La legge sulla privacy dei dati dei consumatori del Connecticut, la Connecticut Personal Data Privacy and Online Monitoring Act(CTDPA), è stata concepita per proteggere la privacy dei consumatori e garantire loro un maggiore accesso ai propri dati online.
Di seguito, fornisco una panoramica della legge sulla privacy dei dati del Connecticut e spiego come si differenzia dalle analoghe leggi statunitensi sulla privacy dei dati e come può influire sulla vostra attività.
- cos'è la legge sulla privacy dei dati personali e sul monitoraggio online del Connecticut?
- Che cosa copre il CTDPA?
- Che cosa richiede il CTDPA?
- Confronto con altre leggi statali
- Qual è l'impatto del CTDPA sui consumatori?
- Qual è l'impatto del CTDPA sulle imprese?
- Chi deve rispettare il CTDPA?
- Come possono le aziende conformarsi al CTDPA?
- Come verrà applicato il CTDPA?
- Multe e sanzioni ai sensi del CTDPA
- Come aiuta Termly
cos'è la legge sulla privacy dei dati personali e sul monitoraggio online del Connecticut?
I legislatori hanno progettato la legge sulla privacy dei dati del Connecticut per proteggere la privacy dei consumatori del Connecticut sui loro dati online e per dare ai consumatori del Connecticut un maggiore controllo su chi utilizza i loro dati.
Ai sensi del CTDPA, i consumatori del Connecticut hanno il diritto di:
- Richiedere informazioni sul trattamento dei propri dati
- Rifiutare il trattamento dei propri dati per determinate attività di elaborazione, come ad esempio la pubblicità mirata.
- Ottenere copie portatili dei propri dati
- Richiedere la correzione dei propri dati
Sebbene la legge sulla privacy dei dati dei consumatori del Connecticut non sia così favorevole alle imprese come quella dello Utah, non si applica a tutti i tipi di entità e di dati, evitando che il CTDPA diventi troppo esigente nei confronti delle imprese.
Che cosa copre il CTDPA?
Il CTDPA si applica ai dati personali di un consumatore e regolamenta le entità che sono responsabili o incaricati del trattamento dei dati personali.
In base alla legge sulla privacy dei consumatori del Connecticut a:
- L'incaricato del trattamento è "una persona fisica o giuridica che tratta dati personali per conto di un responsabile del trattamento".
- Il responsabile del trattamento è "una persona fisica o giuridica che, da sola o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali".
Come il CTDPA definisce il consumatore?
La legge sulla privacy dei consumatori del Connecticut limita chi si qualifica come consumatore.
La legge definisce in generale il consumatore come un residente del Connecticut, ma esclude gli individui che agiscono in determinati contesti, ad esempio in ambito lavorativo o commerciale.
In che modo il CTDPA definisce i dati personali?
Secondo la CTDPA, i dati personali sono definiti come "qualsiasi informazione collegata o ragionevolmente collegabile a un individuo identificato o identificabile".
Tuttavia, la legge non copre i dati de-identificati e le informazioni disponibili al pubblico, che definisce in modo ampio.
Secondo il CTDPA, le "informazioni disponibili al pubblico" non si limitano alle informazioni rese disponibili da enti governativi, ma comprendono anche le informazioni rese pubbliche da singoli individui su mezzi di comunicazione ampiamente diffusi, come i social media.
I responsabili del trattamento dei dati devono comunque avere una base ragionevole per credere che le persone abbiano reso pubbliche le loro informazioni.
Quali sono gli elaboratori e i controllori coperti dal CTDPA?
Per rientrare nel campo di applicazione del CTDPA, le imprese devono soddisfare entrambe le seguenti condizioni:
- Si svolge un'attività commerciale nel Connecticut, o la propria azienda rivolge i propri servizi o prodotti ai residenti del Connecticut.
- Nell'anno solare precedente, la vostra azienda ha:
- ha trattato o controllato i dati personali di 100.000 o più consumatori
- Elaborazione o controllo dei dati personali di 25.000 o più consumatori se la vostra azienda ha ottenuto più del 25% delle entrate totali attraverso la vendita di dati personali.
- Questo requisito non include "i dati personali controllati o trattati al solo scopo di completare un'operazione di pagamento").
Tuttavia, alcune entità che soddisfano entrambe le condizioni sono ancora esenti dalla legge sulla privacy del Connecticut, come ad esempio:
- Istituti di istruzione superiore
- Organizzazioni non profit
- Appaltatori governativi che elaborano dati per il governo
- Entità soggette al Gramm-Leach-Bliley Act del 1999 ("GLBA") o all'Health Insurance Portability and Accountability Act del 1996 ("HIPAA")
Che cosa richiede il CTDPA?
La CTDPA ha due requisiti principali:
- Proteggere la privacy dei dati del consumatore e
- Dare ai consumatori la possibilità di limitare l'uso dei loro dati.
Ciò si ottiene attraverso altri requisiti di legge, che includono misure di sicurezza, contratti conformi e altro ancora.
Misure di sicurezza
Ai sensi della legge sulla privacy dei consumatori del Connecticut, i responsabili del trattamento devono implementare e mantenere misure di sicurezza per proteggere la privacy dei dati personali dei consumatori.
Il CTDPA richiede solo che le misure di sicurezza siano ragionevoli.
Tuttavia, misure di sicurezza diverse possono essere "ragionevoli" in varie circostanze, a seconda che si tratti di un'azienda piccola o grande, della natura dei dati personali e del volume dei dati personali.
Contratti
Il CTDPA prevede che tra il responsabile del trattamento e l'incaricato del trattamento esista un contratto scritto con determinate disposizioni, tra cui le seguenti:
- Istruzioni per l'elaborazione dei dati
- Il tipo di dati da elaborare
- Informazioni specifiche sul tipo di trattamento che verrà effettuato e per quale scopo
- La durata del trattamento
Diritti di richiesta
Oltre a richiedere ai responsabili del trattamento e agli incaricati del trattamento di proteggere la privacy dei consumatori, la legge sulla privacy del Connecticut offre a questi ultimi diversi modi di interagire con un responsabile del trattamento o un incaricato del trattamento per controllare e accedere ai propri dati, compreso il diritto di fare determinate richieste a un responsabile del trattamento o a un incaricato del trattamento.
Il controllore determina il modo in cui un consumatore può effettuare una richiesta e le richieste possono riguardare quanto segue:
- I consumatori possono scoprire se i loro dati vengono trattati.
- I consumatori possono ottenere l'accesso ai propri dati e, se possibile, una copia portatile.
- I consumatori hanno il diritto di chiedere la correzione di eventuali inesattezze relative ai loro dati.
- I consumatori possono richiedere la cancellazione dei propri dati.
- I consumatori hanno il diritto di non partecipare alla pubblicità mirata o alla vendita o al trattamento dei loro dati in determinate circostanze.
Autenticazione delle richieste
Dopo aver ricevuto la richiesta, il responsabile del trattamento deve tentare di autenticarla con sforzi ragionevoli. Se il responsabile del trattamento non è in grado di autenticare la richiesta, non è tenuto ad accoglierla.
Tuttavia, la legge prevede un'eccezione: I responsabili del trattamento non sono tenuti ad autenticare le richieste di opt-out.
Nel tentativo di autenticare una richiesta, il responsabile del trattamento deve effettuare una delle seguenti operazioni senza "indebito ritardo" e non oltre 45 giorni dalla richiesta:
- Intervenire: Potete accogliere o respingere la richiesta e dovete informare il consumatore della vostra azione con una spiegazione. Se la richiesta viene respinta, è necessario fornire informazioni sui diritti di ricorso del consumatore. Se negate una richiesta diversa da quella di opt-out perché non potete autenticarla, dovete informare il consumatore che non è stato possibile autenticarla. Inoltre, dovete informarlo che non accoglierete la sua richiesta fino a quando non riceverete le informazioni aggiuntive ragionevolmente necessarie per autenticarla.
- Proroga: È possibile richiedere una proroga di 45 giorni per rispondere se la proroga è ragionevolmente necessaria. Il fatto che una proroga sia "ragionevolmente necessaria" dipende dal numero di richieste presentate dal consumatore e dalla loro complessità. Se si richiede una proroga, è necessario informare il consumatore entro questo periodo di 45 giorni e spiegare il motivo per cui è necessaria la proroga.
Tasse
Il CTDPA richiede che il cliente risponda gratuitamente alle richieste dei consumatori.
Tuttavia, in situazioni particolari sono ammesse commissioni per rispondere a una richiesta del consumatore, ma anche in questo caso il prezzo può coprire solo i costi amministrativi ragionevoli per rispondere alla richiesta.
Per applicare una tariffa, dovete essere in grado di dimostrare quanto segue:
- Il consumatore ha già presentato almeno un'altra richiesta nei 12 mesi precedenti.
- Le richieste del consumatore sono "manifestamente infondate, eccessive o ripetitive".
Infine, il consumatore ha il diritto di presentare ricorso contro il rifiuto della sua richiesta e il responsabile del trattamento deve rispondere per iscritto al ricorso entro 60 giorni. Se il responsabile del trattamento nega il ricorso, deve fornire al consumatore un meccanismo online o altri mezzi per contattare il procuratore generale.
Avviso ai consumatori e diritto di recesso
Il CTDPA impone ai soggetti coperti di dare ai consumatori il diritto di rinunciare al trattamento dei loro dati per alcuni scopi. Inoltre, le imprese sono tenute a fornire un avviso con informazioni sul trattamento dei dati.
Il CTDPA prevede che le aziende interessate diano ai consumatori il diritto di rinunciare al trattamento dei loro dati personali per:
- Pubblicità mirata
- Vendere i dati personali del consumatore
- Profilazione in determinate circostanze
Si noti che a partire dall'entrata in vigore della legge, il diritto di opt-out deve essere un link "chiaro e visibile" sul sito web dell'azienda.
Il 1° gennaio 2025, i diritti di opt-out sono diventati ancora più ampi.
Un responsabile del trattamento deve riconoscere il "segnale di preferenza di opt-out" universale di un consumatore. Il CTDPA richiede che un'entità coperta fornisca al consumatore i mezzi per revocare il consenso anche dopo che il consumatore lo ha dato. Una volta che il consumatore revoca il consenso, l'azienda deve interrompere il trattamento dei dati entro 15 giorni dal ricevimento della revoca.
Avviso sulla privacy ai consumatori
Inoltre, un'entità soggetta alla legge sulla privacy dei dati del Connecticut deve fornire un avviso con informazioni su quanto segue:
- Le categorie di dati personali trattati
- Finalità del trattamento dei dati personali
- Come i consumatori possono esercitare i loro diritti, compreso il diritto di ricorso
- Il tipo di dati personali condivisi con terze parti e le informazioni relative alle terze parti
- Un modo in cui il consumatore può contattare il responsabile del trattamento online
Dati sui bambini
Il CTDPA incorpora il Children's Online Privacy Protection Act (COPPA). Se un consumatore è noto per essere un bambino secondo la definizione del COPPA (di età inferiore ai 13 anni), il suo genitore o tutore legale deve fornire un consenso verificabile prima che un'azienda possa trattare le informazioni del bambino.
La legge sulla privacy del Connecticut estende questo requisito anche ai minori di 16 anni.
Confronto con altre leggi statali
Il Connecticut è il quinto Stato a emanare una legge sulla privacy dei dati dei consumatori. Diversi altri Stati degli USA - California, Colorado, Utahe Virginia - hanno ciascuno una legge sulla privacy dei dati dei consumatori che varia leggermente.
Fortunatamente, la legge sulla privacy dei consumatori del Connecticut ha molti punti in comune con altre leggi statali, quindi se la legge sulla privacy dei consumatori di un altro Stato si applica già alla vostra attività, potreste già essere ampiamente in regola con la legge del Connecticut.
Tuttavia, le leggi di ogni Stato sono leggermente diverse, il che fa sì che le imprese si trovino ad affrontare una rete crescente di normative statali diverse, un problema che i rappresentanti delle imprese hanno sollevato davanti alla legislatura del Connecticut.
Per vedere le differenze tra queste leggi, consultate la tabella di confronto qui sotto:
| Legge sulla privacy dei dati personali e sul monitoraggio online del Connecticut | California Consumer Privacy Act | Legge sulla privacy del Colorado | Legge sulla privacy dei consumatori dello Utah | Legge sulla protezione dei dati dei consumatori della Virginia | |
| Soglie di fatturato aziendale | Nessun importo in dollari specifico per le entrate | Può essere un'azienda coperta con un fatturato minimo di 25 milioni di dollari, senza necessità di soddisfare ulteriori criteri. | Nessun importo in dollari specifico per le entrate | Le aziende devono avere almeno 25 milioni di dollari di fatturato e soddisfare ulteriori criteri | Nessun importo in dollari specifico per le entrate |
| Esclusioni per i dati aggregati e de-identificati | Solo dati de-identificati | Entrambi | Solo dati de-identificati | Entrambi | Solo dati de-identificati |
| Cosa si intende per "vendita" di dati | Lo scambio di qualcosa di valore, ma non necessariamente di denaro. | Lo scambio di qualcosa di valore, ma non necessariamente di denaro. | Lo scambio di qualcosa di valore, ma non necessariamente di denaro. | Lo scambio monetario, come il pagamento di denaro o la firma di un assegno, è un "must". Altre considerazioni non valgono come vendita. | Lo scambio monetario, come il pagamento di denaro o la firma di un assegno, è un "must". Altre considerazioni non contano come vendita |
| Diritti di opt-in e opt-out per i dati sensibili | I responsabili del trattamento devono ottenere il consenso prima di trattare dati sensibili come quelli relativi all'origine razziale o etnica o allo status di immigrato. | Non prevede regole diverse per le informazioni sensibili | I responsabili del trattamento devono ottenere il consenso prima di trattare i dati sensibili | I consumatori possono rinunciare al trattamento dei loro dati sensibili, ma i responsabili del trattamento non sono tenuti a ottenere il loro consenso prima di trattare i dati. | I responsabili del trattamento devono ottenere il consenso del consumatore prima di trattare i dati sensibili. |
| Accesso dei consumatori ai segreti commerciali durante le richieste | I consumatori non possono accedere ai segreti commerciali | I consumatori non possono accedere ai segreti commerciali | I consumatori non possono accedere ai segreti commerciali | I consumatori non possono accedere ai segreti commerciali | I consumatori possono accedere ai segreti commerciali |
| Diritti di ricorso dei consumatori | I consumatori possono appellarsi al rifiuto di una richiesta del consumatore da parte dell'elaboratore. | I consumatori possono appellarsi al rifiuto di una richiesta del consumatore da parte dell'elaboratore. | I consumatori possono appellarsi al rifiuto di una richiesta del consumatore da parte dell'elaboratore. | Nessun diritto di appello | I consumatori possono appellarsi al rifiuto di una richiesta del consumatore da parte dell'elaboratore. |
| Diritti di opt-out dalla profilazione | Alcuni profili | Sì | Alcuni profili | No | Sì |
| I consumatori possono richiedere la correzione dei loro dati | Sì | Sì | Sì | No | Sì |
| Diritto di azione privata | No, solo il procuratore generale dello Stato può intentare un'azione legale per far rispettare la legge. | Sì, i consumatori possono presentare le proprie azioni in tribunale per far rispettare la legge. | No, solo il procuratore generale dello Stato può intentare un'azione legale per far rispettare la legge. | No, solo il procuratore generale dello Stato può intentare un'azione legale per far rispettare la legge. | No, solo il procuratore generale dello Stato può intentare un'azione legale per far rispettare la legge. |
| Il consumatore può richiedere la cancellazione dei dati personali | Sì | Sì | Sì | Sì | No |
Qual è l'impatto del CTDPA sui consumatori?
Un'indagine condotta da KPMG nel 2021 ha riportato che l'86% degli americani considera la privacy dei dati una preoccupazione crescente. Analogamente, un sondaggio Pew sull'argomento ha rilevato che oltre l'80% degli americani si sente a disagio per la mancanza di controllo sui propri dati.
Il CTDPA affronta questi problemi in diversi modi:
- Le entità coperte dovranno stabilire maggiori misure di sicurezza per proteggere la privacy dei dati dei consumatori.
- I consumatori del Connecticut potranno richiedere di saperne di più su come le aziende utilizzano i loro dati personali.
- I consumatori del Connecticut potranno richiedere la cancellazione dei propri dati in alcuni casi
- I consumatori del Connecticut avranno il diritto di non partecipare al trattamento dei loro dati per alcuni scopi.
Qual è l'impatto del CTDPA sulle imprese?
Il CTDPA può richiedere alle imprese interessate un notevole esborso finanziario. A titolo di esempio, prima dell'approvazione della legge californiana sulla privacy dei dati dei consumatori, un rapporto economico stimava che le aziende interessate dalla legge avrebbero speso 55 miliardi di dollari in costi iniziali di conformità.
Tuttavia, molte aziende potrebbero essere già ampiamente in regola, a seconda che svolgano la loro attività in uno degli altri quattro Stati con leggi simili sulla privacy dei consumatori.
Si noti che queste leggi variano leggermente, quindi se la vostra azienda ha già apportato modifiche per conformarsi alle leggi di uno di questi Stati, dovrete cercare ulteriori requisiti ai sensi del CTDPA.
Poiché la legge non entrerà in vigore prima del luglio 2023 e non sarà applicata fino al 2025, avete tempo per prepararvi all'impatto significativo di questa legge.
D'altro canto, le imprese interessate possono trarre alcuni vantaggi dal CTDPA. Ad esempio, dato che un numero sempre maggiore di modelli di business prevede la raccolta di dati dei consumatori, il rispetto delle leggi sulla privacy può rappresentare un vantaggio netto per i consumatori.
Chi deve rispettare il CTDPA?
Le entità che si qualificano come responsabili o incaricati del trattamento devono rispettare il CTDPA. Siete tenuti a rispettare il CTDPA se soddisfate queste due condizioni:
- Svolgete attività commerciali nel Connecticut o rivolgete servizi o prodotti ai residenti del Connecticut.
- Nell'anno solare precedente, la vostra azienda ha trattato o controllato 100.000 o più dati personali di consumatori - o 25.000 o più se la vostra azienda ha ottenuto più del 25% delle entrate totali attraverso la vendita di dati personali. Questo non include, tuttavia, "i dati personali controllati o elaborati al solo scopo di completare una transazione di pagamento".
Ci sono esenzioni?
Sì, la legge sulla privacy del Connecticut prevede delle esenzioni. Le seguenti entità non si qualificano come responsabili o incaricati del trattamento:
- Entità che elaborano dati come appaltatori governativi
- Organizzazioni non profit
- Istituti di istruzione superiore
Come possono le aziende conformarsi al CTDPA?
Ecco alcune cose fondamentali da fare per prepararsi al CTDPA:
- Stabilire misure di sicurezza per proteggere la privacy dei consumatori o rivedere le misure esistenti per garantire che soddisfino i requisiti del CTDPA.
- stipulare con il vostro incaricato del trattamento o responsabile del trattamento contratti che soddisfino il CTDPA o modificare i contratti esistenti.
- Redigere avvisi sulla privacy e sviluppare meccanismi di opt-out.
- Creare politiche e procedure per rispondere alle richieste dei consumatori.
Come verrà applicato il CTDPA?
Solo il procuratore generale del Connecticut può avviare un'azione legale per violazione del CTDPA. La legge non prevede un diritto di azione privata, quindi i consumatori non possono intentare cause per conto proprio.
Il CTDPA prevede che, prima del 1° gennaio 2025, il procuratore generale debba concedere alle imprese un periodo di grazia di 60 giorni per sanare eventuali violazioni prima di avviare un'azione esecutiva. Tuttavia, a partire dal 1° gennaio 2025, il procuratore generale ha la possibilità di concedere alle imprese un periodo di grazia di 60 giorni per sanare le violazioni, ma la legge non lo obbliga più a farlo.
Nel determinare se concedere un periodo di grazia a un'azienda, il CTDPA prevede che il procuratore generale consideri diversi fattori, tra cui il numero di violazioni, le dimensioni e la complessità dell'azienda e la causa della violazione.
Multe e sanzioni ai sensi del CTDPA
Una violazione della legge sulla privacy del Connecticut è una pratica commerciale sleale ai sensi della legge sulle pratiche commerciali sleali del Connecticut.
Le possibili sanzioni che il procuratore generale potrebbe cercare di imporre includono:
- Fino a 5.000 dollari per violazione intenzionale
- Rimedi equi, tra cui la restituzione, la svalutazione e l'ingiunzione.
Affinché un'azienda possa essere sanzionata ai sensi del CTDPA, il procuratore generale deve vincere un'azione di applicazione in tribunale.
Come aiuta Termly
La legge sulla privacy del Connecticut è la più recente aggiunta alle leggi sulla privacy dei consumatori promulgate negli Stati Uniti. Poiché sempre più Stati approvano leggi a tutela dei consumatori, le aziende che controllano o elaborano i dati dei consumatori devono valutare le loro pratiche di privacy.
Sebbene le leggi statali siano simili, non sono identiche. In assenza di una legislazione federale completa, molte aziende dovranno conformarsi a un numero crescente di leggi statali diverse sulla privacy dei consumatori.
È possibile utilizzare risorse come il generatore di informativa sulla privacy e la gestione del consenso diTermly. gestione del consenso Platform per semplificare il rispetto dei requisiti del CTDPA e di altre leggi.
Per saperne di più su chi scrive
Scritto da Ali Talip Pınarbaşı, CIPP/E, & LLM
Ali è avvocato specializzato in diritto della privacy con sede a Londra. Ha conseguito un Master in diritto della privacy dell’UE al King’s College di Londra. Ha sei anni di esperienza nel fornire consulenza alle aziende su come conformarsi alle normative sulla protezione dei dati. Per saperne di più su chi scrive
