Florida Digital Bill of Rights: Primo sguardo e sintesi

La Florida ha approvato la Florida Digital Bill of Rights (FDBR), che ora è in parte in vigore.

L'FDBR è una legge interessante che utilizza definizioni uniche rispetto ad altre leggi statali statunitensi sulla privacy dei dati.

Qui di seguito riassumo la nuova legge sulla privacy della Florida, indicando a chi si applica, i termini chiave e le definizioni, e cosa devono fare i responsabili del trattamento dei dati per conformarsi alla legge.

Indice dei contenuti

Che cos'è la Carta dei diritti digitali della Florida (FDBR)?
Termini e definizioni chiave dell'FDBR
Cosa prevede la Carta dei diritti digitali della Florida?
Requisiti della Carta dei diritti digitali della Florida
La legge sulla privacy della Florida rispetto agli altri Stati: Somiglianze e differenze
Che impatto avrà l'FDBR sui consumatori?
Che impatto avrà l'FDBR sulle imprese?
Chi deve rispettare la nuova legge sulla privacy della Florida?
Come possono le aziende prepararsi all'FDBR?
Come verrà applicato l'FDBR?
Multe e sanzioni in base alla Carta dei diritti digitali della Florida
In che modo Termly può contribuire alla conformità all'FDBR?
Riassunto

Che cos'è la Carta dei diritti digitali della Florida (FDBR)?

La Florida Digital Bill of Rights è una legge che spiega quali diritti hanno i residenti della Florida in merito al trattamento e all'utilizzo dei loro dati personali da parte di diverse entità.

Una seconda sezione descrive le linee guida per i dipendenti pubblici relative ai servizi di social media e gli obblighi per i controllori che gestiscono i motori di ricerca, mentre un'altra delinea regole specifiche per la protezione dei dati relativi ai minori di 18 anni negli spazi online.

Descrive inoltre le sanzioni previste in caso di violazione di alcune parti della nuova legge.

FDBR Data di entrata in vigore

La Carta dei diritti digitali della Florida è entrata in vigore il 1° luglio 2024.

Le disposizioni relative ai dipendenti pubblici e alle piattaforme di social media sono entrate in vigore nel luglio 2023, come indicato nella Sezione 1, Paragrafo 112.23.

Termini e definizioni chiave dell'FDBR

La Florida Digital Bill of Rights utilizza diverse definizioni uniche per termini già presenti in altre leggi statunitensi sulla protezione dei dati e la comprensione delle differenze è fondamentale ai fini della conformità.

Per aiutarvi, ho inserito qui di seguito i termini chiave con le definizioni esattamente come appaiono nell'FDBR:

Bambino: Consumatore o consumatori di età inferiore ai 18 anni.
Consenso: Quando ci si riferisce a un consumatore, si intende un chiaro atto affermativo che indica il consenso libero, specifico, informato e inequivocabile del consumatore al trattamento dei dati personali che lo riguardano. Il termine include una dichiarazione scritta, compresa una dichiarazione scritta con mezzi elettronici, o qualsiasi altro atto affermativo inequivocabile.
- Il termine non include uno qualsiasi dei seguenti:
  - (a) Accettazione di un documento generale o ampio termini di utilizzo o simile che contiene descrizioni del trattamento dei dati personali insieme ad altre informazioni non correlate.
  - (b) Passare il mouse su un determinato contenuto, disattivarlo, metterlo in pausa o chiuderlo.
  - (c) Accordo ottenuto attraverso l'uso di modelli scuri.
Consumatore: Un individuo residente o domiciliato in questo Stato che agisce solo in ambito individuale o familiare.
- Il termine non include una persona che agisce in un contesto commerciale o lavorativo.
Controllore: (a) Una ditta individuale, una società di persone, una società a responsabilità limitata, una società di capitali, un'associazione o un'entità giuridica che soddisfi i seguenti requisiti:
- 1. È organizzata o gestita per il profitto o il beneficio finanziario dei suoi azionisti o proprietari;
- 2. Conduce attività commerciali in questo Stato;
- 3. Raccoglie dati personali sui consumatori o è l'entità per conto della quale tali informazioni vengono raccolte;
- 4. Determina le finalità e i mezzi del trattamento dei dati personali dei consumatori da solo o congiuntamente ad altri;
- 5. Ha un fatturato annuo lordo globale superiore a 1 miliardo di dollari; e
- 6. Soddisfa almeno uno dei seguenti requisiti:
  - a. Deriva il 50% o più dei suoi ricavi annui lordi globali dalla vendita di pubblicità online, compresa la fornitura di pubblicità mirata o la vendita di annunci online;
  - b. Gestisce un altoparlante intelligente per i consumatori e un servizio di componente di comando vocale con un assistente virtuale integrato collegato a un servizio di cloud computing che utilizza l'attivazione verbale a mani libere. Ai fini del presente sottoparagrafo, un servizio di altoparlanti intelligenti per i consumatori e componenti di comandi vocali non include un veicolo a motore o un altoparlante o un dispositivo associato o collegato a un veicolo gestito da un costruttore di veicoli a motore o da una sua consociata o affiliata; oppure
  - c. Gestisce un app store o una piattaforma di distribuzione digitale che offre almeno 250.000 applicazioni software diverse che i consumatori possono scaricare e installare.
- (b) o qualsiasi entità che controlla o è controllata da un controllore. Ai sensi del presente paragrafo, il termine "controllo" significa:
  - 1. Possesso di, o potere di voto, più del 50% delle azioni in circolazione di qualsiasi classe di titoli con diritto di voto di un controllore;
  - 2. Controllare in qualsiasi modo l'elezione della maggioranza degli amministratori o di persone che esercitano funzioni analoghe; oppure
  - 3. Il potere di esercitare un'influenza di controllo sulla gestione di un'azienda.
Modello oscuro: Un'interfaccia utente progettata o manipolata con l'effetto sostanziale di sovvertire o compromettere l'autonomia, il processo decisionale o la scelta dell'utente e include, ma non si limita a, qualsiasi pratica che la Federal Trade Commission definisce "dark pattern".
Dati personali: qualsiasi informazione, compresi i dati sensibili, che sia collegata o ragionevolmente collegabile a una persona fisica identificata o identificabile. Il termine include i dati pseudonimi quando i dati sono utilizzati da un responsabile del trattamento o da un incaricato del trattamento insieme a informazioni aggiuntive che collegano ragionevolmente i dati a una persona fisica identificata o identificabile.
- Il termine non include i dati deidentificati o le informazioni disponibili al pubblico.
Informazioni personali: Informazioni collegate o ragionevolmente collegabili a un bambino identificato o identificabile, comprese le informazioni biometriche e gli identificatori unici del bambino. Oppure uno dei seguenti elementi:
- a. Il nome o l'iniziale del nome e il cognome di un individuo in combinazione con uno o più dei seguenti elementi di dati per quell'individuo:
  - (I) Un numero di previdenza sociale;
  - (II) Il numero della patente di guida o della carta d'identità, il numero del passaporto, il numero di identificazione militare o altro numero simile rilasciato su un documento governativo utilizzato per verificare l'identità;
  - (III) Un numero di conto finanziario o di carta di credito o di debito, in combinazione con qualsiasi codice di sicurezza, codice di accesso o password necessari per consentire l'accesso al conto finanziario di un individuo;
  - (IV) qualsiasi informazione riguardante l'anamnesi, le condizioni mentali o fisiche di un individuo, o il trattamento o la diagnosi medica da parte di un operatore sanitario; oppure
  - (V) il numero di polizza di assicurazione sanitaria o il numero di identificazione dell'abbonato di un individuo e qualsiasi identificativo unico utilizzato da un assicuratore sanitario per identificare l'individuo;
  - (VI) i dati biometrici di un individuo, come definiti nella sezione 1495 501.702; o (VII) qualsiasi informazione relativa alla geolocalizzazione di un individuo.
- b. Un nome utente o un indirizzo e-mail, in combinazione con una password o una domanda e risposta di sicurezza che consenta l'accesso a un account online.
- Il termine non comprende le informazioni su un individuo che sono state rese disponibili al pubblico da un ente governativo federale, statale o locale. Il termine non comprende nemmeno le informazioni crittografate, protette o modificate con qualsiasi altro metodo o tecnologia che rimuova gli elementi che identificano personalmente un individuo o che renda altrimenti inutilizzabili le informazioni.
Trattamento: Qualsiasi operazione o insieme di operazioni eseguite su informazioni personali o su insiemi di informazioni personali, indipendentemente dal fatto che siano automatizzate.
Responsabile del trattamento: Persona che tratta i dati personali per conto di un responsabile del trattamento.
Dati personali sensibili: Qualsiasi informazione, compresi i dati sensibili, che sia collegata o ragionevolmente collegabile a un individuo identificato o identificabile. Il termine include i dati pseudonimi quando i dati sono utilizzati da un responsabile del trattamento o da un incaricato del trattamento insieme a informazioni aggiuntive che collegano ragionevolmente i dati a una persona fisica identificata o identificabile.
- Il termine non include i dati deidentificati o le informazioni disponibili al pubblico.

Cosa prevede la Carta dei diritti digitali della Florida?

L'FDBR tratta tre distinte questioni relative alla privacy che riguardano i residenti della Florida e lo Stato stesso:

Una sezione descrive i diritti che i consumatori che agiscono in un contesto personale o domestico hanno sulle modalità di raccolta, trattamento e utilizzo dei loro dati personali da parte dei responsabili del trattamento.
Un'altra sezione vieta ai dipendenti pubblici di utilizzare la loro posizione o le risorse statali per rimuovere contenuti o account sulle piattaforme di social media.
La terza sezione spiega e stabilisce le protezioni relative alle informazioni personali dei minori online.

È interessante notare che l'FDBR utilizza definizioni diverse per i dati personali e per le informazioni personali (entrambi appaiono nella sezione dei termini chiave sopra) come applicabili alle diverse sezioni della legge:

I dati personali si riferiscono alle informazioni raccolte, elaborate e utilizzate dai responsabili del trattamento sui residenti in Florida.
Le informazioni personali riguardano le linee guida per la sicurezza negli spazi online che riguardano i minori di 18 anni.

Requisiti della Carta dei diritti digitali della Florida

In quanto legge sulla privacy, la legge della Florida prevede numerosi requisiti, alcuni dei quali si applicano direttamente alle aziende che raccolgono e utilizzano i dati personali dei consumatori della Florida.

Per aiutarvi a dare un senso alle parti rilevanti dell'FDBR, ho delineato le linee guida in questa sezione.

Requisiti del Titolare per il trattamento dei dati personali

Secondo la Sezione 13. Sezione 501.71 della legge, i responsabili del trattamento devono limitare il trattamento dei dati personali a ciò che è "adeguato, pertinente e ragionevolmente necessario" in base alle finalità che presentano ai consumatori.

I responsabili del trattamento devono inoltre adottare misure tecniche e fisiche per proteggere l'integrità e la riservatezza delle informazioni.

Per trattare i dati oltre il necessario o qualsiasi informazione personale sensibile, è necessario il consenso del consumatore.

Inoltre, se si prevede di vendere dati personali biometrici o sensibili, è necessario fornire un'informativa visibile sul proprio sito web utilizzando la seguente formulazione, come descritto nella Sezione 14. Sezione 501.711 Parte (2):

AVVISO: Questo sito web può vendere i vostri dati personali sensibili.
AVVISO: Questo sito web può vendere i vostri dati personali biometrici.

Valutazioni sulla protezione dei dati

I responsabili del trattamento devono eseguire e documentare le valutazioni della protezione dei dati (DPA) per eseguire determinate attività di trattamento dei dati, come descritto nella Sezione 16. Sezione 501.713 dell'FDBR.

È necessario eseguire una DPA per trattare le informazioni per i seguenti scopi:

Pubblicità mirata
La vendita di dati personali
Il trattamento dei dati ai fini della profilazione se presenta un rischio ragionevolmente prevedibile per il consumatore.
Elaborazione di dati sensibili
Attività di trattamento di dati personali che presentano un rischio elevato di danno per il consumatore.

La valutazione della protezione dei dati da parte del responsabile del trattamento deve fare tutto ciò che segue:

Identificare e soppesare i benefici diretti e indiretti per il responsabile del trattamento, il consumatore e le altre parti interessate rispetto ai rischi potenziali per i diritti dei consumatori, attenuati dalle misure di salvaguardia.
Tenere conto dell'uso di dati deidentificati, delle ragionevoli aspettative del consumatore, del contesto del trattamento e della relazione tra il responsabile del trattamento e il consumatore.

È possibile utilizzare un'unica valutazione per affrontare un insieme comparabile di operazioni o attività se il rischio presunto per il consumatore è di portata simile.

I responsabili del trattamento possono anche utilizzare una valutazione condotta per conformarsi a un'altra legge o regolamento paragonabile alle linee guida scritte nell'FDBR.

Obblighi contrattuali relativi ai Responsabili del trattamento di terze parti

L'FDBR descrive i requisiti contrattuali tra i responsabili del trattamento e gli incaricati del trattamento nella Sezione 15. Sezione 501.712 Parte (2).

In particolare, stabilisce che tra i responsabili del trattamento e gli incaricati del trattamento deve esistere un contratto in cui siano indicati tutti i seguenti elementi:

Istruzioni chiare per il trattamento dei dati
Natura e finalità del trattamento
Il tipo di dati oggetto di trattamento
La durata del trattamento
I diritti e gli obblighi di entrambe le parti coinvolte
L'incaricato del trattamento deve garantire che ogni persona che elabora i dati sia soggetta all'obbligo di riservatezza per quanto riguarda le informazioni.
Il requisito che l'incaricato del trattamento cancelli o restituisca tutte le informazioni al termine del contratto, secondo le indicazioni del responsabile del trattamento, a meno che la legge non ne richieda la conservazione.
Il requisito che l'incaricato del trattamento metta a disposizione tutte le informazioni in suo possesso, su richiesta ragionevole del responsabile del trattamento, per dimostrare che l'incaricato del trattamento si sta conformando a questa parte dell'FDBR
L'incaricato del trattamento deve consentire e collaborare a una valutazione ragionevole da parte del responsabile del trattamento o di un valutatore designato.
Un requisito che impone agli eventuali subappaltatori di attenersi a un contratto con le stesse disposizioni.

L'incaricato del trattamento può incaricare un valutatore indipendente qualificato di valutare le proprie politiche e misure tecniche o organizzative a sostegno di questi requisiti.

L'incaricato del trattamento deve mettere il rapporto a disposizione del responsabile del trattamento su richiesta.

Linee guida sui dati dei bambini

I servizi online che forniscono giochi, prodotti, servizi o funzioni a cui possono accedere principalmente i bambini devono attenersi alle linee guida specifiche previste dall'FDBR.

In particolare, come spiegato nella Sezione 2. Sezione 501.1735, queste piattaforme non possono:

Elaborare le informazioni personali di qualsiasi bambino se la piattaforma è effettivamente a conoscenza (o ignora volontariamente) che l'elaborazione può comportare un danno sostanziale o un rischio per la privacy del bambino.
Profilare un minore, a meno che la piattaforma online non dimostri di aver adottato misure di tutela adeguate e che la profilazione sia necessaria per fornire il servizio.

Tuttavia, le piattaforme che possono provare o dimostrare un motivo convincente per cui la profilazione non comporta alcun rischio sostanziale di danno o di privacy possono continuare a effettuare questo tipo di trattamento.

Inoltre, le entità non possono:

Raccogliere, vendere, condividere o conservare dati personali non necessari per fornire un servizio online, a meno che non si dimostri che ciò non comporta un danno sostanziale o un rischio per la privacy del bambino.
Utilizzare le informazioni personali per qualsiasi motivo diverso da quello per cui sono state raccolte, a meno che non si dimostri che ciò non comporta un danno sostanziale o un rischio per la privacy del bambino.
Raccogliere, vendere o condividere i dati precisi di geolocalizzazione del bambino, a meno che non sia strettamente necessario per il funzionamento del servizio.
Raccogliere dati geolocalizzati precisi sul bambino senza fornire un segno evidente che i dati vengono raccolti.
Utilizzate schemi oscuri per fuorviare il bambino in una direzione che altrimenti non prenderebbe.
Utilizzare le informazioni personali per stimare l'età o la fascia di età per qualsiasi altro scopo o conservare tali dati più a lungo del necessario.

Restrizioni ai social media per i dipendenti pubblici

Ai sensi della Sezione 1. Sezione 112.23 Parte (2) e (3) della Florida Digital Bill of Rights, gli enti governativi, i funzionari o i dipendenti non possono comunicare con le piattaforme di social media in merito a problemi specifici.

In particolare, gli enti governativi non possono richiedere la rimozione di contenuti o account o avviare accordi ai fini della moderazione dei contenuti.

Inoltre, non possono avviare o mantenere rapporti di lavoro con una piattaforma di social media per la moderazione dei contenuti.

Tuttavia, queste sezioni non si applicano quando l'ente governativo o il funzionario agisce in base a una delle seguenti circostanze:

Gestione ordinaria dell'account dell'ente pubblico, compresa la rimozione o la revisione dei contenuti o dell'account.
Rimozione di contenuti relativi alla commissione di un reato o alla violazione del diritto pubblico della Florida.
Rimozione di un account che si riferisce alla commissione di un reato o alla violazione del diritto pubblico della Florida.
Indagini relative agli sforzi per prevenire danni fisici, perdite di vite umane o danni alla proprietà.

Disposizioni per i controllori che possiedono motori di ricerca

L'FDBR delinea le linee guida che i controllori che gestiscono i motori di ricerca devono seguire nella Sezione 13. Sezione 501.71 Parte (4).

Tali controllori devono rendere disponibile una descrizione aggiornata dei parametri più significativi utilizzati per determinare il posizionamento nei motori di ricerca e la loro importanza relativa.

Dovrebbe includere dettagli sulla "prioritizzazione o deprivazione della partigianeria politica o dell'ideologia politica nei risultati di ricerca".

La descrizione deve essere disponibile in una posizione facilmente accessibile senza richiedere il log-in o la registrazione dell'utente.

Tuttavia, questi controllori non sono tenuti a divulgare gli algoritmi o qualsiasi altra informazione che possa consentire di ingannare o danneggiare i consumatori attraverso la manipolazione dei risultati di ricerca.

La legge sulla privacy della Florida rispetto agli altri Stati: Somiglianze e differenze

L'FDBR delinea i diritti dei consumatori e alcuni obblighi in materia di privacy che rispecchiano le altre leggi sulla privacy degli Stati Uniti, ma è molto diverso per portata e scala rispetto alle altre leggi esistenti, come la:

California Consumer Protection Act (CCPA), come modificato dal California Privacy Rights Act (CPRA) - attualmente in vigore
Legge sulla privacy del Colorado (CPA) - attualmente in vigore
Legge sulla privacy dei dati del Connecticut (CTDPA) - attualmente in vigore
Legge sulla privacy dei dati personali del Delaware (DPDPA) - attualmente in vigore
Legge sulla protezione dei dati dei consumatori dell'Indiana (Indiana CDPA) - in vigore dal 1° gennaio 2026.
Legge sulla protezione dei dati dei consumatori dello Iowa (Iowa CDPA) - attualmente in vigore
Legge sulla protezione dei dati dei consumatori del Kentucky (KCDPA) - in vigore dal 1° gennaio 2026
Legge sulla privacy dei dati dei consumatori del Minnesota (MCDPA) - in vigore dal 31 luglio 2025.
Legge sulla privacy dei dati online del Maryland (MODPA) - in vigore dal 1° ottobre 2025
Legge sulla privacy dei consumatori del Montana (MCDPA) - attualmente in vigore
Nebraska Data Privacy Act (NDPA) - attualmente in vigore
Legge sulla privacy dei dati del New Hampshire (NHDPL) - attualmente in vigore
Legge sulla privacy dei dati del New Jersey (NJDPA) - attualmente in vigore
Legge sulla privacy dei consumatori dell'Oregon (OCPA) - attualmente in vigore
Legge sulla protezione delle informazioni del Tennessee (TIPA) - in vigore dal 1° luglio 2025
Legge sulla privacy e la sicurezza dei dati del Texas (TDPSA) - attualmente in vigore
Legge sulla privacy dei consumatori dello Utah (UCPA) - attualmente in vigore
Legge sulla protezione dei dati dei consumatori della Virginia (VCDPA) - attualmente in vigore

Le principali differenze dell'FDBR includono il suo ambito di applicazione molto limitato, che si rivolge a entità di livello aziendale più grandi che controllano i browser e/o i motori di ricerca.

Non si applica alle piccole e medie imprese, agli intermediari di dati e ad altre entità online che di solito raccolgono, elaborano e utilizzano i dati personali dei consumatori.

Tuttavia, nella tabella seguente è possibile confrontare gli aspetti della legge con quelli di altri Stati.

Legge dello Stato	Consenso opt-in per alcuni tipi di trattamento dei dati	Consenso di opt-out per alcuni tipi di trattamento dei dati	Devono presentare agli utenti un'informativa sulla privacy (o una nota).	Richiede valutazioni sulla protezione dei dati	Delinea gli obblighi contrattuali con gli elaboratori di terze parti	Permette di avviare cause civili o azioni private.	Deve rispettare i controlli globali della privacy/le impostazioni di privacy del browser
FDBR		✓	✓	✓	✓
CCPA/CPRA	✓	✓	✓	✓	✓	✓	✓
CPA		✓	✓	✓	✓		✓
CTDPA		✓	✓	✓	✓		✓
DPDPA	✓	✓	✓	✓	✓		✓
CDPA Indiana		✓	✓	✓	✓
CDPA Iowa		✓	✓		✓
KCDPA	✓	✓	✓	✓	✓
MN CDPA	✓	✓	✓	✓	✓		✓
MT CDPA		✓	✓	✓	✓		✓
MODPA	✓	✓	✓	✓	✓		✓
NHDPL	✓	✓	✓	✓	✓		✓
NJDPA	✓	✓	✓	✓	✓		✓
OCPA		✓	✓	✓	✓		✓
TIPA	✓	✓	✓	✓	✓
TDPSA		✓	✓	✓	✓		✓
UCPA		✓	✓		✓
VCDPA		✓	✓	✓	✓

Che impatto avrà l'FDBR sui consumatori?

L'FDBR ha un impatto sui consumatori, garantendo loro diritti e controllo sulle modalità di raccolta, trattamento e utilizzo dei loro dati personali da parte dei responsabili del trattamento qualificati.

In particolare, la Sezione 8. La sezione 501.705 descrive la maggior parte dei diritti dei consumatori, tra cui tutti i seguenti:

Confermare se un responsabile del trattamento sta trattando i propri dati personali e avere accesso agli stessi
Correggere le inesattezze dei propri dati personali
Cancellare uno o tutti i dati personali forniti o ottenuti dal consumatore
Ottenere una copia dei propri dati in formato portatile e, se disponibile, in formato digitale.
Opt-out di pubblicità mirata
Opt-out per la vendita dei propri dati personali
Opt-out della profilazione
Opt-out della raccolta di dati personali sensibili, compresa la geolocalizzazione precisa e l'elaborazione di dati sensibili
Opt-out della raccolta di dati personali attraverso una funzione di riconoscimento vocale o facciale

Inoltre, i dispositivi dotati di una delle seguenti funzioni che raccolgono dati non possono essere utilizzati per la sorveglianza se le funzioni non sono attivate dal consumatore senza autorizzazione:

Riconoscimento vocale
Riconoscimento facciale
Registrazione video
Registrazione audio
Qualsiasi altra caratteristica elettronica
Qualsiasi altra caratteristica visiva
Caratteristiche termiche
Caratteristiche olfattive

A chi si applica l'FDBR?

L'FDBR riguarda solo i dati personali dei residenti in Florida che agiscono come individui o per conto di una famiglia, ai sensi della Sezione 5. Sezione 501.702 della legge.

È escluso chiunque si trovi nello Stato per motivi di lavoro o commerciali.

Che impatto avrà l'FDBR sulle imprese?

L'FDBR ha un impatto sulle aziende in diversi modi, oltre agli obblighi contrattuali, alle valutazioni d'impatto sulla protezione dei dati e agli obblighi dei motori di ricerca già menzionati.

Ha anche un impatto sulle politiche sulla privacy e sui cookie, di cui parlo in dettaglio nella prossima sezione.

In che modo l'FDBR influirà sulla mia politica sulla privacy?

Le entità che si qualificano come responsabili del trattamento dovrebbero pianificare l'aggiornamento della loro politica sulla privacy per soddisfare i requisiti descritti dalla Florida Digital Bill of Rights.

Secondo la Sezione 14. Sezione 501.711, i responsabili del trattamento qualificati devono presentare ai consumatori un'informativa sulla privacy "ragionevolmente accessibile" e "chiara" che illustri quanto segue:

Categorie di dati personali e dati personali sensibili trattati dal titolare del trattamento
Lo scopo del trattamento dei dati
Come i consumatori possono esercitare i loro diritti garantiti dall'FDBR, compreso il modo in cui possono impugnare le decisioni di un responsabile del trattamento basate sulle loro richieste
Le categorie di dati personali che il responsabile del trattamento condivide con terzi, se del caso.
Le categorie di terzi con cui il responsabile del trattamento condivide i dati, se del caso.
Una descrizione delle modalità (come specificato nella sezione 501.709 dell'FDBR) con cui i consumatori possono presentare richieste per esercitare i diritti previsti dalla legge

In che modo l'FDBR influisce sulla mia politica sui cookie?

L'FDBR può avere un impatto sulle politiche sui cookie dei responsabili del trattamento dei dati qualificati, in particolare se si utilizzano i cookie di Internet per la pubblicità mirata o si vendono le informazioni ricavate dai cookie.

Come spiegato nella Sezione 8. Come spiegato nella Sezione 8. 501.705 della legge, i cittadini della Florida hanno il diritto di rinunciare alla vendita dei loro dati personali e agli annunci mirati.

Pertanto, dovete aggiornare la vostra politica sui cookie per descrivere se utilizzate i cookie per questi scopi e come i consumatori possono esercitare i loro diritti di opt-out.

Chi deve rispettare la nuova legge sulla privacy della Florida?

Il Digital Bill of Rights della Florida non è come le altre leggi statali statunitensi, in quanto sembra essere rivolto alle entità di livello aziendale più che ai broker di dati e alle piccole e medie imprese.

Secondo la Sezione 6. Sezione 501.703, si applica alle entità che svolgono attività commerciali in Florida o forniscono beni e servizi a residenti nello Stato che soddisfano anche la definizione di responsabile del trattamento di cui alla Sezione 5. Sezione 501.702 della definizione di responsabile del trattamento (che compare nella sezione Termini e definizioni chiave di cui sopra).

Dovete avere scopo di lucro, avere un fatturato annuo lordo superiore a 1 miliardo di dollari e soddisfare una delle seguenti condizioni aggiuntive:

Ricavate il 50% o più delle vostre entrate dalla vendita di annunci online.
Gestire un altoparlante intelligente o un servizio di comando vocale (ma quelli collegati ai veicoli sono esenti).
Gestire un app store o una piattaforma digitale che offra almeno 250.000 applicazioni software diverse.

Inoltre, la sezione 5, paragrafo 501.702, stabilisce che rientra nella definizione anche chiunque sia controllato o controlli un controllore.

Per controllo, la legge intende specificamente:

Possedere più del 50% delle azioni in circolazione di qualsiasi classe di azioni con diritto di voto.
avere il controllo sull'elezione della maggioranza degli amministratori
Avere il potere di esercitare un'influenza sulla gestione dell'azienda.

Siete tenuti a seguire l'FDBR solo se la vostra azienda soddisfa questi requisiti.

Chi è esente dall'FDBR?

Secondo la Sezione 6. Sezione 501.703 Parte (2), le seguenti entità sono esenti e non devono seguire l'FDBR:

Agenzie statali o suddivisioni politiche dello Stato
Istituti finanziari soggetti alla legge Gramm-Leach-Bliley (GLBA)
Entità coperta o business associate disciplinate dalle norme sulla privacy, sulla sicurezza e sulle notifiche di violazione emanate dal Dipartimento della Salute e dei Servizi Umani degli Stati Uniti, dall'Health Insurance Portability and Accountability Act (HIPAA) e dall'Health Information Technology for Economic and Clinical Health Act.
Organizzazioni non profit
Istituti di istruzione post-secondaria
Trattamento dei dati personali per un'attività puramente personale o domestica
Elaborazione di dati personali esclusivamente per misurare o riportare le prestazioni, la portata o la frequenza della pubblicità

Come possono le aziende prepararsi all'FDBR?

Le entità che si qualificano come responsabili del trattamento dei dati ai sensi dell'FDBR devono pianificare alcuni passi fondamentali per prepararsi all'attuazione di questa legge:

Aggiornate la vostra informativa sulla privacy per includere tutti i dettagli specificati, compresa la descrizione dei diritti dei consumatori.
Se vendete dati biometrici o sensibili, inserite un'apposita informativa sul vostro sito web.
Assicuratevi che qualsiasi contratto stipulato con elaboratori terzi segua le linee guida espresse nell'FDBR.
Se svolgete attività di trattamento che presentano un rischio elevato per i consumatori, eseguite e documentate le opportune valutazioni sulla privacy dei dati.
Se la vostra azienda gestisce un motore di ricerca, implementate un'informativa visibile sul vostro sito web sui parametri di posizionamento dei link.
Per le entità che creano servizi utilizzati principalmente dai bambini, è necessario seguire tutti gli obblighi espressi dalla legge.

Come verrà applicato l'FDBR?

Il Procuratore generale ha l'autorità esclusiva di far rispettare le violazioni della Carta dei diritti digitali della Florida e può intentare un'azione legale contro chiunque ritenga violi la legge per atti o pratiche sleali o ingannevoli.

Multe e sanzioni in base alla Carta dei diritti digitali della Florida

Il Procuratore generale della Florida può applicare sanzioni civili fino a 50.000 dollari per le violazioni dell'FDBR, come spiegato nella Sezione 23. Sezione 501.72 Parte (1) della legge.

Tuttavia, i consumatori della Florida non hanno un diritto privato di azione legale in base a questa legge.

In che modo Termly può contribuire alla conformità all'FDBR?

Termly aiuta le aziende a rispettare leggi come la Florida Digital Bill of Rights, fornendo generatori di policy e una gestione del consenso platform (CMP).CMP) con il supporto del nostro team legale e di esperti di privacy.

Il nostro generatore di informativa sulla privacy segue l'FDBR e diverse altre leggi statunitensi, e lo aggiorniamo regolarmente per stare al passo con le nuove leggi in evoluzione in tutto il mondo.

Utilizzarlo non potrebbe essere più semplice: pone domande fondamentali sulla vostra azienda e sulle attività di trattamento dei dati personali, quindi crea un'informativa sulla privacy unica basata sulle vostre risposte.

Di seguito è riportata una schermata di una delle domande poste.

Termly

Genera un'informativa sulla privacy gratuita

Offriamo anche un CMP con un banner di consenso ai cookie che potete configurare per soddisfare i requisiti di opt-out descritti da leggi come l'FDBR.

Ne vediamo un esempio qui di seguito.

Riassunto

La Florida Digital Bill of Rights è una legge sulla privacy unica nel suo genere, in vigore negli Stati Uniti.

Se vi qualificate come responsabili del trattamento ai sensi dell'FDBR, dovreste aggiornare la vostra politica sui cookie per la privacy e utilizzare contratti conformi con i terzi incaricati del trattamento.

Eseguite una valutazione del trattamento dei dati prima di elaborare qualsiasi informazione che possa rappresentare un rischio maggiore per i consumatori e ricordate di aggiungere al vostro sito web dei moduli per la richiesta di accesso ai dati da parte dei soggetti interessati, in modo che gli utenti possano facilmente esercitare i loro diritti in materia di privacy.

Rendi più semplice la conformità per la tua azienda utilizzando il generatore di informativa sulla privacy o CMP.

Per saperne di più su chi scrive

Scritto da Josh Langeland, CIPM

Ciao, sono Josh! Sono un ingegnere della privacy appassionato dell'uso della tecnologia per rispettare la privacy degli utenti. Mi trovo a mio agio nell'intersezione tra la tecnologia complessa e le leggi sulla privacy in continua evoluzione. Se non sto redigendo una revisione del progetto o riarchitettando un sistema, potrei trovarmi a leggere una biografia o a fare un'escursione nel parco nazionale più vicino. Per saperne di più su chi scrive

Per saperne di più su chi scrive

Scritto da Josh Langeland, CIPM

54 Statistiche rivelatrici sulla privacy dei dati dell'intelligenza artificiale

Cos'è la modalità di consenso v2 di Google?

Spiegazione della legge argentina sulla protezione dei dati personali (PDPA)

Che cos'è la legge Gramm-Leach-Bliley (GLBA)?

Che cos'è la modalità di consenso di Google?

Modello di Impressum : Download gratuito ed esempi reali

Modello di informativa sulla privacy

Cos'è la privacy dei dati? Guida completa per le aziende

Informativa sulla privacy per Firebase: Come crearne una

Florida Digital Bill of Rights: Primo sguardo e sintesi

Che cos'è la Carta dei diritti digitali della Florida (FDBR)?

FDBR Data di entrata in vigore

Termini e definizioni chiave dell'FDBR

Cosa prevede la Carta dei diritti digitali della Florida?

Requisiti della Carta dei diritti digitali della Florida

Requisiti del Titolare per il trattamento dei dati personali

Valutazioni sulla protezione dei dati

Obblighi contrattuali relativi ai Responsabili del trattamento di terze parti

Linee guida sui dati dei bambini

Restrizioni ai social media per i dipendenti pubblici

Disposizioni per i controllori che possiedono motori di ricerca

La legge sulla privacy della Florida rispetto agli altri Stati: Somiglianze e differenze

Che impatto avrà l'FDBR sui consumatori?

A chi si applica l'FDBR?

Che impatto avrà l'FDBR sulle imprese?

In che modo l'FDBR influirà sulla mia politica sulla privacy?

In che modo l'FDBR influisce sulla mia politica sui cookie?

Chi deve rispettare la nuova legge sulla privacy della Florida?

Chi è esente dall'FDBR?

Come possono le aziende prepararsi all'FDBR?

Come verrà applicato l'FDBR?

Multe e sanzioni in base alla Carta dei diritti digitali della Florida

In che modo Termly può contribuire alla conformità all'FDBR?

Riassunto

Per saperne di più su chi scrive

Scritto da Josh Langeland, CIPM

Genera un'informativa sulla privacy GRATUITA

Articoli correlati

54 Statistiche rivelatrici sulla privacy dei dati dell'intelligenza artificiale

Cos'è la modalità di consenso v2 di Google?

Spiegazione della legge argentina sulla protezione dei dati personali (PDPA)

Che cos'è la legge Gramm-Leach-Bliley (GLBA)?

Che cos'è la modalità di consenso di Google?

Modello di Impressum : Download gratuito ed esempi reali

Modello di informativa sulla privacy

Cos'è la privacy dei dati? Guida completa per le aziende

Informativa sulla privacy per Firebase: Come crearne una