Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Poiché la protezione della data privacy è diventata una priorità per gli individui, i governi di tutti i livelli hanno emanato una varietà di leggi sui diritti alla privacy per controllare come le organizzazioni raccolgono, conservano ed elaborano informazioni personali, come nomi, indirizzi, dati sanitari, registrazioni finanziarie e informazioni sul credito.

Scopri di più sulla data privacy law negli Stati Uniti, così come quali cambiamenti e altri sviluppi aspettarsi per le leggi esistenti che governano i dati personali

Come viene applicata la privacy dei dati negli Stati Uniti?

La necessità di affrontare le moderne questioni sulla privacy e proteggere i diritti alla privacy dei dati è una tendenza globale. Un momento decisivo si è verificato nel maggio 2018, quando l'UE ha implementato il Regolamento Generale sulla Protezione dei Dati (GDPR), una normativa estensiva che si applica non solo agli stati membri dell'UE ma a qualsiasi organizzazione che raccoglie o elabora i dati dei residenti europei.

In poche parole, gli Stati Uniti non hanno un equivalente del GDPR dell'UE. Infatti, a partire dal 2021, gli USA sono una delle sole democrazie e l'unico membro dell'Organizzazione per la Cooperazione e lo Sviluppo Economico che non possiede un'agenzia federale per la protezione dei dati, anche se la senatrice Kirsten Gillibrand e altri hanno proposto la creazione di una tale agenzia. Senza una legge federale completa sulla protezione dei dati, gli Stati Uniti continuano a regolare la privacy dei dati attraverso una combinazione di leggi approvate a livello statale e federale.

Le aziende devono essere a conoscenza di tutta la legislazione pertinente prima di iniziare a raccogliere o elaborare qualsiasi dato che possa essere considerato “informazioni personali”. Il mancato rispetto delle leggi sulla privacy dei dati può portare a cause legali e multe.

Le leggi federali sulla privacy negli Stati Uniti e la loro applicazione

Le leggi federali considerate come leggi sulla privacy dei dati includono:

• Gramm-Leach-Bliley Act (GLBA): Nota anche come Financial Modernization Act del 1999, la GLBA richiede alle società finanziarie di spiegare come proteggono e condividono i dati sensibili dei clienti
• Health Insurance Portability and Accountability Act (HIPAA): Questa legge federale regola la divulgazione e l'uso delle informazioni sanitarie protette (PHI).
• Children’s Online Privacy Protection Act (COPPA): Questa legge limita la raccolta di informazioni personali sui bambini al di sotto dei 13 anni.
• Family Educational Rights and Privacy Act (FERPA): Questa legge federale protegge la privacy dei registri degli studenti e si applica a tutte le scuole che ricevono fondi dal Dipartimento dell'Istruzione degli Stati Uniti.
• Fair Credit Reporting Act (FCRA): Regola la raccolta e l'utilizzo delle informazioni sui consumatori

A livello federale, la Federal Trade Commission (FTC) ha una vasta giurisdizione sulle entità commerciali per prevenire le “pratiche commerciali ingannevoli”, che possono includere questioni di privacy dei dati. La FTC ha l'autorità di far rispettare le leggi sulla privacy, emettere regolamenti e prendere misure per proteggere i consumatori. In particolare, la FTC può agire contro le aziende che:

• Impossibile creare, implementare e mantenere misure ragionevoli di data security contro le violazioni
• Violare i diritti alla privacy dei dati dei consumatori raccogliendo, elaborando o condividendo informazioni sui consumatori senza il loro consenso
• Pubblicare e stabilire politiche di privacy e sicurezza inesatte o confuse per i consumatori su siti web e app
• Raccogliere, elaborare, trasferire o condividere informazioni personali in un modo che non è stato divulgato nella politica sulla privacy

Leggi sulla privacy dei dati a livello statale negli Stati Uniti

Molti stati degli Stati Uniti hanno anche le proprie leggi sulla privacy e sicurezza dei dati. Gli uffici degli attorney general statali sono responsabili della supervisione di queste leggi.

Le normative a livello statale spesso presentano disposizioni sovrapposte o incompatibili. Ad esempio, tutti i 50 stati degli Stati Uniti hanno adottato leggi sulla notifica di violazione dei data breach, ma ci sono differenze nella definizione di dati personali e persino in ciò che costituisce una violazione dei dati. Allo stesso modo, almeno 35 stati (e Porto Rico) hanno promulgato qualche forma di normativa sulla distruzione dei dati, con molte di queste leggi che si occupano specificamente dei dati digitali.

Ecco le principali leggi sulla privacy dei dati per stato che sono state promulgate:

California Consumer Privacy Act

Effective date: January 1, 2020

Disposizioni: Questa legge sulla privacy dei dati in California è iniziata come iniziativa popolare in risposta alla crescente preoccupazione pubblica riguardo alla quantità di dati privati che le aziende digitali e tecnologiche nella Silicon Valley hanno raccolto e venduto in segreto per decenni. La legge californiana incorpora i principi fondamentali della protezione dei dati e dei requisiti di privacy dei dati nell'Unione Europea GDPR.

Il CCPA disciplina la raccolta, la vendita e la divulgazione delle informazioni personali dei residenti in California. Si applica alle attività delle imprese, dei fornitori di servizi che lavorano per le imprese e delle terze parti (che possono essere individui o organizzazioni). Uno dei termini chiave della legge è che le imprese devono rispondere prontamente alle richieste dei consumatori californiani riguardo quali dati personali vengono raccolti su di loro e se questi vengono venduti o divulgati. La legge non ammette discriminazioni nei confronti dei consumatori che esercitano i loro diritti; i consumatori devono ricevere lo stesso livello di servizio anche se si oppongono a una determinata attività, come la vendita dei loro dati. I fornitori di servizi possono utilizzare i dati dei consumatori solo su indicazione dell'impresa che servono e devono eliminare le informazioni personali di un consumatore dai loro archivi su richiesta.

Ambito: Il CCPA si applica a tutte le imprese for-profit che operano in California e che soddisfano determinate condizioni, come una soglia di fatturato. Ha un effetto extraterritoriale, in quanto copre anche le imprese non californiane che operano in California.

Altri fatti chiave:

• Alcuni dati sensibili sono esenti dai requisiti del CCPA, inclusi le informazioni sanitarie protette (PHI) già tutelate dal Health Insurance Portability & Accountability Act (HIPAA), le informazioni mediche già tutelate dal California Confidentiality of Medical Information Act e alcune informazioni tutelate dal Gramm-Leach-Bliley Act (GLBA).
• La legge attualmente richiede alle imprese di estendere i diritti previsti dal CCPA ai propri dipendenti. Tuttavia, è in attesa un disegno di legge che modificherebbe tale normativa escludendo i dipendenti dalla definizione di “consumatore”.
• Quando un'azienda riceve un'inchiesta riguardo le informazioni raccolte e conservate su un individuo, deve verificare che la persona che fa la richiesta sia realmente chi dichiara di essere prima di rispondere.

Penalità per le violazioni: La legge concede alle aziende 30 giorni per “rimediare” alle violazioni. Il mancato intervento su una violazione comporta una sanzione civile fino a US$7,500 per ogni violazione intenzionale e US$2,500 per ogni violazione non intenzionale.

California Privacy Rights Act (CPRA)

Nome ufficiale: Proposition 24

Data di entrata in vigore: 1 gennaio 2023, ma non sarà applicata fino al 1 luglio 2023

Disposizioni: Questa legge della California conferisce nuovi diritti ai consumatori, come il diritto di:

• Correggere le informazioni inesatte.
• Avere informazioni personali raccolte soggette a limitazioni di scopo e minimizzazione dei dati.
• Ricevi notifiche da aziende che intendono utilizzare informazioni personali sensibili e chiedi loro di interrompere. Questo include informazioni biometriche, dati genetici e qualsiasi informazione riguardante la salute, l'orientamento sessuale o la vita sessuale di un individuo.

Ambito: Questa legge ha un ambito più ampio rispetto al CCPA poiché offre ai consumatori i seguenti diritti ampliati:

• Il diritto di citare in giudizio le aziende quando espongono password e nomi utente: L'CPRA amplia la definizione di “informazioni personali” del CCPA per includere nomi utente e password.
• Il diritto di rinunciare alla condivisione di informazioni con terze parti: Ai sensi del CCPA, questo era un punto controverso perché “vendere” non includeva esplicitamente la condivisione. Con il CPRA, i consumatori possono ora rinunciare alla vendita e alla condivisione di informazioni personali con terze parti.
• Il diritto di accedere a più informazioni: I consumatori possono richiedere l'accesso a qualsiasi informazione personale raccolta da un'azienda, non solo alle informazioni raccolte nel periodo precedente di 12 mesi.

Altri fatti chiave: Questa legge istituisce anche una nuova agenzia per la privacy, la California Privacy Protection Agency (CPPA), che sarà responsabile dell'applicazione.

Penalità per le violazioni: Le multe possono variare da $2,500 a $7,500, a seconda che siate un'azienda o un individuo. Ci sono anche multe automatiche di $7,500 per le violazioni dei dati dei minori (chiunque al di sotto dei 16 anni).

Colorado Privacy Act (CPA)

Nome ufficiale: SB 21-190

Data di entrata in vigore: 1 luglio 2023

Disposizioni: Il CPA si applica ai “controller” che operano in Colorado o forniscono prodotti o servizi destinati ai residenti del Colorado che:

• Controllare o elaborare i dati personali di 100.000 o più consumatori in un anno
• Ottenere entrate o ricevere sconti sul prezzo dei servizi o dei beni vendendo, elaborando o controllando i dati personali di 25.000 o più consumatori

A partire dal 1 luglio 2024, i responsabili che soddisfano i requisiti sopra menzionati dovranno rispettare le richieste di esclusione per la vendita e la pubblicità mirata. Il CPA concede inoltre ai residenti del Colorado il diritto di accedere, correggere ed eliminare i propri dati personali, oltre al diritto alla portabilità dei dati. I responsabili avranno 45 giorni per rispondere alle richieste.

Ambito: A differenza del California Consumer Privacy Act del 2018, il CPA non presenta una soglia monetaria per l'applicabilità. Ciò significa che ogni impresa deve prendere in considerazione questa legge. Tuttavia, non si applica alle seguenti istituzioni:

• Le istituzioni finanziarie soggette al GLBA
• Vari tipi di dati relativi all'assistenza sanitaria
• Dati disciplinati da FERPA

A differenza delle leggi della California, il CPA non esclude le organizzazioni no profit.

Altri fatti chiave: CPA rende necessario che i controllori stipulino accordi di elaborazione dei dati (DPAs) con i processori. I controllori dovranno anche condurre e registrare valutazioni sulla protezione dei dati.

Penalità per le violazioni: Non esiste un diritto privato di azione, quindi l'Attorney General del Colorado e i procuratori distrettuali faranno rispettare il CPA. Possono richiedere danni monetari o provvedimenti cautelari. Tuttavia, prima di intraprendere azioni, l'Attorney General e i procuratori distrettuali devono emettere un avviso di violazione e consentire alle aziende o agli individui 60 giorni per rimediare alla presunta violazione. Dopo gennaio 2025, questo “diritto di rimedio” sarà sostituito dal diritto del controllore di richiedere orientamento dall'ufficio dell'Attorney General.

Virginia Consumer Data Protection Act (CDPA)

Nome ufficiale: SB-1392

Data di entrata in vigore: 1 gennaio 2023

Disposizioni: Il CDPA garantisce ai consumatori sei diritti:

• Diritto di rettifica
• Diritto di accesso
• Diritto alla portabilità dei dati
• Diritto alla cancellazione
• Diritto di rinuncia
• Diritto di appello

Ambito: Questa legge si applica alle entità che svolgono attività in Virginia o creano servizi o prodotti destinati ai residenti della Virginia che:

• Controllare o elaborare i dati personali di più di 100.000 consumatori durante un anno
• Controllare o elaborare i dati personali di più di 25.000 consumatori e ricavare almeno la metà del proprio fatturato lordo dalla vendita di dati personali

Come il CPA del Colorado, anche il CPDA della Virginia non ha una soglia di fatturato. Questo significa che le imprese di tutte le dimensioni devono prestare attenzione a questa legge.

La definizione di “consumatore” non include una persona che agisce in un contesto lavorativo o commerciale. Questo la rende diversa dalla CPRA, che include i dati dei dipendenti. Di conseguenza, le aziende non dovranno considerare i dati dei dipendenti nel decidere se la CPDA si applica a loro.

Altri fatti chiave: Come il GDPR dell'UE e il CCPA della California, il CDPA ha una disposizione che limita la raccolta dei dati a ciò che è “adeguato, pertinente e ragionevolmente necessario in relazione agli scopi per cui i dati vengono trattati.”

Penalità per le violazioni: Come il CPA del Colorado, anche il CDPA della Virginia non prevede un diritto privato di azione. L'applicazione è responsabilità dell'Attorney General. Il controllore ha 30 giorni per rimediare alla violazione dopo che l'Attorney General notifica al controllore che verrà intrapresa un'azione. Se il controllore non riesce a rimediare alla violazione entro questo periodo, l'Attorney General può multarlo fino a $7.500 per ogni violazione.

Nevada Internet Privacy Bill (SB260)

Nome ufficiale: BDR-52-253

Data di entrata in vigore: 1 ottobre 2021

Disposizioni: Questa legge fornirà ai residenti del Nevada un diritto più ampio di scegliere di non partecipare alla vendita delle loro informazioni personali. Stabilisce inoltre nuovi requisiti per i “data broker”, che sono definiti come entità il cui principale mezzo di affari è la vendita di informazioni sui consumatori da parte di operatori o altri data broker. I data broker devono stabilire un indirizzo designato attraverso il quale i consumatori possono richiedere al data broker di smettere di vendere le loro informazioni. Il data broker dovrà rispondere entro 60 giorni dal ricevimento.

Ambito: La legge amplia l'ambito del diritto di opt-out, ma l'ambito delle “informazioni coperte” è più ristretto rispetto alle “informazioni personali” definite da leggi simili.

“Le informazioni coperte” sono limitate a:

• Nomi e cognomi
• Indirizzi fisici/domestici
• Indirizzo email
• Numeri di telefono
• Numeri di previdenza sociale
• Identificativi che consentono di contattare la persona di persona o online

Altri fatti chiave: Il disegno di legge modifica gli statuti della notifica della privacy online del Nevada, come NRS 603A.300-360.

Penalità per le violazioni: L'Attorney General del Nevada è incaricato di far rispettare questa legge. Il tribunale emetterà un'ingiunzione temporanea o permanente o una sanzione civile fino a $5,000 per violazione.

Legge sulla Privacy dei Dati del Massachusetts

Nome ufficiale: Norme per la Protezione delle Informazioni Personali dei Residenti del Commonwealth (201 CMR 17.00)

Data di entrata in vigore: 1 marzo 2010

Disposizioni: Questa legge stabilisce i requisiti per proteggere i residenti del Massachusetts contro il furto d'identità e le frodi.

Ambito: Qualsiasi organizzazione che concede in licenza, memorizza o mantiene dati personali su residenti del Massachusetts è tenuta a implementare un programma di sicurezza delle informazioni completo.

Altri fatti chiave:

• La legge richiede che le aziende abbiano una persona dedicata a gestire un programma di sicurezza dei dati e a condurre regolarmente la formazione dei dipendenti.
• La legge richiede inoltre alle aziende di prendere "misure ragionevoli" per verificare che i fornitori di servizi terzi con accesso alle informazioni personali possano proteggere tali informazioni.
• La legge protegge la sicurezza e la riservatezza delle informazioni personali sia dei consumatori che dei dipendenti, che includono nome, cognome, numero di previdenza sociale, numero di patente di guida, numero di carta d'identità rilasciata dallo stato, numero di conto finanziario, numero di carta di credito o debito e qualsiasi codice di accesso che permetta l'accesso alle informazioni finanziarie di una persona. Tuttavia, esclude le informazioni ottenute da fonti pubblicamente disponibili.
• Il Massachusetts sta lavorando anche su una normativa sulla privacy dei dati simile al CCPA. Se approvata, la SD.341 “An Act Relative to Consumer Data Privacy,” dovrebbe entrare in vigore il 1 gennaio 2023.

Penalità per le violazioni: L'Ufficio per gli Affari dei Consumatori e la Regolamentazione delle Imprese è responsabile dell'applicazione. Ogni violazione intenzionale della legge può comportare una sanzione civile fino a 5.000 dollari statunitensi, più i “costi ragionevoli di indagine e contenzioso di tale violazione, inclusi onorari legali ragionevoli.”

Legge sulla Privacy dei Dati del Minnesota

Nome ufficiale: Minnesota Government Data Practices Act (MGDPA) (Minn. Stat. § 13)

Data di entrata in vigore: 1979

Disposizioni: Questo statuto del Minnesota tutela il diritto degli individui di accedere ai dati governativi e controlla la raccolta, l'archiviazione, l'utilizzo e la diffusione di dati privati. Stabilisce un sistema di classificazione per differenziare i vari tipi di informazioni, come i dati sull'istruzione e i dati delle forze dell'ordine. Inoltre, i dati sugli individui sono etichettati come pubblici o non pubblici, mentre i dati non relativi a individui sono etichettati come non pubblici o protetti non pubblici.

Ambito: La legge si applica a qualsiasi entità governativa del Minnesota.

Altri fatti chiave:

• La legge richiede che ogni agenzia statale nomini un'autorità “responsabile” che stabilirà procedure per assicurare che le richieste di dati siano “ricevute e soddisfatte in modo appropriato e tempestivo”. Se un ente governativo desidera raccogliere dati privati o confidenziali di un individuo, l'ente deve fornire a tale individuo un avviso sulla privacy chiamato “Tennessen”
• In caso di controversia tra un ente governativo e una persona riguardo le pratiche dei dati, la persona può richiedere un parere consultivo al Commissario per l'Amministrazione.

Sanzioni per violazioni: Le sanzioni possono includere un'azione civile per una violazione volontaria, o spese legali se l'ente governativo non segue il parere consultivo. Per violazioni volontarie, il tribunale può anche imporre sanzioni penali agli impiegati pubblici, sospenderli senza stipendio o licenziarli.

Leggi statali proposte sulla privacy dei dati negli Stati Uniti

Tutte le leggi sulla privacy dei dati sopra menzionate sono state promulgate, ma ci sono leggi in discussione. Esse includono le seguenti:

Ohio Personal Privacy Act (OPPA)

Nome ufficiale: House Bill 376

Descrizione: Questo disegno di legge è simile alla legislazione stabilita in California, Virginia e Colorado. Se promulgato, concederà agli abitanti dell'Ohio determinati diritti digitali e imporrà obblighi a qualsiasi impresa che raccoglie i dati personali dei consumatori dell'Ohio.

Legge sulla Privacy dei Consumatori della Carolina del Nord (CPA)

Nome ufficiale: Senate Bill 569

Descrizione: Se promulgata, questa legge conferirebbe ai consumatori della Carolina del Nord i seguenti diritti:

• Diritto di conoscenza e accesso
• Diritto di rettifica
• Diritto alla cancellazione
• Diritto di rinuncia
• Diritto privato di agire

Si applicherà a tutte le imprese che indirizzano i loro servizi e prodotti ai residenti della Carolina del Nord e che:

• Elabora o controlla i dati personali di 100.000 o più consumatori all'anno
• Elabora o controlla i dati personali di almeno 25.000 consumatori e ricava oltre la metà del fatturato lordo dalla vendita di questi dati personali.

Rhode Island Data Transparency and Privacy Protection Act

Nome ufficiale: HB 5959

Descrizione: Questo disegno di legge delinea le pratiche di condivisione delle informazioni e richiede trasparenza nel modo in cui vengono raccolti i dati dei consumatori, obbligando alcune aziende a fornire divulgazioni delle politiche sulla privacy. Se approvata, la legge aiuterà i consumatori a identificare le informazioni personali raccolte, condivise o vendute a terze parti da fornitori di servizi online e siti web commerciali.

Legge sulla Privacy dei Dati dei Consumatori della Pennsylvania

Nome ufficiale: House Bill 1126

Descrizione: Questo atto si applicherebbe alle società di capitali che soddisfano tutti i seguenti criteri:

• Fai affari in Pennsylvania
• Raccogliere, condividere o vendere le informazioni personali dei consumatori
• Determinare da solo o con altri gli scopi e i mezzi di elaborazione delle informazioni personali dei consumatori
• Soddisfare uno dei seguenti requisiti:
  • Derivano metà del loro reddito annuale dalla vendita delle informazioni personali dei consumatori
  • Acquistare, condividere o vendere annualmente (da soli o con altri) le informazioni personali di 50.000 consumatori, dispositivi o nuclei familiari
  • Avere un fatturato lordo annuo di almeno 10 milioni di dollari

New Jersey — Tre disegni di legge sulla privacy dei dati

Nomi ufficiali: A5448, A3283, e A3255

Descrizione:

A5448 e A3255 hanno obiettivi simili: Richiederebbero alle imprese di notificare ai consumatori la raccolta e la divulgazione di informazioni personali identificabili e permettere ai consumatori di scegliere di non partecipare.

A3283, il New Jersey Disclosure and Accountability Transparency Act (NJ DaTA), stabilirebbe requisiti per la divulgazione e l'elaborazione delle informazioni personali identificabili. Il disegno di legge istituirebbe anche un Ufficio per la Protezione dei Dati e l'Uso Responsabile nella Divisione degli Affari dei Consumatori.

Massachusetts Information Privacy Act (MIPA)

Nome ufficiale: S.46

Descrizione: Questo disegno di legge è una versione modificata del People’s Privacy Act nello stato di Washington. Proteggerebbe i consumatori dalla raccolta, dall'uso e dalla monetizzazione non autorizzate delle loro informazioni personali, inclusi i dati di posizione e biometrici; proibirebbe la discriminazione basata su informazioni personali e proteggerebbe i lavoratori da monitoraggi elettronici ingiustificati sul lavoro.

Hawaii Consumer Privacy Protection Act

Nome ufficiale: SB 418

Descrizione: Questo disegno di legge proposto concederà ai consumatori il diritto di accedere, cancellare e scegliere di non partecipare alla vendita delle loro informazioni personali. Come il CCPA, ha una definizione ampia di “informazioni personali”. Offre le stesse principali protezioni e diritti del CCPA, ma non definisce cosa sia un “business”, quindi non esclude le imprese in base alle dimensioni.

New York Consumer Privacy Act (NYPA)

Nome ufficiale: Senate Bill S567

Descrizione: Questa proposta di legge sulla privacy dei dati a New York è molto simile al CCPA. Darebbe il potere agli individui di sapere quali dati un'azienda ha raccolto su di loro e con chi li ha condivisi, richiedere che l'azienda corregga o cancelli i dati, e scegliere di non condividere o vendere i loro dati a terze parti. Il NYPA integrerebbe la legge attuale di New York sulla notifica di violazione dei dati espandendo la protezione delle informazioni personali.

Il disegno di legge proposto stabilisce elevati standard di protezione della privacy dei dati, come i seguenti:

• Impone doveri fiduciari a qualsiasi entità legale che raccoglie, vende o concede in licenza dati personali e definisce tali doveri in modo ampio. Le imprese devono proteggere i dati personali dei consumatori contro qualsiasi rischio che li riguarda. Inoltre, afferma che la responsabilità del fiduciario dei dati ha la precedenza su “qualsiasi dovere dovuto ai proprietari o agli azionisti”.
• È più rigorosa rispetto ad altre leggi statali in quanto richiede alle imprese di mettere la privacy dei loro clienti davanti ai propri profitti. Questa normativa sulla privacy contiene una linea molto controversa che afferma che le organizzazioni dovrebbero "agire nel migliore interesse del consumatore". Tuttavia, non spiega cosa dovrebbero effettivamente comprendere le aziende riguardo agli interessi dei newyorkesi e degli altri clienti.
• Offre un diritto di azione privato — dando ai consumatori il diritto di citare in giudizio direttamente le aziende per violazioni della privacy invece di lasciare l'applicazione al Procuratore Generale dello stato.

Conclusione

Gli stati degli Stati Uniti stanno promulgando le proprie normative sulla privacy dei dati e sulla cybersecurity poiché, a differenza dell'UE, gli Stati Uniti devono ancora approvare una legge federale completa sulla privacy dei dati. La situazione continuerà a diventare più complessa man mano che nuove leggi statali entreranno in vigore nei prossimi mesi e anni. Per evitare pesanti sanzioni, cause legali e altre conseguenze derivanti da mancati adempimenti normativi, le organizzazioni dovrebbero esaminare attentamente le leggi sulla privacy dei dati negli Stati Uniti e assicurarsi di soddisfare tutti i requisiti applicabili.

Domande frequenti

Quali leggi statunitensi impongono requisiti per la sicurezza della privacy dei dati?

In assenza di una legislazione federale completa che regoli la privacy dei dati, gli Stati Uniti sono governati da leggi specifiche per settore e per stato che controllano la condivisione di determinati tipi di dati personali. Queste leggi includono:

• Privacy Act del 1974 — Protegge le informazioni personali gestite dalle agenzie federali
• Health Insurance Portability and Accountability Act (HIPAA) e Health Information Technology for Economic and Clinical Health Act (HITECH) — Protegge le informazioni sanitarie personali (PHI)
• Gramm–Leach–Bliley Act (GLBA) — Protegge le informazioni finanziarie
• Children’s Online Privacy Protection Act (COPPA) — Protegge la privacy dei bambini
• Family Educational Rights and Privacy Act (FERPA) — Protegge le informazioni personali degli studenti
• California Consumer Privacy Act (CCPA) — Protegge i diritti alla privacy dei residenti in California
• The New York SHIELD Act — Protegge le informazioni personali e private dei residenti dello stato di New York

Quali tipi di dati sono coperti dalle leggi sulla privacy degli Stati Uniti?

Le informazioni considerate sensibili dalle leggi statunitensi includono:

• Informazioni personali identificabili (PII) — Informazioni che potrebbero essere utilizzate per identificare, contattare o localizzare un individuo o distinguere una persona da un'altra, come nome, indirizzo e numero di previdenza sociale
• Informazioni personali sulla salute (PHI) — Informazioni sullo stato di salute, la storia medica, le informazioni assicurative e altri dati privati raccolti dai fornitori di assistenza sanitaria e che potrebbero essere associati a una certa persona
• Informazioni finanziarie personalmente identificabili (PIFI) — Numeri di carte di credito, dettagli dei conti bancari o altri dati relativi alle finanze di una persona
• Registri degli studenti — I voti, i certificati, l'orario delle lezioni, i dettagli di fatturazione e altri registri educativi di un individuo

Cosa è protetto dal Privacy Act del 1974?

La Privacy Act del 1974 regola il modo in cui le agenzie federali gestiscono i registri degli individui e richiede che le agenzie federali seguano vari rigorosi requisiti di tenuta dei registri. Consente agli individui di accedere ai registri che li riguardano, di sapere se tali registri sono stati divulgati e di richiedere correzioni o modifiche a tali registri, a meno che i registri non siano legalmente esenti.

Quanti stati degli Stati Uniti hanno leggi sulla privacy dei dati?

Almeno 16 stati hanno leggi sulla privacy dei dati e tre di essi hanno leggi complete sulla privacy dei dati dei consumatori. La California ha istituito la nota California Consumer Privacy Act (CCPA), che ha stimolato una legislazione simile in Colorado e Virginia.

Le leggi sulla privacy federali e statali degli Stati Uniti si applicano alle aziende straniere?

Dipende da diversi fattori, inclusi l'impatto sugli individui, l'impatto sul commercio statunitense e se l'azienda ha una filiale negli Stati Uniti. Le imprese straniere possono essere soggette alle leggi statunitensi se raccolgono, elaborano o condividono le informazioni personali dei residenti negli Stati Uniti. Ad esempio, se un'azienda straniera fa affari in California e raccoglie le informazioni personali dei residenti in California mentre i consumatori si trovano in California, è soggetta al CCPA.

Come si differenziano le leggi sulla privacy negli Stati Uniti rispetto al GDPR dell'UE?

Il GDPR è un mandato completo sulla privacy dei dati che si applica a tutti gli stati membri e a qualsiasi azienda nel mondo che raccoglie o elabora i dati dei residenti dell'UE. Gli Stati Uniti non dispongono di una legge equivalente; invece, la privacy dei dati è regolata da un insieme frammentato di leggi federali specifiche per settore e varie leggi statali.

Un diritto specifico protetto dal GDPR che vale la pena menzionare è il diritto all'oblio, che è il diritto di richiedere che le proprie informazioni personali vengano rimosse dai registri di un'organizzazione. Questo diritto è spesso considerato incompatibile con il diritto alla libertà di parola, sancito nel Primo Emendamento della Costituzione degli Stati Uniti, perché forzare la rimozione delle informazioni può essere visto come un restringimento della libertà di parola e portare il rischio di censura. Tuttavia, diverse leggi negli Stati Uniti offrono una qualche forma del diritto all'oblio. Ad esempio, il COPPA dà ai genitori il potere di rivedere e cancellare le informazioni dei loro figli, e il CCPA permette ai residenti della California di richiedere la cancellazione dei loro dati, con alcune limitazioni.