Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Legge della Virginia sulla protezione dei dati personali (CDPA).

18/03/2022

La legge della Virginia sulla protezione dei dati personali (CDPA): guida per web agency e siti web


In data 2 marzo 2021 la legge della Virginia sulla protezione dei dati personali (CDPA) è diventata finalmente legge.

Così facendo, la Virginia è diventata il secondo stato a promulgare una legislazione completa sulla privacy e il primo a farlo di propria iniziativa (la California ha aperto la strada nel 2018 con il CCPA).

La sostanza della CDPA non è particolarmente nuova rispetto alle recenti leggi sulla privacy introdotte a livello mondiale (vedi GDPR).

E' in ogni caso molto importante sapere a quali condizioni si applica questa nuova normativa privacy e come adeguarsi con LegalBlink.

Vuoi rimanere sempre aggiornato sulle ultime novità legali del mondo ecommerce? Seguici su FacebookYouTube e LinkedIn!
 

Ambito di applicazione della CDPA


Forse la domanda più cruciale per qualsiasi sito web, quando si trova di fronte a una nuova legge internazionale: si applica anche alla mia azienda?

Come avviene per qualsiasi normativa privacy internazionale (GDPR, CCPA, LGPD), anche il CDPA prevede specifici criteri di applicazione. 

Infatti, la legge della Virginia sulla protezione dei dati si applica alla aziende che gestiscono business in Virginia o producono prodotti o servizi destinati a residenti della Virginia e che:

  • trattano dati personali di almeno 100.000 consumatori della Virginia durante un anno solare
  • trattano dati personali di almeno 25.000 consumatori e derivano almeno il 50% delle loro entrate lorde lorde dalla vendita di dati personali.

Coloro che hanno familiarità con il CCPA noteranno probabilmente l'assenza di una soglia di reddito che imponga degli obblighi.

Ciò significa che anche le grandi imprese non saranno soggette alla legge, purché non rientrino in una delle due categorie sopra elencate.

Inoltre, rispetto alla CCPA, la legge della Virginia sulla protezione dei dati personali raddoppia il numero di dati dei residenti che devono essere raccolti o trattati prima che diventi applicabile a un sito web.


Le definizioni previste dalla legge della Virginia sulla protezione dei dati personali


La portata della CDPA è anche parzialmente determinata da alcune definizioni chiave.

Il "consumatore" è definito come:
 

"una persona fisica residente nel Commonwealth che agisce solo in un contesto individuale o familiare".


È importante notare che omette esplicitamente una persona dalla sua definizione quando sta "agendo in un contesto commerciale o lavorativo".

Quindi, a differenza del California Privacy Rights Act - che include i dati dei dipendenti - i siti web non devono considerare i dati personali dei dipendenti che raccolgono e trattano quando valutano l'applicabilità della legge.
 

La vendita di informazioni personali secondo la legge privacy della Virginia


Il CDPA definisce la "vendita di informazioni personali" come:
 

"lo scambio di dati personali a titolo oneroso da parte del controllore a terzi".


A differenza della CCPA, secondo la quale si verifica una vendita quando i dati personali vengono scambiati per "un corrispettivo monetario o di altro valore", la legge della Virginia sulla protezione dei dati personali richiede che il corrispettivo debba essere monetario per qualificarsi come una vendita di dati.

La definizione di vendita include anche alcune esclusioni degne di nota. Sono infatti escluse dal concetto di "vendita" le divulgazioni:

  • a processori
  • a terzi allo scopo di fornire prodotti o servizi richiesti dal consumatore
  • informazioni che i consumatori (A) hanno reso intenzionalmente disponibili al pubblico in generale attraverso un canale di mass media e (B) non hanno limitato un pubblico specifico
  • come parte di una fusione, acquisizione, eccetera.


Il "dato personale" secondo la CDPA.


La definizione di dato personale è  cruciale per determinare l'applicabilità della legge della Virginia sulla protezione dei dati personali.

Infatti, la CDPA esclude dal concetto di "dato personale" tutti i dati deidentificati o le informazioni pubblicamente disponibili. Questa esclusione è significativa data la definizione di "informazioni pubblicamente disponibili" della CDPA.

Come il CCPA, il termine è parzialmente definito come:
 

"informazioni che sono legalmente rese disponibili attraverso i registri del governo federale, statale o locale".


Tuttavia, la CDPA include anche nella sua definizione di pubblicamente disponibile qualsiasi:
 

"informazione che un'azienda ritiene  che sia legalmente resa disponibile al pubblico in generale attraverso i media, dal consumatore, o da una persona a cui il consumatore ha divulgato l'informazione a meno che il consumatore abbia limitato l'informazione a un pubblico specifico".


Esenzioni alla CDPA


Prima di vedere se l'azienda soddisfa i criteri di cui sopra, è necessario verificare la presenza di esenzioni alla CDPA.

La legge della Virginia sulla protezione dei dati personali prevede due categorie di esenzioni:

  • a livello di entità
  • a livello di dati. 


Le entità esentate


La CDPA prevede 5 categorie di enti che sono esentati dalla applicazione di questa legge sulla privacy:

  • un ente, autorità, consiglio, ufficio, commissione, distretto, o agenzia virginiana o qualsiasi suddivisione politica virginiana.
  • qualsiasi istituzione finanziaria o dati soggetti al Gramm-Leach-Bliley Act
  • un ente soggetto all'Health Insurance Portability and Accountability Act e all'Health Information Technology for Economic and Clinical Health Act
  • un'organizzazione senza scopo di lucro
  • un istituto di istruzione superiore.


Le esenzioni per categorie di dati personali


Ci sono 14 categorie riguardanti gli insiemi di dati esentati, comprese le informazioni specifiche regolate dal GLBA, il Fair Credit Reporting Act, il Drivers Privacy Protection Act, il Farm Credit Act, e il Family Educational Rights and Privacy Act.

Altri tipi di informazioni esentate includono dati specifici dei dipendenti e dei candidati al lavoro.

 

Diritti ed obblighi


La CDPA prevede sei diritti principali per gli utenti.

Diritto di accesso. I consumatori hanno il diritto di sapere se il sito web sta trattando i loro dati personali e di accedere a tali dati personali.

Diritto di correzione. I consumatori hanno il diritto di correggere le inesattezze nei loro dati personali, considerando la natura dei dati personali e le finalità del trattamento dei dati personali del consumatore.

Diritto alla cancellazione. I consumatori hanno il diritto di far cancellare i dati personali forniti o ottenuti sul consumatore.

Diritto alla portabilità dei dati. I consumatori hanno il diritto di ottenere una copia dei loro dati personali forniti al sito web in un formato portatile e, nella misura in cui è tecnicamente possibile, facilmente utilizzabile che consenta al consumatore di trasmettere i dati ad un altro titolare del trattamento senza impedimenti, quando il trattamento viene effettuato con mezzi automatizzati.

Diritto di rinuncia. Vale a dire il diritto di rinunciare al trattamento dei dati personali per scopi di pubblicità mirata, la vendita di dati personali e la profilazione nell'avanzamento di decisioni che producono effetti giuridici o simili significativi riguardanti il consumatore.

La CDPA non prevede alcuna eccezione a questi diritti.

Diritto di appello. L'ultimo diritto che la CDPA fornisce ai consumatori è il diritto di appellarsi al rifiuto di un'azienda di eseguire i diritti dell'utente entro un tempo ragionevole.

Secondo la legge, un'impresa deve rispondere a una richiesta del consumatore entro 45 giorni dal ricevimento della richiesta.

Se ragionevolmente necessario, l'azienda può poi estendere il termine di risposta di altri 45 giorni, purché lo comunichi al consumatore entro la finestra di risposta iniziale.


Obblighi del sito web previsti dalla CDPA


Al pari del GDPR e del CCPA, anche la legge della Virginia sulla protezione dei dati personali prevede specifici obblighi in capo al titolare del trattamento.

Vediamo quelli più importanti.

Limiti alla raccolta. Il CDPA include una disposizione che limita la raccolta di dati a ciò che è "adeguato, pertinente e ragionevolmente necessario in relazione alle finalità per le quali i dati vengono elaborati".

Limiti di utilizzo. Una volta che i dati sono stati raccolti, la legge della Virginia obbliga un'azienda a "non trattare i dati personali per scopi che non sono né ragionevolmente necessari né compatibili con gli scopi divulgati per cui tali dati personali sono trattati, come comunicato al consumatore, a meno che il controllore ottenga il consenso del consumatore". Inoltre, la legge impone limiti al trattamento dei dati personali sensibili in modo che sia vietato senza il consenso del consumatore.

Garanzie tecniche. Oltre a imporre obblighi sulle attività di trattamento del business, il CDPA, come il CCPA e il GDPR, impone anche di "stabilire, implementare e mantenere ragionevoli pratiche amministrative, tecniche e fisiche di sicurezza dei dati per proteggere la riservatezza, l'integrità e l'accessibilità dei dati personali".

Valutazioni sulla protezione dei dati. Il CDPA richiede anche ai titolari di siti web di condurre "valutazioni di protezione dei dati" che valutano i rischi associati alle attività di trattamento.

Nomina a responsabile del trattamento. Come l'articolo 28 del GDPR, il CDPA richiede che le attività di trattamento intraprese da un terzo per conto del titolare del trattamento siano regolate da un accordo. 


L'informativa privacy ai sensi del CDPA


Anche la legge della Virginia sulla protezione dei dati personali descrive il contenuto della privacy policy.

L'informativa privacy deve contenere le seguenti informazioni:

  • le categorie di dati personali trattati dal sito web
  • lo scopo del trattamento dei dati personali
  • come i consumatori possono esercitare i loro diritti e appellarsi alla decisione del sito web riguardo alla richiesta del consumatore
  • le categorie di dati personali che il sito web condivide con terze parti, se presenti.


Come adeguare il sito web alla CDPA


Come hai visto, la CDPA non si differenzia molto dalla legge californiana sulla protezione dei dati personali (a sua volte molto simile al GDPR).

Il punto più importante per adeguare il sito web alla CDPA è riferito alla privacy policy (v. punto che precede).

I requisiti della privacy policy ai sensi del CDPA sono meno stringenti rispetto a quelli previsti dal GDPR.

Pertanto, se la tua privacy policy rispetta il GDPR è ragionevole ritenere che rispetti anche il CDPA


Come adeguarsi alla CDPA con LegalBlink


Il nostro Team di legali monitora costantemente la normativa internazionale per adeguare il tool alle evoluzione del mondo digitale.

In questo modo i documenti legali pubblicati sul tuo sito sono costantemente aggiornati e non rischi reclami degli utenti.

LegalBlink copre anche la legge della Virginia sulla protezione dei dati personali.

Pertanto, se utilizzi il nostro tool la privacy policy del tuo sito è protetta anche con riferimento a questa particolare normativa.

Team LegalBlink