Il 9 maggio 2024 il governatore del Maryland ha firmato una legge completa sulla privacy dei dati, denominata Maryland Online Data Protection Act(MODPA).
La legge prevede un'ampia soglia legale, requisiti rigorosi per il trattamento dei dati e disposizioni uniche per quanto riguarda la minimizzazione dei dati e la raccolta e il trattamento di informazioni personali sensibili.
In questa guida vi illustrerò ogni parte di questa legge, i suoi requisiti, il suo impatto sulle imprese e sui consumatori e altro ancora.
- cos'è la legge sulla protezione dei dati online del Maryland (MODPA)?
- Termini e definizioni chiave del MODPA
- Cosa prevede la legge sulla protezione dei dati online del Maryland?
- Requisiti della legge sulla protezione dei dati online del Maryland
- La legge sulla privacy del Maryland rispetto ad altri Stati: Somiglianze e differenze
- Che impatto avrà il MODPA sui consumatori?
- A chi si applica il MODPA?
- Che impatto avrà il MODPA sulle imprese?
- Chi deve rispettare la nuova legge sulla privacy del Maryland?
- Come possono le aziende prepararsi al MODPA?
- Come verrà applicato il MODPA?
- Multe e sanzioni ai sensi della legge sulla protezione dei dati online del Maryland
- In che modo Termly può contribuire alla conformità al MODPA?
- Esistono altre leggi sulla privacy nel Maryland?
- Riassunto
cos'è la legge sulla protezione dei dati online del Maryland (MODPA)?
La legge sulla protezione dei dati online del Maryland, o MODPA, è la prima legge sulla privacy dei consumatori dello Stato a regolamentare le modalità di trattamento dei dati personali da parte dei responsabili e degli incaricati del trattamento e a conferire ai residenti del Maryland vari diritti e controlli su tali informazioni.
Il Maryland è il 16° Stato degli USA ad aver approvato una legge completa sulla privacy dei dati.
Il documento delinea inoltre le sanzioni per le violazioni della legge, conferendo l'autorità di applicazione al Procuratore generale del Maryland.
Data di entrata in vigore del MODPA
La legge sulla protezione dei dati online del Maryland entrerà in vigore il 1° ottobre 2025.
Termini e definizioni chiave del MODPA
Per aiutarvi a comprendere i dettagli della nuova legge sulla privacy del Maryland, ho raccolto alcuni dei termini chiave e fornito le definizioni così come appaiono nel testo della legge:
Cosa prevede la legge sulla protezione dei dati online del Maryland?
Il MODPA riguarda i dati personali dei residenti del Maryland.
Tuttavia, sono esentate anche diverse categorie di dati, tra le quali:
- Informazioni sanitarie protette ai sensi dell'Health Insurance Portability Accountability Act (HIPAA).
- Informazioni che identificano il paziente
- Dati personali regolati dal Family Educational Rights and Privacy Act (FERPA).
- Informazioni di contatto in caso di emergenza
Requisiti della legge sulla protezione dei dati online del Maryland
Nella sezione che segue, riassumo alcuni dei principali requisiti delineati dalla nuova legge sulla privacy del Maryland.
Base giuridica per il trattamento dei dati
Ai sensi del MODPA, i responsabili del trattamento devono limitare la raccolta dei dati a quanto ragionevolmente necessario e proporzionato per fornire o mantenere i prodotti o i servizi richiesti dal consumatore.
La formulazione utilizzata in questa parte della legge differisce da altre leggi sulla privacy a livello statale, in quanto dipende dal bene o dal servizio e non solo dallo scopo del trattamento dei dati.
Limitazioni del controllore al trattamento dei dati
Il MODPA limita i responsabili del trattamento a trattare determinati tipi di dati personali.
Ad esempio, a meno che la raccolta o l'elaborazione dei dati non sia strettamente necessaria per fornire o mantenere uno specifico prodotto o servizio come richiesto da un consumatore, i responsabili del trattamento non possono:
- Vendere dati sensibili
- Elaborazione dei dati di un consumatore di età inferiore ai 18 anni per pubblicità mirata
- Vendere dati personali di un consumatore di età inferiore ai 18 anni
- Discriminare un consumatore per l'esercizio dei suoi diritti
- Trattare i dati per finalità non ragionevolmente necessarie o incompatibili con le finalità per le quali i dati personali sono trattati(a meno che non sia stato ottenuto il consenso).
Obblighi contrattuali tra responsabili e incaricati del trattamento
I responsabili del trattamento dei dati che si avvalgono di un incaricato del trattamento dei dati devono stipulare un contratto che delinei le istruzioni per il trattamento dei dati, la natura e lo scopo del trattamento, i tipi di trattamento dei dati e per quanto tempo, nonché i diritti e gli obblighi di entrambe le parti.
Il contratto deve anche indicare questi requisiti per il trasformatore:
- Imporre a tutte le parti coinvolte l'obbligo di riservatezza sui dati.
- Stabilire, implementare e mantenere pratiche di sicurezza per proteggere la riservatezza, l'integrità e l'accessibilità dei dati personali.
- Richiedere all'incaricato del trattamento di interrompere il trattamento dei dati su richiesta del responsabile del trattamento a seguito di una richiesta del consumatore.
- Su indicazione del responsabile del trattamento, l'incaricato deve cancellare o restituire tutti i dati, a meno che la legge non ne imponga la conservazione.
- Su richiesta del responsabile del trattamento, richiedere all'incaricato del trattamento di mettere a disposizione tutti i dati in suo possesso per dimostrare la conformità al MODPA.
- Dopo aver consentito al responsabile del trattamento di opporsi, affidare a un subappaltatore l'assistenza al trattamento dei dati personali in base a un contratto conforme alle presenti linee guida.
- Richiedere all'incaricato del trattamento di collaborare alle valutazioni del responsabile del trattamento o di un valutatore indipendente per valutare le politiche e le misure tecniche dell'incaricato del trattamento.
- Su richiesta, l'incaricato del trattamento deve fornire al responsabile del trattamento un rapporto di valutazione come previsto dal MODPA.
Valutazioni sulla protezione dei dati
Secondo il MODPA, i responsabili del trattamento devono condurre e documentare valutazioni sulla protezione dei dati per ogni attività di trattamento che presenti un rischio elevato di danno per i consumatori, tra cui:
- Elaborazione dei dati per la pubblicità mirata
- Vendita di dati personali
- Elaborazione di dati sensibili
- Trattamento dei dati per la profilazione
La valutazione deve soppesare i benefici che possono derivare dal trattamento rispetto ai rischi potenziali per i diritti dei consumatori e alla necessità e proporzionalità del trattamento.
Deve inoltre tenere conto di quanto segue:
- l'uso di dati de-identificati
- Le ragionevoli aspettative dei consumatori
- Il contesto dell'elaborazione
- Il rapporto tra il responsabile del trattamento e il consumatore i cui dati sono trattati
La legge del Maryland consente a un responsabile del trattamento di utilizzare un'unica valutazione della protezione dei dati per conformarsi a un'altra legge, se questa ha un ambito di applicazione ragionevolmente simile a quello del MODPA.
Requisiti di sicurezza dei dati
Il MODPA richiede ai responsabili del trattamento dei dati di stabilire, implementare e mantenere ragionevoli misure di sicurezza amministrative, tecniche e fisiche per proteggere i dati personali raccolti.
Le misure devono considerare il volume e la natura dei dati raccolti e archiviati e proteggerne la riservatezza, l'integrità e l'accessibilità.
Richieste verificabili dei consumatori
In base al MODPA, le aziende devono stabilire nella loro politica sulla privacy uno o più modi per i consumatori di presentare richieste verificabili per agire sui loro diritti alla privacy, prendendo in considerazione:
- I modi in cui i consumatori interagiscono normalmente con il controller
- La necessità di una comunicazione sicura e affidabile
- La capacità del responsabile del trattamento di verificare l'identità del consumatore
La legge elenca i seguenti metodi per soddisfare questo requisito legale:
- Fornire un link ben visibile e chiaramente etichettato sul sito web.
- Entro il 1° ottobre 2025, consentire ai consumatori di utilizzare un meccanismo universale di opt-out per far valere i propri diritti.
Meccanismi universali di opt-out
Il MODPA richiede alle aziende di onorare le richieste degli utenti di rinunciare al trattamento dei dati attraverso meccanismi universali di opt-out (UOOM), come il Global Privacy Control (GPC), entro il 1° ottobre 2025.
In particolare, la legge autorizza i consumatori a utilizzare un link internet, un'impostazione del browser, un'estensione del browser o un'altra impostazione o tecnologia globale simile per indicare la loro intenzione di rinunciare.
La legge sulla privacy del Maryland rispetto ad altri Stati: Somiglianze e differenze
Oltre al Maryland, diversi altri Stati americani hanno in vigore leggi sulla privacy dei dati, tra cui:
- California Consumer Protection Act (CCPA), as amended by the California Privacy Rights Act (CPRA)
- Legge sulla privacy del Colorado (CPA)
- Legge sulla privacy dei dati del Connecticut (CTDPA)
- Legge sulla privacy dei dati personali del Delaware (DPDPA)
- Carta dei diritti digitali della Florida (FDBR)
- Legge sulla protezione dei dati dei consumatori dell'Iowa (Iowa CDPA)
- Legge sulla protezione dei dati dei consumatori dell'Indiana (Indiana CDPA)
- Legge sulla protezione dei dati dei consumatori del Kentucky (KCDPA)
- Legge sulla privacy dei dati dei consumatori del Minnesota (MCDPA)
- Legge sulla privacy dei dati dei consumatori del Montana (MCDPA)
- Legge sulla privacy dei dati del Nebraska (NDPA)
- Legge sulla privacy dei dati del New Hampshire (NHDPL)
- Legge sulla privacy dei dati del New Jersey (NJDPA)
- Legge sulla privacy dei consumatori dell'Oregon (OCPA)
- Legge sulla protezione delle informazioni del Tennessee (TIPA)
- Legge sulla privacy e la sicurezza dei dati del Texas (TDPSA)
- Legge sulla privacy dei consumatori dello Utah (UCPA)
- Legge sulla protezione dei dati dei consumatori della Virginia (VCDPA)
Nella tabella seguente è possibile confrontare il MODPA con queste altre leggi sulla privacy.
| Legge dello Stato | Consenso opt-in per alcuni tipi di trattamento dei dati | Consenso di opt-out per alcuni tipi di trattamento dei dati | Devono presentare agli utenti un'informativa sulla privacy (o una nota). | Richiede valutazioni sulla protezione dei dati | Delinea gli obblighi contrattuali con gli elaboratori di terze parti | Permette di avviare cause civili o azioni private. | Deve rispettare i controlli globali della privacy/le impostazioni di privacy del browser |
| MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| CDPA Indiana | ✓ | ✓ | ✓ | ✓ | |||
| CDPA Iowa | ✓ | ✓ | ✓ | ||||
| KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MN CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| MT CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
Che impatto avrà il MODPA sui consumatori?
Il MODPA incide sui consumatori conferendo loro i seguenti diritti sui propri dati personali:
- Confermare se un responsabile del trattamento sta trattando i loro dati
- Accesso ai dati
- Correggere le imprecisioni nei dati
- Richiedere a un responsabile del trattamento di cancellare i dati
- Ottenere una copia portatile dei propri dati personali
- Ottenere un elenco delle terze parti a cui vengono comunicati i loro dati
- Rifiuto del trattamento dei dati per la pubblicità mirata
- Rinunciare alla vendita dei propri dati
- Rifiuto della profilazione
A chi si applica il MODPA?
Il MODPA si applica ai residenti dello Stato del Maryland; tuttavia, non si applica alle persone del Maryland che agiscono in un contesto lavorativo o commerciale.
Che impatto avrà il MODPA sulle imprese?
Oltre ai requisiti del MODPA precedentemente trattati in questa guida, la legge ha anche un impatto sulla privacy e sulle politiche sui cookie delle aziende.
In che modo il MODPA influirà sulla mia politica sulla privacy?
Il MODPA richiede alle aziende di presentare ai consumatori un'informativa sulla privacy che includa:
- Le categorie di dati personali trattati, compresi i dati sensibili.
- La finalità del trattamento.
- Come un consumatore può far valere i propri diritti in materia di privacy e impugnare la decisione di un responsabile del trattamento basata sulla sua richiesta o revocare il consenso.
- Le categorie di terze parti con cui i dati vengono condivisi, con un livello di dettaglio comprensibile per il consumatore, compreso il tipo, il modello di business o il trattamento effettuato da ciascuna terza parte.
- Le categorie di dati personali, compresi i dati sensibili, condivisi con terze parti.
- Un indirizzo e-mail attivo o altri meccanismi online per contattare il responsabile del trattamento.
Le aziende che vendono dati personali a terzi, elaborano dati per la pubblicità mirata o partecipano alla profilazione devono renderlo noto nella loro politica sulla privacy e spiegare come i consumatori possono esercitare i loro diritti per rinunciare a tale trattamento.
Deve inoltre stabilire uno o più metodi sicuri e ragionevoli per consentire alle persone di presentare richieste verificabili da parte dei consumatori per dare seguito ai loro diritti alla privacy.
In che modo il MODPA influisce sulla mia politica sui cookie?
Il MODPA influisce sulle politiche sui cookie a causa dei requisiti di notifica delineati dalla legge e dei diritti di opt-out concessi ai consumatori.
Le aziende che rientrano nel campo di applicazione di questa legge devono garantire che la loro politica sui cookie sia aggiornata, accurata e collegata all'informativa sulla privacy, in modo che i consumatori siano adeguatamente informati su tutti i cookie che possono essere inseriti nei loro browser.
Dovete inoltre fornire ai consumatori del Maryland un modo per rinunciare ai cookie se questi raccolgono dati che vendete, dati sensibili o vengono utilizzati per la pubblicità mirata.
Chi deve rispettare la nuova legge sulla privacy del Maryland?
Le aziende devono conformarsi al MODPA se conducono attività commerciali nello Stato o forniscono prodotti e servizi rivolti ai residenti dello Stato e soddisfano una delle seguenti soglie in un anno solare:
- controlla o tratta i dati personali di almeno 35.000 consumatori (escluse le operazioni di pagamento) o
- Controlla o elabora i dati personali di almeno 100.000 consumatori e ricava più del 20% dei ricavi lordi annuali dalla vendita dei dati.
A differenza di molte altre leggi statali statunitensi, il MODPA non prevede alcuna soglia monetaria.
Chi è esente dal MODPA?
Le seguenti entità sono esenti dai requisiti della nuova legge sulla privacy del Maryland:
- Sottodivisioni politiche dello Stato
- Associazioni nazionali di categoria registrate ai sensi del Federal Securities Exchange Act del 1934 (SEA)
- Istituti finanziari soggetti alla legge Gramm-Leach-Bliley (GLBA)
- I responsabili del trattamento senza scopo di lucro che trattano i dati esclusivamente per assistere le forze dell'ordine nell'investigazione di atti criminali o fraudolenti relativi all'assicurazione o i primi soccorritori che rispondono a eventi catastrofici
Come possono le aziende prepararsi al MODPA?
Per prepararsi al MODPA, le aziende devono pianificare l'aggiornamento delle loro politiche sulla privacy e sui cookie per garantire che soddisfino tutti i requisiti di notifica descritti dalla legge.
I siti web dovrebbero inoltre disporre di almeno uno o più metodi sicuri e affidabili per consentire ai consumatori di presentare richieste per far valere i propri diritti in materia di privacy, come la pubblicazione di un modulo di richiesta di accesso ai dati (DSAR).
Le aziende che trattano dati che presentano un rischio elevato per i consumatori devono effettuare valutazioni sulla protezione dei dati.
I responsabili del trattamento che collaborano con gli incaricati del trattamento devono inoltre implementare e sottoscrivere contratti che illustrino tutti i requisiti descritti nella legge.
Come verrà applicato il MODPA?
Il Procuratore generale del Maryland ha l'autorità di applicare il MODPA e mantiene la facoltà di concedere agli enti un periodo di 60 giorni per rimediare.
Il periodo di cura si estingue dopo il 1° aprile 2027.
La violazione del MODPA sarà considerata una pratica commerciale sleale, abusiva o ingannevole.
Multe e sanzioni ai sensi della legge sulla protezione dei dati online del Maryland
Le multe per violazione del MODPA possono raggiungere i 10.000 dollari per incidente.
Tuttavia, i consumatori non hanno un diritto di azione privato.
In che modo Termly può contribuire alla conformità al MODPA?
Per semplificare la conformità al MODPA, il generatore di informativa sulla privacy diTermly includerà tutte le clausole richieste dalla legge prima della sua entrata in vigore nel 2025.
Il nostro generatore vi pone semplici domande sulla vostra attività e, in base alle vostre risposte, elabora una polizza unica e completa.
Termly offre anche una gestione del consenso Platform (CMP) che può essere configurata per soddisfare i requisiti di opt-out descritti nel MODPA.
Viene fornito con un modulo DSAR gratuito, in modo che i vostri utenti possano inviare in modo sicuro richieste verificate per esercitare i loro diritti.
Esistono altre leggi sulla privacy nel Maryland?
Sebbene il MODPA sia la prima legge di questo tipo nello Stato, il Maryland dispone di alcune altre leggi sulla privacy, tra cui:
- Sezione 14-350 del Codice del Maryland (Legge sulla protezione delle informazioni personali): Descrive le leggi sulla notifica delle violazioni dei dati nello Stato, imponendo obblighi alle aziende che raccolgono informazioni personali e subiscono una violazione.
- Statuto delle cartelle cliniche del Codice del Maryland: Richiede che tutte le informazioni mediche rimangano riservate e dà ai singoli il diritto di agire privatamente.
Riassunto
Se la vostra azienda è soggetta al rispetto della legge sulla protezione dei dati online del Maryland, potete prepararvi per la conformità:
- Aggiornare le politiche sulla privacy e sui cookie per soddisfare tutti i requisiti di notifica.
- Presentate ai vostri utenti uno o più modi sicuri per inviare le richieste di attuazione dei loro diritti.
- Eseguire valutazioni sulla protezione dei dati se le attività di trattamento presentano un rischio elevato per i consumatori.
- Utilizzate contratti conformi con i responsabili del trattamento dei dati con cui lavorate.
Utilizzate Termlygeneratore di informativa sulla privacy e CMP per semplificare il vostro processo di conformità.
Per saperne di più su chi scrive
Scritto da Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy è un avvocato specializzato in privacy con precedenti esperienze in materia di privacy e cybersecurity nel settore pubblico e privato. In qualità di ex Westin Fellow presso l'iAPP, ha pubblicato diversi articoli, white paper e infografiche e ha condotto, coordinato e moderato webinar e panel, tutti riguardanti la privacy e la tecnologia della privacy negli Stati Uniti. Anokhy ha conseguito un master presso la Carnegie Mellon University e un dottorato in giurisprudenza presso l'università di Pittsburgh. Per saperne di più su chi scrive
