Il Rhode Island ha ufficialmente approvato la sua legge completa sulla privacy dei dati dei consumatori, la Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA), nel giugno 2024.
In questa guida riassumo tutto ciò che le aziende devono sapere sul RIDTPPA, compresi i suoi requisiti, i diritti che garantisce ai consumatori, le sanzioni in caso di non conformità e altro ancora.
- cos'è la legge sulla trasparenza dei dati e sulla protezione della privacy del Rhode Island (RIDTPPA)?
- Termini e definizioni chiave del RIDTPPA
- Cosa prevede la legge sulla trasparenza dei dati e sulla protezione della privacy del Rhode Island?
- Requisiti della legge sulla trasparenza dei dati e sulla protezione della privacy del Rhode Island
- Legge sulla trasparenza dei dati e sulla protezione della privacy del Rhode Island rispetto ad altri Stati: Somiglianze e differenze
- Che impatto avrà il RIDTPPA sui consumatori?
- A chi si applica il RIDTPPA?
- Che impatto avrà il RIDTPPA sulle imprese?
- Chi deve rispettare la nuova legge sulla privacy del Rhode Island?
- Come verrà applicato il RIDTPPA?
- Multe e sanzioni ai sensi della legge sulla trasparenza dei dati e sulla protezione della privacy del Rhode Island
- In che modo Termly può contribuire alla conformità al RIDTPPA?
- Esistono altre leggi sulla privacy nel Rhode Island?
- Riassunto
cos'è la legge sulla trasparenza dei dati e sulla protezione della privacy del Rhode Island (RIDTPPA)?
Il Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA) è la legge sulla privacy dei dati dei consumatori recentemente approvata dallo Stato.
La legge protegge il modo in cui le informazioni personali dei residenti del Rhode Island vengono raccolte, elaborate e utilizzate da enti esterni e garantisce agli individui vari diritti sui loro dati.
La legge stabilisce anche delle sanzioni in caso di non conformità.
Data di entrata in vigore del RIDTPPA
La nuova legge sulla privacy del Rhode Island entrerà in vigore il 1° gennaio 2026.
Termini e definizioni chiave del RIDTPPA
Per aiutarvi a rispettare la RIDTPPA, ho incluso alcuni termini chiave della legge con le loro definizioni precise:
Quando uso questi termini in questa guida, lo faccio tenendo conto di queste definizioni.
Cosa prevede la legge sulla trasparenza dei dati e sulla protezione della privacy del Rhode Island?
Il RIDTPPA riguarda i dati personali dei residenti del Rhode Island.
Non copre le persone dello Stato che agiscono in un contesto lavorativo o commerciale.
Requisiti della legge sulla trasparenza dei dati e sulla protezione della privacy del Rhode Island
Nella prossima sezione, riassumo alcuni requisiti chiave delineati dalla legge sulla trasparenza dei dati e sulla protezione della privacy del Rhode Island.
Base giuridica per il trattamento dei dati
Per raccogliere, memorizzare o vendere legittimamente i dati personali ai sensi del RIDTPPA, i siti web commerciali o i fornitori di servizi Internet devono comunicare agli utenti tutti i dati raccolti in una posizione ben visibile sul loro sito web.
Tuttavia, per trattare i dati sensibili, è necessario ottenere il consenso attivo del cliente.
Consenso
Il RIDTPPA richiede il consenso per la raccolta e l'elaborazione di informazioni o dati personali sensibili di bambini conosciuti.
La legge definisce il consenso come:
- Libero
- Affermativo
- Liberamente dato
- Specifico
- Informato
- Inequivocabile
Il consenso può includere una dichiarazione scritta con mezzi elettronici, ma non può comportare il passaggio del mouse, il muting, la messa in pausa o la chiusura di un contenuto o qualsiasi accordo ottenuto attraverso schemi oscuri.
Obblighi contrattuali con i Responsabili del trattamento
Secondo il RIDTPPA, tra tutti gli incaricati del trattamento dei dati e i responsabili del trattamento deve esistere un contratto in cui siano indicati i seguenti elementi:
- Assicurarsi che ogni persona che tratta i dati sia soggetta al dovere di riservatezza;
- Su indicazione del responsabile del trattamento, richiedere all'incaricato del trattamento di cancellare o restituire tutti i dati al termine del servizio, a meno che la conservazione non sia richiesta dalla legge;
- Su richiesta del responsabile del trattamento, mettere a disposizione tutte le informazioni per dimostrare la conformità dell'incaricato al RIDTPPA;
- Gli incaricati del trattamento devono assicurarsi che i subappaltatori siano soggetti a un contratto scritto che delinei questi stessi obblighi, ma che dia al responsabile del trattamento la possibilità di opporsi al subappaltatore.
- Collaborare con le ragionevoli valutazioni sulla protezione dei dati da parte del responsabile del trattamento o del valutatore designato, se necessario.
Valutazioni sulla protezione dei dati
La valutazione della protezione dei dati deve essere effettuata ai sensi del RIDTPPA per il trattamento dei dati per i seguenti scopi:
- Conduzione di pubblicità mirata
- Dati di vendita
- Profilazione quando presenta rischi ragionevolmente prevedibili di trattamento sleale o ingannevole.
- Trattamento dei dati personali sensibili
È possibile utilizzare un'unica valutazione se ne è già stata effettuata una per soddisfare gli obblighi previsti da altre leggi sulla privacy di portata simile.
Il procuratore generale può richiedere al responsabile del trattamento di rendere disponibile la valutazione della protezione dei dati per la verifica della conformità al RIDTPPA.
Sicurezza e protezione dei dati
Secondo il RIDTPPA, le aziende devono implementare misure di sicurezza per proteggere l'integrità e l'accessibilità di tutti i dati personali raccolti.
Anche se non specifica quali tecniche di sicurezza utilizzare, gli approcci comuni sono:
- Crittografia
- Anonimizzazione
- Controlli di accesso
- Firewall
Legge sulla trasparenza dei dati e sulla protezione della privacy del Rhode Island rispetto ad altri Stati: Somiglianze e differenze
Diversi altri Stati americani hanno approvato leggi sulla privacy dei dati, tra cui le seguenti:
- Legge sulla protezione dei consumatori della California(CCPA) - attualmente in vigore
- Legge sulla privacy del Colorado(CPA) - attualmente in vigore
- Legge sulla privacy dei dati del Connecticut(CTDPA) - attualmente in vigore
- Legge sulla privacy dei dati personali del Delaware(DPDPA) - entrata in vigore il 1° gennaio 2025
- Carta dei diritti digitali della Florida(FDBR) - attualmente in vigore
- Legge sulla protezione dei dati dei consumatori dell'Indiana(Indiana CDPA) - in vigore dal 1° gennaio 2026.
- Legge sulla protezione dei dati dei consumatori dell'Iowa(Iowa CDPA) - in vigore dal 1° gennaio 2025
- Legge sulla protezione dei dati dei consumatori del Kentucky(KCDPA) - in vigore dal 1° gennaio 2026
- Legge sulla privacy dei dati dei consumatori del Minnesota(MCDPA) - in vigore dal 31 luglio 2025.
- Legge sulla privacy dei dati dei consumatori del Montana(MCDPA) - in vigore dal 1° ottobre 2024
- Legge sulla privacy dei dati online del Maryland(MODPA) - in vigore dal 1° ottobre 2025
- Legge sulla privacy dei dati del Nebraska(NDPA) - in vigore dal 1° gennaio 2025
- Legge sulla privacy dei dati del New Hampshire(NHDPL) - entrata in vigore il 1° gennaio 2025
- Legge sulla privacy dei dati del New Jersey(NJDPA) - entrata in vigore il 15 gennaio 2025
- Legge sulla privacy dei consumatori dell'Oregon(OCPA) - attualmente in vigore
- Legge sulla protezione delle informazioni del Tennessee(TIPA) - in vigore dal 1° luglio 2025
- Legge sulla privacy e la sicurezza dei dati del Texas(TDPSA) - attualmente in vigore
- Legge sulla privacy dei consumatori dello Utah(UCPA) - attualmente in vigore
- Legge sulla protezione dei dati dei consumatori della Virginia(VCDPA) - attualmente in vigore
Nella tabella seguente è possibile confrontare gli aspetti del RIDTPPA con le altre leggi statunitensi sulla privacy.
| Legge dello Stato | Consenso opt-in per alcuni tipi di trattamento dei dati | Consenso di opt-out per alcuni tipi di trattamento dei dati | Devono presentare agli utenti un'informativa sulla privacy (o una nota). | Richiede valutazioni sulla protezione dei dati | Delinea gli obblighi contrattuali con gli elaboratori di terze parti | Permette di avviare cause civili o azioni private. | Deve rispettare i controlli globali della privacy/le impostazioni di privacy del browser |
| RIDTPPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| CDPA Indiana | ✓ | ✓ | ✓ | ✓ | |||
| CDPA Iowa | ✓ | ✓ | ✓ | ||||
| KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Minnesota CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Montana CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
Che impatto avrà il RIDTPPA sui consumatori?
Il RIDTPPA ha un impatto sui consumatori (chiamati clienti nel testo della legge) concedendo loro i seguenti diritti sui propri dati personali:
- Confermare se un responsabile del trattamento sta trattando i propri dati personali e accedere a tali dati
- Correggere le imprecisioni nei propri dati
- Richiesta di cancellazione dei propri dati personali
- Ottenere una copia portatile dei propri dati personali
- Opt-out del trattamento dei dati per la pubblicità mirata, la vendita di dati o la profilazione
- Accettare la raccolta e l'elaborazione dei propri dati personali sensibili.
A chi si applica il RIDTPPA?
Il RIDTPPA si applica ai residenti del Rhode Island, ma non a chiunque agisca nello Stato in un contesto commerciale o lavorativo.
Che impatto avrà il RIDTPPA sulle imprese?
Oltre alle finalità legali del trattamento dei dati, agli obblighi contrattuali e ad altri requisiti che ho già trattato, il RIDTPPA ha anche un impatto sulla privacy e sulle politiche sui cookie delle aziende.
Che impatto avrà il RIDTPPA sulla mia politica sulla privacy?
Il RIDTPPA influisce sulla vostra politica sulla privacy richiedendo che essa includa i seguenti dettagli:
- Identificare tutte le categorie di dati personali raccolti attraverso il sito web o il servizio online;
- Identificare tutte le terze parti a cui il responsabile del trattamento vende i dati;
- Identificare un indirizzo e-mail attivo o un altro meccanismo online che i clienti possono utilizzare per contattare il responsabile del trattamento;
- Indicare chiaramente se i dati vengono venduti a terzi o elaborati per la pubblicità mirata.
In che modo il RIDTPPA influisce sulla mia politica sui cookie?
Il RIDTPPA influisce sulla vostra politica sui cookie perché la legge dà agli utenti il diritto di rifiutare o di accettare specifici trattamenti di dati che potrebbero comportare l'utilizzo di cookie su Internet.
Ad esempio, i clienti devono dare il loro consenso prima che i dati personali sensibili che li riguardano vengano raccolti ed elaborati e hanno il diritto di rifiutare la vendita o l'elaborazione dei loro dati per la pubblicità mirata.
Assicuratevi di utilizzare una gestione del consenso platform che consenta ai vostri utenti del Rhode Island di esercitare i propri diritti di opt-in e opt-out, e presentate sempre una politica sui cookie aggiornata e accurata.
Chi deve rispettare la nuova legge sulla privacy del Rhode Island?
La vostra azienda deve essere conforme al RIDTPPA se ha scopo di lucro, se conduce attività commerciali nello Stato o se produce beni e servizi destinati ai residenti del RI:
- In un anno solare, controlla o tratta i dati personali di 35.000 clienti, esclusi i dati trattati esclusivamente per completare un'operazione di pagamento, oppure
- In un anno solare, controlla o elabora i dati personali di 10.000 clienti e ricava il 20% o più di entrate lorde dalla vendita di dati personali.
Chi è esente dal RIDTPPA?
Le seguenti entità sono esenti dal rispetto del RIDTPPA:
- Qualsiasi autorità, organo, consiglio, ufficio, commissione, distretto o agenzia dello Stato del RI o delle sue suddivisioni politiche.
- Organizzazioni non profit
- Istituti di istruzione superiore
- Associazioni nazionali di categoria registrate ai sensi del Securities Exchange Act del 1934
- Istituti finanziari soggetti alla legge Gramm-Leach-Bliley (GLBA)
Come possono le aziende prepararsi al RIDTPPA?
Le vostre aziende possono prepararsi al RIDTPPA assicurandovi di aver aggiornato le vostre politiche sui cookie e sulla privacy per tenere conto di tutte le linee guida sulla trasparenza e sulla notifica delineate dalla legge.
Utilizzare una gestione del consenso platform (CMP) sul vostro sito web per consentire ai vostri clienti del Rhode Island di esercitare i loro diritti in materia di privacy, come la rinuncia alla pubblicità mirata o alla vendita dei loro dati.
Infine, l'aggiunta di un modulo per la richiesta di accesso ai dati(DSAR) al vostro sito web vi aiuta a fornire ai clienti un modo semplice per presentare le richieste per ottenere ulteriori diritti.
Come verrà applicato il RIDTPPA?
Il procuratore generale applicherà il RIDTPPA e la violazione di tale legge sarà considerata una pratica ingannevole.
Multe e sanzioni ai sensi della legge sulla trasparenza dei dati e sulla protezione della privacy del Rhode Island
Le aziende che violano il RIDTPPA sono soggette a multe da 100 a 500 dollari per ogni incidente.
Tuttavia, i clienti non hanno diritto a un'azione privata ai sensi della legge.
In che modo Termly può contribuire alla conformità al RIDTPPA?
Termly aiuterà le aziende a semplificare la loro conformità al RIDTPPA assicurando che il nostro generatore di informativa sulla privacy sia aggiornato per soddisfare tutte le linee guida di notifica delineate dalla legge prima che questa diventi esecutiva nel 2026.
Supportato dal nostro team legale e da esperti in materia di privacy dei dati, pone domande a scelta multipla sulla vostra azienda e sulle sue attività di trattamento dei dati.
Crea una polizza personalizzata in base alle vostre risposte.
La nostra gestione del consenso platform (CMP) è anche configurabile per soddisfare i requisiti di opt-out e opt-in descritti nel RIDTPPA.
Include un modulo DSAR gratuito, che semplifica la ricezione delle richieste dei clienti di rispettare i loro diritti alla privacy.
Esistono altre leggi sulla privacy nel Rhode Island?
Nel Rhode Island esistono alcune altre leggi sulla privacy che funzioneranno in tandem con il RIDTPPA, tra cui le seguenti:
- Legge sulla protezione dal furto di identità del 2015: Questa legge delinea le tutele per le informazioni personali in merito alla divulgazione delle violazioni dei sistemi di sicurezza. Richiede l'implementazione di programmi di sicurezza basati sul rischio per prevenire i crimini informatici.
- Consumer Empowerment and Identity Theft Prevention Act del 2006: Questa legge protegge i consumatori anche in caso di violazione dei dati, dando loro il diritto di congelare i rapporti di credito.
Riassunto
Prima che il RIDTPPA entri in vigore nel 2026, assicuratevi che la vostra azienda prenda le misure adeguate per prepararsi alla conformità:
- Aggiungete al vostro sito web o servizio online un' informativa sulla privacy che informi gli utenti su tutti i dati che raccogliete e se e come li condividete con terzi.
- Aggiornate la vostra politica sui cookie per assicurarvi che vengano resi noti tutti i cookie Internet utilizzati, in modo che i vostri clienti del RI possano far valere i loro diritti alla privacy.
- Aggiungete un modulo DSAR al vostro sito web, in modo che i clienti del RI possano facilmente inviare richieste di accesso, correzione o cancellazione dei propri dati personali.
- Utilizzate e firmate un contratto conforme se lavorate con un responsabile del trattamento dei dati.
- Eseguire valutazioni sulla protezione dei dati come necessario per scopi specifici di trattamento dei dati.
Fortunatamente, grazie a soluzioni come Termly generatore di informativa sulla privacy e il CMPla conformità a leggi come il RITDPPA non è mai stata così semplice.
Per saperne di più su chi scrive
Scritto da Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy è un avvocato specializzato in privacy con precedenti esperienze in materia di privacy e cybersecurity nel settore pubblico e privato. In qualità di ex Westin Fellow presso l'iAPP, ha pubblicato diversi articoli, white paper e infografiche e ha condotto, coordinato e moderato webinar e panel, tutti riguardanti la privacy e la tecnologia della privacy negli Stati Uniti. Anokhy ha conseguito un master presso la Carnegie Mellon University e un dottorato in giurisprudenza presso l'università di Pittsburgh. Per saperne di più su chi scrive
