Home  ›  Articoli  ›  Legge sulla privacy dei dati personali del Michigan: prima analisi e sintesi

Legge sulla privacy dei dati personali del Michigan: Prima occhiata e sintesi

Scritto da: Natasha Piirainen Natasha Piirainen | Aggiornato il: 2 marzo 2026

Recensito da: Ali Talip Pınarbaşı, CIPP/E, & LLMAli Talip Pınarbaşı, CIPP/E, & LLM

Legge sulla privacy dei dati personali del Michigan-01

La legge sulla privacy dei dati personali del Michigan è un disegno di legge morto che ha attraversato il Senato del Michigan nel 2023 e mirava a creare diritti alla privacy per i consumatori e obblighi per le aziende in merito alla vendita e al trattamento dei dati personali.

Anche se questa legge non è passata, ho riassunto l'aspetto di questa proposta di legge e l'impatto che avrebbe avuto sulle imprese se fosse diventata legge.

AGGIORNAMENTO: L'MPDPA non è diventato legge e attualmente il Michigan non ha ancora una legge sulla privacy dei dati dei consumatori in vigore. 

Indice dei contenuti
  1. cos'è la legge sulla privacy dei dati personali del Michigan?
  2. Cosa prevede la legge sulla privacy dei dati personali del Michigan?
  3. Requisiti della legge sulla privacy dei dati personali del Michigan
  4. Quale sarebbe l'impatto del PDPA sulle imprese?
  5. Che impatto avrebbe il PDPA sui consumatori?
  6. Chi deve rispettare la legge sulla privacy del Michigan?
  7. Come verrebbe applicato il PDPA?
  8. Multe e sanzioni ai sensi della legge sulla privacy dei dati del Michigan
  9. Riassunto

cos'è la legge sulla privacy dei dati personali del Michigan?

La legge sulla privacy dei dati personali del Michigan era una proposta di legge che mirava a stabilire i diritti alla privacy per i consumatori del Michigan e presentava i requisiti che le entità avrebbero dovuto seguire in merito al trattamento e alla vendita dei dati personali. 

La senatrice democratica Rosemary Bayer ha inizialmente introdotto il disegno di legge del Senato 1182 nel settembre del 2022, successivamente intitolato Michigan Personal Data Privacy Act

La proposta è stata poi rinviata alla Commissione per l'energia e la tecnologia del Senato e alla fine è rimasta in sospeso. 

Cosa prevede la legge sulla privacy dei dati personali del Michigan?

Secondo il testo del disegno di legge, se la legge sulla privacy dei dati personali del Michigan fosse diventata legge, avrebbe coperto i consumatori, come definito nella schermata sottostante:

Michigan-Personal-Data-Privacy-Act-consumatori-definiti

 

I requisiti in materia di privacy da esso delineati si sarebbero applicati a qualsiasi persona - intesa come individuo, partnership, società, società a responsabilità limitata, associazione, ente governativo o altra entità legale - che conduce attività commerciali in Michigan o produce prodotti o servizi destinati ai residenti del Michigan e che soddisfa una delle seguenti condizioni:

  • Controlla o elabora i dati personali di almeno 100.000 consumatori
  • Controlla o elabora i dati personali di almeno 25.000 consumatori e ricava oltre il 50% dei ricavi annui lordi dalla vendita di dati personali

    Requisiti della legge sulla privacy dei dati personali del Michigan

    La legge sulla privacy dei dati personali del Michigan ha delineato i seguenti requisiti per le aziende:

    • Pubblicare un'informativa sulla privacy chiara e accessibile per i consumatori.
    • Fornire opzioni di consenso opt-in per l'elaborazione di tutti i dati personali
    • Esecuzione di valutazioni d'impatto sulla protezione dei dati per il trattamento di dati personali sensibili.
    • Obblighi contrattuali relativi ai terzi responsabili del trattamento  
    • Requisiti di registrazione per gli intermediari di dati

    Avvertenze sulla privacy per i consumatori

    In base al PDPA del Michigan, le aziende sarebbero state tenute a pubblicare un'informativa completa sulla privacy che spiegasse ai consumatori tutte le seguenti informazioni, come indicato nella sezione 7(3) del disegno di legge:

    • Lo scopo del trattamento dei dati personali
    • Come il consumatore può esercitare i propri diritti e come ricorrere contro la decisione del responsabile del trattamento in merito alle richieste del consumatore.
    • Categorie di dati personali che il responsabile del trattamento condivide con terzi
    • Categorie di terzi con cui il responsabile del trattamento condivide i dati personali
    • Che un responsabile del trattamento o un incaricato del trattamento possa utilizzare i dati personali per condurre ricerche interne al fine di sviluppare, migliorare o riparare prodotti, servizi o tecnologie, se il responsabile del trattamento o l'incaricato del trattamento che consulta tali ricerche ottiene il consenso del consumatore e mantiene le stesse misure di sicurezza altrimenti richieste.

    Inoltre, le imprese devono stabilire e descrivere uno o più modi sicuri e affidabili per i consumatori di presentare una richiesta di esercizio dei propri diritti.

    Consenso all'elaborazione di tutti i dati personali

    Se fosse stata approvata, la legge sulla privacy dei dati del Michigan avrebbe fornito ai consumatori il diritto al consenso per il trattamento di qualsiasi dato personale.

    In particolare, la sezione 7(1)(a) del Michigan PDPA stabilisce che:

    "Un responsabile del trattamento non deve... trattare i dati personali o i dati personali sensibili relativi a un consumatore senza ottenere il consenso di quest'ultimo..." 

    l'immagine seguente mostra come il PDPA del Michigan definisce il consenso:

    Michigan-Personal-Data-Privacy-Act-consent-definition

    Il disegno di legge prevedeva che le imprese avrebbero dovuto limitare la raccolta dei dati personali a quanto adeguato, pertinente e ragionevolmente necessario per elaborare le informazioni comunicate al consumatore. 

    Valutazioni d'impatto sulla protezione dei dati

    Se il PDPA fosse diventato legge, gli enti che raccolgono ed elaborano particolari tipi di dati sarebbero stati tenuti a eseguire una valutazione d'impatto sulla protezione dei dati, come descritto nella sezione 11(2) del disegno di legge.

    Le entità che raccolgono e trattano dati personali secondo la definizione dei 5 modi seguenti, come indicato nel testo del disegno di legge, sarebbero state tenute a completare le valutazioni d'impatto sulla protezione dei dati:

    Michigan-Personal-Data-Privacy-Act-raccogliere-e-trattare-dati-personali


    La valutazione d'impatto sulla protezione dei dati avrebbe dovuto identificare e soppesare i benefici rispetto ai rischi associati ai diritti del consumatore connessi al trattamento dei dati sensibili, attenuati dalle misure di salvaguardia adottate dal responsabile del trattamento per ridurre tali rischi.

    Avrebbe ampliato la già esistente legge del Michigan sulla notifica delle violazioni dei dati, che attualmente stabilisce che gli enti devono notificare ai consumatori, senza ritardi irragionevoli, qualsiasi violazione dei dati o fuga di nomi e cognomi in combinazione con:

    • Numeri di previdenza sociale
    • Patente di guida o numero di identificazione statale
    • Numeri di conti finanziari o di carte di pagamento in combinazione con eventuali codici o password che consentono l'accesso al conto

    Obblighi contrattuali 

    Se ciò fosse diventato legge, le aziende sarebbero state tenute a creare contratti con i terzi incaricati del trattamento dei dati che garantissero quanto segue: 

    • Garantire che ogni persona che elabora i dati sia soggetta a un obbligo di riservatezza nei confronti dei dati stessi.
    • Cancellare o restituire tutti i dati al responsabile del trattamento come richiesto, a discrezione del responsabile del trattamento, a meno che la conservazione non sia richiesta dalla legge.
    • Mettere a disposizione del responsabile del trattamento tutte le informazioni in suo possesso necessarie a dimostrare il rispetto degli obblighi dell'incaricato del trattamento.
    • Chiedere all'incaricato del trattamento di cancellare o restituire tutti i dati personali a voi, in qualità di responsabili del trattamento, come richiesto al termine della fornitura dei servizi, seguendo le vostre istruzioni.
    • l'incaricato del trattamento deve essere obbligato a "ingaggiare un subincaricato in base a un contratto scritto in conformità con il comma (3) che richieda al subincaricato di soddisfare gli obblighi dell'incaricato del trattamento in relazione ai dati personali" ai sensi dell ›articolo 11, paragrafo 2, lettera e).

    Registro per gli intermediari di dati 

    Un altro interessante requisito potenziale del PDPA del Michigan avrebbe avuto un impatto sui broker di dati, in quanto questa proposta di legge avrebbe richiesto a qualsiasi broker di registrarsi presso l'ufficio del Procuratore Generale o di incorrere in possibili multe fino a 100 dollari al giorno.

    La schermata seguente mostra come il disegno di legge definisce il broker di dati:

     

    Michigan-Personal-Data-Privacy-Act-data-broker-definizione

    La legge sulla privacy dei dati personali del Michigan a confronto con altre proposte di legge

    Anche in altri due Stati, l'ohio e la Pennsylvania, sono attualmente in discussione presso le commissioni parlamentari proposte di legge sulla privacy dei dati simili al PDPA del Michigan.

    Analizziamo ciascuno di essi in modo più dettagliato.

    Legge sulla privacy personale dell'Ohio 

    In Ohio, l'ohio Personal Privacy Act, o House Bill 376, è stato sponsorizzato da 10 legislatori repubblicani ed è attualmente in discussione presso la Commissione per le Regole e i Riferimenti.

    Questa legge si applicherebbe a tutte le entità a scopo di lucro che operano in Ohio o che si rivolgono ai consumatori dell'Ohio e che soddisfano una delle seguenti condizioni:

    • avere un fatturato annuo di oltre 25 milioni di dollari generato in Ohio
    • Controlla o tratta i dati personali di 100.000 o più consumatori nell'arco di un anno solare
    • Il 50% dei ricavi deriva dalla vendita di dati personali e tratta o controlla i dati personali di 25.000 o più consumatori.

    Se approvato, garantirebbe ai consumatori il diritto di:

    • Accesso ai dati personali
    • Richiesta di cancellazione dei dati personali
    • Opt-out dal trattamento o dalla diffusione dei dati personali
    • Richiedere una copia portatile dei propri dati personali
    • Opt-out dalla vendita di dati personali  

    Progetti di legge della Camera della Pennsylvania

    In Pennsylvania sono attualmente in discussione tre proposte di legge sulla privacy dei dati simili a quella del Michigan, due intitolate Consumer Data Privacy Act (legge sulla privacy dei dati dei consumatori) - House Bills 2202 e 1126 - e una chiamata Consumer Data Protection Act (legge sulla protezione dei dati dei consumatori), o House Bill 2257.

    La tabella seguente mette a confronto le tre attuali proposte di legge della Pennsylvania.

    Quale sarebbe l'impatto del PDPA sulle imprese?

    La legge sulla privacy dei dati personali del Michigan, se fosse stata promulgata, avrebbe avuto un impatto sulle aziende obbligandole a fare quanto segue:

    • Pubblicare un'informativa sulla privacy conforme per i consumatori
    • Stabilire, tracciare e rispettare le scelte di consenso opt-out e opt-in dei consumatori.
    • Eseguire valutazioni d'impatto sulla protezione dei dati 
    • Rispettare gli obblighi contrattuali relativi ai terzi responsabili del trattamento dei dati

    Che impatto avrebbe il PDPA sui consumatori?

    Con il Michigan PDPA i consumatori avrebbero ottenuto diversi diritti in materia di privacy dei dati, tra cui i seguenti:

    • Diritti di informativa sulla privacy
    • Diritti di opt-out
    • Diritti di opt-in

    Chi deve rispettare la legge sulla privacy del Michigan?

    La legge sulla privacy dei dati personali del Michigan si sarebbe applicata a qualsiasi persona che svolge attività commerciali nel Michigan o che produce prodotti o servizi destinati ai residenti del Michigan. 

    Di seguito, la schermata mostra come il disegno di legge definisce giuridicamente la persona:

     

    Legge sulla privacy dei dati personali del Michigan - Definizione di persona


    Avreste inoltre dovuto soddisfare una delle seguenti soglie:

    • Controlla o elabora i dati personali di almeno 100.000 consumatori
    • Controlla o elabora i dati personali di almeno 25.000 consumatori e ricava oltre il 50% dei ricavi annui lordi dalla vendita di dati personali

    Ciò significa che, come molte altre leggi sulla privacy in tutto il mondo, questa legge avrebbe avuto una portata extraterritoriale e si sarebbe applicata alle aziende al di fuori del territorio del Michigan.  

    Chi è esente dalla legge sulla privacy dei dati personali del Michigan?

    Tutte le seguenti istituzioni sono state esentate dalla legge sulla privacy dei dati personali del Michigan: 

    • Istituti finanziari soggetti al Gramm-Leach-Bliley Act
    • Entità coperte e regolate dall'Health Insurance Portability and Accountability Act (HIPAA)
    • Dati autorizzati e regolamentati che rientrano nella legge Fair Credit Reporting Act

    Per quanto riguarda i consumatori, chiunque si trovi in Michigan in un contesto lavorativo o commerciale non sarebbe coperto dal Michigan PDPA. 

    Come verrebbe applicato il PDPA?

    l'ufficio del procuratore generale del Michigan avrebbe dovuto far rispettare il PDPA e dare alle entità un periodo di preavviso scritto di 30 giorni per curare o correggere eventuali violazioni.

    Tuttavia, a differenza del CCPA/CPRA, il Michigan PDPA non concedeva agli utenti il diritto all'azione privata.  

    Multe e sanzioni ai sensi della legge sulla privacy dei dati del Michigan

    Le sanzioni per il PDPA prevedevano multe non superiori a 7.500 dollari per ogni violazione non sanata entro 30 giorni dalla notifica.  

    Se la violazione riguardava la mancata registrazione di un broker di dati presso il Procuratore generale, la multa poteva arrivare a 100 dollari al giorno. 

    Riassunto

    Il Michigan PDPA è ora un progetto di legge sulla privacy dei dati fallito, ma la sua portata era simile a quella di altre leggi sulla privacy approvate ed entrate in vigore negli Stati Uniti, come il Virginia CDPA e gli emendamenti CPRA al CCPA.

    La buona notizia è che noi di Termly siamo sempre aggiornati, quindi seguiamo per voi le leggi e le proposte di legge sulla protezione dei dati personali del Michigan, man mano che vengono approvate dai governi statali. 

    Natasha Piirainen

    Scritto da Natasha Piirainen

    Natasha Piirainen è una scrittrice specializzata in privacy con una laurea in inglese e filosofia conseguita presso il Wheaton College e oltre 10 anni di esperienza professionale nello sviluppo di contenuti basati sulla ricerca.

    Leggi tutti i post di Natasha Piirainen
    Ali Talip Pınarbaşı, CIPP/E, & LLM

    Revisionato da Ali Talip Pınarbaşı, CIPP/E, & LLM

    Ali è avvocato specializzato in diritto della privacy con sede a Londra. Ha conseguito un Master in diritto della privacy dell’UE al King’s College di Londra. Ha sei anni di esperienza nel fornire consulenza alle aziende su come conformarsi alle normative sulla protezione dei dati.

    Leggi tutti i post recensiti da Ali Talip Pınarbaşı, CIPP/E, & LLM
    termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

    Costruite la vostra informativa sulla privacy GRATUITA

    Create un'informativa sulla privacy gratuita e completa in pochi minuti!
    Costruisci il mio libero Informativa sulla privacy

    Articoli correlati

    1. Rafforzamento della conformità alla normativa sulla privacy in WordPress - 01
      Rafforzare la conformità alle norme sulla privacy e la sicurezza di WordPress tramite la registrazione delle attività
      Risorse

      10 aprile 2026
      Natasha Piirainen
    2. Termly contro Transcend - 01
      Termly Transcend: confronto tra caratteristiche e vantaggi
      Confronti

      27 marzo 2026
      Ali Talip Pınarbaşı, CIPP/E e LLM
    3. Termly contro Didomi - 01
      Termly Didomi: confronto tra caratteristiche e vantaggi
      Confronti

      27 marzo 2026
      Ali Talip Pınarbaşı, CIPP/E e LLM
    4. Termly
      Termly PrivacyPolicies.com: confronto tra caratteristiche e vantaggi
      Confronti

      27 marzo 2026
      Ali Talip Pınarbaşı, CIPP/E e LLM
    5. Consenso all'uso dei cookie per startup e aziende che utilizzano l'intelligenza artificiale 01
      consenso ai cookie startup e aziende di intelligenza artificiale
      Articoli

      20 febbraio 2026
      Natasha Piirainen
    6. Gli 8 servizi di terze parti più comuni sui siti web e i relativi rischi per la privacy - 01
      Gli 8 servizi di terze parti più comuni sui siti web e i relativi rischi per la privacy
      Articoli

      20 febbraio 2026
      Hanna De La Garza
    7. Informativa sulla privacy per concessionarie auto 01
      Informativa sulla privacy per concessionarie auto: come crearne una
      Articoli

      20 febbraio 2026
      Natasha Piirainen
    8. Lancio Termly di 2 funzionalità di gestione di siti web di grandi dimensioni - 01
      Termly due nuove funzionalità per la gestione di siti web di grandi dimensioni
      Articoli

      11 febbraio 2026
      Natasha Piirainen
    9. I migliori plugin WordPress per il consenso a confronto - 2026-01
      I 5 migliori plugin per il consenso su WordPress a confronto – 2026
      Confronti

      6 febbraio 2026
      Ali Talip Pınarbaşı, CIPP/E, & LLM

    Guarda le altre risorse