Legge sulla privacy del Colorado (CPA)

Il Colorado è stato il terzo stato americano ad approvare una legge completa sulla privacy dei dati, con la legge sulla privacy del Colorado (CPA). Legge sulla privacy del Colorado (CPA) è stato firmato dal governatore Jared Polis il 7 luglio 2021.

In vigore dal 2023, questa legge del Colorado mira a proteggere la privacy dei residenti nello Stato, garantendo loro il diritto di rifiutare la vendita e l'utilizzo dei dati personali e il diritto di accedere, correggere e cancellare i propri dati.

Il documento delinea i vari requisiti che le aziende coperte devono seguire, come la stesura di una politica sulla privacy e l'utilizzo di valutazioni sulla protezione dei dati per determinate attività di trattamento.

Di seguito, vi riassumo il CPA e vi spiego come influisce sulle aziende, sui consumatori e sulle misure che potete adottare per soddisfare i requisiti di questa legge sulla privacy dello Stato americano.

Che cos'è il Colorado Privacy Act (CPA)?

Il Colorado Privacy Act è una legge per la tutela della privacy dei consumatori che ricalca leggi come la:

• Legge sulla protezione dei dati dei consumatori della Virginia (VCDPA),
• Legge sulla privacy dei consumatori della California (CCPA)
• Legge sui diritti alla privacy della California (CPRA).
• Regolamento generale sulla protezione dei datiGDPR)

Tuttavia, il CPA presenta alcune differenze fondamentali.

In generale, il CPA si applica a tutte le entità (a scopo di lucro e non) che soddisfano determinate soglie relative alla quantità di dati dei consumatori che trattano o controllano. Tuttavia, a differenza della legge sulla protezione dei dati della Virginia, la legge del Colorado non richiede una soglia di fatturato.

In Virginia e in California le organizzazioni non profit sono esenti dalle leggi sulla protezione dei dati, mentre in Colorado non lo sono.

La violazione del CPA è considerata una pratica commerciale ingannevole ai sensi del Colorado Consumer Protection Act.

Termini e definizioni chiave della legge sulla privacy del Colorado

Vediamo come il CPA definisce termini specifici che conosciamo bene grazie alle leggi esistenti sulla privacy.

Controllori

La maggior parte dei nuovi requisiti riguarda i "responsabili del trattamento ": una persona che, da sola o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali.

Il CPA si applica solo ai responsabili del trattamento che svolgono attività commerciali in Colorado o che si rivolgono ai residenti del Colorado con le loro offerte di beni o servizi. Queste aziende devono inoltre soddisfare determinate soglie per essere tenute a rispettare il CPA.

Consumatori

Secondo la CPA, per "consumatori" si intendono i residenti del Colorado che agiscono a titolo individuale o familiare.

Tuttavia, secondo la CPA, gli individui che operano in un contesto commerciale o lavorativo, i candidati al lavoro e i beneficiari di qualcuno che agisce in un contesto commerciale o lavorativo non sono considerati "consumatori".

Dati personali

Il CPA definisce i "dati personali" come qualsiasi informazione collegata a una persona distinguibile e non include i dati de-identificati (dati in cui le informazioni di identificazione personale vengono rimosse) o le informazioni disponibili al pubblico.

Chi deve rispettare la legge sulla privacy del Colorado?

I requisiti del CPA sono applicabili ai controllori che conducono attività commerciali in Colorado o che vendono prodotti/servizi a residenti dello Stato e che soddisfano uno o più dei seguenti requisiti:

• Tratta o controlla i dati personali di più di 100.000 consumatori all'anno
• ricava ricavi o riceve sconti dalla vendita di dati personali e controlla o tratta i dati di almeno 25.000 consumatori

Poiché il CPA definisce la "vendita" come lo scambio di dati personali da parte di un responsabile del trattamento in cambio di denaro o di "qualsiasi altro corrispettivo di valore" a una terza parte, si applica a molte aziende.

L'espressione "altro corrispettivo di valore" è ambigua e aperta all'interpretazione.

La relazione suggerisce che una riduzione del prezzo di prodotti o servizi può essere considerata un corrispettivo di valore, qualificando eventualmente la divulgazione di dati personali come una vendita.

Ad esempio, fornire i propri dati personali a un'azienda che utilizza un software gratuito basato su cloud potrebbe essere classificato come uno sconto. A meno che lo scambio di dati non rientri in una delle eccezioni previste dalla legge per la definizione di "vendita", questo potrebbe essere considerato una vendita di dati personali.

Chi è esente dalla legge sulla privacy del Colorado?

Sebbene le organizzazioni non profit non siano esenti dal CPA, la legge del Colorado prevede altre esenzioni.

Ad esempio, la CPA non si applica ai dati personali conservati dall'azienda per scopi commerciali (b2b) o di impiego, né ai dati dei candidati al lavoro e ai dati relativi a un beneficiario di qualcuno che agisce in un contesto di impiego.

Come il CCPA, anche il CPA non si applica alle informazioni sanitarie protette.

Inoltre, la conformità alla legge del Colorado non è obbligatoria per tutte le aziende o società. Ad esempio, le aziende che non raggiungono le soglie sopra indicate - essenzialmente quelle che non trattano annualmente i dati di un numero sufficiente di residenti del Colorado - sono esenti.

Anche le seguenti organizzazioni sono esenti dalla legge sulla privacy del Colorado:

• Compagnie aeree
• Servizi pubblici
• Organizzazioni che trattano dati personali de-identificati
• Organizzazioni che elaborano dati per le registrazioni dei dipendenti
• Organizzazioni che elaborano dati per le leggi sull'assicurazione sanitaria del Colorado
• Organizzazioni che rientrano nell'ambito dell'Health Insurance Portability and Accountability Act (legge sulla portabilità delle assicurazioni sanitarie).
• Organizzazioni governative del Colorado
• Organizzazioni che sono soggette al Fair Credit Reporting Act (Legge sulle segnalazioni di credito)
• Organizzazioni che rientrano nel Family Educational Rights and Privacy Act (Legge sui diritti educativi e sulla privacy delle famiglie)
• Istituzioni finanziarie che rientrano nella legge Gramm-Leach-Bliley
• Organizzazioni che rientrano nel Children›s Online Privacy Protection Act (Legge sulla protezione della privacy online dei bambini)
• Agenzie di segnalazione dei consumatori
• Istituti di istruzione superiore

Diritti dei consumatori ai sensi della legge sulla privacy del Colorado

I diritti previsti dalla legge del Colorado sono sostanzialmente identici a quelli previsti dal VCDPA o dal CCPA e comprendono i seguenti.

Rinuncia al trattamento dei dati

Il consumatore ha il diritto di opporsi al trattamento dei dati personali che lo riguardano ai fini di:

• Pubblicità mirata
• Vendita di dati personali
• Profilazione a sostegno di decisioni che producono effetti giuridici o di analoga rilevanza su un consumatore

Una decisione che produce un effetto legale o similmente significativo può influire sullo status giuridico o sui diritti legali di una persona o ha un impatto equivalente sulle circostanze, sul comportamento o sulle scelte di un individuo. In casi estremi, potrebbe escludere o discriminare la persona interessata.

Esempi di tale profilazione possono includere:

• L'analisi dei dati personali per prevedere i comportamenti individuali relativi allo stato finanziario, alla salute, alle preferenze personali, all'istruzione, all'occupazione, all'alloggio, all'assicurazione o all'accesso ai beni di prima necessità.

La legge del Colorado impone ai responsabili del trattamento di stabilire un metodo semplice per consentire ai consumatori di far valere i propri diritti. Tale metodo deve essere inserito nell'informativa sulla privacy dell'azienda e in una posizione facilmente accessibile al di fuori di tale informativa.

Il procuratore generale del Colorado ha inoltre fornito i requisiti tecnici per un meccanismo di opt-out universale che si applica sia alla vendita di dati che alla pubblicità mirata.

Accesso ai dati personali

I consumatori hanno il diritto di sapere se un'azienda controlla e tratta i loro dati. Se una determinata azienda tratta dati personali, il consumatore ha il diritto di accedere a tali dati.

Correggere eventuali dati errati

I consumatori del Colorado hanno il diritto di correggere le inesattezze dei dati raccolti su di loro.

Cancellare i dati personali

I consumatori del Colorado hanno il diritto di cancellare i dati personali che li riguardano.

Ricevere dati personali attraverso mezzi portatili

I consumatori hanno il diritto di ricevere i propri dati in un formato portatile e facile da usare, che consenta loro di condividerli con terzi, se necessario.

I responsabili del trattamento sono inoltre tenuti a consentire ai consumatori di utilizzare un "meccanismo di opt-out universale selezionato dall'utente". Il CPA riconosce i controlli globali sulla privacy come un modo valido per rinunciare alla vendita di dati personali per le aziende che accumulano dati privati dei consumatori su Internet.

Rispetto delle richieste degli interessati

Dovete rendere facile per i clienti contattarvi e rispondere prontamente alle loro richieste.

Questo può essere un compito che richiede molto tempo per le organizzazioni più piccole, soprattutto se queste pratiche non sono automatizzate e i dati aziendali vengono archiviati in varie sedi.

Tuttavia, secondo la legge del Colorado, è necessario sviluppare meccanismi per accettare, tracciare, verificare e onorare le richieste dei consumatori in modo che possano esercitare i loro diritti di accesso, correzione e cancellazione.

Come viene applicata la legge sulla privacy del Colorado?

La legge sulla privacy del Colorado è applicata dal Procuratore Generale del Colorado e dai procuratori distrettuali.

Come la legge sulla privacy della Virginia, la CPA non offre un diritto di azione distinto per i consumatori. Prima di qualsiasi azione esecutiva, l'attorney general o il district attorney devono emettere un avviso di violazione al responsabile del trattamento se si ritiene possibile un rimedio.

Il controllore ha a disposizione 60 giorni per esaminare una presunta violazione e porvi rimedio. Questo periodo è noto come "periodo di cura".

Tuttavia, questo periodo di cura di 60 giorni cesserà di esistere dopo il 18 gennaio 2025.

Sanzioni e multe previste dalla legge sulla privacy del Colorado

La violazione della CPA è considerata una pratica commerciale ingannevole.

Le sanzioni rientrano nell'ambito del Colorado Consumer Protection Act e vanno da 2.000 a 20.000 dollari per violazione.

Le violazioni della legge sulla protezione dei consumatori del Colorado possono portare anche a responsabilità penali.

Requisiti della legge sulla privacy del Colorado

Per essere sempre conformi alla CPA, assicuratevi di seguire questi importanti passaggi:

Mappare i dati

Se avete stabilito che la vostra azienda non è esente dal Colorado Privacy Act, mappate i vostri dati per assicurarvi di capire come i dati fluiscono all'interno della vostra organizzazione.

Dovete capire quali dati state trattando e per quale scopo per soddisfare le richieste degli interessati e determinare per quanto tempo dovrete conservare tali dati nei vostri sistemi.

La mappatura dei dati è un processo continuo, pertanto è necessario effettuare revisioni periodiche dei dati personali trattati e aggiornare la documentazione di conseguenza.

Si consiglia vivamente di documentare sempre per iscritto le attività di trattamento in modo granulare, con collegamenti tra le diverse informazioni. Per essere sempre conformi, dovrete capire da dove provengono le vostre informazioni e come vengono utilizzate.

Aggiornare l'informativa sulla privacy

Per conformarsi al CPA, dovete rivedere e aggiornare le vostre politiche sulla privacy per includere le attività di trattamento dei dati personali, i diritti a disposizione dei consumatori e identificare i meccanismi per l'esercizio di tali diritti da parte dei consumatori.

Utilizzate Termlygeneratore di informativa sulla privacy se avete bisogno di aiuto per creare una politica che sia in linea con gli obblighi di notifica della CPA.

Eseguire valutazioni sulla protezione dei dati

Si raccomanda alle aziende di effettuare regolarmente valutazioni sulla protezione dei dati.

Queste valutazioni devono valutare il modo in cui l'azienda utilizza ed elabora le informazioni private e, soprattutto, i rischi connessi al trattamento di tali dati.

Alcune aziende sono tenute a eseguire queste valutazioni ai sensi del CPA, soprattutto se trattano molti dati o informazioni personali sensibili.

Implementare un meccanismo di opt-out universale.

Gli utenti devono poter rinunciare alla vendita delle loro informazioni personali utilizzando un meccanismo universale di opt-out, come il Global Privacy Controls.

A partire dal 1° luglio 2024, le aziende dovranno implementare un meccanismo di opt-out universale scelto dall'utente per soddisfare i requisiti tecnici previsti dalla legge del Colorado.

Anche l'implementazione di un meccanismo di consenso per la raccolta di dati sensibili dai consumatori è fondamentale.

I controllori che raccolgono dati sensibili dagli utenti devono ottenere un'approvazione certificata ed esplicita.

Inoltre, la legge sulla privacy del Colorado stabilisce che il consenso non implica l' approvazione dei termini di utilizzo generali termini di utilizzo, l'uso di schemi o sovrapposizioni oscure, il silenzio, l'arresto o la disattivazione dei contenuti.

Pertanto, potrebbe essere necessario sviluppare un'azione esplicita e affermativa con la quale il consumatore esprime il proprio consenso al trattamento dei dati personali.

La pagina web, l'applicazione o altri mezzi con cui un responsabile del trattamento ottiene il consenso del consumatore al trattamento dei dati personali a fini di pubblicità mirata o di vendita di dati personali devono anche consentire al consumatore di revocare il consenso con la stessa facilità con cui viene fornito.

Nominare un responsabile della protezione dei dati

Nominate un responsabile della protezione dei dati che conduca programmi di formazione regolari per garantire che i dipendenti siano in grado di gestire le richieste dei consumatori in modo tempestivo e coerente, soddisfacendo i requisiti della CPA.

Il responsabile della protezione dei dati si assicurerà anche che la politica sulla privacy della vostra azienda sia pienamente conforme alla legge.

Come rispettare la legge sulla privacy del Colorado

La legge sulla privacy del Colorado incide profondamente sulle aziende e cercare di orientarsi in questa complessa rete di regole può risultare complicato.

Noi di Termly ci concentriamo sulla regolamentazione della privacy dei dati e sulle migliori pratiche aziendali per il moderno professionista digitale, rendendo la conformità a queste normative più semplice ed economica.

Offriamo ai nostri utenti una selezione di generatori di politiche legali - che includono politiche sulla privacy, termini e condizioni, disclaimer, politiche sui cookie, politiche sui resi e politiche di spedizione - e un gestore diconsenso ai cookie per aiutare le aziende ad allinearsi con la CPA e altro ancora.

Contattate il nostro team oggi stesso per aiutarvi a mettere la vostra azienda sulla strada giusta.

Per saperne di più su chi scrive

Scritto da Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha è una specialista in sicurezza delle informazioni e trattamento dei dati nonché Certified Data Protection Officer. Negli ultimi sei anni ha lavorato come Data Protection Officer, aiutando piccole e medie imprese a raggiungere la conformità legale. È stata anche mentore della conformità alla privacy per molti acceleratori d'impresa internazionali. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD). Ha studiato Legge all'Università di Belgrado e superato l'esame di abilitazione alla professione forense nel 2016. Per saperne di più su chi scrive