l'iowa è entrato a far parte dell'elenco sempre più ampio di Stati statunitensi che dispongono di una legge sulla protezione dei dati quando, nel marzo 2023, il governatore ha firmato l'iowa Consumer Data Protection Act (Iowa CDPA).
Sebbene il CDPA dell'Iowa presenti molte analogie con altre leggi sulla privacy degli Stati Uniti, introduce anche alcune importanti differenze.
In questa guida vi illustrerò tutto quello che c'è da sapere sul CDPA dell'Iowa, chi protegge, a chi si applica e quali sono le misure che la vostra azienda deve adottare per prepararsi alla conformità.
- Che cos'è la legge sulla protezione dei dati dei consumatori dell'Iowa (Iowa CDPA)?
- Termini e definizioni chiave del CDPA Iowa
- Cosa prevede la legge sulla protezione dei dati dei consumatori dell'Iowa?
- Requisiti della legge sulla protezione dei dati dei consumatori dell'Iowa
- La legge sulla privacy dell'Iowa rispetto alle leggi di altri Stati: Somiglianze e differenze
- Quale sarà l'impatto sui consumatori del CDPA dell'Iowa?
- Che impatto avrà sulle imprese il CDPA dell'Iowa?
- Chi deve rispettare la nuova legge sulla privacy dell'Iowa?
- Come possono le aziende prepararsi al CDPA dell'Iowa?
- Come verrà applicato il CDPA dell'Iowa?
- Multe e sanzioni ai sensi della legge sulla protezione dei dati dei consumatori dell'Iowa
- In che modo Termly può contribuire alla conformità con il CDPA dell'Iowa?
- Esistono altre leggi sulla privacy in Iowa?
- Riassunto
Che cos'è la legge sulla protezione dei dati dei consumatori dell'Iowa (Iowa CDPA)?
La CDPA dell'Iowa è una legge sulla privacy dei dati creata per proteggere le informazioni personali dei consumatori dell'Iowa e prevede sanzioni civili per le entità che violano i nuovi requisiti e i diritti dei consumatori.
Data di entrata in vigore del CDPA Iowa
La legge sulla protezione dei dati dei consumatori dell'Iowa è entrata in vigore il 1° gennaio 2025.
Termini e definizioni chiave del CDPA Iowa
La nuova legge sulla privacy dell'Iowa descrive diversi termini chiave nella sezione 1, 715D.1 "Definizioni".
La comprensione di queste definizioni è fondamentale per ottemperare ai requisiti di questa nuova legge, pertanto di seguito ho inserito i termini chiave esattamente come appaiono nel testo della legge:
Cosa prevede la legge sulla protezione dei dati dei consumatori dell'Iowa?
Il CDPA dell'Iowa copre i residenti dello Stato dell'Iowa che agiscono in un contesto non commerciale e non lavorativo.
Questo ambito di applicazione è spiegato nella Sezione 1 all'interno della definizione fornita per il termine consumatore.
Requisiti della legge sulla protezione dei dati dei consumatori dell'Iowa
La sezione seguente illustra brevemente i principali requisiti che l'iowa CDPA impone alle aziende per conformarsi alla legge.
Requisiti di sicurezza dei dati
Secondo la sezione 4, 715D.4 dell'Iowa CDPA, i responsabili del trattamento devono attuare pratiche di sicurezza ragionevoli per proteggere la riservatezza dei dati personali raccolti.
Le pratiche di sicurezza dei dati implementate devono considerare sia il volume che la natura dei dati raccolti.
Base giuridica per il trattamento dei dati
I responsabili del trattamento possono trattare legalmente i dati personali se soddisfano le linee guida specifiche delineate dalla legge sulla privacy dell'Iowa.
Queste linee guida prevedono la raccolta di dati che:
- È ragionevolmente necessario e proporzionato alle finalità presentate ai consumatori.
- È adeguato, pertinente e limitato a quanto necessario per le finalità specifiche elencate.
- Tenere conto della natura e dello scopo di tale raccolta, uso o conservazione.
- È soggetto a ragionevoli misure amministrative, tecniche e fisiche per proteggere la riservatezza, l'integrità e l'accessibilità dei dati personali.
Obblighi contrattuali con i responsabili del trattamento di terze parti
I responsabili del trattamento e gli incaricati del trattamento che collaborano ai sensi della nuova legge sulla privacy dell'Iowa devono entrambi firmare contratti che includano le disposizioni specifiche richieste dalla legge.
Secondo la Sezione 5, Parte 715D.5, il contratto deve richiedere ai trasformatori di:
- Assicurarsi che gli incaricati del trattamento siano soggetti a un obbligo di riservatezza sui dati.
- Cancellare, su indicazione del responsabile del trattamento, o restituire tutti i dati personali al responsabile del trattamento, a meno che la conservazione non sia richiesta dalla legge.
- Mettere a disposizione del responsabile del trattamento tutte le informazioni necessarie per adempiere agli obblighi previsti dalla CDPA dell'Iowa, su ragionevole richiesta del responsabile del trattamento.
- Assicurarsi che tutti i subappaltatori o agenti abbiano un contratto scritto che soddisfi tutti gli standard delineati dall'Iowa CDPA.
Un aspetto interessante di questa legge è che non ritiene responsabili i responsabili del trattamento o gli incaricati del trattamento se hanno stipulato un contratto con una terza parte che viola parti della legge, a condizione che non sapessero, al momento della divulgazione dei dati, che il destinatario intendeva commettere un'infrazione.
Altre leggi statali statunitensi ritengono entrambe le parti responsabili in caso di una situazione del genere, il che rende questo aspetto particolarmente unico del CDPA dell'Iowa.
Requisiti relativi ai dati dei bambini
Come altre leggi statali sulla privacy dei dati, il CDPA dell'Iowa impone alle aziende di attenersi alla legge federale Children›s Online Privacy Protection Act(COPPA) quando raccolgono ed elaborano dati di bambini conosciuti.
Le entità devono inoltre consentire ai tutori legali di presentare richieste di consumo verificabili per conto di bambini conosciuti, rispettando così i diritti dei consumatori delineati da questa legge.
La legge sulla privacy dell'Iowa rispetto alle leggi di altri Stati: Somiglianze e differenze
l'iowa è uno dei numerosi Stati americani che hanno recentemente approvato leggi sulla privacy dei dati, tra cui il:
- California Consumer Protection Act (CCPA), come modificato dal California Privacy Rights Act (CPRA) - attualmente in vigore
- Legge sulla privacy del Colorado (CPA) - attualmente in vigore
- Legge sulla privacy dei dati del Connecticut (CTDPA) - attualmente in vigore
- Legge sulla privacy dei dati personali del Delaware (DPDPA) - attualmente in vigore
- Carta dei diritti digitali della Florida (FDBR) - attualmente in vigore
- Legge sulla protezione dei dati dei consumatori dell'Indiana (Indiana CDPA) - in vigore dal 1° gennaio 2026.
- Legge sulla protezione dei dati dei consumatori del Kentucky (KCDPA) - in vigore dal 1° gennaio 2026
- Legge sulla privacy dei dati dei consumatori del Minnesota (MCDPA) - in vigore dal 31 luglio 2025.
- Legge sulla privacy dei dati online del Maryland (MODPA) - in vigore dal 1° ottobre 2025
- Legge sulla privacy dei consumatori del Montana (MCDPA) - attualmente in vigore
- Nebraska Data Privacy Act (NDPA) - attualmente in vigore
- Legge sulla privacy dei dati del New Hampshire (NHDPL) - attualmente in vigore
- Legge sulla privacy dei dati del New Jersey (NJDPA) - attualmente in vigore
- Legge sulla privacy dei consumatori dell'Oregon (OCPA) - attualmente in vigore
- Legge sulla protezione delle informazioni del Tennessee (TIPA) - in vigore dal 1° luglio 2025
- Legge sulla privacy e la sicurezza dei dati del Texas (TDPSA) - attualmente in vigore
- Legge sulla privacy dei consumatori dello Utah (UCPA) - attualmente in vigore
- Legge sulla protezione dei dati dei consumatori della Virginia (VCDPA) - attualmente in vigore
Sebbene queste leggi presentino alcune somiglianze, includono anche differenze fondamentali, come mostra la tabella seguente che confronta il CDPA dell'Iowa con tutte le altre leggi statunitensi sulla privacy dei dati sopra elencate.
| Legge dello Stato | Consenso opt-in per alcuni tipi di trattamento dei dati | Consenso di opt-out per alcuni tipi di trattamento dei dati | Devono presentare agli utenti un'informativa sulla privacy (o una nota). | Richiede valutazioni sulla protezione dei dati | Delinea gli obblighi contrattuali con gli elaboratori di terze parti | Permette di avviare cause civili o azioni private. | Deve rispettare i controlli globali della privacy/le impostazioni di privacy del browser |
| CDPA Iowa | ✓ | ✓ | ✓ | ||||
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| CDPA Indiana | ✓ | ✓ | ✓ | ✓ | |||
| KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MN CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| MT CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
Quale sarà l'impatto sui consumatori del CDPA dell'Iowa?
Il CDPA dell'Iowa ha un impatto sui consumatori dell'Iowa, concedendo loro nuovi diritti sulle modalità di raccolta, trattamento e utilizzo dei loro dati personali da parte di aziende e altri enti.
Ai sensi della Sezione 3, 715D.3 "Diritti dei dati dei consumatori", le persone protette da questa legge hanno il diritto di:
- Confermare se un responsabile del trattamento sta trattando i propri dati personali e ottenere l'accesso a tali dati.
- Far cancellare i dati forniti a un responsabile del trattamento.
- Ottenere una copia portatile dei dati personali forniti a un responsabile del trattamento, a meno che non siano soggetti a una protezione contro le violazioni della sicurezza.
- Rinunciare alla vendita dei propri dati personali.
- Rifiutare la pubblicità mirata.
- Rinunciare alla raccolta e al trattamento dei propri dati personali sensibili.
I responsabili del trattamento dei dati devono soddisfare tutte le richieste dei consumatori di cui sopra e devono rispondere senza ritardi ingiustificati o almeno entro 90 giorni dal ricevimento della richiesta.
Se un ente nega una richiesta del consumatore, deve fornirne la motivazione e consentire all'individuo di appellarsi al processo, gratuitamente, in un modo chiaramente disponibile simile al metodo originale per presentare le richieste.
Chi protegge il CDPA dell'Iowa?
Come già detto, il CDPA dell'Iowa si applica solo ai dati personali dei residenti dell'Iowa.
In particolare, devono agire in un contesto personale o domestico.
l'ambito di applicazione della legge sulla protezione dei dati dei consumatori dell'Iowa è spiegato nella Sezione. 2., Parte 715D.2 "Ambito di applicazione ed esenzioni".
Che impatto avrà sulle imprese il CDPA dell'Iowa?
Il CDPA dell'Iowa ha un impatto sulle imprese in diversi modi.
Oltre agli obblighi contrattuali, ai requisiti di sicurezza e alle basi legali per il trattamento dei dati personali menzionati in precedenza in questa guida, le aziende devono prepararsi ad aggiornare le politiche sulla privacy e sui cookie.
Discutiamo le modifiche che le aziende potrebbero dover apportare a questi documenti.
In che modo il CDPA dell'Iowa influirà sulla mia politica sulla privacy?
La nuova legge sulla protezione dei dati dell'Iowa impone ai responsabili del trattamento di fornire ai consumatori un'informativa sulla privacy che risponda a diverse linee guida specifiche.
Questo requisito significa che le aziende devono preparare alcuni aggiornamenti alla loro politica esistente.
Secondo la sezione 4 della legge, una politica sulla privacy deve includere tutte le seguenti informazioni:
- Le categorie di dati personali trattati.
- Lo scopo del trattamento dei dati.
- Una descrizione di come i consumatori possono esercitare i loro diritti e ricorrere contro la decisione del responsabile del trattamento.
- Le categorie di dati eventualmente condivise con terzi.
- Le categorie di soggetti terzi con cui condividete i dati, se presenti.
- Se un'azienda vende dati personali a terzi o si impegna in pubblicità mirate, tutte queste informazioni devono essere chiaramente divulgate ed è necessario fornire agli utenti un mezzo per rinunciare a queste attività.
- Stabilire e descrivere le modalità sicure e affidabili con cui i consumatori possono presentare le richieste di esercizio dei propri diritti.
In che modo il CDPA dello Iowa influisce sulla mia politica sui cookie?
Alcuni cookie di Internet sono considerati dati personali ai sensi della legge sulla protezione dei dati dei consumatori dell'Iowa, il che può avere un impatto sulla politica dei cookie di un'azienda.
In particolare, i consumatori ai sensi del CDPA dell'Iowa hanno il diritto di rinunciare alla pubblicità mirata, alla vendita dei loro dati personali e alla raccolta e al trattamento dei dati personali sensibili.
Se un'azienda utilizza cookie internet che portano a pubblicità mirate o raccoglie dati dagli utenti che vengono venduti a terzi, deve indicare quali sono questi cookie e fornire agli utenti un modo per rifiutarli.
Un analogo meccanismo di opt-out deve essere previsto se si raccolgono dati personali sensibili.
Chi deve rispettare la nuova legge sulla privacy dell'Iowa?
un'azienda deve conformarsi all'Iowa CDPA se svolge attività commerciali in Iowa o produce prodotti e servizi destinati a consumatori residenti nello Stato e se soddisfa una delle seguenti soglie durante un anno solare:
- Controlla o elabora i dati personali di 100.000 o più consumatori
- Controlla o elabora i dati personali di almeno 25.000 consumatori e genera oltre il 50% del proprio fatturato annuo lordo dalla vendita di dati personali
Chi è esente dal CDPA dell'Iowa?
Le seguenti entità sono esenti dalla legge sulla protezione dei dati dei consumatori dell'Iowa:
- Lo Stato o qualsiasi sua suddivisione politica
- Istituti finanziari, loro affiliati o soggetti interessati ai sensi del Gramm-Leach-Bliley Act(GLBA).
- Persone soggette all'Health Insurance Portability and Accountability Act(HIPAA)
- Persone soggette all'Health Information Technology for Economic and Clinical Health Act del 2009(HITECH).
- Organizzazioni non profit
- Istituti di istruzione superiore
Come possono le aziende prepararsi al CDPA dell'Iowa?
Aggiornamento dell'informativa sulla privacy
Le aziende interessate dalla nuova legge sulla privacy dei dati dell'Iowa devono pianificare l'aggiornamento della loro politica sulla privacy per soddisfare tutti i requisiti delineati dalla legge.
Attuare la gestione del consenso
Dovrebbero inoltre utilizzare una gestione del consenso Platform (CMP) con un adeguato banner di consenso e un centro di preferenze che consenta agli utenti di agire in base ai loro diritti sulla privacy, come la rinuncia alla vendita dei loro dati e agli annunci mirati.
Offrire un modulo di richiesta di accesso ai dati
l'aggiunta di un modulo di richiesta di accesso ai dati(DSAR) a un sito web è un altro modo adeguato per fornire agli utenti un mezzo semplice per presentare richieste di agire in base ai loro diritti e per appellarsi a qualsiasi decisione presa da un responsabile del trattamento dei dati.
Bozza di accordi sul trattamento dei dati
Se un'azienda si affida a terzi per il trattamento dei dati per suo conto, deve utilizzare un accordo di trattamento dei dati(DPA) che includa tutte le clausole necessarie descritte dal CDPA dell'Iowa.
Come verrà applicato il CDPA dell'Iowa?
Il Procuratore generale dell'Iowa ha l'autorità esclusiva di applicare tutte le parti dell'Iowa CDPA.
Se l'aG ha ragionevoli motivi per ritenere che un'entità stia violando la legge, può emettere una richiesta di indagine civile.
l'autorità darà al responsabile del trattamento o all'incaricato del trattamento un preavviso scritto di 90 giorni, indicando le parti del CDPA dell'Iowa che sono state presumibilmente violate.
Le entità devono porre rimedio alle violazioni entro 90 giorni e inviare una dichiarazione scritta all'AG in cui si afferma che non si verificheranno ulteriori infrazioni.
Se approvato, l'aG non intraprenderà alcuna azione negativa nei confronti del responsabile del trattamento o dell'incaricato del trattamento.
Ma se l'aG non riceve mai una dichiarazione scritta o se si verificano ulteriori infrazioni, le aziende devono aspettarsi di essere multate.
Multe e sanzioni ai sensi della legge sulla protezione dei dati dei consumatori dell'Iowa
In base al CDPA dell'Iowa, i responsabili del trattamento o gli incaricati del trattamento che non si attengono al periodo di cura dopo aver commesso una presunta violazione rischiano di essere multati.
Le multe possono arrivare a 7.500 dollari per ogni violazione.
Il procuratore generale aggiungerà il denaro raccolto attraverso le violazioni al fondo per l'educazione dei consumatori e le controversie.
In che modo Termly può contribuire alla conformità con il CDPA dell'Iowa?
Termly›s generatore di informativa sulla privacy e gestione del consenso Platform può aiutare le aziende a conformarsi al CDPA dell'Iowa.
Il generatore di informativa sulla privacy pone semplici domande sulla vostra azienda e sulle sue pratiche di raccolta dati e utilizza le risposte per creare un'informativa sulla privacy completa e personalizzata.
Un esempio dell'aspetto del generatore è riportato nella schermata seguente:
È inoltre possibile configurare la gestione del consenso Platform di gestione del consenso Platform di Termlyin modo che sia compatibile con i requisiti di opt-out dei consumatori delineati dal CDPA dello Iowa per la pubblicità mirata e la vendita di dati personali.
Guardate come si presenta qui sotto.
La parte migliore dell'utilizzo di Termly? I generatori di policy e gli strumenti sono supportati da esperti legali e di privacy dei dati.
Inoltre, Termly aggiorna i prodotti in base all'evoluzione delle leggi e dei regolamenti, il che significa che potete fidarvi che gli strumenti siano sempre aggiornati.
Esistono altre leggi sulla privacy in Iowa?
Sebbene la legge sulla protezione dei dati dei consumatori dell'Iowa sia la prima legge dello Stato che affronta direttamente la raccolta e il trattamento dei dati personali dei consumatori, l'iowa dispone di un'altra legge che influisce sulla sicurezza e sull'integrità di questi dati.
In particolare, una sezione del Codice dell'Iowa si occupa delle violazioni dei dati personali, il Titolo XVI.
Per conformarsi a questa sezione del codice, gli enti devono notificare ai consumatori e al Procuratore generale le violazioni di dati personali che coinvolgono record elettronici o cartacei se più di 500 residenti dell'Iowa sono interessati da una violazione dei dati.
Questa sezione dell'Iowa Code lavorerà in tandem con i nuovi requisiti sulla privacy dei dati e i diritti dei consumatori descritti nell'Iowa CDPA.
Riassunto
Rendete più semplice per la vostra azienda la conformità con il CDPA dell'Iowa adottando le misure adeguate per soddisfare tutti i requisiti della legge.
Pianificate l'aggiornamento della vostra politica sulla privacy in modo che soddisfi tutti i requisiti del CDPA dell'Iowa e implementate le opzioni di opt-out per i consumatori per quanto riguarda i dati personali sensibili, la pubblicità mirata e la vendita di dati personali.
Le aziende possono semplificare ulteriormente la conformità utilizzando risorse come il generatore di informativa sulla privacy e la piattaforma di generatore di informativa sulla privacyTermlydiTermly. gestione del consenso Platform.
Per saperne di più su chi scrive
Scritto da Stefani Schmidt, M.S., CIPM, CIPP-US
Stefani è una professionista della privacy, del rischio, della conformità e della gestione dei programmi con esperienza nei settori delle comunicazioni, della finanza e dell'adtech. l'esperienza precedente di Stefani comprende la collaborazione con gli stakeholder di diversi dipartimenti per portare avanti le iniziative sulla privacy in tutte le aziende, oltre alla revisione della privacy e della sicurezza delle nuove iniziative commerciali e dei fornitori. Stefani ha conseguito un master in tecnologie di sicurezza presso l'università del Minnesota - Twin Cities e una laurea in giornalismo e scienze politiche. Per saperne di più su chi scrive
