Il Nebraska Data Privacy Act(NDPA) è una legge completa sulla privacy dei dati che protegge le informazioni personali dei residenti dello Stato.
In questa guida vi illustrerò quali tipi di enti devono conformarsi alla nuova legge sulla privacy del Nebraska, come la nuova legge impatta sulle aziende e sui consumatori e quali sono le multe e le sanzioni previste in caso di violazione di alcune parti della legge.
- Che cos'è la legge sulla privacy dei dati del Nebraska (NDPA)?
- Termini e definizioni chiave dell'NDPA
- Cosa prevede la legge sulla privacy dei dati del Nebraska?
- Requisiti della legge sulla privacy dei dati del Nebraska
- Legge sulla privacy del Nebraska rispetto ad altri Stati: Somiglianze e differenze
- Che impatto avrà l'NDPA sui consumatori?
- A chi si applica l'NDPA?
- Che impatto avrà l'NDPA sulle imprese?
- Chi deve rispettare la nuova legge sulla privacy del Nebraska?
- Come possono le imprese prepararsi all'NDPA?
- Come verrà applicato l'NDPA?
- Multe e sanzioni ai sensi della legge sulla privacy dei dati del Nebraska
- Come Termly aiuta a rispettare l'NDPA
- Esistono altre leggi sulla privacy in Nebraska?
- Riassunto
Che cos'è la legge sulla privacy dei dati del Nebraska (NDPA)?
L'NDPA è la prima legge completa sulla privacy dei dati dei consumatori in Nebraska, il diciassettesimo stato a promulgare una legge di questo tipo negli Stati Uniti.
Il documento delinea le linee guida per la raccolta, l'elaborazione e l'utilizzo dei dati personali dei residenti nello Stato.
La legge conferisce inoltre ai consumatori nuovi diritti e controlli sui loro dati e delinea le sanzioni in caso di violazione di alcune parti della legge.
Data di entrata in vigore dell'NDPA
La nuova legge sulla privacy del Nebraska è entrata in vigore il 1° gennaio 2025.
Termini e definizioni chiave dell'NDPA
Di seguito, ho incluso alcuni termini chiave dell'NDPA con le definizioni esattamente come appaiono nel testo della legge.
Cosa prevede la legge sulla privacy dei dati del Nebraska?
L'NDPA riguarda i dati personali dei residenti nello Stato del Nebraska.
Tuttavia, esclude diversi tipi di dati, tra cui, ma non solo, i seguenti:
- Informazioni sanitarie protette ai sensi dell'Health Insurance Portability and Accountability Act (HIPAA).
- Cartelle cliniche
- Informazioni di identificazione del paziente per scopi specifici
- Informazioni private identificabili raccolte ai fini della politica federale per la protezione dei soggetti umani o delle linee guida di buona pratica clinica emesse dal Consiglio internazionale per l'armonizzazione dei requisiti tecnici dei prodotti farmaceutici per uso umano.
Requisiti della legge sulla privacy dei dati del Nebraska
Di seguito, vi illustrerò alcuni dei principali requisiti delineati dalla nuova legge sulla privacy del Nebraska.
Base giuridica per il trattamento dei dati
Secondo la sezione 12 dell'NDPA, le aziende devono limitare il trattamento dei dati a quanto ragionevolmente necessario per raggiungere gli scopi del trattamento comunicati al consumatore.
È necessario ottenere il consenso del consumatore per raccogliere informazioni al di fuori di questo ambito o per raccogliere ed elaborare categorie di dati personali sensibili.
Consenso
Il consenso ai sensi dell'NDPA deve essere liberamente dato, specifico, informato e non ambiguo, e il consumatore deve compiere un'azione chiara e affermativa per indicare il proprio consenso.
In altre parole, l'NDPA descrive un tipo di consenso "opt-in" e afferma chiaramente che passare il mouse sopra i contenuti, metterli in pausa o chiuderli non costituisce un consenso.
Anche l'uso di schemi oscuri o di meccanismi di consenso contorti con ampi termini di utilizzo non sono considerati un consenso correttamente ottenuto.
Richieste verificabili dei consumatori
Ai sensi dell'NDPA, i consumatori possono presentare in qualsiasi momento richieste verificabili a un responsabile del trattamento per agire in base ai loro diversi diritti alla privacy.
Il responsabile del trattamento ha 45 giorni di tempo dal ricevimento della richiesta per rispondere, con la possibilità di estendere tale termine di altri 45 giorni, a seconda della complessità della richiesta.
Le informazioni devono essere fornite gratuitamente al consumatore per un massimo di due volte in un anno solare.
Meccanismi universali di opt-out
L'NDPA consente ai consumatori di presentare richieste verificate per esercitare i propri diritti alla privacy utilizzando una tecnologia come il meccanismo di opt-out universale (UOOM).
In base a questa legge, le aziende devono assicurarsi che i loro siti web siano in grado di leggere i segnali di consenso provenienti da tecnologie UOOM come il Global Privacy Control(GPC), che invia automaticamente la scelta dell'utente di rinunciare alla pubblicità mirata e alla vendita dei propri dati ai siti web in cui naviga.
Requisiti di sicurezza e protezione dei dati
Le aziende che raccolgono informazioni personali ai sensi dell'NDPA devono stabilire, implementare e mantenere pratiche di sicurezza tecnica, amministrativa e fisica dei dati per proteggere la riservatezza, l'integrità e l'accessibilità delle informazioni.
Obblighi contrattuali tra responsabili e incaricati del trattamento
I responsabili del trattamento dei dati ai sensi dell'NDPA devono stipulare contratti con gli eventuali incaricati del trattamento dei dati che illustrino tutti i seguenti dettagli:
- Istruzioni chiare per il trattamento dei dati.
- Natura e finalità del trattamento.
- Il tipo di dati oggetto di trattamento.
- La durata dell'elaborazione.
- I diritti e gli obblighi di entrambe le parti.
- Assicurarsi che tutte le parti coinvolte siano soggette all'obbligo di riservatezza sui dati.
- l'obbligo per l'incaricato del trattamento di cancellare o restituire tutti i dati al responsabile del trattamento, come richiesto, dopo la scadenza del contratto, a meno che la conservazione non sia richiesta dalla legge.
- l'incaricato del trattamento deve mettere a disposizione del responsabile del trattamento tutti i dati per dimostrare la conformità all'NDPA.
- l'incaricato del trattamento deve consentire e collaborare a qualsiasi valutazione ragionevole effettuata dal responsabile del trattamento o dal suo incaricato.
- Eventuali subappaltatori devono sottoscrivere un contratto che definisca le stesse linee guida.
Valutazioni sulla protezione dei dati
L'NDPA richiede alle aziende di effettuare valutazioni sulla protezione dei dati per qualsiasi delle seguenti attività di trattamento che coinvolgano dati personali:
- Elaborazione dei dati a fini di pubblicità mirata
- La vendita di dati personali
- Trattamento dei dati per finalità di profilazione
- Elaborazione di dati sensibili
- Qualsiasi attività di trattamento che presenti un rischio elevato di danno per qualsiasi consumatore.
La valutazione deve identificare e soppesare i rischi rispetto ai benefici del trattamento e tenere conto di quanto segue:
- l'uso di dati de-identificati
- Le aspettative del consumatore
- Il contesto dell'elaborazione
- Il rapporto tra controllore e consumatore
Per soddisfare questa parte dell'NDPA, un responsabile del trattamento può utilizzare un'unica valutazione della protezione dei dati attuata per conformarsi ad altre leggi sulla privacy con livelli di protezione uguali o più severi.
Legge sulla privacy del Nebraska rispetto ad altri Stati: Somiglianze e differenze
Anche diversi altri Stati americani dispongono di leggi sulla privacy, tra cui le seguenti:
- California Consumer Protection Act (CCPA), as amended by the California Privacy Rights Act (CPRA)
- Legge sulla privacy del Colorado (CPA)
- Legge sulla privacy dei dati del Connecticut (CTDPA)
- Delaware Personal Data Protection Act (DPDPA)
- Carta dei diritti digitali della Florida (FDBR)
- Legge sulla protezione dei dati dei consumatori dell'Indiana (Indiana CDPA)
- Legge sulla protezione dei dati dei consumatori dell'Iowa (Iowa CDPA)
- Legge sulla protezione dei dati dei consumatori del Kentucky (KCDPA)
- Legge sulla privacy dei dati dei consumatori del Minnesota (MCDPA)
- Legge sulla privacy dei dati online del Maryland (MODPA)
- Legge sulla privacy dei dati dei consumatori del Montana (MCDPA)
- Legge sulla privacy dei dati del New Hampshire (NHDPL)
- Legge sulla privacy dei dati del New Jersey (NJDPA)
- Legge sulla privacy dei consumatori dell'Oregon (OCPA)
- Legge sulla protezione delle informazioni del Tennessee (TIPA)
- Legge sulla privacy e la sicurezza dei dati del Texas (TDPSA)
- Legge sulla privacy dei consumatori dello Utah (UCPA)
- Legge sulla protezione dei dati dei consumatori della Virginia (VCDPA)
Nella tabella seguente è possibile confrontare queste leggi con l'NDPA.
| Legge dello Stato | Consenso opt-in per alcuni tipi di trattamento dei dati | Consenso di opt-out per alcuni tipi di trattamento dei dati | Devono presentare agli utenti un'informativa sulla privacy (o una nota). | Richiede valutazioni sulla protezione dei dati | Delinea gli obblighi contrattuali con gli elaboratori di terze parti | Permette di avviare cause civili o azioni private. | Deve rispettare i controlli globali della privacy/le impostazioni di privacy del browser |
| NDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| CDPA Indiana | ✓ | ✓ | ✓ | ✓ | |||
| CDPA Iowa | ✓ | ✓ | ✓ | ||||
| KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
Che impatto avrà l'NDPA sui consumatori?
L'NDPA ha un impatto sui consumatori concedendo loro nuovi diritti e controlli sulle modalità di raccolta, elaborazione e utilizzo dei loro dati personali, tra cui il diritto di:
- Confermare se un responsabile del trattamento sta elaborando i dati che li riguardano
- Correggere le imprecisioni nei propri dati
- Cancellare i dati forniti o ottenuti su di loro
- Ottenere una copia portatile dei propri dati
- Rinuncia alla pubblicità mirata
- Rinunciare alla vendita dei propri dati
- Rifiuto della profilazione
A chi si applica l'NDPA?
La nuova legge sulla privacy del Nebraska si applica solo ai residenti dello Stato che agiscono in un contesto individuale o familiare.
Non si applica a chiunque nello Stato agisca in un contesto commerciale o lavorativo.
Che impatto avrà l'NDPA sulle imprese?
Oltre ai requisiti legali che ho trattato in precedenza in questa guida, l'NDPA ha anche un impatto sulla privacy e sulle politiche sui cookie delle aziende.
In che modo l'NDPA influirà sulla mia politica sulla privacy?
L'NDPA influisce sulle politiche sulla privacy delle aziende, imponendo loro di includere i seguenti dettagli:
- Le categorie di dati personali trattate, compresi eventuali dati sensibili
- Lo scopo del trattamento
- Come i consumatori possono esercitare i loro diritti e la procedura per impugnare la decisione del responsabile del trattamento in merito alla loro richiesta
- Qualsiasi categoria di dati personali condivisi con una terza parte, se applicabile
- Qualsiasi categoria di terzi con cui i dati sono condivisi, se applicabile
- Una descrizione di ogni metodo richiesto dalla legge attraverso il quale un consumatore può presentare richieste verificabili per esercitare i propri diritti.
In che modo l'NDPA influisce sulla mia politica sui cookie?
L'NDPA influisce sulle politiche sui cookie in vari modi, richiedendo alle aziende di presentare agli utenti una politica accurata e di fornire loro controlli adeguati gestione del consenso .
A causa dei requisiti di notifica delineati dalla legge, le aziende devono avere politiche sui cookie aggiornate e accurate, in modo che i residenti del Nebraska sappiano se i cookie raccolgono dati personali e per quale scopo.
La legge prevede che i consumatori abbiano anche il diritto di rifiutare alcuni tipi di trattamento dei dati che spesso vengono effettuati lasciando i cookie sui browser degli utenti, come la pubblicità mirata e la vendita di dati.
Chi deve rispettare la nuova legge sulla privacy del Nebraska?
La vostra attività deve essere conforme all'NDPA se conducete affari in Nebraska o producete beni o servizi consumati dai residenti dello Stato:
- Tratta o si impegna nella vendita di dati personali e
- Non è una piccola impresa ai sensi dello Small Business Act federale.
Il riferimento della soglia legale allo Small Business Act rende questa legge simile al Texas Data Privacy and Security Act.
Chi è esente dall'NDPA?
Le seguenti entità sono esenti dall'NDPA:
- Agenzia statale o suddivisione politica dello Stato.
- Istituto finanziario, affiliato di un istituto finanziario o soggetto ai dati di cui al Titolo V del Gramm-Leach-Bliley Act (GLBA).
- Entità coperta o business associate disciplinata dalle norme sulla privacy, sulla sicurezza e sulla notifica delle violazioni emanate dal Dipartimento della Salute e dei Servizi Umani degli Stati Uniti.
- Organizzazioni non profit.
- Istituto di istruzione superiore.
- Fornitore elettrico o fornitore di energia elettrica.
- Servizio pubblico di gas naturale o servizio di gas naturale di proprietà o gestito da una città o da un distretto di servizi metropolitani.
Come possono le imprese prepararsi all'NDPA?
Per prepararsi all'NDPA, le aziende devono pianificare l'aggiornamento delle loro politiche sulla privacy e sui cookie per soddisfare tutte le linee guida di notifica richieste dalla legge.
Dovreste inoltre assicurarvi di avere a disposizione due o più modi per consentire ai consumatori di far valere i propri diritti in materia di privacy, ad esempio fornendo loro un modulo di accesso ai dati(DSAR), un banner di consenso o un indirizzo e-mail attivo.
È anche una buona idea predisporre il vostro sito web per onorare UOOM come GPC, come modo verificabile per gli utenti di seguire i loro diritti di opt-out.
Come verrà applicato l'NDPA?
Il procuratore generale ha l'autorità esclusiva di applicare l'NDPA.
Possono avviare un'indagine civile se hanno ragionevoli motivi per ritenere che un'entità stia violando la legge.
Le entità hanno un periodo di cura di 30 giorni per correggere le presunte violazioni.
Tuttavia, gli individui non hanno un diritto di azione privata ai sensi di questa legge.
Multe e sanzioni ai sensi della legge sulla privacy dei dati del Nebraska
Le multe per violazione dell'NDPA possono raggiungere i 7.500 dollari per violazione.
Come Termly aiuta a rispettare l'NDPA
Termly aiuta a rispettare l'NDPA perché il nostro generatore di informativa sulla privacy include i requisiti di notifica previsti dalla legge.
Supportato dal nostro team legale e da esperti di privacy, il generatore pone semplici domande sulla vostra attività e crea una politica unica e completa in base alle vostre risposte.
Offriamo anche una gestione del consenso platform (CMP) che può essere configurata per soddisfare i requisiti di opt-out previsti dalla legge.
Include un modulo DSAR gratuito che consente di presentare agli utenti un modo semplice per far valere i loro diritti in materia di privacy.
Esistono altre leggi sulla privacy in Nebraska?
In Nebraska esistono altre leggi sulla privacy, tra cui le seguenti:
- Legge sulla protezione dei dati finanziari e sulla notifica ai consumatori delle violazioni della sicurezza dei dati: Questa legge descrive i requisiti di notifica delle violazioni dei dati nello Stato.
- Legge sulla pratica della salute mentale: Questa legge vieta agli operatori della salute mentale di divulgare informazioni sui loro pazienti, a meno che non ottengano il consenso o siano obbligati dalla legge.
- Legge sulla privacy nel luogo di lavoro: Questa legge vieta ai datori di lavoro di accedere agli account personali dei dipendenti, con alcune eccezioni.
Riassunto
Se la vostra azienda ha bisogno di conformarsi alla nuova legge sulla privacy dei dati del Nebraska, sono necessari alcuni accorgimenti per prepararsi al successo.
Preparatevi ad aggiornare le vostre informative sui cookie e sulla privacy per assicurarvi che siano accurate e che soddisfino tutti i requisiti di notifica quando le presentate agli utenti, e fornite ai vostri utenti un modulo DSAR o un'e-mail in modo che possano facilmente inviare richieste verificate per far valere i loro diritti.
Assicuratevi che il vostro sito web sia pronto a rispettare i segnali di consenso inviati dalle UOOM e stabilite tecniche di sicurezza adeguate per proteggere i dati personali raccolti.
Semplificate la conformità a leggi come l'NDPA e altre ancora, utilizzando il generatore di informativa sulla privacy e il CMP diTermly. CMP.
Per saperne di più su chi scrive
Scritto da Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy è un avvocato specializzato in privacy con precedenti esperienze in materia di privacy e cybersecurity nel settore pubblico e privato. In qualità di ex Westin Fellow presso l'iAPP, ha pubblicato diversi articoli, white paper e infografiche e ha condotto, coordinato e moderato webinar e panel, tutti riguardanti la privacy e la tecnologia della privacy negli Stati Uniti. Anokhy ha conseguito un master presso la Carnegie Mellon University e un dottorato in giurisprudenza presso l'università di Pittsburgh. Per saperne di più su chi scrive
