Il Texas Data Privacy and Security Act(TDPSA) entrerà in vigore il 1° luglio 2024: la vostra azienda è pronta?
Ho creato questa lista di controllo TDPSA in sei fasi per aiutare le aziende a prepararsi alla nuova legge sulla privacy del Texas.
Lista di controllo della conformità TDPSA: Passo dopo passo
Seguite questi passaggi per semplificare l'impostazione del vostro sito web per la conformità al TDPSA.
Parte 1: Eseguire una verifica della privacy
A mio avviso, un audit sulla privacy è il primo passo che le aziende dovrebbero compiere per conformarsi alle leggi sulla privacy.
Completare un audit sulla privacy o un inventario dei dati aiuta a determinare tutte le informazioni personali raccolte dagli utenti e a stabilire perché e come vengono utilizzate.
È necessario conoscere questi dettagli per conformarsi a qualsiasi legge sulla privacy dei dati, compresa la TDPSA.
Parte 2: Requisiti di notifica della privacy
Dovrete redigere un'informativa sulla privacy per il vostro sito web che soddisfi tutti i requisiti di notifica delineati dal TDPSA, tra cui la spiegazione:
- Quali categorie di dati personali raccogliete, compresi, se necessario, eventuali dati sensibili.
- Lo scopo del trattamento dei dati personali.
- Come i consumatori texani possono esercitare i propri diritti e impugnare le decisioni.
- Quali categorie di dati condividete con terzi, se del caso.
- Quali sono le categorie di terzi con cui condividete i dati, se del caso.
- Una descrizione delle modalità di presentazione delle richieste di esercizio dei diritti da parte dei consumatori.
Inoltre, se si prevede di vendere dati personali sensibili o dati biometrici, l'avviso deve comparire anche nello stesso punto in cui si presenta agli utenti la propria informativa sulla privacy:
- AVVISO: potremmo vendere i vostri dati personali sensibili.
- AVVISO: potremmo vendere i vostri dati biometrici.
Parte 3: Consenso del consumatore e trattamento dei dati
l'azienda deve fornire ai consumatori texani modi semplici per esercitare i propri diritti di opt-out, che comprendono:
- Rinuncia al trattamento dei propri dati per la pubblicità mirata
- Rinuncia alla vendita dei propri dati
- Rifiuto della profilazione
Vi consiglio di ottenere questo risultato aggiungendo al vostro sito un banner di consenso con un centro di preferenze, che permetta agli utenti di rimuovere il loro consenso per questi diversi tipi di trattamento dei dati.
Il metodo applicato deve essere equo, ragionevole e conforme alle linee guida del TDPSA.
Inoltre, ricordate che i consumatori texani hanno il diritto di non essere discriminati se rispettano i loro diritti alla privacy.
Parte 4: Obblighi contrattuali per la condivisione o la vendita di dati personali
Se intendete condividere i dati personali con terzi incaricati del trattamento, dovete stipulare e far firmare a tutte le parti coinvolte un contratto che includa le seguenti disposizioni:
- Fornisce le istruzioni per il trattamento dei dati, la loro natura e il loro scopo.
- Elenca tutti i tipi di dati coinvolti e trattati e per quanto tempo.
- Delinea i diritti di ciascuna parte coinvolta nel contratto e i relativi obblighi.
- Elenca la durata dell'elaborazione.
- Richiede un obbligo di riservatezza sui dati personali.
- Richiede, su indicazione del responsabile del trattamento, di cancellare o restituire tutti i dati personali come richiesto al termine del servizio, a meno che la conservazione non sia richiesta per legge
- Richiede che l'incaricato del trattamento collabori alle ragionevoli valutazioni del responsabile del trattamento per confermare la conformità al TDPSA.
- Richiede a tutti i subappaltatori di firmare un contratto che definisca gli stessi obblighi.
Parte 5: Diritti dei consumatori e richieste verificabili dei consumatori
l'azienda deve presentare ai consumatori del Texas due o più modi per presentare richieste verificabili di intervento sui loro diritti alla privacy, che possono includere:
- Pubblicare un modulo di richiesta di accesso ai dati(DSAR) sul vostro sito.
- Fornire loro un indirizzo e-mail funzionante a cui possano inoltrare le richieste.
- Aggiunta di un banner di consenso con un'informativa sui cookie aggiornata sul vostro sito.
Inoltre, il TDPSA impone ai siti web di considerare i meccanismi universali di opt-out (UOOM), come il Global Privacy Control(GPC), come una richiesta valida per i consumatori entro il 1° gennaio 2025.
Parte 6: Procedure e pratiche di sicurezza
Il TDPSA richiede di proteggere la riservatezza, l'integrità e l'accessibilità dei dati personali, il che include l'istituzione, l'implementazione e il mantenimento:
- Misure amministrative
- Misure tecniche
- Misure fisiche
Le tecniche di sicurezza più comuni che ho visto utilizzare dai siti web per proteggere le informazioni personali includono:
- Anonimizzazione dei dati
- Crittografia delle informazioni
- Limitare l'accesso ai dati
- Formare i dipendenti che vi hanno accesso
Requisiti TDPSA FAQ
Di seguito, rispondo ad alcune domande frequenti sul TDPSA.
Il TDPSA si applica alla mia azienda?
Il TDPSA si applica alla vostra azienda se soddisfate le seguenti soglie:
- Svolgere attività commerciali in Texas o rivolgere prodotti o servizi nello Stato.
- Elaborare o vendere dati personali.
- Non sono considerate piccole imprese secondo la definizione della Small Business Administration (SBA) degli Stati Uniti, a meno che non vendano dati personali sensibili.
Quando entra in vigore il TDPSA?
Il TDPSA entra in vigore il 1° luglio 2024.
Chi farà rispettare il TDPSA?
Il Procuratore generale del Texas ha l'autorità esclusiva di applicare il TDPSA.
Le entità avranno a disposizione un periodo di 30 giorni per rimediare a eventuali violazioni.
Quali sono le sanzioni per la violazione del TDPSA?
Le sanzioni per la violazione del TDPSA includono multe fino a 7.500 dollari per incidente, ma il Procuratore Generale può anche:
- Recupero delle sanzioni civili
- Impedire alla persona di violare il TDSPA.
- Chiedere un provvedimento ingiuntivo
- Recuperare le spese legali o altre spese ragionevoli sostenute durante un'indagine.
I consumatori non hanno un diritto di azione privata ai sensi di questa legge.
Termly può aiutare a rispettare la TDPSA?
Termly offre un generatore di informativa sulla privacy e gestione del consenso platform (CMP) che può aiutare le aziende a semplificare la loro conformità al TDPSA.
Il generatore di informativa sulla privacy include i dettagli necessari per soddisfare i requisiti di notifica delineati dalla legge sulla privacy del Texas.
Inoltre, il CMP è configurabile in modo che i consumatori texani possano rinunciare alla pubblicità mirata, alla vendita dei loro dati e alla profilazione.
Riassunto
Semplificate il vostro processo di conformità al TDPSA prima che entri in vigore seguendo la mia semplice lista di controllo in sei fasi:
- Eseguite un audit sulla privacy per conoscere tutti i dati personali trattati dalla vostra azienda.
- Preparate un'informativa sulla privacy che soddisfi tutti i requisiti di notifica descritti dalla legge.
- Fornite ai vostri utenti un modo semplice per esercitare i loro diritti di opt-out.
- Presentate ai vostri consumatori texani due o più modi per presentare richieste verificabili da parte dei consumatori per far valere i loro diritti alla privacy.
- Firmare contratti legalmente conformi che includano tutte le disposizioni delineate dal TDSPA.
- Stabilire, implementare e mantenere misure di sicurezza adeguate per proteggere i dati.
Eliminate ancora di più i problemi di conformità alla privacy utilizzando risorse come il nostro generatore di informativa sulla privacy e CMP.
Per saperne di più su chi scrive
Scritto da Josh Langeland, CIPM
Ciao, sono Josh! Sono un ingegnere della privacy appassionato dell'uso della tecnologia per rispettare la privacy degli utenti. Mi trovo a mio agio nell'intersezione tra la tecnologia complessa e le leggi sulla privacy in continua evoluzione. Se non sto redigendo una revisione del progetto o riarchitettando un sistema, potrei trovarmi a leggere una biografia o a fare un'escursione nel parco nazionale più vicino. Per saperne di più su chi scrive
