Cos'è il Virginia Consumer Data Protection Act (VCDPA). La legge privacy della Virginia
Il
1° gennaio 2023 entrerà in vigore il VCDPA, la legge privacy della Virginia.
Vediamo di cosa si tratta e se si applica ai siti web europei.
Vuoi rimanere sempre aggiornato sulle novità legali del mondo e-commerce? Iscriviti alla nostra
newsletter!
SOMMARIO
Cos'è il Virginia Consumer Data Protection Act (VCDPA)
Quali sono le differenza tra il VCDPA e il CCPA (la legge privacy della California)
Alcuni punti critici del VCDPA
I limiti pratici del VCDPA
Questa legge privacy si applica anche ai siti web europei e italiani?
Il
VCDPA (Virginia Consumer Data Protection Act) è la
legge privacy dello stato della Virginia, in vigore dal 1° gennaio 2023.
Questa nuova legge privacy riconosce agli utenti il
diritto di accedere ai propri dati personali e di
richiedere la cancellazione delle informazioni personali da parte delle aziende.
Inoltre, impone alle
aziende di effettuare valutazioni sulla protezione dei dati in relazione al trattamento dei dati personali per scopi pubblicitari e di vendita mirati.
Le società che
svolgono attività commerciali in Virginia o che dirigono la loro attività in Virginia devono soddisfare almeno uno dei requisiti sotto indicati per essere obbligate a rispettare questa nuova legge.
Le società devono trattare i dati personali di almeno:
(i)
100.000 utenti dello Stato della Virginia in un anno solare, oppure
(ii)
25.000 utenti dello Stato della Virginia, ricavando oltre il 50% dei ricavi lordi dalla vendita di tali dati.
Con sole otto pagine, il
VCDPA è molto più sintetico del California Consumer Privacy Act (
CCPA).
Si ritiene che con la sua brevità e chiarezza il
VCDPA possa diventare un modello per la futura legislazione sulla privacy statunitense.
Il VCDPA definisce chiaramente quali dati personali sono coperti, descrivendo gli utenti come residenti in Virginia:
"
che agiscono solo in un contesto individuale o familiare".
Questa legge privacy chiarisce che gli utenti non sono coloro che agiscono in un "contesto commerciale o lavorativo".
A differenza della California, dove le esclusioni relative al B2B e ai dipendenti sono state oggetto di diversi emendamenti di legge, la Virginia ha scelto di non lasciare in sospeso questi potenziali ostacoli alla conformità legale della legge privacy.
Inoltre, a differenza del CCPA,
il VCDPA non fa riferimento a una soglia basata esclusivamente sul reddito lordo annuale.
Come spesso capita con le leggi sulla privacy,
anche il VCDPA presenti alcuni punti che dovranno essere chiariti.
Di seguito abbiamo elencato i punti più significativi che saranno oggetto di confronto tra gli esperti di privacy statunitense.
Applicabilità
Il VCDPA si applica alle persone che "conducono affari" nel Commonwealth o producono prodotti o servizi "mirati" ai residenti della Virginia.
La legge però non definisce il concetto di "mirato".
Diritto di cancellazione
La legge privacy della California consente agli utenti di richiedere la cancellazione dei dati personali, ma
il VCDPA non stabilisce alcuna eccezione specifica al diritto di cancellazione.
Accesso e portabilità dei dati
Il VCDPA concede agli utenti il diritto di ottenere una copia dei loro dati personali e indica specificamente che la
copia deve essere fornita:
"
in un formato portatile e, nella misura in cui ciò sia tecnicamente fattibile, prontamente utilizzabile, che consenta all'utente di trasmettere i dati a un altro responsabile del trattamento senza ostacoli ....".
Ma il
VCDPA include anche una condizione per l'esercizio di questo diritto:
"
se il trattamento è effettuato con mezzi automatizzati".
La legge però non chiarisce cosa debba intendersi per "
mezzi automatizzati".
Pubblicità mirata
Il
VCDPA definisce "dati personali" qualsiasi informazione:
"
collegata o ragionevolmente collegabile a una persona fisica identificata o identificabile".
Questa definizione però
non include in modo specifico le informazioni che potrebbero essere collegate al dispositivo di un utente.
Ciò, posto che appare discutibile ritenere che il legislatore della Virginia intendesse consentire l'uso di cookie senza il consenso dell'utente.
Dati personali dei minorenni
Sebbene il VCDPA si estenda al trattamento dei dati personali raccolti sia online che offline, la legge privacy specifica che se un utente è un bambino, il titolare del trattamento deve conformarsi al Children's Online Privacy Protection Act (COPPA) federale.
Ma il COPPA si applica solo alle informazioni personali raccolte dai bambini online.
Questo lascia il titolare del trattamento
esente da responsabilità se tratta dati personali di bambini offline?
Ovviamente anche su questo punto dovranno pronunciarsi i giuristi americani, in special modo della Virginia.
La
legge della Virginia prevede delle eccezioni per le informazioni sanitarie protette ai sensi dell'Health Insurance Portability and Accountability Act (HIPAA), nonché per i dati personali regolati dal Family Educational Rights and Privacy Act (FERPA).
Tra coloro che non rientrano nell'ambito di applicazione della legge figurano anche le agenzie statali, le organizzazioni non profit, i college e le università e le entità o i dati soggetti al Titolo V del Gramm-Leach-Bliley Act, che regolamenta in larga misura le banche e le altre istituzioni finanziarie.
Altro
limite del VCDPA consiste nel fatto che i residenti della della Virginia non potranno fare causa direttamente per violazione di questa legge sulla privacy.
L'applicazione della legge è affidata al procuratore generale dello Stato, che potrà chiedere danni fino a 7.500 dollari per ogni violazione.
Un vantaggio per le aziende è la possibilità di effettuare un
"ravvedimento operoso" entro 30 giorni dalla contestazione ricevuta dal procuratore generale e di porre rimedio a qualsiasi potenziale violazione prima che vengano imposte multe.
Inoltre, a differenza del CCPA, la
legge sulla privacy della Virginia consente esplicitamente alle aziende di offrire prezzi e livelli di servizio diversi ai consumatori iscritti ai programmi di fidelizzazione senza dover rispettare determinati obblighi.
In
astratto il VCDPA potrebbe applicarsi anche ai siti europei o italiani.
I
requisiti previsti per la sua applicazione nel concreto, però, rendono questo scenario molto teorico.
Infatti, è molto difficile che un sito web europeo diriga in modo specifico i suoi prodotti o servizi ad utenti dello Stato della Virginia e al tempo stesso tratti i dati personali di :
(i) 100.000 utenti dello Stato della Virginia in un anno solare, oppure
(ii) 25.000 utenti dello Stato della Virginia, ricavando oltre il 50% dei ricavi lordi dalla vendita di tali dati.
Ovviamente, qualora i requisiti di applicabilità del VCDPA dovessere cambiare sarà nostra cura informarvi e aggiornare il nostro generatore di privacy policy.
Team LegalBlink