Virginia Consumer Data Protection Act (CDPA): quali obblighi di protezione dati per le aziende hi-tech - Cyber Security 360

DATA PROTECTION

Virginia Consumer Data Protection Act (CDPA): quali obblighi di protezione dati per le aziende hi-tech

La Virginia, con il Consumer Data Protection Act, è il secondo Stato americano dopo la California a dotarsi di una nuova normativa sul trattamento dei dati personali che definisce principi e obblighi per i titolari del trattamento e introduce nuovi diritti dei consumatori. Ecco tutti i dettagli

16 Mar 2021
B
Monica Belfi

Avvocato, Legal Specialist/GDPR and Data Protection Specialist

Continua negli USA la nascita di nuove leggi statali specificamente finalizzate a garantire ai consumatori una maggiore tutela con riguardo al trattamento dei dati personali: sulla scia della California e dopo il disegno di legge di Washington, di recente anche la Virginia ha approvato una normativa specifica, il Consumer Data Protection Act (CDPA), mentre lo Utah ha definito l’House Bill 243 per verificare e garantire la privacy nelle attività svolte dalle agenzie governative locali.

Un crescente mosaico di diverse leggi statali che potrebbe creare più pressione sul Congresso per finalizzare il progetto di una legislazione federale sulla privacy.

Da tempo, infatti, negli Stati Uniti si cerca di comprendere se sia possibile la realizzazione di una normativa unitaria federale dedicata alla protezione dei dati personali; questa volontà si è concretizzata in diversi progetti di legge presentati al Congresso negli ultimi due anni, da ultimo il U.S. Setting an American Framework to Ensure Data Access, Transparency, and Accountability Act o Safe Data Act[1], proposto nel settembre 2020.

Il focus sulla normativa della Virginia

Il Virginia Consumer Data Protection Act (CDPA), approvato lo scorso 2 marzo, è una normativa finalizzata alla tutela dei consumatori, con specifico riguardo ai trattamenti dei dati personali. Il CDPA, che entrerà in vigore il primo gennaio 2023, riporta numerosi principi contenuti nel draft del Washington Privacy Act (WPA) e nel CCPA, pur con importanti differenze.

Il CDPA è stato approvato in risposta alla crescente preoccupazione pubblica in Virginia sull’uso (e abuso) dei dati personali da parte delle società. La CDPA tenta di rispondere a questi abusi garantendo ai consumatori della Virginia maggiori diritti sui loro dati personali e imponendo alle aziende chiari obblighi di protezione.

La Virginia diventa, così, il secondo stato della nazione ad adottare una propria normativa dedicata alla protezione dei dati personali.

Il senatore David W. Marsden, che ha fortemente sostenuto questa legge, ha affermato che la sua entrata in vigore permetterà alla Virginia di assumere l’iniziativa nella tutela della privacy negli Stati Uniti.

Tuttavia, questa legge, che ha ricevuto ampio sostegno da parte dell’industria tecnologica, e in particolare da Amazon, che sta costruendo una sede ad Arlington, Va, sembra approntare una tutela minore rispetto al California Consumer Privacy Act[2].

La legislazione permetterà ai residenti del Commonwealth di rifiutare la vendita dei propri dati, similmente a quanto previsto dalla legge californiana, conoscere in modo più trasparente quali dati le aziende raccolgono e trattano, chiederne la correzione o la cancellazione e decidere se prestare o meno il consenso ai dati considerati sensibili quali quelli relativi all’origine razziale o etnica, i dati genetici e di geolocalizzazione.

La normativa non prevede un diritto d’azione contro le aziende tecnologiche per eventuali violazioni e sarà applicata dal procuratore generale dello stato, non essendo istituita alcuna autorità indipendente.

Virginia Consumer Data Protection Act in dettaglio

La normativa si applica alle società che svolgono attività commerciali nel Commonwealth o producono prodotti o servizi destinati ai residenti nel Commonwealth e che rientrano in uno dei seguenti parametri:

  • trattano dati personali di almeno 100.000 consumatori in un anno solare;
  • trattano dati personali di almeno 25.000 consumatori e ricavano almeno il 50% del fatturato lordo dalla vendita dei dati personali.

Sono previste espressamente alcune esenzioni per alcune società appartenenti a specifiche categorie, che devono essere accuratamente verificate dalle singole aziende.

A differenza del CCPA non viene indicata una soglia di fatturato minimo; il fatto che non sia prevista una soglia di fatturato come elemento autonomo per determinare l’applicazione della normativa, rischia di restringere notevolmente l’ambito di applicazione della legge.

La tutela apprestata si rivolge ai dati personali dei “consumers”, ovvero le persone fisiche residenti nel Commonwealth, che agiscono solo in un contesto individuale o familiare; non include, quindi, le persone fisiche che agiscano in un contesto commerciale o lavorativo. Sembrano, quindi, esclusi, i dati dei dipendenti, che pure, nel CCPA sono espressamente ricompresi[3].

Nel CDPA, i dati personali sono definiti come qualsiasi informazione che è collegata o ragionevolmente collegabile a una persona fisica identificata o identificabile.

I dati personali non includono dati de-identificati o informazioni pubblicamente disponibili, che ricomprendono non solo le informazioni nella disponibilità del governo federale, statale o locale, ma anche quelle informazioni che un’azienda ritenga su base ragionevole che siano legalmente rese disponibili pubblicamente, attraverso media ampiamente distribuiti, dallo stesso consumatore, o da una persona a cui il consumatore ha rivelato l’informazione, a meno che il consumatore abbia limitato l’informazione a un pubblico specifico.

Di conseguenza, le informazioni ricavate dai profili pubblici dei social media, o qualsiasi altro “widely distributed media” (anche condiviso da un’altra persona) non saranno soggette alla legge. Si comprenderà in fase di applicazione della normativa come l’Attorney General dello Stato della Virginia interpreterà questa disposizione e cosa si intenderà ricompreso nella definizione di “widely distributed media”.

Regolamentazione per la vendita di dati personali

Anche nella normativa della Virginia trova ampio rilievo il concetto di “vendita dei dati personali”.

È, quindi, importante che le aziende effettuino un assessment per verificare se le attività che svolgono possano essere qualificate come “vendita”, definita nel testo normativo come lo scambio di dati personali a titolo oneroso da parte del titolare a una terza parte (“exchange of personal data for monetary consideration”).

Il CDPA richiede che vi sia un corrispettivo monetario perché lo scambio possa qualificarsi come vendita di dati ed esclude dalla definizione le comunicazioni di dati personali effettuate a:

  1. fornitori (controllers);
  2. terzi allo scopo di fornire prodotti o servizi richiesti dal consumatore;
  3. consociate del titolare;

esclude, altresì, le comunicazioni di informazioni che i consumatori hanno reso intenzionalmente disponibili pubblicamente attraverso i mass media.

Principi e obblighi imposti ai titolari

Il Virginia Consumer Data Protection Act elenca, inoltre, una serie di principi e obblighi imposti ai titolari.

Limitazione della raccolta e dell’utilizzo dei dati

Il CDPA prevede l’obbligo di limitare la raccolta dei dati a ciò che è adeguato, pertinente e ragionevolmente necessario per il perseguimento delle finalità, previamente comunicate al consumatore, per le quali i dati vengono raccolti in modo simile a quanto già dispone il CCPA.

Inoltre, l’azienda non può trattare i dati personali per finalità diverse o incompatibili con quelle comunicate al consumatore, a meno che quest’ultimo presti il suo consenso. Il trattamento dei dati personali sensibili può avvenire solo in presenza di un consenso, definito come un chiaro atto affermativo che indichi il consenso specifico, informato e inequivocabile, liberamente fornito dal consumatore.

Anche il CDPA, come la normativa californiana, prevede un espresso divieto di trattare i dati personali in violazione delle leggi antidiscriminatorie e discriminare i consumatori che esercitino i propri diritti.

Misure di sicurezza

Il CDPA non si limita a individuare chiari diritti alla privacy, ma impone misure di cybersecurity, requisiti di trasparenza e valutazioni dei trattamenti, imponendo al Titolare di stabilire, implementare e mantenere ragionevoli misure organizzative, tecniche e fisiche di sicurezza dei dati per proteggerne la riservatezza, l’integrità e l’accessibilità, richiedendo espressamente un Data Protection Assessment che garantisca una costante valutazione dei rischi connessi ad attività di trattamento che coinvolgano dati sensibili, pubblicità mirata, la vendita di dati personali, alcuni casi di profilazione, e qualsiasi altra attività che presenti un elevato rischio di danno per i consumatori.

Data processing Agreement

Il Virginia Consumer Data Protection Act segue il modello stabilito dal GDPR, individuando i ruoli di Controller e Processor, definendo il primo come la persona fisica o giuridica che, da sola o insieme ad altri, determina lo scopo e i mezzi del trattamento dei dati personali, mentre il Responsabile come l’entità fisica o giuridica che tratta i dati personali per conto di un Titolare.

Parallelamente a quanto disposto dall’art. 28 GDPR, anche la normativa della Virginia richiede che le attività di trattamento intraprese da un Responsabile per conto di un Titolare siano disciplinate da un accordo, avente ad oggetto il trattamento dei dati personali, che stabilisca chiaramente le istruzioni per il trattamento dei dati, la natura e lo scopo del trattamento, il tipo di dati soggetti a trattamento, la durata del trattamento, e i diritti e gli obblighi di entrambe le parti.

La normativa individua espressamente alcune previsioni che devono essere recepite nell’accordo tra Responsabile e Titolare.

Obbligo di informativa

La normativa della Virginia impone ai titolari di fornire ai consumatori una serie di informazioni, tra cui le categorie di dati personali trattati, le finalità del trattamento, l’esistenza dei diritti dei consumatori, la modalità con cui esercitarli e il diritto di azione contro la decisione del Titolare in risposta a una richiesta formulata dal consumatore, le categorie di dati personali che il Titolare comunica a terze parti, le categorie di eventuali destinatari.

Il Titolare è tenuto a evidenziare in modo chiaro e ben visibile se effettua attività di vendita dei dati personali a terzi o trattamenti finalizzati alla pubblicità comportamentale, indicando la modalità per opporsi a tali attività e predisponendo uno o più mezzi sicuri e affidabili per i consumatori per presentare una richiesta di esercizio dei loro diritti.

Enforcement

L’enforcement del Virginia Consumer Data Protection Act sarà di competenza dell’Attorney General, che dovrà concedere al Titolare che non dovesse rispettare la normativa un periodo di 30 giorni per rimediare alla violazione contestata.

Il procuratore generale può chiedere un provvedimento ingiuntivo ed emettere una sanzione fino a 7.500 dollari per ogni violazione. L’inclusione di un “cure period” e la mancanza di un diritto privato di azione riducono significativamente la forza degli strumenti di enforcement.

Virginia Consumer Data Protection Act: diritti dei consumatori

La normativa garantisce ai consumers i seguenti diritti:

  1. Diritto di accesso. I consumatori hanno il diritto chiedere conferma che un Titolare stia trattando i loro dati personali e di accedere a tali dati. I Titolari sono obbligati a rispondere solo alle richieste di interessati la cui identità sia verificata utilizzando metodi commercialmente ragionevoli e a tal fine possono richiedere ai consumatori che forniscano informazioni aggiuntive ragionevolmente necessarie per tale verifica.
  2. Diritto di rettifica. I consumatori hanno il diritto di chiedere la correzione di dati inesatti.
  3. Diritto alla cancellazione. I consumatori hanno il diritto di chiedere la cancellazione dei dati.
  4. Diritto alla portabilità dei dati. I consumatori hanno diritto di ricevere copia dei propri dati personali in un formato portable e readily useable, in modo da permettere al consumer di trasmettere l’informazione a qualsiasi altro soggetto senza impedimenti, quando il trattamento viene effettuato con mezzi automatizzati.
  5. Diritto di opt-out. Il consumatore ha diritto di impedire il trattamento dei dati personali per finalità di pubblicità personalizzata, vendita e profilazione.
  6. Diritto di “appeal”. I consumatori possono agire in giudizio laddove un Titolare non dia seguito alle richieste entro 45 giorni dal ricevimento della richiesta, termine prorogabile, se necessario, di ulteriori 45 giorni, purché ne informi il consumatore[4].

Nuove legislazioni dedicate alla protezione dati dei consumatori

Mentre la Virginia è la prima ad approvare una legislazione sulla privacy nel 2021, probabilmente non sarà l’ultima.

Anche New York sta valutando una nuova normativa specifica, con diversi disegni di legge al vaglio, ancora in fase di approvazione, tra cui il New York Privacy Act, ispirato al GDPR, finalizzato a garantire i diritti fondamentali in materia di protezione dei dati personali ai consumatori e attribuire maggiori responsabilità alle imprese, insieme all’Assembly Bill 27.

Anche il disegno di legge del Data Privacy Act di Washington potrebbe essere vicino a una finale approvazione, dopo numerosi tentativi, mentre Florida e Minnesota stanno predisponendo disegni di legge per rafforzare i diritti dei consumatori riguardo ai dati personali, introducendo diritti di opt-out alla vendita e alla pubblicità personalizzata.

Lo Stato dello Utah ha definito il House Bill 243 che crea un responsabile della privacy per le pratiche governative e una Commissione di Sorveglianza della privacy delle persone.

La commissione sarà incaricata di elaborare linee guida per definire le best practices che le agenzie governative dovranno adottare e di monitorare le agenzie statali, identificando i maggiori rischi per la privacy delle persone e la sicurezza dei dati, riportando specifiche azioni per la revisione e il miglioramento.

Inoltre, il 16 febbraio 2021, il senatore Kirk Cullimore ha proposto al Senato lo Utah Consumer Privacy Act. Il disegno di legge fornirebbe ai consumatori il diritto di accedere, correggere e cancellare alcuni dati personali, così come il diritto di rifiutare l’uso di informazioni personali per determinati scopi.

NOTE

  1. Approfondimento: La privacy sotto la presidenza Biden: tutti i dossier aperti, La privacy sotto la presidenza Biden: tutti i dossier aperti.
  2. Virginia governor signs nation’s second state consumer privacy bill, Cat Zakrzewski.
  3. Virginia passes the Consumer Data Protection Act, Sarah Rippy.
  4. Virginia’s Consumer Data Protection Act and the Coming Wave of CCPA-like State Privacy Laws, By R. G. Newell, Cassie Lentchner, C. D. Meyer, Meighan E. O’Reardon, D. S. Thoren-Peden.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4