Nuova legge sulla protezione dei dati in Oregon

Il 22 giugno, l'SB 619, l'Oregon Consumer Privacy Act (OCPA), è stato approvato dai legislatori di Salem. Se firmato dal governatore Kotek, l'Oregon diventerà l'undicesimo stato americano (e il sesto nel 2023) a promulgare leggi complete sulla privacy che regolano la raccolta, l'uso e la gestione dei dati personali. Trasmissione dei dati dei consumatori. La maggior parte dei requisiti dell'OCPA entrerà in vigore il 1° luglio 2024 (ad eccezione delle organizzazioni non profit, per le quali la legge si applicherà dal 1° luglio 2025).

Per le aziende dell'Oregon o per le aziende che operano in Oregon, la nuova legge sulla privacy ha alcune importanti implicazioni. Ecco le principali disposizioni che le aziende devono conoscere:

1. ampio campo di applicazione

A differenza di molte altre leggi statali sulla privacy, l'OCPA non esclude automaticamente le aziende che sono già soggette alle leggi federali sulla privacy. Protezione dei dati sono soggetti. Esistono solo eccezioni per alcuni dati già coperti da leggi come la Health Insurance Portability and Responsabilità etica (HIPAA) e il Gramm-Leach-Bliley Act (GLBA). Inoltre, le organizzazioni senza scopo di lucro non sono considerate esenti ai sensi dell'OCPA, tranne nel caso di organizzazioni che "individuano e prevengono frodi assicurative" o che sono classificate come "istituzioni finanziarie" ai sensi della legge statale.

2. esteso Definizioni dei dati raccolti

L'OCPA fa riferimento a "Dati personali" e stabilisce anche una categoria di "dati sensibili" che godono di una protezione speciale. Tuttavia, la definizione di "informazioni personali" dell'OCPA è unica nel suo genere, in quanto include esplicitamente le "informazioni derivate", ossia le deduzioni su un cliente, nonché le informazioni associate a un "dispositivo" e che possono essere ragionevolmente attribuite a uno o più individui di una "famiglia". A differenza di leggi simili, l'OCPA non contiene una definizione specifica né eccezioni per i dati pseudonimizzati.

La definizione di "informazioni sensibili" nella legge dell'Oregon è più ampia rispetto a quella di altri Stati e comprende, tra l'altro, la "razza", l'"identità di genere transgender o non binaria" e lo "status di vittima di un reato". Inoltre, l'OCPA definisce il termine "dati biometrici" in modo ampio e include informazioni che identificano in modo univoco un individuo. Tuttavia, esiste un'eccezione per la "mappatura facciale o la geometria facciale", a condizione che queste tecnologie non siano utilizzate per identificare in modo univoco un individuo.

3. nuovi diritti dei consumatori

L'OCPA concede ai consumatori una serie di diritti ormai ampiamente riconosciuti, come il diritto alla conferma della

Elaborazione dei dati, accesso, Correzione, Cancellazioneportabilità dei dati personali e il diritto di opporsi al trattamento mirato dei dati. Pubblicitàdi opporsi alla vendita di dati e a decisioni significative di profilazione. Un aspetto interessante dell'OCPA, tuttavia, è il diritto dei consumatori di richiedere un elenco di "terze parti specifiche" a cui un'azienda può divulgare i propri dati personali. Dati personali divulga. Ciò rappresenta una sfida operativa ed è simile ai requisiti stabiliti nelle leggi sulla privacy sanitaria recentemente promulgate nello Stato di Washington e in Nevada. Inoltre, l'OCPA è la prima legge completa sulla privacy che riconosce esplicitamente il diritto di Cancellazione di "dati derivati".

4. obblighi più severi per i responsabili del trattamento dei dati

L'OCPA definisce per colpiti Le aziende hanno una serie di obblighi che sono già noti in altre leggi sulla protezione dei dati, come il mantenimento di un adeguato livello di protezione dei dati. Sicurezza dei datirequisiti contrattuali per gli incaricati del trattamento, pubblicazione di dichiarazioni sulla protezione dei dati e ottenimento del consenso per il trattamento dei dati personali. Elaborazione dati sensibili. Tuttavia, gli obblighi previsti dall'OCPA sono un po' più severi rispetto alle leggi analoghe di altri Stati. Ad esempio, i responsabili del trattamento dei dati devono avere un'esplicita Consenso di profilare i dati dei giovani tra i 13 e i 15 anni allo scopo di prendere decisioni significative. Inoltre, l'OCPA indica che i meccanismi di progettazione destinati a interferire con la scelta dei consumatori possono invalidare il consenso dei consumatori ai sensi della legge. Infine, la legge prevede che le valutazioni d'impatto sulla privacy siano conservate per un periodo di cinque anni. Solo il Colorado ha stabilito periodi di conservazione simili nei suoi regolamenti attuativi.

5. utilizzo e scambio di dati a fini di ricerca

L'OCPA contiene eccezioni ai diritti e agli obblighi dei consumatori per alcuni usi delle informazioni personali, come le operazioni interne che soddisfano le aspettative dei consumatori, il rispetto delle richieste investigative delle forze dell'ordine e il mantenimento della privacy delle informazioni personali. Sicurezza dei dati. Tuttavia, a differenza di altre leggi sulla protezione dei dati, l'OCPA non prevede requisiti specifici per l'utilizzo dei dati a scopo di ricerca. Finché l'uso dei dati identificativi è conforme alla legge applicabile, le aziende sono esenti dai diritti e dagli obblighi dei consumatori previsti dalla legge.

La nuova legge sulla privacy dell'Oregon presenta cambiamenti e sfide per le aziende. È importante che le aziende, soprattutto quelle che si trovano in Oregon o che svolgono attività commerciali in Oregon, esaminino attentamente le disposizioni dell'OCPA e adottino le misure appropriate per conformarsi ai requisiti della legge e garantire la protezione dei dati dei consumatori.