Leggi sulla privacy digitale degli Stati Uniti

Quando gli Stati Uniti starnutiscono, il mondo prende il raffreddore. Questa affermazione è particolarmente vera nel mondo della tecnologia digitale. L'America è, dopotutto, la patria di molte delle aziende online leader e di maggior successo al mondo (anche se alcuni potrebbero obiettare che la Cina gli stia alle calcagna). Tuttavia, un'area in cui i nostri cugini europei guidano la carica è la privacy digitale.

Il GDPR ha cambiato il modo in cui il mondo vede la privacy

Se torni con la mente al 2018, ricorderai come l'Unione Europea ha sconvolto il mondo intero con il Regolamento generale sulla protezione dei dati (GDPR) .

All'epoca, il GDPR era unico perché era un regolamento onnicomprensivo progettato per proteggere la privacy dei cittadini europei indipendentemente da chi o dove condividevano i propri dati. Questo regolamento significava che se le organizzazioni statunitensi volevano continuare a operare in Europa o con cittadini europei indipendentemente dalla loro ubicazione, dovevano conformarsi al GDPR.

A differenza delle precedenti normative sulla privacy, il GDPR aveva i denti e il peso della Commissione europea dietro di esso per imporre multe enormi per le violazioni.

Milioni di dollari e innumerevoli ore del personale sono stati spesi a livello globale per garantire la conformità. In molti modi, questo investimento ha contribuito a ripulire gli ultimi resti delle pratiche commerciali del "selvaggio West" adottate in un settore del business digitale in fase di maturazione ma ancora in gran parte non regolamentato. Eppure, nonostante ciò, innumerevoli aziende statunitensi hanno violato il GDPR.

Ancora non pensi che il GDPR si applichi a te? Dai un'occhiata a questo elenco delle più grandi multe imposte per non conformità : si legge come un "Who's Who?" delle grandi imprese americane, con Amazon, Meta (Facebook) e Alphabet (Google) a dominare la top ten delle multe più significative.

Il volto mutevole delle leggi sulla privacy degli Stati Uniti

Si potrebbe sostenere che prima del GDPR, gli Stati Uniti stavano essenzialmente dando un calcio al barattolo (CAN-SPAM) lungo la strada in termini di privacy.

In molti modi, il GDPR ha costretto le aziende statunitensi a ripulire le proprie azioni senza la necessità di normative statunitensi. Ma questo non significa che gli Stati Uniti non stiano prendendo sul serio la privacy. Attualmente sono in vigore diverse leggi sulla privacy e molte altre sono in fase di implementazione negli Stati Uniti. Tuttavia, a causa del modo in cui i singoli stati creano la legislazione, queste leggi sono meno connesse o onnicomprensive rispetto al GDPR. Per le aziende che operano oltre il confine di stato, questo può creare confusione.

CCPA/CPRA

Il California Consumer Privacy Act (CCPA) e il successivo California Privacy Rights Act (CPRA) , che entrerà in vigore il 1° luglio 2023, sono stati descritti come la cosa più vicina al GDPR.

Il CPRA si basa sulle fondamenta poste dal GDPR, che ha gettato le basi per diverse regole non incluse nel CCPA. Queste regole includono:

• Minimizzazione dei dati: garantire che la raccolta dei dati sia necessaria per soddisfare uno scopo specifico.
• Limitazione delle finalità: garantire che i dati raccolti non possano essere utilizzati per scopi nuovi e incompatibili.
• Limitazione di archiviazione: garantire che i dati non possano essere archiviati più a lungo del necessario.

Il GDPR ha anche influenzato il modo in cui il CPRA gestisce le informazioni personali sensibili (SPI), come la razza o l'origine etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'orientamento sessuale, la genetica e i dati relativi alla salute.

Nonostante le somiglianze, ci sono alcune differenze fondamentali tra GDPR e CPRA.

Il GDPR si applica a qualsiasi organizzazione che raccolga ed elabori dati da cittadini dell'UE, indipendentemente dalle dimensioni, dall'ubicazione o dallo scopo dell'azienda. Inoltre, il GDPR non distingue tra dati personali e aziendali.

Nel frattempo, il California Privacy Rights Act (CPRA) si applica solo alle aziende che raccolgono ed elaborano le informazioni personali dei residenti in California e soddisfano uno o più dei seguenti criteri:

• Avere un reddito lordo annuo di oltre $ 25 milioni;
• Acquistare, vendere o condividere le informazioni personali di 100.000 o più consumatori o famiglie all'anno; O
• Ricavare il 50% o più delle loro entrate annuali dalla vendita delle informazioni personali dei consumatori.

Rispetto al GDPR, c'è molto spazio per le aziende per volare sotto il radar del CCPA/CCPR. Ciò forse riflette un atteggiamento più rilassato nei confronti delle organizzazioni negli Stati Uniti che accedono e archiviano informazioni personali rispetto all'Europa. Tuttavia, a seguito di numerose violazioni dei dati di alto profilo che hanno disturbato migliaia di cittadini statunitensi, questi atteggiamenti stanno diventando meno permissivi e più Stati statunitensi stanno saltando sul carro della privacy.

Il Virginia Consumer Data Protection Act (VCPDA)

Il Virginia Consumer Data Protection Act (VCDPA) è una legge sulla privacy simile al CCPA/CPRA e al GDPR ed è entrata in vigore il 1° gennaio 2023.

Il VCDPA si applica alle aziende che conducono affari in Virginia o si rivolgono ai residenti della Virginia e soddisfano specifici requisiti di soglia. Tali requisiti includono l'elaborazione dei dati personali di almeno 100.000 consumatori della Virginia all'anno o la derivazione di oltre il 50% delle entrate lorde dalla vendita di dati personali e l'elaborazione dei dati personali di almeno 25.000 consumatori della Virginia all'anno.

Ai sensi del VCDPA, i consumatori della Virginia hanno il diritto di sapere quali dati personali vengono raccolti su di loro, il diritto di accedere ai propri dati, il diritto di correggere le inesattezze in tali dati, il diritto di cancellare i propri dati in determinate circostanze e il diritto di rinunciare alla vendita dei propri dati.

Il Colorado Privacy Act (CPA)

Il CPA entrerà in vigore il 1° luglio 2023.

Analogamente al CCPA/CPRA e al GDPR, il CPA si applica alle aziende che svolgono attività commerciali in Colorado o si rivolgono ai residenti del Colorado e soddisfano determinati requisiti di soglia. Questi requisiti includono l'elaborazione dei dati personali di almeno 100.000 consumatori del Colorado all'anno o la derivazione di oltre il 50% delle entrate lorde dalla vendita di dati personali e l'elaborazione dei dati personali di almeno 25.000 consumatori del Colorado all'anno.

Ancora una volta, ai sensi del CPA, i consumatori del Colorado hanno il diritto di sapere quali dati personali vengono raccolti su di loro, il diritto di accedere ai propri dati personali, il diritto di correggere le inesattezze nei propri dati personali, il diritto di cancellare i propri dati personali in determinate circostanze e il diritto di rinunciare alla vendita dei propri dati personali.

Un movimento in crescita per una maggiore privacy negli Stati Uniti

Sebbene CCPA/CCPR, VCDPA e CPA siano tutti regolamenti locali, c'è un movimento crescente che porta un numero crescente di stati a introdurre regolamenti sulla privacy che contribuiranno in qualche modo a collegare i punti e creare un impegno "nazionale" per salvaguardare la privacy.

Connecticut, Iowa e Utah hanno tutti regolamenti che dovrebbero essere applicati nei prossimi due anni. Secondo il tracker dell'Associazione internazionale dei professionisti della privacy (IAPP) , molti altri stati stanno introducendo regolamenti.

Tuttavia, ci sono alcune leggi sulla privacy degli Stati Uniti che attraversano i confini statali e proteggono le persone a livello federale.

HIPAA – Legge federale

L' Health Insurance Portability and Accountability Act (HIPAA) è una legge federale emanata nel 1996, precedente al GDPR e persino all'uso diffuso di Internet.

HIPAA è stato progettato per fornire standard di privacy e sicurezza per proteggere le informazioni sanitarie personali del paziente. La legge stabilisce gli standard nazionali per la privacy e la sicurezza delle informazioni sanitarie protette (PHI) e si applica ai piani sanitari, agli operatori sanitari e alle stanze di compensazione sanitarie che effettuano determinate transazioni elettroniche.

Ai sensi dell'HIPAA, le entità coperte devono implementare misure di salvaguardia per proteggere la riservatezza, l'integrità e la disponibilità delle PHI. Queste tutele includono misure amministrative, fisiche e tecniche per garantire la privacy e la sicurezza delle PHI.

L'HIPAA conferisce inoltre alle persone determinati diritti relativi alle proprie PHI, incluso il diritto di accedere alle proprie PHI, il diritto di richiedere correzioni alle proprie PHI e il diritto di presentare reclami se ritengono che i propri diritti alla privacy siano stati violati.

Come stanno reagendo le imprese?

Nel complesso, le aziende stanno reagendo positivamente alla crescente ondata di normative sulla privacy. Sapendo che questa tendenza non sta scomparendo, molte aziende stanno adattando i propri servizi per integrare la privacy nei propri modelli di business. Abbiamo già visto gli aggiornamenti della protezione della privacy della posta di Apple e Google sta reinventando il modo in cui tiene traccia del coinvolgimento degli utenti in GA4, l'ultima iterazione di Google Analytics.

Tuttavia, questo può essere un momento di confusione per le piccole e medie imprese che non dispongono delle risorse per monitorare e tenere il passo con le richieste delle normative sulla privacy. Ciò è particolarmente vero quando i dati vengono raccolti ed elaborati su più piattaforme tecnologiche. Per queste aziende, ha senso salvaguardare la privacy dei loro clienti e il futuro della loro organizzazione parlando con un esperto che possa aiutarli a rimanere conformi.

Saperne di più

Per saperne di più su come gli esperti di marketing di emfluence possono aiutare la tua azienda a rispettare le normative sulla privacy attuali e future, contattaci oggi all'indirizzo [email protected] .