuto:

• Confermare se un responsabile del trattamento sta elaborando i loro dati.
• Correggere le imprecisioni nei loro dati.
• Cancellare i loro dati personali.
• Ottenere una copia dei propri dati in un formato portatile.
• Opt-out del trattamento dei dati per la pubblicità mirata.
• Opt-out per la vendita dei propri dati personali.
• Opt-out della profilazione in vista di decisioni esclusivamente automatizzate che producono effetti legali o di analoga rilevanza.

Avrebbero potuto far valere tali diritti utilizzando un metodo sicuro stabilito dal responsabile del trattamento e descritto nella sua informativa sulla privacy.

A chi si applica il PCDPA?

Il PCDPA si sarebbe applicato solo ai residenti dello Stato della Pennsylvania che agiscono in un contesto personale o domestico.

Non si sarebbe applicata a chiunque nello Stato agisse a titolo commerciale o lavorativo.

Che impatto avrebbe avuto sulle aziende la legge sulla privacy dei dati dei consumatori della Pennsylvania?

Se il PCDPA fosse diventato legge, avrebbe avuto un impatto sulle aziende che va oltre gli obblighi contrattuali e le valutazioni dell'impatto dei dati di cui abbiamo parlato in precedenza.

Vengono inoltre descritte le linee guida che avrebbero influenzato le politiche sulla privacy e sui cookie.

In che modo il PCDPA influisce sulla mia politica sulla privacy?

Il PCDPA ha delineato i requisiti di notifica che avrebbero avuto un impatto sui contenuti della politica sulla privacy delle aziende.

I controllori, in base a questa legge, sono tenuti a fornire ai consumatori un avviso che descriva:

• Le categorie di dati personali trattati
• Lo scopo del trattamento dei dati
• Come i consumatori possono far valere i propri diritti in materia di privacy e impugnare le decisioni del responsabile del trattamento
• Categorie di dati personali condivisi con ciascuna terza parte
• Le categorie di soggetti terzi con cui il responsabile del trattamento condivide i dati
• Un indirizzo e-mail attivo o meccanismi online per contattare il responsabile del trattamento

Inoltre, i responsabili del trattamento sono tenuti a comunicare se intendono vendere i dati personali a terzi o utilizzare le informazioni per la pubblicità mirata e a descrivere le modalità con cui i consumatori possono rinunciare.

In che modo il PCDPA influisce sulla mia politica sui cookie?

Il PCDPA avrebbe avuto ripercussioni anche sulle politiche sui cookie delle aziende che avessero venduto i dati personali raccolti attraverso i cookie di Internet o li avessero utilizzati per la pubblicità mirata.

In base a questa proposta di legge, i consumatori avrebbero avuto il diritto di rinunciare a queste attività di trattamento dei dati e i responsabili del trattamento sarebbero stati tenuti a comunicare queste informazioni ai loro consumatori.

Chi deve rispettare la legge sulla privacy dei dati della Pennsylvania?

Se il PCDPA venisse approvato, si applicherebbe alle imprese a scopo di lucro che operano nello Stato e che soddisfano uno dei seguenti standard:

• Ha realizzato un fatturato annuo lordo pari o superiore a 10.000.000 di dollari
• Venduto o condiviso per scopi commerciali le informazioni personali di almeno 50.000 consumatori, famiglie o dispositivi
• Hanno ricavato almeno il 50% del fatturato annuale dalla vendita di dati personali

Chi era esente dal PCDPA?

Le seguenti entità erano esenti dal PCDPA, così come era stato scritto:

• Sottodivisioni del governo statale della Pennsylvania
• Organizzazioni non profit
• Istituti di istruzione superiore
• Associazioni nazionali di categoria
• Istituzioni finanziarie
• Entità coperta o socio d'affari

Come verrebbe applicato il PCDPA?

Secondo la sezione 10 del PCDPA, il Procuratore generale avrebbe avuto il diritto esclusivo di applicare la legge potenziale.

Multe e sanzioni ai sensi della legge sulla privacy dei dati dei consumatori della Pennsylvania

La versione del disegno di legge del PCDPA non descriveva un importo in dollari o un limite per le ammende previste dal disegno di legge.

Tuttavia, ha chiarito che i residenti in Pennsylvania non hanno diritto a un'azione legale privata.

Come Termly aiuta a garantire la conformità

Termly offre soluzioni di conformità per aiutare le aziende a soddisfare facilmente i requisiti previsti dalle leggi statali statunitensi approvate e attualmente in vigore.

Sebbene il PCDPA non sia più in discussione, più di venti altri Stati hanno leggi in vigore. Termlygeneratore di informativa sulla privacy presenta attualmente le clausole e le informazioni necessarie per aiutarvi a rispettare gli obblighi di queste e altre leggi sulla privacy di tutto il mondo.

Guardate come appare nella schermata qui sotto.

Forniamo anche una gestione del consenso Platform (CMP) configurabile per soddisfare i requisiti di opt-out in oltre 70 regioni a livello globale.

Guardate l'immagine qui sotto.

Iniziare a gestire il consenso

Inserisci l'uRL del tuo sito web

Per aiutarti a creare una politica dei cookie conforme alla legislazione mondiale, dobbiamo innanzitutto analizzare il tuo sito web alla ricerca dei cookie.

Avvia la scansione del sito web

Esistono altre leggi sulla privacy in Pennsylvania?

Mentre i legislatori della Pennsylvania stanno ancora discutendo l'approvazione di una legge completa sulla protezione dei dati, nello Stato esistono altre leggi sulla privacy, come la:

• Legge sulla notifica delle violazioni delle informazioni personali in Pennsylvania: Richiede agli enti di informare i consumatori in caso di violazione dei loro dati o di accesso da parte di una persona non autorizzata.
• Legge sul diritto di sapere(RTKL): Concede ai residenti il diritto di accedere a determinati documenti in possesso delle agenzie governative statali o locali, con l'obiettivo di promuovere la trasparenza.

Riassunto

Il PCDPA è ora solo un disegno di legge fallito sulla privacy dei dati, ma continueremo a osservare se altre leggi pertinenti passeranno attraverso il governo statale della Pennsylvania.

Attualmente sono in vigore numerose altre leggi sulla privacy a livello statale, la maggior parte delle quali ha un impatto sulla privacy delle aziende e sulle politiche sui cookie e sulla gestione del consenso.

Soluzioni come Termly aiutano a conformarsi alle leggi attuali e future in modo rapido, semplice e senza soluzione di continuità.

Per saperne di più su chi scrive

Scritto da Stefani Schmidt, M.S., CIPM, CIPP-US

Stefani è una professionista della privacy, del rischio, della conformità e della gestione dei programmi con esperienza nei settori delle comunicazioni, della finanza e dell'adtech. l'esperienza precedente di Stefani comprende la collaborazione con gli stakeholder di diversi dipartimenti per portare avanti le iniziative sulla privacy in tutte le aziende, oltre alla revisione della privacy e della sicurezza delle nuove iniziative commerciali e dei fornitori. Stefani ha conseguito un master in tecnologie di sicurezza presso l'università del Minnesota - Twin Cities e una laurea in giornalismo e scienze politiche. Per saperne di più su chi scrive