Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Cos'è il Virginia Consumer Data Protection Act (VCDPA). La legge privacy della Virginia

27/12/2022

Cos'è il Virginia Consumer Data Protection Act (VCDPA). La legge privacy della Virginia
 

Il 1° gennaio 2023 entrerà in vigore il VCDPA, la legge privacy della Virginia.

Vediamo di cosa si tratta e se si applica ai siti web europei.

Vuoi rimanere sempre aggiornato sulle novità legali del mondo e-commerce? Iscriviti alla nostra newsletter


SOMMARIO


Cos'è il Virginia Consumer Data Protection Act (VCDPA)
Quali sono le differenza tra il VCDPA e il CCPA (la legge privacy della California)
Alcuni punti critici del VCDPA
I limiti pratici del VCDPA
Questa legge privacy si applica anche ai siti web europei e italiani?

 
VCDPA Virginia Consumer Data Protection Act

 

Cos'è il Virginia Consumer Data Protection Act (VCDPA)



Il VCDPA (Virginia Consumer Data Protection Act) è la legge privacy dello stato della Virginia, in vigore dal 1° gennaio 2023.

Questa nuova legge privacy riconosce agli utenti il diritto di accedere ai propri dati personali e di richiedere la cancellazione delle informazioni personali da parte delle aziende.

Inoltre, impone alle aziende di effettuare valutazioni sulla protezione dei dati in relazione al trattamento dei dati personali per scopi pubblicitari e di vendita mirati.

Le società che svolgono attività commerciali in Virginia o che dirigono la loro attività in Virginia devono soddisfare almeno uno dei requisiti sotto indicati per essere obbligate a rispettare questa nuova legge.

Le società devono trattare i dati personali di almeno: 


(i) 100.000 utenti dello Stato della Virginia in un anno solare, oppure

(ii) 25.000 utenti dello Stato della Virginia, ricavando oltre il 50% dei ricavi lordi dalla vendita di tali dati.

 

Quali sono le differenze tra il VCDPA e il CCPA (la legge privacy della California)



Con sole otto pagine, il VCDPA è molto più sintetico del California Consumer Privacy Act (CCPA).

Si ritiene che con la sua brevità e chiarezza il VCDPA possa diventare un modello per la futura legislazione sulla privacy statunitense.

Il VCDPA definisce chiaramente quali dati personali sono coperti, descrivendo gli utenti come residenti in Virginia: 


"che agiscono solo in un contesto individuale o familiare".


Questa legge privacy chiarisce che gli utenti non sono coloro che agiscono in un "contesto commerciale o lavorativo".

A differenza della California, dove le esclusioni relative al B2B e ai dipendenti sono state oggetto di diversi emendamenti di legge, la Virginia ha scelto di non lasciare in sospeso questi potenziali ostacoli alla conformità legale della legge privacy.

Inoltre, a differenza del CCPA, il VCDPA non fa riferimento a una soglia basata esclusivamente sul reddito lordo annuale

 

Alcuni punti critici del Virginia Consumer Data Protection Act



Come spesso capita con le leggi sulla privacy, anche il VCDPA presenti alcuni punti che dovranno essere chiariti.

Di seguito abbiamo elencato i punti più significativi che saranno oggetto di confronto tra gli esperti di privacy statunitense.

 

Applicabilità



Il VCDPA si applica alle persone che "conducono affari" nel Commonwealth o producono prodotti o servizi "mirati" ai residenti della Virginia.

La legge però non definisce il concetto di "mirato".

 

Diritto di cancellazione



La legge privacy della California consente agli utenti di richiedere la cancellazione dei dati personali, ma il VCDPA non stabilisce alcuna eccezione specifica al diritto di cancellazione.


Accesso e portabilità dei dati


Il VCDPA concede agli utenti il diritto di ottenere una copia dei loro dati personali e indica specificamente che la copia deve essere fornita:


"in un formato portatile e, nella misura in cui ciò sia tecnicamente fattibile, prontamente utilizzabile, che consenta all'utente di trasmettere i dati a un altro responsabile del trattamento senza ostacoli ....".


Ma il VCDPA include anche una condizione per l'esercizio di questo diritto:


"se il trattamento è effettuato con mezzi automatizzati".


La legge però non chiarisce cosa debba intendersi per "mezzi automatizzati".


Pubblicità mirata


Il VCDPA definisce "dati personali" qualsiasi informazione:


"collegata o ragionevolmente collegabile a una persona fisica identificata o identificabile".


Questa definizione però non include in modo specifico le informazioni che potrebbero essere collegate al dispositivo di un utente.

Ciò, posto che appare discutibile ritenere che il legislatore della Virginia intendesse consentire l'uso di cookie senza il consenso dell'utente. 


Dati personali dei minorenni 


Sebbene il VCDPA si estenda al trattamento dei dati personali raccolti sia online che offline, la legge privacy specifica che se un utente è un bambino, il titolare del trattamento deve conformarsi al Children's Online Privacy Protection Act (COPPA) federale.

Ma il COPPA si applica solo alle informazioni personali raccolte dai bambini online.

Questo lascia il titolare del trattamento esente da responsabilità se tratta dati personali di bambini offline? 

Ovviamente anche su questo punto dovranno pronunciarsi i giuristi americani, in special modo della Virginia.

 

I limiti pratici del VCDPA, la legge privay della Virginia.



La legge della Virginia prevede delle eccezioni per le informazioni sanitarie protette ai sensi dell'Health Insurance Portability and Accountability Act (HIPAA), nonché per i dati personali regolati dal Family Educational Rights and Privacy Act (FERPA).

Tra coloro che non rientrano nell'ambito di applicazione della legge figurano anche le agenzie statali, le organizzazioni non profit, i college e le università e le entità o i dati soggetti al Titolo V del Gramm-Leach-Bliley Act, che regolamenta in larga misura le banche e le altre istituzioni finanziarie.

Altro limite del VCDPA consiste nel fatto che i residenti della della Virginia non potranno fare causa direttamente per violazione di questa legge sulla privacy. 

L'applicazione della legge è affidata al procuratore generale dello Stato, che potrà chiedere danni fino a 7.500 dollari per ogni violazione.

Un vantaggio per le aziende è la possibilità di effettuare un "ravvedimento operoso" entro 30 giorni dalla contestazione ricevuta dal procuratore generale e di porre rimedio a qualsiasi potenziale violazione prima che vengano imposte multe.

Inoltre, a differenza del CCPA, la legge sulla privacy della Virginia consente esplicitamente alle aziende di offrire prezzi e livelli di servizio diversi ai consumatori iscritti ai programmi di fidelizzazione senza dover rispettare determinati obblighi.

 

Il VCDPA si applica anche ai siti web europei (o italiani)?



In astratto il VCDPA potrebbe applicarsi anche ai siti europei o italiani.

I requisiti previsti per la sua applicazione nel concreto, però, rendono questo scenario molto teorico.

Infatti, è molto difficile che un sito web europeo diriga in modo specifico i suoi prodotti o servizi ad utenti dello Stato della Virginia e al tempo stesso tratti i dati personali di :


(i) 100.000 utenti dello Stato della Virginia in un anno solare, oppure

(ii) 25.000 utenti dello Stato della Virginia, ricavando oltre il 50% dei ricavi lordi dalla vendita di tali dati.


Ovviamente, qualora i requisiti di applicabilità del VCDPA dovessere cambiare sarà nostra cura informarvi e aggiornare il nostro generatore di privacy policy.

Team LegalBlink