Nuova legge sulla protezione dei dati in Oregon

Kategorien:

Nuova legge sulla protezione dei dati in Oregon: cosa significa per le aziende?

Il 22 giugno, la legge SB 619, l'Oregon Consumer Privacy Act (OCPA), è stata approvata dai legislatori di Salem. Se firmato dal governatore Kotek, l'Oregon diventerà l'undicesimo Stato americano (e il sesto nel 2023) a implementare leggi complete sulla privacy che regolano la raccolta, l'uso e il trasferimento dei dati dei consumatori. La maggior parte dei requisiti dell'OCPA entrerà in vigore il 1° luglio 2024 (ad eccezione delle organizzazioni non profit, per le quali la legge si applicherà a partire dal 1° luglio 2025).

Per le aziende dell'Oregon o per le aziende che operano in Oregon, la nuova legge sulla privacy ha alcune importanti implicazioni. Ecco le principali disposizioni che le aziende devono conoscere:

1. ampio campo di applicazione

A differenza di molte altre leggi statali sulla privacy, l'OCPA non esclude automaticamente le aziende che sono già soggette alle leggi federali sulla privacy. Sono previste esenzioni solo per alcuni dati già disciplinati da leggi come l'Health Insurance Portability and Accountability Act (HIPAA) e il Gramm-Leach-Bliley Act (GLBA). Inoltre, le organizzazioni senza scopo di lucro non sono considerate esenti dall'OCPA, tranne nel caso di organizzazioni che "individuano e prevengono frodi assicurative" o che sono classificate come "istituzioni finanziarie" ai sensi della legge statale.

2. definizioni estese dei dati registrati

L'OCPA fa riferimento alle "informazioni personali" e stabilisce anche una categoria di "informazioni sensibili" che godono di una protezione speciale. Tuttavia, la definizione di "informazioni personali" dell'OCPA è unica nel suo genere, in quanto include esplicitamente le "informazioni derivate", ossia le deduzioni su un cliente, nonché le informazioni associate a un "dispositivo" che può essere ragionevolmente attribuito a uno o più individui di una "famiglia". A differenza di leggi simili, l'OCPA non contiene una definizione specifica né eccezioni per i dati pseudonimizzati.

La definizione di "informazioni sensibili" nella legge dell'Oregon è più ampia rispetto a quella di altri Stati e comprende, tra l'altro, la "razza", l'"identità di genere transgender o non binaria" e lo "status di vittima di un reato". Inoltre, l'OCPA definisce il termine "dati biometrici" in modo ampio e include informazioni che identificano in modo univoco un individuo. Tuttavia, esiste un'eccezione per la "mappatura facciale o la geometria facciale", a condizione che queste tecnologie non siano utilizzate per identificare in modo univoco un individuo.

3. nuovi diritti dei consumatori

L'OCPA concede ai consumatori una serie di diritti ormai ampiamente riconosciuti, come il diritto alla conferma del

trattamento dei dati, l'accesso, la rettifica, la cancellazione, la portabilità dei dati personali e il diritto di opporsi alla pubblicità mirata, alla vendita di dati e a decisioni significative di profilazione. Un aspetto interessante dell'OCPA, tuttavia, è il diritto dei consumatori di richiedere un elenco di "terze parti specifiche" a cui un'azienda condivide i dati personali. Questo rappresenta una sfida operativa ed è simile ai requisiti stabiliti nelle leggi sulla privacy sanitaria recentemente promulgate nello Stato di Washington e in Nevada. Inoltre, l'OCPA è la prima legge completa sulla privacy a prevedere esplicitamente il diritto alla cancellazione dei "dati derivati".

4. obblighi più severi per i responsabili del trattamento dei dati

L'OCPA impone alle aziende interessate una serie di obblighi già noti in altre leggi sulla protezione dei dati, come il mantenimento di un'adeguata sicurezza dei dati, i requisiti contrattuali per gli incaricati del trattamento, la pubblicazione di dichiarazioni sulla privacy e l'ottenimento del consenso per il trattamento dei dati sensibili. Tuttavia, gli obblighi previsti dall'OCPA sono un po' più severi rispetto alle leggi analoghe di altri Stati. Ad esempio, i responsabili del trattamento dei dati devono ottenere il consenso esplicito al trattamento dei dati di giovani di età compresa tra i 13 e i 15 anni per prendere decisioni importanti. Inoltre, l'OCPA rileva che i meccanismi di progettazione volti a interferire con la scelta del consumatore possono invalidare il consenso del consumatore ai sensi della legge. Infine, la legge prevede che le valutazioni d'impatto sulla privacy siano conservate per un periodo di cinque anni. Solo il Colorado ha stabilito periodi di conservazione simili nei suoi regolamenti attuativi.

5. utilizzo e scambio di dati a fini di ricerca

L'OCPA contiene eccezioni ai diritti e agli obblighi dei consumatori per alcuni usi delle informazioni personali, come le operazioni interne che soddisfano le aspettative dei consumatori, l'adempimento delle richieste investigative delle forze dell'ordine e il mantenimento della sicurezza dei dati. Tuttavia, a differenza di altre leggi sulla privacy, l'OCPA non prevede requisiti specifici per l'uso dei dati a fini di ricerca. Finché l'uso dei dati identificativi è conforme alle leggi vigenti, le aziende sono esenti dai diritti e dagli obblighi dei consumatori previsti dalla legge.

La nuova legge sulla privacy dell'Oregon comporta cambiamenti e sfide per le aziende. È importante che le aziende, soprattutto quelle che si trovano in Oregon o che svolgono attività commerciali in Oregon, esaminino attentamente le disposizioni dell'OCPA e adottino le misure appropriate per conformarsi ai requisiti della legge e garantire la protezione dei dati dei consumatori.

Tag:
Condividi questo post :
it_ITItalian