Le leggi sulla privacy dei dati esistono in tutto il mondo, in quasi tutti i continenti.
In questa guida alle leggi e alle normative sulla privacy dei dati per il 2026, vi illustrerò le leggi in vigore nelle diverse regioni e vi spiegherò quali aziende sono interessate, quali diritti garantiscono ai consumatori e quali sanzioni sono previste in caso di violazione.
- Cosa c'è da sapere sulle leggi sulla privacy nel 2026
- Quali leggi statunitensi sulla privacy dei dati potrebbero avere un impatto su di te nel 2026?
- Leggi europee sulla privacy dei dati che potrebbero interessarti nel 2026
- Quali leggi sulla privacy dei dati esistono nel 2026 in altre parti del mondo?
- Come rispettare le leggi sulla privacy nel 2026?
- Quali sono i requisiti della politica sulla privacy per il 2026?
- In che modo le aziende possono gestire il consenso degli utenti in conformità con le leggi sulla privacy del 2026?
- Come potranno le aziende gestire i diritti alla privacy dei consumatori nel 2026?
- Quali sono le sanzioni previste in caso di mancato rispetto delle leggi sulla privacy dei dati?
- In che modo Termly contribuisce Termly semplificare la conformità alle leggi sulla privacy?
Cosa c'è da sapere sulle leggi sulla privacy nel 2026
A partire dal 2026, esistono leggi sulla privacy in circa 144 paesi in tutto il mondo.
Se operi online, è probabile che la tua attività sia soggetta ad almeno una legge sulla privacy.
Dovrai preparare il tuo sito web, le tue app o altre piattaforme digitali in modo che siano conformi alle linee guida di tutte le leggi applicabili e garantire che i tuoi utenti possano esercitare correttamente i propri diritti alla privacy.
Ecco un breve elenco di ciò di cui la tua azienda potrebbe aver bisogno dal punto di vista legale:
- Informativa completa sulla privacy
- Informativa sui cookie aggiornata
- consenso ai cookie correttamente configurato
- gestione del consenso platform accesso a un centro preferenze
- Processo o flusso di lavoro DSAR
Continua a leggere per saperne di più sulle leggi sulla privacy in vigore dal 2026 e scopri se e in che modo ti riguardano.
Quali leggi statunitensi sulla privacy dei dati potrebbero avere un impatto su di te nel 2026?
Al 2026, gli Stati Uniti non dispongono ancora di una legge federale completa sulla protezione dei dati personali dei consumatori.
Tuttavia, esistono leggi statali sulla privacy che proteggono gran parte del Paese.
A livello federale esistono leggi sulla privacy che tutelano i minori, le informazioni sanitarie e sensibili e i dati finanziari.
Termly a disposizione diverse risorse sul proprio sito web per aiutarti a stare al passo con l'evoluzione del panorama giuridico, come la mappa che tiene traccia delle leggi sulla privacy dei dati negli Stati Uniti.
Quali sono le diverse leggi sulla privacy a livello statale negli Stati Uniti a partire dal 2026?
Attualmente, circa 20 stati degli Stati Uniti hanno approvato una legge completa sulla privacy dei dati dei consumatori, tutte attivamente in vigore.
Ciò significa che sono vincolanti e devono essere rispettate se si applicano alla tua attività, altrimenti rischi:
Le leggi statali statunitensi sulla privacy attualmente in vigore includono:
Legge sulla privacy dei consumatori della California (CCPA)
Il California Consumer Privacy Act (CCPA) è entrato in vigore il 1° gennaio 2020.
È stata modificata dal California Privacy Rights Act (CPRA), entrato in vigore il 1° gennaio 2023.
A chi si applica:
Il CCPA si applica a qualsiasi entità a scopo di lucro che opera in California e che soddisfa una delle seguenti soglie:
- Ha un fatturato annuo lordo superiore a 25.000.000 di dollari,
- Acquista, vende o condivide le informazioni personali di almeno 100.000 residenti o famiglie della California, oppure
- Deriva il 50% o più delle entrate annuali dalla vendita delle informazioni personali dei residenti in California.
Diritti dei consumatori:
Ai sensi della CCPA modificata, i consumatori hanno il diritto di essere informati prima o al momento della raccolta dei dati in merito al tipo di dati raccolti da un'azienda e al loro possibile utilizzo.
Hanno inoltre il diritto di richiedere quanto segue:
- Conoscere le informazioni raccolte dalle aziende sui propri dati personali , comprese le categorie/i dati personali raccolti , le categorie delle fonti delle informazioni, le categorie dei terzi a cui vengono divulgate le informazioni, le categorie di informazioni vendute o condivise con terzi, fino a due volte all'anno gratuitamente.
- Cancellare le informazioni che hanno su di te e informare tutti i loro fornitori di servizi di fare lo stesso, con alcune eccezioni, tra cui la prevenzione della vendita delle informazioni del consumatore e il rispetto delle leggi.
- Correggere le informazioni raccolte su di te da un'azienda.
- Rifiuta la vendita o la condivisione delle tue informazioni personali con terze parti, anche tramite controlli globali sulla privacy abilitati dall'utente, che vengono impostati utilizzando strumenti come GPC.
- Limitare l'uso e la divulgazione di informazioni personali sensibili che includono dettagli specifici, come numeri di previdenza sociale, dati finanziari, geolocalizzazione precisa e dati genetici.
- Ottenere una copia portatile dei propri dati
Il CCPA garantisce inoltre ai consumatori il diritto alla non discriminazione per aver esercitato uno qualsiasi dei propri diritti alla privacy.
Sanzioni per inadempienza:
Le violazioni gravi o ripetute ai sensi del CCPA possono comportare una sanzione fino a 7.500 dollari per ogni singolo episodio; le infrazioni meno gravi possono arrivare fino a 2.500 dollari per ogni singolo episodio.
I consumatori possono anche citare in giudizio per danni legali compresi tra 100 e 750 dollari per ogni violazione che coinvolga le loro informazioni personali non crittografate o non oscurate, oppure possono citare in giudizio per l'importo effettivo del danno monetario subito a causa della violazione, quando questa soddisfa determinate condizioni.
Legge sulla privacy del Colorado (CPA)
Data di entrata in vigore:
Il Colorado Privacy Act (CPA) è entrato in vigore il 1° luglio 2023.
A chi si applica:
Questa legge si applica alle entità che operano in Colorado o che hanno come target i residenti dello Stato che soddisfano uno dei seguenti requisiti:
- Controlla o elabora i dati personali di oltre 100.000 consumatori all'anno, oppure
- Ricava ricavi o sconti dalla vendita di dati personali e controlla o elabora i dati di oltre 25.000 consumatori all'anno.
Sanzioni per inadempienza:
Il CPA è considerato una pratica commerciale ingannevole dal Procuratore Generale e le multe possono arrivare fino a 20.000 dollari per ogni violazione.
Diritti dei consumatori:
Ai sensi di tale legge, i consumatori hanno i seguenti diritti:
- Richiesta di accesso a tutti i dati personali raccolti da un'entità su di loro.
- Richiesta di cancellazione dei dati personali.
- Richiesta di correzione delle inesattezze nei dati raccolti su di loro.
- Ottenere una copia portatile dei propri dati su richiesta, quando tecnicamente fattibile.
- Disattiva la pubblicità mirata, la vendita dei dati e la profilazione.
Legge sulla privacy dei dati del Connecticut (CTDPA)
Il Connecticut Data Privacy Act (CTDPA) è entrato in vigore il1° luglio 2023.
A chi si applica:
Il CTDPA si applica alle entità che operano nel Connecticut o che hanno come target i residenti dello Stato e che soddisfano una delle due soglie entro un anno solare:
- Tratta i dati personali di oltre 35.000 consumatori (esclusi i dati utilizzati esclusivamente per completare una transazione di pagamento),
- Tratta dati sensibili dei consumatori (esclusi i dati utilizzati esclusivamente per completare una transazione di pagamento), oppure
- Offrire i dati personali dei consumatori in vendita nel commercio o negli scambi.
Sanzioni per inadempienza:
Le sanzioni per la violazione del CTDPA possono raggiungere i 5.000 dollari per ogni violazione intenzionale e la legge è applicata dal Procuratore Generale.
Diritti dei consumatori:
Ai sensi della presente legge, i consumatori hanno i seguenti diritti in merito alle loro informazioni personali:
- Verificare se un'entità sta raccogliendo dati su di loro,
- Accedere a tali dati personali,
- Richiesta di correzione delle inesattezze nei dati raccolti su di loro,
- Richiesta di cancellazione dei dati raccolti che li riguardano,
- Ottenere una copia portatile dei propri dati,
- Rinuncia alla vendita dei dati, alla pubblicità mirata e a determinate attività di profilazione.
- Ottenere un elenco dei soggetti terzi a cui sono stati venduti i dati
- Mettere in discussione i risultati della profilazione, essere informati sul motivo per cui la profilazione ha portato alla decisione, esaminare i dati del consumatore utilizzati nella profilazione e, se la decisione di profilazione riguardava l'alloggio, far correggere i dati e rivalutare la decisione di profilazione sulla base dei dati corretti.
Il consenso è richiesto anche dai consumatori prima che un'entità possa trattare le loro informazioni personali sensibili, che costituiscono una categoria speciale di dati che include dettagli più vulnerabili sulle persone.
Legge sulla privacy dei dati personali del Delaware (DPDPA)
Il Delaware Personal Data Privacy Act (DPDPA) è entrato in vigore il 1° gennaio 2025.
A chi si applica:
Il DPDPA si applica alle entità che operano nel Delaware o che hanno come target i residenti degli Stati che soddisfano uno dei seguenti requisiti nell'anno precedente:
- Controlla o elabora i dati personali di oltre 35.000 consumatori, esclusi i dati elaborati esclusivamente per completare una transazione di pagamento, oppure
- Controlla o elabora i dati personali di oltre 10.000 consumatori e ricava il 20% o più del proprio fatturato annuo lordo dalla vendita di dati personali.
Sanzioni per inadempienza:
La violazione del DPDPA può comportare multe fino a 10.000 dollari per ogni singolo caso e la legge è applicata esclusivamente dal Procuratore Generale dello Stato.
Diritti dei consumatori:
I consumatori tutelati dal DPDPA godono dei seguenti diritti:
- Verificare se un'entità sta raccogliendo dati su di loro,
- Accedere ai dati raccolti su di loro,
- Chiedere a un'azienda di correggere le inesattezze nei dati raccolti su di essa,
- Chiedere a un'azienda di cancellare i dati raccolti su di loro,
- Ottenere una copia portatile dei propri dati
- Rinunciare alla vendita dei propri dati personali o all'utilizzo dei dati per pubblicità mirata e profilazione.
- Ottenere un elenco delle categorie di terzi a cui sono stati comunicati i dati
Carta dei diritti digitali della Florida (FDBR)
La Carta dei diritti digitali della Florida (FDBR) è entrata in vigore il 1° luglio 2024.
A chi si applica:
La presente Carta dei diritti digitali si applica alle imprese che realizzano un fatturato annuo lordo globale superiore a 1 miliardo di dollari e soddisfano una delle seguenti soglie:
- Deriva per almeno il 50% dalla vendita di annunci pubblicitari online
- Gestisce servizi di comando vocale
- App store con almeno 250.000 applicazioni software
Sanzioni per inadempienza:
Coloro che risultano non conformi al FDBR potrebbero incorrere in sanzioni significative pari a 50.000 dollari per ogni violazione, importo che aumenta a seconda della gravità dell'infrazione.
La legge è applicata dal Procuratore Generale.
Diritti dei consumatori:
Questa legge conferisce ai consumatori della Florida i seguenti diritti in merito alle loro informazioni personali:
- Conferma della raccolta dei dati,
- Accesso ai dati,
- Correggi le imprecisioni nei dati,
- Richiesta di cancellazione dei propri dati,
- Ottenere una copia portatile dei propri dati,
- Rinunciare alla vendita dei propri dati, alla pubblicità mirata, alla profilazione, alla raccolta di dati sensibili, al trattamento di dati sensibili e alla raccolta di dati raccolti tramite il funzionamento di una funzione di riconoscimento vocale o facciale.
Legge sulla protezione dei dati dei consumatori dell'Indiana (ICDPA)
L'Indiana Consumer Data Protection Act (ICDPA) è entrato in vigore il 1° gennaio 2026.
A chi si applica:
L'ICDPA si applica a tutte le aziende con sede in Indiana o a quelle che si rivolgono ai residenti dello Stato che soddisfano i seguenti criteri:
- Controlla o tratta i dati personali di oltre 100.000 consumatori, oppure
- Controlla o elabora i dati personali di oltre 25.000 consumatori e ricava oltre il 50% del proprio fatturato annuo lordo dalla vendita di tali dati.
Sanzioni per inadempienza:
La violazione della legge sulla privacy dei dati dell'Indiana può comportare multe fino a 7.500 dollari per ogni violazione e la legge è applicata dal Procuratore Generale dello Stato.
Diritti dei consumatori:
I consumatori protetti dall'ICDPA hanno i seguenti diritti in merito alle loro informazioni personali:
- Conferma della raccolta dei dati,
- Diritto di accedere ai propri dati personali,
- Diritto di correggere le inesattezze nei propri dati,
- Diritto di richiedere la cancellazione dei propri dati,
- Richiesta di accesso a una copia portatile dei propri dati,
- Rinuncia alla vendita dei propri dati, alla pubblicità mirata e alla profilazione
Ai sensi di tale legge, prima che un'azienda possa raccogliere informazioni personali sensibili, che includono dati personali più vulnerabili, è necessario ottenere il consenso esplicito del consumatore.
Legge sulla protezione dei dati dei consumatori dello Stato dell'Iowa (ICDPA)
La legge sulla protezione dei dati dei consumatori dello Stato dell'Iowa (ICDPA) è entrata in vigore il 1° gennaio 2025.
A chi si applica:
La legge sulla privacy dello Stato dell'Iowa si applica a tutte le aziende con sede nello Stato o che hanno come target i residenti dello Stato e che soddisfano uno dei seguenti requisiti nell'arco di un anno solare:
- Controlla o tratta i dati personali di oltre 100.000 consumatori, oppure
- Controlla o elabora i dati personali di almeno 25.000 consumatori e genera oltre il 50% del fatturato annuo lordo dalla vendita di dati.
Sanzioni per inadempienza:
Le sanzioni per la mancata conformità all'ICDPA includono potenziali multe fino a 7.500 dollari per ogni violazione.
Questa legge è applicata dal Procuratore Generale dello Stato.
Diritti dei consumatori:
Ai sensi della legge dello Stato dell'Iowa sulla privacy dei dati dei consumatori, gli utenti hanno i seguenti diritti in relazione alle loro informazioni personali:
- Verificare se un'entità sta elaborando i propri dati,
- Accedere ai dati che un'entità sta elaborando su di loro,
- Richiedere la cancellazione dei propri dati
- Ottenere una copia portatile dei propri dati
- Rinunciare alla vendita dei propri dati, alla pubblicità mirata e alla raccolta e al trattamento di dati personali sensibili.
Legge sulla protezione dei dati dei consumatori del Kentucky (KCDPA)
Il Kentucky Consumer Data Protection Act (KCDPA) è entrato in vigore il 1° gennaio 2026.
A chi si applica:
Questa legge si applica a qualsiasi entità che svolga attività commerciali nel Kentucky o che abbia come target i residenti dello Stato e soddisfi i seguenti requisiti:
- Tratta e controlla i dati personali di almeno 100.000 consumatori o
- Tratta e controlla i dati personali di almeno 25.000 consumatori e ricava il 50% del fatturato annuo lordo dalla vendita di dati personali.
Sanzioni per inadempienza:
Le sanzioni per la violazione del KCDPA comprendono multe fino a 7.500 dollari per ogni singolo caso. Questa legge è applicata dal Procuratore Generale dello Stato.
Diritti dei consumatori:
Ai sensi della nuova legge sulla privacy dei dati del Kentucky, i consumatori hanno i seguenti diritti:
- Verificare se un responsabile del trattamento sta trattando i propri dati personali,
- Accedere ai dati personali raccolti su di loro,
- Correggere le inesattezze nei propri dati personali,
- Cancellare i loro dati personali,
- Ottenere una copia portatile dei propri dati, quando tecnicamente fattibile,
- Disattiva la pubblicità mirata, la vendita dei dati personali e la profilazione.
Legge sulla protezione dei dati online del Maryland (MODPA)
Il Maryland Online Data Protection Act (MODPA) è entrato in vigore il 1° ottobre 2025.
A chi si applica:
Le entità rientrano nell'ambito di applicazione del MODPA se svolgono attività commerciali nello Stato o si rivolgono ai residenti dello Stato e soddisfano uno dei seguenti requisiti in un anno solare:
- Controlla o tratta i dati personali di almeno 35.000 consumatori, escluse le operazioni di pagamento, oppure
- Controlla o elabora i dati personali di almeno 10.000 consumatori e ricava oltre il 20% del proprio fatturato annuo lordo dalla vendita dei dati.
Il MODPA non prevede soglie monetarie, pertanto può avere un impatto sulle aziende di qualsiasi dimensione.
Sanzioni per inadempienza:
Le multe per violazione del MODPA possono raggiungere i 10.000 dollari per ogni singolo caso.
È applicata dal Procuratore Generale dello Stato.
Diritti dei consumatori:
I consumatori del Maryland godono dei seguenti diritti ai sensi della presente legge sulla privacy dei dati:
- Verificare se un controller sta elaborando i propri dati
- Accedi ai dati
- Correggi le imprecisioni nei dati
- Richiedere a un controller di eliminare i dati
- Ottenere una copia portatile dei propri dati personali
- Ottenere un elenco dei soggetti terzi a cui vengono comunicati i propri dati
- Rinunciare al trattamento dei dati per la pubblicità mirata, alla vendita dei propri dati e a determinati tipi di profilazione.
Legge sulla privacy dei dati dei consumatori del Minnesota (MCDPA) – in vigore dal 31 luglio 2025
Il Minnesota Consumer Data Privacy Act (MCDPA) è entrato in vigore il 31 luglio 2025.
A chi si applica:
Le aziende rientrano nell'ambito di applicazione del MCDPA se svolgono attività commerciali in Minnesota o si rivolgono ai residenti dello Stato e soddisfano una delle seguenti condizioni:
- Controlla o tratta i dati personali di 100.000 consumatori durante un anno solare, esclusi i dati trattati esclusivamente per completare una transazione di pagamento, oppure
- Deriva oltre il 25% dei ricavi lordi dalla vendita di dati personali e tratta o controlla i dati di 25.000 consumatori o più.
Sanzioni per inadempienza:
La violazione del MCDPA può costare fino a 7.500 dollari per ogni singolo caso. Il Procuratore Generale dello Stato è responsabile dell'applicazione della legge.
Diritti dei consumatori:
L'MCDPA ha un impatto sui consumatori, concedendo loro i seguenti diritti sui propri dati personali:
Ai sensi della legge sulla privacy del Minnesota, i consumatori hanno i seguenti diritti:
- Verificare se un responsabile del trattamento sta trattando i propri dati personali,
- Accedere alle categorie di dati personali oggetto di trattamento,
- Correggere le inesattezze nei propri dati personali,
- Cancellarei lorodati personali,
- Ottenere una copia portatile dei dati personali raccolti che li riguardano,
- Rinunciare al trattamento dei dati per finalità di pubblicità mirata, alla vendita dei propri dati personali e alla profilazione finalizzata a decisioni automatizzate che producono effetti giuridici.
- Ottenere un elenco dei soggetti terzi a cui un titolare del trattamento ha comunicato i propri dati personali.
- Mettere in discussione i risultati della profilazione, essere informati del motivo per cui la profilazione ha portato alla decisione, essere informati delle azioni che il consumatore avrebbe potuto intraprendere per ottenere una decisione diversa e delle azioni che il consumatore potrebbe intraprendere per ottenere una decisione diversa in futuro, esaminare i dati del consumatore utilizzati nella profilazione e far correggere i dati e rivalutare la decisione di profilazione sulla base dei dati corretti.
Legge sulla privacy dei dati dei consumatori del Montana (MCDPA)
Il Montana Consumer Data Privacy Act (MCDPA) è entrato in vigore il 1° ottobre 2024.
A chi si applica:
A partire dal 1° ottobre 2025, il MCDPA si applica a qualsiasi entità che svolga attività commerciali nello Stato o che abbia come target i residenti del Montana e che:
- Controlla o elabora i dati personali di almeno 25.000 consumatori, oppure
- Controlla o elabora i dati personali di almeno 15.000 consumatori e ricava oltre il 25% del proprio fatturato annuo lordo dalla vendita di dati personali.
Sanzioni per inadempienza:
Le multe per la violazione della legge sulla privacy dei dati del Montana possono raggiungere i 7.500 dollari per ogni singolo caso.
Le indagini e le sanzioni sono condotte dal Procuratore Generale dello Stato.
Diritti dei consumatori:
Ai sensi di questa legge, i consumatori del Montana hanno i seguenti diritti:
- Verificare se un responsabile del trattamento sta trattando i propri dati personali,
- Accedi a quei dati,
- Correggi le imprecisioni nei dati,
- Cancellare i dati personali che li riguardano,
- Ottenere una copia portatile dei propri dati personali
- Rinuncia al trattamento dei dati personali per finalità di pubblicità mirata, vendita dei dati personali o profilazione
Legge sulla privacy dei dati del Nebraska (NDPA)
Il Nebraska Data Privacy Act (NDPA) è entrato in vigore il 1° gennaio 2025.
A chi si applica:
Questa legge si applica alle entità che svolgono attività commerciali in Nebraska o che hanno come target i residenti dello Stato e:
- Elabora o si occupa della vendita di dati personali e
- Non è una piccola impresa ai sensi dello Small Business Act federale.
L'altra legge con una soglia simile è il Texas Data Privacy and Security Act (TDPSA).
Sanzioni per inadempienza:
La violazione del Nebraska Data Privacy Act può comportare multe fino a 7.500 dollari per ogni singolo caso.
Diritti dei consumatori:
Ai sensi di questa legge, i consumatori del Nebraska hanno i seguenti diritti:
- Verificare se un responsabile del trattamento sta elaborando dati che li riguardano.
- Accedi a quei dati,
- Correggere le imprecisioni nei propri dati
- Cancellare i dati forniti da loro o ottenuti su di loro
- Ottenere una copia portatile dei propri dati
- Rinuncia alla pubblicità mirata, alla vendita dei propri dati e alla profilazione
Legge sulla privacy dei dati del New Hampshire (NHDPA)
Il New Hampshire Data Privacy Act (NHDPA) è entrato in vigore il 1° gennaio 2025.
A chi si applica:
È necessario rispettare la legge sulla privacy del New Hampshire se si svolgono attività commerciali nello Stato o si rivolgono i propri servizi ai residenti dello Stato e si soddisfa una delle seguenti condizioni:
- Controlla o elabora i dati personali di almeno 35.000 consumatori unici, esclusi i dati trattati esclusivamente per completare una transazione di pagamento.
- Controlla o elabora i dati personali di non meno di 10.000 consumatori unici e ricava più del 25% del proprio fatturato annuo lordo dalla vendita di dati personali.
Sanzioni per inadempienza:
La violazione della legge sulla privacy dei dati del New Hampshire può comportare multe salate fino a 10.000 dollari per ogni singolo caso.
Questa legge è applicata dal Procuratore Generale dello Stato ed è considerata un metodo di concorrenza sleale o un atto o una pratica ingannevole.
Diritti dei consumatori:
I consumatori del New Hampshire godono dei seguenti diritti ai sensi della legge statale sulla privacy:
- Verificare se un responsabile del trattamento sta trattando i propri dati personali,
- Accedere alle informazioni che il responsabile del trattamento elabora su di loro (a meno che l'accesso non riveli un segreto commerciale),
- Correggere le inesattezze nelle loro informazioni,
- Cancellare i dati forniti da loro o ottenuti su di loro,
- Ottenere una copia portatile dei propri dati,
- Rinunciare al trattamento dei dati personali per la pubblicità mirata, alla vendita dei propri dati personali e alla profilazione.
Legge sulla privacy dei dati del New Jersey (NJDPA)
Il New Jersey Data Privacy Act (NJDPA) è entrato in vigore il 15 gennaio 2025.
A chi si applica:
Il NJDPA si applica a tutte le entità che svolgono attività commerciali nello Stato o che hanno come target i residenti dello Stato e che soddisfano uno dei seguenti requisiti in un anno solare:
- Controlla o tratta i dati personali di 100.000 individui, esclusi i dati trattati esclusivamente allo scopo di completare le transazioni di pagamento.
- Controlla o elabora i dati personali di almeno 25.000 persone e ricava ricavi o riceve uno sconto per la vendita delle informazioni.
Sanzioni per inadempienza:
Le sanzioni pecuniarie per la violazione del NJDPA possono arrivare fino a 10.000 dollari per le prime infrazioni e fino a 20.000 dollari per i recidivi.
Questa legge è applicata dal Procuratore Generale dello Stato.
Diritti dei consumatori:
Ai sensi di questa legge, i consumatori del New Jersey hanno i seguenti diritti:
- Verificare se un controller sta raccogliendo i propri dati
- Accedere ai dati personali raccolti che li riguardano.
- Correggere le inesattezze nei propri dati personali.
- Cancellare i loro dati personali.
- Ottenere una copia portatile dei propri dati personali.
- Rinunciare al trattamento dei propri dati per scopi pubblicitari mirati, alla vendita delle proprie informazioni e alla profilazione.
- Non discriminazione per aver esercitato i propri diritti alla privacy.
Legge sulla privacy dei consumatori dell'Oregon (OCPA)
L'Oregon Consumer Privacy Act (OCPA) è entrato in vigore il 1° luglio 2024.
A chi si applica:
È necessario rispettare l'OCPA se si svolgono attività commerciali in Oregon o si rivolgono i propri servizi ai residenti dello Stato e si soddisfa uno dei due requisiti seguenti in un anno solare:
- Controlla o tratta dati personali di almeno 100.000 consumatori, esclusi i dati controllati o trattati esclusivamente per completare operazioni di pagamento, oppure
- Controlla o tratta i dati personali di almeno 25.000 consumatori e ricava almeno il 25% del proprio fatturato annuo lordo dalla vendita di dati personali.
Sanzioni per inadempienza:
Le multe per violazione della legge sulla privacy dell'Oregon possono raggiungere i 7.500 dollari per ogni singolo caso.
È applicata dal Procuratore Generale dello Stato.
Diritti dei consumatori:
Ai sensi della presente legge sulla privacy, i consumatori godono dei seguenti diritti:
- Confermare se un responsabile del trattamento ha trattato dati personali che li riguardano,
- Accedere alle categorie di trattamenti dei dati che li riguardano,
- Ottenere un elenco delle terze parti specifiche con cui vengono condivisi i dati.
- Ottenere una copia portatile di tutti i dati personali in fase di trattamento.
- Correggere le inesattezze nei propri dati personali.
- Richiedere al responsabile del trattamento di cancellare i propri dati personali, compresi i dati forniti dal consumatore al responsabile del trattamento e i dati ottenuti da un'altra fonte.
- Rinunciare alla pubblicità mirata, alla vendita dei propri dati o alla profilazione.
Legge sulla trasparenza dei dati e sulla protezione della privacy del Rhode Island (RIDTPPA)
Il Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA) è entrato in vigore il 1° gennaio 2026.
A chi si applica:
Le entità a scopo di lucro devono rispettare questa legge se svolgono attività commerciali nello Stato o si rivolgono ai consumatori del Rhode Island e soddisfano uno dei seguenti requisiti in un anno solare:
- Controlla o elabora i dati personali di 35.000 clienti, esclusi i dati trattati esclusivamente per completare una transazione di pagamento, oppure
- Controlla o elabora i dati personali di 10.000 clienti e ricava il 20% o più del proprio fatturato lordo dalla vendita di dati personali.
Sanzioni per inadempienza:
Le multe per la violazione di questa legge possono arrivare da 100 a 500 dollari per ogni infrazione e vengono applicate dal Procuratore Generale dello Stato.
Diritti dei consumatori:
Ai sensi della presente legge, i consumatori godono dei seguenti diritti:
- Verificare se un responsabile del trattamento sta trattando i propri dati personali,
- Accedi a quei dati,
- Correggere le imprecisioni nei loro dati,
- Richiesta di cancellazione dei propri dati personali,
- Ottenere una copia portatile dei propri dati personali,
- Disattivazione del trattamento dei dati per pubblicità mirata, vendita dei dati o profilazione,
- Acconsentire alla raccolta di dati personali sensibili.
Legge sulla protezione delle informazioni del Tennessee (TIPA)
Il Tennessee Information Protection Act (TIPA) è entrato in vigore il 1° luglio 2025.
A chi si applica:
È necessario rispettare la legge sulla privacy del Tennessee se si svolgono attività commerciali nello Stato o si rivolgono i propri servizi ai residenti dello Stato, si guadagnano più di 25 milioni di dollari di fatturato annuo e:
- Elabora o controlla le informazioni personali di almeno 175.000 consumatori del Tennessee durante un anno solare, oppure
- Elabora o controlla le informazioni personali di almeno 25.000 consumatori e ricava il 50% del proprio fatturato annuo lordo dalla vendita di tali informazioni.
Sanzioni per inadempienza:
Le multe per violazione del TIPA possono raggiungere i 7.500 dollari per ogni singolo caso e la legge è applicata dal Procuratore Generale dello Stato.
Diritti dei consumatori:
Il TIPA garantisce ai consumatori del Tennessee i seguenti diritti:
- Verificare se un responsabile del trattamento sta elaborando i propri dati personali,
- Accedi a quei dati,
- Correggere le inesattezze nelle loro informazioni,
- Cancellare le informazioni personali fornite dal consumatore o ottenute su di esso (tuttavia, il titolare del trattamento non è tenuto a cancellare le informazioni aggregate o rese anonime),
- Ottenere una copia portatile delle proprie informazioni personali,
- Rinunciare alla vendita dei propri dati, alla pubblicità mirata e alla profilazione,
- Acconsentire alla raccolta di dati personali sensibili.
Legge sulla privacy e la sicurezza dei dati del Texas (TDPSA)
Il Texas Data Privacy and Security Act (TDPSA) è entrato in vigore il 1° luglio 2024.
A chi si applica:
Se soddisfi i seguenti requisiti, la tua azienda deve attenersi al TDPSA:
- Svolge attività commerciali in Texas o produce beni o servizi consumati dai residenti dello Stato.
- Tratta o vende dati personali
- Non è una piccola impresa secondo la definizione della Small Business Administration (SBA) degli Stati Uniti (ovvero, aziende con meno di 500 dipendenti) a meno che l'azienda non si occupi della vendita di dati personali sensibili.
Sanzioni per inadempienza:
La mancata conformità al TDPSA può comportare multe fino a 7.500 dollari per ogni violazione e la legge è applicata dal Procuratore Generale dello Stato.
Diritti dei consumatori:
Ai sensi della legge sulla privacy del Texas, i consumatori godono dei seguenti diritti:
- Verificare se un controller sta elaborando i propri dati,
- Accedere ai dati personali raccolti su di loro,
- Correggere le inesattezze nei propri dati, tenendo conto della natura degli stessi e delle finalità del trattamento,
- Cancellare i dati forniti dal consumatore o ottenuti su di esso,
- Ottenere una copia portatile dei propri dati, se disponibili in formato digitale.
- Non discriminazione,
- Rinunciare al trattamento dei dati personali per pubblicità mirata, vendita dei propri dati o profilazione.
- Acconsentire alla raccolta di dati personali sensibili.
Legge sulla privacy dei consumatori dello Utah (UCPA)
La legge sulla privacy dei consumatori dello Utah (UCPA) è entrata in vigore il 31 dicembre 2023.
A chi si applica:
È necessario rispettare l'UCPA se si svolgono attività commerciali nello Stato o si rivolgono i propri servizi ai residenti dello Stato, si ha un fatturato annuo pari o superiore a 25 milioni di dollari e si soddisfa una delle seguenti condizioni in un anno solare:
- Controlla o tratta dati personali di oltre 100.000 consumatori, oppure
- Controlla e tratta i dati personali di oltre 25.000 consumatori e ricava oltre il 50% del proprio fatturato lordo dalla vendita di dati personali.
Sanzioni per inadempienza:
Le sanzioni per inadempienza ai sensi dell'UCPA possono raggiungere un importo massimo di 7.500 dollari per ogni singolo caso.
La legge è applicata dal Procuratore Generale dello Stato.
Diritti dei consumatori:
Ai sensi di tale legge, i consumatori hanno i seguenti diritti:
- Verificare se un'entità sta raccogliendo dati personali che li riguardano,
- Accedere ai dati personali raccolti su di loro,
- Richiesta di cancellazione dei dati raccolti che li riguardano,
- Ottenere una copia portatile dei propri dati,
- Rinuncia alla vendita dei dati o alla pubblicità mirata.
Legge sulla protezione dei dati dei consumatori della Virginia (VCDPA)
Data di entrata in vigore: Il Virginia Consumer Data Protection Act (VCDPA) è entrato in vigore il 1° gennaio 2023.
A chi si applica:
È necessario rispettare il VCDPA se si svolgono attività commerciali in Virginia o se si rivolgono i propri prodotti e servizi ai residenti dello Stato e si soddisfa una delle seguenti condizioni:
- controlla o tratta i dati personali di 100.000 consumatori nel corso di un anno solare, oppure
- Controlla o elabora i dati personali di 25.000 consumatori e ricava il 50% dei ricavi lordi dalla vendita di dati personali.
Sanzioni per inadempienza:
La violazione della legge sulla privacy della Virginia può comportare multe comprese tra 2.500 e 7.500 dollari per ogni episodio, a seconda della gravità della violazione.
La legge è applicata dal Procuratore Generale dello Stato.
Diritti dei consumatori:
Ai sensi del VCDPA, i consumatori hanno i seguenti diritti sui propri dati:
- Verificare se un controller sta elaborando i propri dati
- Accedere ai propri dati personali
- Correggere le imprecisioni nei loro dati
- Richiesta di cancellazione da parte delle aziende
- Ottenere una copia portatile dei dati personali
- Rinuncia al trattamento dei dati personali per pubblicità mirata, alla vendita dei propri dati personali e alla profilazione
- Non discriminazione per l'esercizio dei diritti
Esistono leggi federali statunitensi relative alla privacy?
Diverse leggi federali statunitensi in materia di privacy impongono restrizioni, linee guida e obblighi relativi alle modalità di raccolta e utilizzo dei dati personali da parte delle entità, ad esempio:
Leggi europee sulla privacy dei dati che potrebbero interessarti nel 2026
In Europa, il quadro giuridico in materia di protezione dei dati è costituito da tre leggi principali:
- Regolamento generale sulla protezione dei datiGDPR)
- Direttiva ePrivacy (Legge UE sui cookie)
- Legge UE sull'AI
La direttiva ePrivacy è entrata in vigore nel 2002, mentre il GDPR un regolamento più recente che tiene conto dell'Internet moderno ed è entrato in vigore nel gennaio 2018.
La legge dell'UE sull'intelligenza artificiale è la più recente delle tre ed è entrata in vigore nell'agosto 2024.
A chi si applica:
Il quadro normativo dell'UE in materia di protezione dei dati ha un impatto globale molto ampio e le aziende di piccole e grandi dimensioni di tutto il mondo sono tenute a rispettare tali normative.
Il GDPR, ad esempio, si applica a qualsiasi entità in Europa o a qualsiasi entità che tratti dati personali di persone in Europa o nel SEE offrendo beni o servizi o monitorando i loro comportamenti online.
Non prevede soglie monetarie né limiti alla raccolta dei dati.
La direttiva ePrivacy è simile e si applica a qualsiasi sito web che utilizza tecnologie di tracciamento con visitatori provenienti dall'UE/SEE.
La legge dell'UE sull'IA ha un ambito di applicazione altrettanto ampio e si applica a qualsiasi entità che crei prodotti di IA e li commercializzi in Europa.
Sanzioni per inadempienza:
Le sanzioni per la violazione del GDPR multe molto elevate che possono arrivare fino a 10 milioni di euro (12 milioni di dollari) o al 2% del fatturato annuo lordo, a seconda di quale dei due importi sia maggiore.
Tuttavia, recidive o violazioni più gravi potrebbero comportare sanzioni fino a 20 milioni di euro (23 milioni di dollari) o al 4% del fatturato annuo lordo, a seconda di quale sia l'importo maggiore.
Le violazioni della direttiva ePrivacy vengono solitamente raggruppate nelle indagini condotte ai sensi del GDPR
Ai sensi della legge dell'UE sull'IA, le sanzioni sono graduate in base alla gravità del reato e comprendono quanto segue:
- Per le pratiche vietate, le multe possono arrivare fino a 35 milioni di euro o al 7% del fatturato annuo globale.
- Per la maggior parte degli obblighi, le sanzioni possono arrivare fino a 15 milioni di euro o al 3% del fatturato annuo globale.
- Per aver fornito informazioni fuorvianti, le multe possono arrivare fino a 7,5 milioni di euro o all'1% del fatturato annuo globale.
Ogni Stato membro dell'UE è responsabile dello svolgimento delle indagini e della sanzione delle entità che violano gli obblighi e i requisiti previsti da tali leggi e regolamenti.
Diritti dei consumatori:
Il GDPR conferisce agli interessati i seguenti diritti in relazione ai propri dati personali:
- Diritto di essere informati sulla raccolta dei dati,
- Diritto di accesso ai dati,
- Diritto di rettifica/correzione dei dati,
- Diritto alla cancellazione ( diritto all'oblio),
- Diritto alla portabilità dei dati,
- Diritto di opporsi al processo decisionale automatizzato e alla profilazione.
La direttiva ePrivacy garantisce agli utenti diritti fondamentali simili a quelli specificatamente previsti dai GDPR del GDPR , tra cui:
- Riservatezza delle comunicazioni,
- Consenso per tracciamento/cookie,
- Protezione dallo spam,
- Cancellazione/anonimizzazione dei dati,
- Diritto all'informazione.
Infine, la legge dell'UE sull'IA garantisce ai consumatori i seguenti diritti in merito alle modalità di vendita e produzione dei prodotti di IA da parte delle entità:
- Trasparenza quando l'IA genera contenuti,
- Richiede il coinvolgimento umano/la supervisione umana,
- Vieta pratiche e IA che manipolano gli individui e sfruttano le vulnerabilità.
- Descrive la protezione dei dati per l'IA incoraggiando l'anonimizzazione e la crittografia dei dati.
Quali leggi sulla privacy dei dati esistono nel 2026 in altre parti del mondo?
Oltre agli Stati Uniti, all'Europa e al Regno Unito, esistono decine di altre leggi sulla privacy che potrebbero essere applicabili al tuo sito web, a seconda della provenienza del tuo traffico Internet:
- Legge argentina sulla protezione dei dati personali (PDPA)
- Australia Legge sulla privacy 1988
- Legge generale sulla protezione dei dati (LGPD) del Brasile
- Legge canadese sulla protezione delle informazioni personali e dei documenti elettronici (PIPEDA)
- Legge cinese sulla protezione delle informazioni personali (PIPL)
- Legge sulla privacy della Nuova Zelanda 2020
- Legge del Quebec 25
- Legge sulla protezione delle informazioni personali in Sudafrica (POPIA)
- Legge tailandese sulla protezione dei dati personali (PDPA)
- Regolamento generale sulla protezione dei dati del Regno Unito (UK GDPR)
- Legge britannica sulla protezione dei dati del 2018 (UK DPA 2018)
Alcune di queste leggi sono state ispirate dal GDPR dell'UE GDPR delineano diritti e obblighi aziendali simili, ma presentano differenze significative, tra cui la LGPD brasiliana e la POPIA sudafricana.
Altre leggi sono state emanate prima dell'avvento di Internet, tra cui l'Australia Privacy Act e il PIPEDA canadese, ma sono state modificate e aggiornate nel tentativo di stare al passo con i cambiamenti tecnologici.
Come rispettare le leggi sulla privacy nel 2026?
Le aziende spesso lamentano la complessità del rispetto delle leggi sulla privacy. Si tratta di un processo che causa grattacapi e che spesso sembra richiedere molto tempo, essere costoso e continuo.
La buona notizia è che esistono modi semplici per semplificare alcuni degli aspetti principali relativi al rispetto dei requisiti previsti da queste leggi.
Di seguito, illustro come semplificare tre dei principali punti critici:
- Requisiti della politica sulla privacy
- gestione del consenso i cookie e altri tracker
- Gestione delle richieste relative al diritto alla privacy da parte dei consumatori
Quali sono i requisiti della politica sulla privacy per il 2026?
La maggior parte delle leggi sulla privacy in qualche modo influiscono o riguardano le politiche sulla privacy, talvolta denominate "informative sulla privacy".
Negli Stati Uniti è prassi comune che le leggi statali richiedano espressamente una politica sulla privacy.
Inoltre, presentare ai visitatori del sito web una politica sulla privacy completa contribuisce a garantire che siano adeguatamente informati e in grado di fornire il consenso legale adeguato per qualsiasi raccolta o trattamento dei dati che si desidera effettuare.
Sebbene i dettagli della tua politica sulla privacy possano variare a seconda delle leggi che regolano la tua attività, in genere è richiesto alle aziende di includere almeno le seguenti informazioni:
- Quali dati personali raccogliete
- Come si raccolgono i dati personali
- Perché raccogliete i dati personali
- A chi vengono condivisi o venduti i dati personali
- Quali sono i diritti degli utenti sui loro dati e come agire in merito
- I recapiti del tuo sito
Ogni sito web dovrebbe avere una politica sulla privacy trasparente e aggiornata, collegata almeno al piè di pagina del sito, ma è consigliabile collegarla a più punti.
Aggiungilo al tuo consenso ai cookie , su qualsiasi schermata di pagamento o pagina di creazione dell'account, al piè di pagina delle e-mail di marketing e in qualsiasi altro luogo in cui possa avvenire la raccolta di dati.
È facile crearne uno utilizzando un generatore di informativa sulla privacy.
In che modo le aziende possono gestire il consenso degli utenti in conformità con le leggi sulla privacy del 2026?
gestione del consenso non gestione del consenso più facoltativa per la maggior parte delle aziende, ma è una parte essenziale della verifica legale del proprio sito web.
Le leggi sulla privacy ora hanno un forte impatto e regolano le modalità di interazione tra i siti web aziendali e i consumatori.
Ad esempio, i siti web moderni spesso raccolgono, elaborano e utilizzano dati personali protetti dalla legge dei visitatori del sito tramite cookie Internet e altri strumenti di analisi dei siti web. Le leggi sulla privacy definiscono i requisiti di opt-in e opt-out per l'uso di questi cookie o altri tracker.
Oggi è anche prassi comune per le aziende realizzare pubblicità mirate. Diverse leggi affrontano questo tema e spesso garantiscono ai consumatori il diritto di opporsi all'utilizzo dei propri dati per tali scopi, soprattutto negli Stati Uniti.
Il tuo sito web dovrebbe avere una gestione del consenso platform che includa un cookie banner tutte le impostazioni di consenso regionali applicabili che hanno un impatto sui tuoi consumatori.
Come potranno le aziende gestire i diritti alla privacy dei consumatori nel 2026?
La gestione dei diritti alla privacy dei consumatori è un altro ostacolo significativo che le aziende devono affrontare a causa della complessità del panorama giuridico.
Le leggi sulla privacy individuale sono applicate da autorità separate, ad esempio gli uffici del Procuratore Generale degli Stati Uniti.
In Europa, anche se il GDPR l'unica normativa generale, viene applicato dall'autorità di controllo istituita da ciascuno Stato membro.
Inoltre, tutte queste leggi definiscono diritti alla privacy simili per i consumatori, che in genere possono esercitare tali diritti inviando una richiesta alla tua azienda in qualsiasi momento.
Ciò significa che la violazione di una singola legge sulla privacy, specialmente negli Stati Uniti, potrebbe portare a un effetto valanga di non conformità con altre leggi applicabili.
Immaginate di dover gestire contemporaneamente diverse indagini condotte da varie agenzie statali o autorità di vigilanza europee semplicemente perché la vostra azienda non è preparata a rispettare adeguatamente i diritti alla privacy dei vostri consumatori.
L'aggiunta di un modulo di richiesta di accesso ai dati personali al tuo sito web può aiutarti a semplificare la procedura di invio delle richieste da parte degli utenti, contribuendo a creare un processo efficiente per la ricezione e la risposta a tali richieste legali.
Quali sono le sanzioni previste in caso di mancato rispetto delle leggi sulla privacy dei dati?
Le sanzioni per il mancato rispetto delle leggi sulla privacy dei dati possono essere severe e includono:
- Multe elevate, che variano a seconda della legge che è stata violata,
- La cessazione temporanea o permanente di tutte le attività di trattamento dei dati,
- Azione penale o civile, a seconda della legge,
- Potenziale pena detentiva, a seconda della legge,
- Danni alla reputazione del tuo marchio.
Ogni legge viene applicata in modo sfumato e le sanzioni specifiche dipendono dalla natura della violazione, dalla legge applicabile e dalla gravità dell'infrazione.
In che modo Termly contribuisce Termly semplificare la conformità alle leggi sulla privacy?
Termly creato per aiutare le aziende che devono conformarsi alle leggi sulla privacy.
I nostri generatori automatici di politiche e gestione del consenso rendono facile allineare il tuo sito web agli obblighi e ai requisiti applicabili.
Con Termly, puoi controllare tutti i tuoi processi relativi alla privacy dei dati in un unico posto. Ciò significa tutto, dall'aggiornamento della tua politica sulla privacy alla gestione del banner di consenso e alla gestione delle richieste DSAR dei consumatori.
Provalo gratuitamente oggi stesso!
Scritto da Natasha Piirainen
Natasha Piirainen è una scrittrice specializzata in privacy con una laurea in inglese e filosofia conseguita presso il Wheaton College e oltre 10 anni di esperienza professionale nello sviluppo di contenuti basati sulla ricerca.
Leggi tutti i post di Natasha Piirainen
Recensione di Amanda Lee
Amanda è una specialista della documentazione e professionista della privacy certificata (USA). Si occupa di convertire la documentazione dei prodotti in prodotti di facile comprensione per i clienti di Termly. Possiede inoltre una solida conoscenza delle leggi e dei regolamenti sulla privacy negli Stati Uniti, contribuendo a mantenere aggiornate le politiche dei clienti in un momento in cui gli Stati americani emanano sempre più leggi sulla privacy.
Leggi tutti i post recensiti da Amanda Lee
