Oregon Consumer Privacy Act: Primo sguardo e sintesi

L'Oregon Consumer Privacy Act (OCPA) è ora in vigore ed è simile ad altre leggi statali esistenti negli Stati Uniti, ma si differenzia per l'applicazione ad alcune organizzazioni non profit.

Di seguito, vi illustro la nuova legge sulla privacy dell'Oregon, compresi gli obblighi delle aziende, i diritti dei consumatori, le sanzioni in caso di violazione della legge e altro ancora.

Che cos'è l'oregon Consumer Privacy Act (OCPA)?

Originariamente Oregon Bill 619, l'oregon Consumer Privacy Act (OCPA) è una nuova legge approvata nello stato americano dell'Oregon.

Descrive gli obblighi per la raccolta e il trattamento dei dati personali dei consumatori dell'Oregon e garantisce loro diritti e controllo sull'utilizzo di tali dati.

Il documento illustra anche le sanzioni previste in caso di violazione della legge.

Data di entrata in vigore dell'OCPA

La maggior parte delle parti dell'OCPA è entrata in vigore il 1° luglio 2024, ma ecco altre date importanti in arrivo:

• Le clausole relative alle organizzazioni non profit entrano in vigore il 1° luglio 2025,
• l'obbligo per le entità di riconoscere i segnali di preferenza di opt-out attraverso i browser degli utenti diventa esecutivo il 1° gennaio 2026.
• Anche il periodo di cura OCPA di 30 giorni termina il 1° gennaio 2026.

Termini e definizioni chiave dell'OCPA

Per conformarsi all'OCPA, è necessario comprendere alcuni termini chiave utilizzati in tutta la legge, quindi li ho inclusi esattamente come appaiono nella Sezione 1 della nuova legge sulla privacy dell'Oregon:

Cosa prevede la legge sulla privacy dei consumatori dell'Oregon?

La nuova legge sulla privacy dell'Oregon riguarda le informazioni personali delle persone fisiche che risiedono nello Stato, ad eccezione di chi agisce in un contesto commerciale o lavorativo.

Una persona fisica in un contesto legale si riferisce a un essere umano vivente, indipendentemente dallo status di cittadinanza.

Requisiti della legge sulla privacy dei consumatori dell'Oregon

l'oCPA delinea una serie di requisiti legali che tutte le entità soggette alla legge devono rispettare e che illustro in modo più dettagliato nella prossima sezione.

Base legale per il trattamento dei dati personali

Ai sensi della sezione 5 dell'OCPA, le entità possono trattare solo le informazioni personali "adeguate, pertinenti e ragionevolmente necessarie" per le finalità descritte nella loro informativa sulla privacy.

Tuttavia, nessuna disposizione della legge vieta ai responsabili del trattamento o agli incaricati del trattamento di:

• Prevenire, rilevare, rispondere e indagare sulle minacce alla sicurezza informatica, come il furto di identità, le frodi, le molestie o altre attività illegali.
• Identificare gli errori tecnici all'interno dei sistemi informativi che ne compromettono la funzionalità.
• Condurre ricerche interne per sviluppare nuovi servizi o tecnologie.
• Indagini per la definizione, l'avvio o la difesa di richieste di risarcimento legale.
• Esecuzione di operazioni interne ragionevolmente allineate con le aspettative dei consumatori, che il consumatore può anticipare in base al rapporto esistente con il responsabile del trattamento

Inoltre, non vieta ai responsabili del trattamento o agli incaricati del trattamento di conformarsi alle leggi statali o federali.

Consenso

Per trattare i dati personali che non rientrano nell'ambito di ciò che è considerato ragionevolmente necessario, le entità devono ottenere un consenso attivo e opt-in da parte dei consumatori.

Le stesse linee guida sul consenso si applicano se si desidera raccogliere ed elaborare informazioni sensibili.

l'oCPA descrive chiaramente cosa è e cosa non è il consenso nella sezione 1 della legge:

• Il consumatore deve fornire un'azione chiara e affermativa
• Il consenso deve essere inequivocabile e informato.
• Il meccanismo di consenso non può oscurare, sovvertire o compromettere il loro processo decisionale.
• Dovete fornire un modo semplice e simile per ritirare il consenso in qualsiasi momento.

l'inerzia del consumatore non costituisce consenso.

È inoltre necessario ottenere il consenso attivo di un tutore legale per trattare i dati di bambini di età inferiore ai tredici anni, anche per la pubblicità mirata o la vendita delle loro informazioni.

Dati personali e obblighi di sicurezza

Un altro requisito delineato dall'OCPA riguarda l'adeguata protezione dell'integrità, della riservatezza e della sicurezza dei dati personali raccolti, come descritto nella Sezione 5, Parte 1 (c).

In particolare, i responsabili del trattamento dei dati ai sensi di questa legge devono stabilire, attuare e mantenere pratiche di sicurezza che soddisfino gli standard descritti nel capitolo 646A.622 dell'Oregon Revised Statute.

Il documento illustra le misure di salvaguardia amministrative, organizzative e fisiche da applicare alle informazioni personali dei consumatori per tenerle al sicuro da accessi non autorizzati o violazioni.

Obblighi contrattuali con i responsabili del trattamento di terze parti

I responsabili e gli incaricati del trattamento devono stipulare contratti legali con linee guida e clausole specifiche.

La legge spiega che nessuna disposizione della sezione 6 solleva il responsabile del trattamento o l'incaricato del trattamento dalle responsabilità derivanti dalle sezioni da 1 a 9 dell'OCPA.

Valutazioni sulla protezione dei dati

Dovete eseguire valutazioni sulla protezione dei dati per svolgere determinate attività di trattamento dei dati che presentano un rischio maggiore per i consumatori, come spiegato nella sezione 8 dell'OCPA.

Secondo la legge, tutti i seguenti elementi presentano un rischio elevato:

• Elaborazione dei dati per la pubblicità mirata
• Elaborazione di dati sensibili
• Vendita di dati personali
• l'utilizzo dei dati personali ai fini di una profilazione che presenta rischi prevedibili quali un trattamento iniquo, un pregiudizio per i clienti o una violazione della privacy.

È possibile utilizzare un'unica valutazione della protezione dei dati se le attività presentano livelli simili di rischio di danno per i consumatori.

Dovrebbe identificare e soppesare i vantaggi che il trattamento dei dati può apportare al responsabile del trattamento, al consumatore, alle altre parti interessate e al pubblico rispetto ai possibili rischi per il consumatore.

Dovrebbe anche considerare:

• Qualsiasi misura di sicurezza o salvaguardia in atto
• Come i dati deidentificati possono ridurre i rischi
• Le ragionevoli aspettative dei consumatori
• Il contesto in cui si elaborano i dati
• Il rapporto tra il responsabile del trattamento e i consumatori di cui il responsabile tratterà i dati personali

Riconoscimento dei meccanismi di opt-out universali

Le entità soggette all'OCPA devono riconoscere le estensioni del browser e le impostazioni globali del dispositivo per la privacy come agenti designati e autorizzati dal consumatore per quanto riguarda i suoi diritti alla privacy, come spiegato nella Sezione 4, Parte 4 della legge.

Meccanismi di opt-out universali come il Global Privacy Control (GPC) consentono ai consumatori di comunicare automaticamente le preferenze di opt-out sui loro browser.

Finché è commercialmente fattibile, questa tecnologia deve essere onorata.

Anche se la maggior parte dell'OCPA entra in vigore nel 2024, questa sezione del testo diventa esecutiva nel 2026.

La legge sulla privacy dell'Oregon rispetto ad altri Stati: Somiglianze e differenze

l'oCPA è una delle seguenti leggi sulla privacy in vigore o recentemente approvate negli Stati Uniti:

• California Consumer Protection Act (CCPA), as amended by the California Privacy Rights Act (CPRA)
• Legge sulla privacy del Colorado (CPA)
• Legge sulla privacy dei dati del Connecticut (CTDPA)
• Legge sulla privacy dei dati personali del Delaware (DPDPA)
• Carta dei diritti digitali della Florida (FDBR)
• Legge sulla protezione dei dati dei consumatori dell'Iowa (Iowa CDPA)
• Legge sulla protezione dei dati dei consumatori dell'Indiana (Indiana CDPA)
• Legge sulla protezione dei dati dei consumatori del Kentucky (KCDPA)
• Legge sulla privacy dei dati dei consumatori del Minnesota (MCDPA)
• Legge sulla protezione dei dati online del Maryland (MODPA)
• Legge sulla privacy dei dati dei consumatori del Montana (MCDPA)
• Legge sulla privacy dei dati del Nebraska (NDPA)
• Legge sulla privacy dei dati del New Hampshire (NHDPL)
• Legge sulla privacy dei dati del New Jersey (NJDPA)
• Legge sulla protezione delle informazioni del Tennessee (TIPA)
• Legge sulla privacy e la sicurezza dei dati del Texas (TDPSA)
• Legge sulla privacy dei consumatori dello Utah (UCPA)
• Legge sulla protezione dei dati dei consumatori della Virginia (VCDPA)

Nella tabella seguente è possibile confrontare queste leggi con l'oCPA.

Che impatto avrà l'oCPA sui consumatori?

In base all'OCPA, i consumatori hanno nuovi diritti e un nuovo controllo sul modo in cui gli enti trattano e utilizzano le loro informazioni personali.

Secondo la sezione 3 del testo, i consumatori possono:

• Confermare se un responsabile del trattamento sta elaborando o ha elaborato informazioni personali che li riguardano e le categorie di dati.
• Un elenco delle specifiche terze parti con cui vengono condivisi i dati.
• Una copia di tutti i dati personali trattati o in corso di trattamento.
• Correggere le inesattezze dei propri dati personali.
• Richiedere a un responsabile del trattamento di cancellare i propri dati personali, compresi quelli forniti dal consumatore al responsabile del trattamento e quelli ottenuti da un'altra fonte.
• Rifiutare la pubblicità mirata, la vendita dei propri dati o la profilazione.

A chi si applica l'oCPA?

l'oCPA si applica alle persone fisiche che si trovano in Oregon solo per scopi commerciali o domestici.

Non si applica alle persone che si trovano nello Stato per motivi commerciali o di lavoro.

Che impatto avrà l'oCPA sulle imprese?

La nuova legge sulla privacy dei consumatori dell'Oregon ha un impatto sulle aziende in diversi modi, oltre ai requisiti di sicurezza, agli obblighi contrattuali e agli standard di valutazione della privacy menzionati in precedenza.

l'oCPA ha anche un impatto sulla vostra politica sulla privacy e può influenzare l'uso dei cookie su Internet.

Che impatto avrà l'oCPA sulla mia politica sulla privacy?

Secondo la sezione 5, parte 4, della legge sulla privacy dei consumatori dell'Oregon, i responsabili del trattamento devono presentare ai consumatori un "avviso sulla privacy ragionevolmente accessibile, chiaro e significativo" che includa informazioni specifiche:

• Un elenco delle categorie di dati personali, compresi eventuali dati sensibili trattati
• Una descrizione delle finalità del trattamento delle informazioni da parte del responsabile del trattamento
• Una spiegazione di come i consumatori possono esercitare i loro diritti e di come ricorrere contro il rifiuto del responsabile del trattamento di tali richieste
• Un elenco di tutte le categorie di dati personali condivisi con terzi, compresi i dati sensibili.
• Descrizione delle categorie di terzi con cui condividete i vostri dati personali
• Un indirizzo e-mail attivo o un metodo online che i consumatori possono utilizzare per contattare il responsabile del trattamento
• Qualsiasi nome commerciale con cui il responsabile del trattamento è registrato presso il Segretario di Stato, nonché qualsiasi nome commerciale presunto che il responsabile del trattamento utilizza nello Stato.
• Una descrizione di qualsiasi trattamento dei dati personali per la pubblicità mirata o la profilazione che un consumatore può rifiutare.
• Una descrizione del metodo o dei metodi stabiliti dal responsabile del trattamento per consentire ai consumatori di presentare richieste per dare seguito ai loro diritti

In che modo l'oCPA influisce sulla mia politica sui cookie?

La nuova legge sulla privacy dell'Oregon può influire sulla vostra politica sui cookie, in particolare se vendete informazioni sui consumatori raccolte attraverso i cookie o se li utilizzate per la pubblicità mirata.

Ai sensi dell'OCPA, i consumatori hanno il diritto di scegliere di non utilizzare le loro informazioni in uno di questi modi.

Se utilizzate i cookie per uno di questi scopi, dovete informare chiaramente i vostri consumatori e fornire loro un mezzo semplice per ritirarsi da tali attività di trattamento.

Chi deve rispettare la nuova legge sulla privacy dell'Oregon?

Secondo la sezione 2(1) dell'OCPA, dovete conformarvi a questa legge se svolgete attività commerciali in Oregon o fornite prodotti o servizi ai residenti dello Stato e soddisfate una delle seguenti condizioni nell'arco di un anno solare:

• Controlla o tratta i dati personali di 100.000 o più consumatori, esclusi i dati controllati o trattati esclusivamente per completare le operazioni di pagamento
• Controlla o elabora i dati personali di 25.000 o più consumatori e ricava il 25% o più del proprio fatturato annuo lordo dalla vendita di dati personali.

Chi è esente dall'OCPA?

Le uniche organizzazioni non profit esentate dal rispetto dell'OCPA sono quelle che si occupano specificamente di individuare e prevenire attività fraudolente o di fornire programmi a reti televisive o radiofoniche, comprese le attività non commerciali di:

• Giornalisti
• Stazioni radiofoniche e televisive con licenza FCC
• Entità che forniscono un servizio di informazione, come ad esempio un'associazione di stampa o un servizio di stampa

Inoltre, non si applica a:

• Società pubbliche secondo la definizione dell'Oregon Revised Statutes, tra cui l'oregon Health and Science University e l'oregon State Bar.
• Informazioni sanitarie protette ed entità coperte ai sensi dell'Health Insurance Portability and Accountability Act (HIPAA)
• Informazioni utilizzate solo per attività e scopi di sanità pubblica
• Istituti finanziari o loro affiliati o sussidiari ai sensi del Gramm Leach Bliley Act (GLBA)
• Assicuratori e produttori assicurativi diversi da coloro che, da soli o con altri, istituiscono e mantengono un programma di autoassicurazione e non esercitano altrimenti l'attività di stipula di polizze assicurative.
• Informazioni trattate o conservate esclusivamente per l'impiego o il rapporto di lavoro di una persona.

Come possono le aziende prepararsi all'OCPA?

Per preparare le vostre aziende all'OCPA, aggiornate la vostra politica sulla privacy per soddisfare tutti gli obblighi di notifica espressi nella Sezione 5, Parte 4 della legge.

Fornite ai consumatori dell'Oregon diversi modi semplici per far valere i loro diritti alla privacy e presentare richieste, come ad esempio una funzione di opt-out sul vostro banner di consenso e l'aggiunta di moduli di richiesta di accesso ai dati da parte dei soggetti interessati alla vostra piattaforma.

Assicuratevi di utilizzare contratti che soddisfino i dettagli illustrati nella Sezione 6 della legge.

Per le entità che desiderano trattare informazioni che presentano un ragionevole rischio di danno per i consumatori, è necessario eseguire un'adeguata valutazione della protezione dei dati, come indicato nella Sezione 8.

Infine, prima del 2026, il vostro sito web deve rispettare le impostazioni di privacy del browser, in quanto queste si qualificano come richieste riconosciute e verificabili per i diritti di opt-out dei consumatori.

Come verrà applicato l'oCPA?

Il Procuratore generale dell'Oregon (AG) è responsabile dell'applicazione dell'OCPA, come spiegato nella sezione 9 della legge.

l'aG può inviare una richiesta a chiunque possieda, controlli o conservi informazioni rilevanti per un'indagine.

Esiste un periodo di cura di 30 giorni per correggere la violazione dopo aver ricevuto l'avviso, e il mancato rispetto di questo termine può portare a un'azione senza ulteriori avvisi.

Tuttavia, il periodo di cura dell'OCPA termina il 1° gennaio 2026.

Multe e sanzioni ai sensi della legge sulla tutela dei consumatori dell'Oregon

Le entità che violano l'oCPA possono ricevere multe fino a 7.500 dollari per ogni violazione.

Tuttavia, come descritto nella Sezione 11, le sanzioni cadono in prescrizione dopo cinque anni e i consumatori non hanno un diritto di azione privata.

In che modo Termly può contribuire alla conformità all'OCPA?

Termly offre politiche legali e soluzioni di gestione del consenso vagliate dal nostro team legale e da esperti di privacy dei dati per aiutare le aziende a semplificare il processo di conformità.

Il nostro generatore di informativa sulla privacyad esempio, è facile da usare e aiuta le aziende a creare in pochi minuti informative sulla privacy personalizzate e complete per le loro piattaforme.

Il programma pone semplici domande sulle attività di trattamento dei dati e crea un'informativa sulla privacy in base alle risposte fornite.

Guardate come si presenta qui sotto.

Forniamo anche una gestione del consenso Platform (CMP) che offre un banner di consenso che potete configurare per soddisfare i requisiti di opt-out previsti da leggi come l'oCPA.

Di seguito, un'immagine del nostro CMP.

Iniziare a gestire il consenso

Inserisci l'uRL del tuo sito web

Per aiutarti a creare una politica dei cookie conforme alla legislazione mondiale, dobbiamo innanzitutto analizzare il tuo sito web alla ricerca dei cookie.

Avvia la scansione del sito web

Esistono altre leggi sulla privacy in Oregon?

l'oregon Consumer Privacy Act è la prima legge dello Stato che protegge le informazioni personali dei consumatori online, ma esistono già altre leggi sulla privacy, come la Oregon Consumer Privacy Act:

• Legge dell'Oregon sulla protezione dei consumatori dal furto d'identità: Fornisce ai residenti maggiori strumenti e risorse per aiutarli a proteggersi dal furto di identità e da altri crimini informatici simili.
• Legge sulla protezione delle informazioni degli studenti dell'Oregon: Proibisce ai siti e alle piattaforme educative di condividere i dati personali degli studenti nello Stato per scopi non educativi.

Per saperne di più su queste e altre leggi sulla privacy in Oregon, consultate il sito web del Dipartimento di Giustizia.

Riassunto

Se la vostra azienda rientra nell'ambito di applicazione dell'OCPA, assicuratevi di aggiornare le vostre politiche legali per soddisfare tutte le linee guida di notifica delineate dalla legge.

Aggiungere opzioni di opt-out per consentire ai consumatori di agire in base ai propri diritti ed eseguire, se necessario, adeguate valutazioni della protezione dei dati.

Ricordate di includere un modulo DSAR o un altro meccanismo nella vostra piattaforma, in modo che gli utenti possano richiedere di dare seguito ai loro diritti, e assicuratevi che il vostro sito web onori le GPC prima del 2026.

Non lasciatevi prendere dalla confusione della conformità; aggiungete Termly alla vostra cassetta degli attrezzi. Vi copriamo le spalle!

Per saperne di più su chi scrive

Scritto da Josh Langeland, CIPM

Ciao, sono Josh! Sono un ingegnere della privacy appassionato dell'uso della tecnologia per rispettare la privacy degli utenti. Mi trovo a mio agio nell'intersezione tra la tecnologia complessa e le leggi sulla privacy in continua evoluzione. Se non sto redigendo una revisione del progetto o riarchitettando un sistema, potrei trovarmi a leggere una biografia o a fare un'escursione nel parco nazionale più vicino. Per saperne di più su chi scrive