Dal 2011, l’eccellenza legale per il mondo digitale: scelti da migliaia di siti, web agency e imprese digitali

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Due nuove leggi privacy negli USA: Minnesota e Maryland

15/09/2025

Due nuove leggi privacy negli USA: Minnesota e Maryland



Negli ultimi mesi, USA hanno visto l’adozione di due nuove leggi statali “comprehensive” che rafforzano i diritti dei consumatori in materia di dati personali e impongono obblighi più stringenti alle imprese. Parliamo del Minnesota Consumer Data Privacy Act (MCDPA) e del Maryland Online Data Privacy Act (MODPA). Ecco cosa sapere — per chi gestisce un sito, un e-commerce, un’app, o altro servizio che tratta dati personali.

Scopri come adeguare la privacy policy con LegalBlink.


SOMMARIO


Minnesota: cosa cambia con il MCDPA
Maryland: novità con il MODPA
Implicazioni pratiche
Il generatore di LegalBlink è già aggiornato

Minnesota: cosa cambia con il MCDPA

Il Minnesota Consumer Data Privacy Act è stato firmato dal governatore Tim Walz il 24 maggio 2024. La legge è entrata in vigore il 31 luglio 2025 per la maggior parte dei soggetti. Per le istituzioni post‐secondarie regolamentate dall’Office of Higher Education del Minnesota c’è una proroga fino al 31 luglio 2029.

Ambito di applicazione / soggetti coperti

La legge si applica a imprese o entità che:

  • operano nel Minnesota oppure offrono prodotti o servizi ai residenti dello stato, e

  • soddisfano almeno uno dei seguenti test (nello scorso anno solare):

    1. controllano o processano i dati personali di almeno 100.000 consumatori residenti in Minnesota, esclusi dati trattati solo per completare transazioni di pagamento; oppure

    2. controllano o processano i dati di almeno 25.000 consumatori residenti e ricavano più del 50% del loro fatturato lordo dalla vendita di dati personali.

Diritti accordati ai consumatori

Con il MCDPA, i consumatori del Minnesota ottengono diversi diritti, similmente ad altre leggi statali ma con alcune specificità:

  • confermare se i loro dati personali sono trattati (accesso / informazione)

  • accesso ai dati personali raccolti

  • correzione dei dati inesatti

  • cancellazione dei dati personali

  • portabilità dei dati (ottenere copia in formato utilizzabile)

  • diritto di opt‐out da pratiche quali pubblicità mirata (targeted advertising), vendita di dati personali, e profiling

  • diritto di contestare decisioni derivate da profilazione: sapere perché è stato preso un certo tipo di decisione basata su profilazione, poter correggere dati usati, e avere trasparenza su tali processi. Questa è una caratteristica meno comune.

Obblighi imposti alle imprese

Le imprese e i siti web devono:

  • predisporre privacy notices chiare: quali dati raccolgono, perché, con chi li condividono, diritti dell’utente.

  • mantenere un “inventario” dei dati personali che processano (data inventory) ed avere procedure/politiche interne per garantire la conformità alla legge.

  • applicare misure di sicurezza tecniche, amministrative e fisiche adeguate per proteggere i dati personali.

Maryland: novità con la MODPA


Il Maryland Online Data Privacy Act (MODPA) è stato approvato il 9 maggio 2024 con il Senate Bill SB 541. La legge entra in vigore 1° ottobre 2025. Tuttavia, sebbene entra in vigore in quella data, alcune disposizioni riguardanti l’applicazione effettiva del trattamento dei dati personali avranno effetto solo dal 1° aprile 2026.

Soggetti obbligati

MODPA si applica a “controllers” e “processors” (o entità che determinano le finalità e i mezzi del trattamento), che:

  • operano in Maryland o offrono prodotti/servizi destinati ai residenti dello stato, e

  • nell’anno solare precedente:

    1. controllano o processano i dati personali di almeno 35.000 consumatori residenti in Maryland, escludendo i dati utilizzati solo per completare transazioni di pagamento; oppure

    2. controllano o processano i dati personali di almeno 10.000 consumatori e ricavano più del 20% del loro fatturato lordo dalla vendita di dati personali.

Ci sono esenzioni: ad esempio per certe categorie di dati regolati da leggi federali (HIPAA, FERPA, FCRA etc.), alcuni enti governativi, aziende finanziarie ecc.

Diritti dei consumatori

MODPA concede vari diritti simili ad altre leggi statali sulla privacy, tra cui:

  • confermare se un controller tratta i loro dati personali; accesso ai dati raccolti; correzione di inesattezze; cancellazione dei dati personali forniti o ottenuti.

  • portabilità dei dati (ottenere copia in formato utilizzabile)

  • ottenere informazioni su quali categorie di terze parti hanno ricevuto i dati personali del consumatore.

  • diritto di opt‐out: per pubblicità mirata, per la vendita di dati personali, e per profilazione se produce decisioni con effetti legali o simili.

Altre caratteristiche distintive

Il MODPA impone restrizioni particolari per i dati sensibili, inclusi i dati sanitari dei consumatori (compresa assistenza riproduttiva, salute mentale, etc.), dati biometrici, geolocalizzazione precisa, orientamento sessuale, ecc.

Inoltre, il principio di minimizzazione dei dati è enfatizzato: i controller devono limitare la raccolta, il trattamento e la condivisione di dati sensibili e in generale dei dati personali a quanto è “strettamente necessario” per fornire o mantenere il prodotto/servizio richiesto dal consumatore.

L’ufficio dell’Attorney General del Maryland sarà l’autorità di applicazione. Non è previsto un diritto privato di azione per i consumatori sotto questa legge (in gran parte) — cioè non tutti i consumatori possono intentare causa civile direttamente in base a MODPA.

privacy nuove in Minnesota e maryland


Implicazioni pratiche e suggerimenti per i siti web ed ecommerce


Con queste leggi (e altre simili in altri stati) il panorama normativo negli USA diventa sempre più frammentato ma anche più stringente. Ecco alcuni consigli utili:

  1. Verificare se la legge si applica: controllare se la propria attività soddisfa i criteri numerici (numero di consumatori, percentuale del fatturato da vendita dati, etc.), e se serve o si offrono servizi a residenti di Minnesota o Maryland.

  2. Aggiornare le privacy policy per includere i diritti dei consumatori secondo MCDPA e MODPA, le modalità con cui possono esercitarli, le informative su profilazione, vendita dati, pubblicità mirata, uso di dati sensibili.

  3. Implementare meccanismi di opt‐out efficaci: per profilazione, pubblicità mirata, vendita di dati.

  4. Data inventory e documentazione: tenere traccia dei tipi di dati raccolti, come vengono usati, con chi vengono condivisi; predisporre politiche interne, procedure, formazione del personale.

  5. Minimizzazione dei dati: raccogliere solo ciò che è necessario, specialmente in relazione ai dati sensibili.

  6. Pianificare la compliance entro le date di entrata in vigore, per evitare sanzioni. Per esempio MODPA effettivo da ottobre 2025, ma con alcune parti operative da aprile 2026; MCDPA da luglio 2025, con proroghe per istituzioni educative.

Il generatore di LegalBlink è già aggiornato


Le leggi del Minnesota e del Maryland rappresentano un ulteriore passo avanti nella protezione della privacy dei consumatori negli USA. Da un lato offrono diritti più chiari e incisivi agli utenti, dall’altro impongono nuovi obblighi a chi gestisce dati personali online.

Per agevolare i nostri clienti, il generatore LegalBlink è già stato aggiornato a queste normative: è sufficiente accedere al proprio account, entrare nel template Privacy Policy e selezionare i due nuovi stati dagli appositi menu. In questo modo la policy sarà automaticamente conforme anche alle disposizioni del Minnesota Consumer Data Privacy Act (MCDPA) e del Maryland Online Data Privacy Act (MODPA).


Team LegalBlink


Ultime notizie dal blog

17/01/2026

Privacy Policy per Ecommerce 2026: guida pratica per la conformità GDPR Scopri come pubblicare una privacy policy per ecommerce a norma GDPR. Evita reclami e pesanti sanzioni del Garante Privacy

Leggi tutto

16/01/2026

Contratto con freelance: guida 2026 per aziende Hai appena firmato un contratto con un freelance? Ecco cosa devi controllare per tutelarti e avviare una collaborazione professionale senza sorprese.

Leggi tutto

15/01/2026

Registro dei trattamenti GDPR: guida completa per siti web ed e-commerce 2026 Scopri cos’è il registro dei trattamenti GDPR, chi deve redigerlo e come compilarlo correttamente. Esempi pratici e modelli per siti web ed e-commerce.

Leggi tutto