Il GDPR è importante negli Stati Uniti

Mantenere la conformità al GDPR non è solo nel miglior interesse dei tuoi clienti, ma nel miglior interesse della tua azienda. Le storie horror di non conformità e violazioni dei dati possono essere accompagnate da pesanti multe. A seconda delle dimensioni della tua attività, le multe possono variare tra $ 11 e $ 21 milioni o 2 – 4% del fatturato globale annuale.

GDPR negli Stati Uniti? La nuova legislazione statale lo sta avvicinando alla realtà

Il regolamento generale sulla protezione dei dati dell’Unione Europea (“GDPR”) è ben noto come la più dura legge sulla privacy e sulla sicurezza del mondo, in quanto ha una vasta portata e impone multe pesanti contro coloro che violano la sua privacy e gli standard di sicurezza (che sono piuttosto ampi). L’impatto del GDPR è già stato avvertito negli Stati Uniti da quando è entrato in vigore nel 2018, e ora u.S. I legislatori in numerosi stati si stanno muovendo per emanare legislazioni simili. Il California Consumer Protection Act (“CCPA”) è stato il primo istanza dell’impatto del GDPR negli Stati Uniti, poiché la California ha messo in atto uno statuto e regolamenti che rispecchiano il GDPR sotto diversi aspetti. Ora la Virginia ha messo in moto quella che potrebbe essere una serie di stati di un anno che mettono in atto una legislazione simile. In particolare, Washington e New York hanno proposto la legislazione a seguito del quadro del CCPA. Questo articolo confronterà il CCPA con le leggi sulla privacy appena emanate e proposte negli Stati Uniti.

Atti sulla privacy appena emanati e proposti:

Virginia Act di recente emanazione

Il 2 marzo 2021, la Virginia ha approvato il suo consumatore Data Protection Act (“CDPA”), la seconda legge sulla privacy dei dati dei consumatori negli Stati Uniti. Il CDPA entrerà in vigore il 1 gennaio 2023. Il CDPA si applica alle persone o alle entità che conducono affari in Virginia o producono prodotti o servizi offerti ai residenti della Virginia e che “controllo o processo” sono dati personali. La legge si applica alle aziende che (1) controllano o elaborano informazioni personali di almeno 100.000 consumatori o (2) controllano o elaborano i dati di almeno 25.000 residenti in Virginia che derivano anche dal 50% o più delle loro entrate lorde dalla vendita di dati personali.

Il CDPA segue da vicino la struttura del CCPA; Tuttavia, ci sono alcune differenze chiave:

• Il CDPA non contiene alcun diritto di azione privato. Piuttosto, tutte le azioni devono essere portate dal procuratore generale della Virginia.
• Il CDPA, come il CCPA, esenta i dati già regolati da alcune leggi federali elencate, come HIPAA, GLBA, FCRA, FERPA e COPPA. Tuttavia, ai sensi del CDPA, l’esenzione GLBA è più ampia in quanto esenta totalmente gli istituti finanziari, non solo i soggetti di dati. Inoltre, ci sono esenzioni basate sui dati per la Fair Credit Reporting Act, la Driver’s Privacy Protection Act e la Federal Education Rights and Privacy Act e le organizzazioni senza scopo di lucro.
• Il CDPA contiene un requisito di opt-in per elaborare dati personali sensibili, a meno che.
• Il CDPA definisce il “consumatore” più strettamente del CCPA. Il CDPA esclude coloro che agiscono in un contesto commerciale o occupazionale.
• Ai sensi del CDPA, la “vendita di informazioni personali” richiede che la considerazione sia monetaria per qualificarsi come vendita di dati. Al contrario, il CCPA consente monetario o “altra considerazione preziosa.”

Proposto Washington Act

Il Washington Privacy Act, Bill 6281 del Senato (“WPA”), è proposta di legislazione che rispecchia il CCPA. Come il GDPR e il CCPA, il WPA aumenta i diritti dei consumatori per quanto riguarda i loro dati personali e garantisce che le aziende siano trasparenti sulla raccolta e l’elaborazione dei dati dei consumatori. Inoltre, il WPA consente ai consumatori di rinunciare alla vendita dei loro dati personali. Il WPA si applicherebbe alle aziende i cui prodotti o servizi sono destinati ai consumatori di Washington se l’azienda: (1) controlla o processi dati di oltre 100.000 consumatori o (2) derivano almeno il 50% di entrate dalla vendita di dati personali E processi o controlla i dati personali di oltre 25.000 consumatori.

Il WPA e il CCPA hanno importanti somiglianze come: (1) un periodo di cura di 30 giorni; (2) gli affari devono eliminare i dati personali di un consumatore su loro richiesta; e (3) responsabilità sull’azienda di essere proattiva nel dire al consumatore quali tipi specifici di informazioni personali raccolte e come vengono utilizzati tali dati. Tuttavia, ci sono importanti differenze tra loro:

• Il WPA limita la definizione di “dati personali” alle informazioni relative a una persona naturale identificata o identificabile “, mentre la definizione CCPA rimane ampia e si applica alle informazioni collegate a un” particolare consumatore o famiglia.”
• Il WPA impedisce esplicitamente le leggi, le ordinanze e i regolamenti locali in merito all’elaborazione dei dati personali da parte di controller o processori. Il CCPA no.
• Il WPA, a differenza del CCPA, non include un requisito di soglia delle entrate.
• Il WPA, a differenza del CCPA, comprende una disposizione di “discriminazione” che impedisce alle aziende di prendere decisioni automatiche finali.
• La WPA limita il modo in cui la tecnologia di riconoscimento facciale può essere utilizzata in cui il CCPA non ha una disposizione simile. (I nuovi obblighi di riconoscimento facciale per le società che utilizzano il riconoscimento facciale, se messo in atto, superano gli attuali obblighi che le società devono affrontare ai sensi della legge sulla privacy biometrica di Washington (RCW 19.375).)

Atto di New York proposto

Di tutta la proposta legislazione sulla privacy, il New York Privacy Act (S5642) (“NYPA”) è probabilmente il più atteso perché la sua lingua è molto Bo

Il GDPR è importante negli Stati Uniti

Mantenere la conformità al GDPR non è solo nei tuoi clienti’ I migliori interessi ma nella tua attività’s Il miglior interesse. Le storie horror di non conformità e violazioni dei dati possono essere accompagnate da pesanti multe. A seconda delle dimensioni della tua attività, le multe possono variare tra $ 11 e $ 21 milioni o 2 – 4% del fatturato globale annuale.

GDPR negli Stati Uniti? La nuova legislazione statale lo sta avvicinando alla realtà

L’Unione Europea’S Regolamento generale sulla protezione dei dati (“GDPR”) è ben noto come la più dura legge sulla privacy e sulla sicurezza del mondo, in quanto ha una vasta portata e impone multe pesanti contro coloro che violano i suoi standard di privacy e sicurezza (che sono piuttosto ampi). L’impatto del GDPR è già stato avvertito negli Stati Uniti da quando è entrato in vigore nel 2018, e ora u.S. I legislatori in numerosi stati si stanno muovendo per emanare legislazioni simili. The California Consumer Protection Act (“CCPA”) è stata la prima istanza del GDPR’S l’impatto negli Stati Uniti, come la California ha messo in atto uno statuto e regolamenti che rispecchiano il GDPP per diversi aspetti. Ora la Virginia ha messo in moto quella che potrebbe essere una serie di stati di un anno che mettono in atto una legislazione simile. In particolare, Washington e New York hanno proposto la legislazione a seguito del quadro del CCPA. Questo articolo confronterà il CCPA con le leggi sulla privacy appena emanate e proposte negli Stati Uniti.

Atti sulla privacy appena emanati e proposti:

Virginia Act di recente emanazione

Il 2 marzo 2021, Virginia ha approvato il suo consumatore Data Protection Act (“CDPA”), la seconda legge sulla privacy dei dati dei consumatori completi negli Stati Uniti. Il CDPA entrerà in vigore il 1 gennaio 2023. Il CDPA si applica alle persone o alle entità che conducono affari in Virginia o producono prodotti o servizi offerti ai residenti della Virginia e che “controllo o processo” dati personali. La legge si applica alle aziende che (1) controllano o elaborano informazioni personali di almeno 100.000 consumatori o (2) controllano o elaborano i dati di almeno 25.000 residenti in Virginia che derivano anche dal 50% o più delle loro entrate lorde dalla vendita di dati personali.

Il CDPA segue da vicino la struttura del CCPA; Tuttavia, ci sono alcune differenze chiave:

• Il CDPA non contiene alcun diritto di azione privato. Piuttosto, tutte le azioni devono essere portate dal procuratore generale della Virginia.
• Il CDPA, come il CCPA, esenta i dati già regolati da alcune leggi federali elencate, come HIPAA, GLBA, FCRA, FERPA e COPPA. Tuttavia, ai sensi del CDPA, l’esenzione GLBA è più ampia in quanto esenta totalmente gli istituti finanziari, non solo i soggetti di dati. Inoltre, ci sono esenzioni basate sui dati per la legge su Fair Credit Reporting, il conducente’S Privacy Protection Act e il Federal Education Rights and Privacy Act e organizzazioni senza scopo di lucro.
• Il CDPA contiene un requisito di opt-in per elaborare dati personali sensibili, a meno che.
• Il CDPA definisce “consumatore” più strettamente del CCPA. Il CDPA esclude coloro che agiscono in un contesto commerciale o occupazionale.
• Sotto il CDPA, il “vendita di informazioni personali” richiede che la considerazione sia monetaria per qualificarsi come vendita di dati. Al contrario, il CCPA consente monetario o “Altra considerazione preziosa.”

Proposto Washington Act

The Washington Privacy Act, Senato Bill 6281 (“WPA”), è una legislazione proposta che rispecchia il CCPA. Come il GDPR e il CCPA, il WPA aumenta i consumatori’ Diritti per quanto riguarda i loro dati personali e garantisce che le aziende siano trasparenti sulla raccolta e l’elaborazione dei dati dei consumatori. Inoltre, il WPA consente ai consumatori di rinunciare alla vendita dei loro dati personali. Il WPA si applicherebbe alle aziende i cui prodotti o servizi sono destinati ai consumatori di Washington se l’azienda: (1) controlla o processi dati di oltre 100.000 consumatori o (2) derivano almeno il 50% di entrate dalla vendita di dati personali E processi o controlla i dati personali di oltre 25.000 consumatori.

Il WPA e il CCPA hanno importanti somiglianze come: (1) un periodo di cura di 30 giorni; (2) L’attività deve eliminare un consumatore’i dati personali su loro richiesta; e (3) responsabilità sull’azienda di essere proattiva nel dire al consumatore quali tipi specifici di informazioni personali raccolte e come vengono utilizzati tali dati. Tuttavia, ci sono importanti differenze tra loro:

• Il WPA limita il “dati personali” Definizione di informazioni su un “persona naturale identificata o identificabile,” mentre la definizione CCPA rimane ampia e si applica alle informazioni collegate a a “Consumatore o famiglia particolare.”
• Il WPA impedisce esplicitamente le leggi, le ordinanze e i regolamenti locali in merito all’elaborazione dei dati personali da parte di controller o processori. Il CCPA no.
• Il WPA, a differenza del CCPA, non include un requisito di soglia delle entrate.
• Il WPA, a differenza del CCPA, comprende un “discriminazione” disposizione che impedisce alle aziende di prendere decisioni finali automatizzate.
• La WPA limita il modo in cui la tecnologia di riconoscimento facciale può essere utilizzata in cui il CCPA non ha una disposizione simile. (I nuovi obblighi di riconoscimento facciale per le società che utilizzano il riconoscimento facciale, se messe in atto, superano gli obblighi attuali che le società devono affrontare ai sensi di Washington’S Biometric Privacy Law (RCW 19.375).)

Atto di New York proposto

Di tutta la proposta di legislazione sulla privacy, il New York Privacy Act (S5642) (“Nypa”) è probabilmente il più previsto perché la sua lingua è molto più audace del CCPA. La NYPA si applica ampiamente a “Entità giuridiche che conducono affari a New York o producono prodotti o servizi che sono intenzionalmente mirati ai residenti di New York.” Con un linguaggio così ampio, la NYPA sembra adattata a raggiungere il maggior numero possibile di aziende, omettendo il linguaggio della soglia delle entrate come si vede nel CCPA.

Sebbene la NYPA possa cambiare prima che venga emanata, la sua lingua attuale parte dal CCPA in due modi:

• Il più grande cambiamento è che le aziende dovrebbero agire come “Fiduciani di dati.” La legge proposta afferma che “Qualsiasi entità che raccoglie, vende o licenzi le informazioni personali dei consumatori deve esercitare il dovere di diligenza, lealtà e riservatezza prevista da un fiduciario in relazione a garantire i dati personali di un consumatore rispetto al rischio per la privacy.” Questo obbligo lo farebbe “sostituire qualsiasi dovere dovuto ai proprietari o agli azionisti” di un’entità.
• La NYPA non riconosce il consenso implicito. A differenza del CCPA, che riconosce il consenso implicito, la NYPA richiederebbe alle aziende di dimostrare di aver ottenuto un accordo chiaro e proattivo da parte dei consumatori ove richiesto.

Takeaway principale

Il GDPR’s L’influenza negli Stati Uniti è qui, e sembra qui rimanere mentre più stati seguono l’esempio. Con due importanti leggi sulla privacy su ogni costa e le variazioni sparse nel mezzo, non è chiaro se il Congresso alla fine approverà una legge federale per creare un po ‘di uniformità. Fino ad allora, quando viene implementata la nuova legislazione, le aziende e le imprese dovrebbero rimanere aggiornate per proteggersi dalle potenziali azioni normative e cause legali.

Il GDPR è importante negli Stati Uniti?

Gli individui e le imprese su entrambe le parti dell’Atlantico potrebbero ritenere che, poiché il regolamento generale sulla protezione dei dati è la legislazione dell’UE, si applica solo ai paesi dell’UE. Eppure quell’interpretazione è imperfetta.

La verità è che il GDPR’s l’applicazione riguarda più Chi Stai prendendo di mira piuttosto che Dove La tua attività è basata. Quindi se tu’essere un’attività con sede negli Stati Uniti con i clienti dell’UE, tu’Devo prestare attenzione – e rispettare – il GDPR. Alcune aziende statunitensi devono ancora essere convinte su questo punto.

Regno Unito vs leggi sulla privacy dei dati statunitensi

Il GDPR si applica a quasi tutti coloro che gestiscono i dati personali nell’Unione europea o che gestiscono i dati personali delle persone nell’Unione Europea.

Al contrario, gli Stati Uniti non hanno una sola legge sulla privacy dei dati con un’applicazione altrettanto ampia. Abbiamo trovato una varietà di leggi federali e statali che si sono unite per formare un regime frammentario di protezione dei dati, con settori particolari (come l’assistenza sanitaria) al centro dell’attenzione principale. Questo approccio può rendere difficile la conformità, poiché gli standard di protezione dei dati richiesti variano da stato a stato.

Forse non sorprende che abbiamo scoperto che lo standard richiesto dal GDPR era generalmente sufficiente per soddisfare anche gli standard richiesti dalle leggi statunitensi pertinenti.

Che cosa’s diverso?

Il GDPR fornisce una definizione universale di “Dati personali”; Il termine equivalente negli Stati Uniti è “Informazioni di identificazione personale”, E ciò che costituisce PII varia in base alla legge statale. Ad esempio, i dati finanziari e i numeri di assicurazione nazionale nel Regno Unito non sono visti come “sensibile” In termini di rigorosa definizione legale, ma i dati finanziari e il numero di previdenza sociale sono spesso considerati sensibili nella legislazione sulla privacy degli Stati Uniti.

Il GDPR si basa sull’idea che i dati personali dovrebbero essere protetti e che le persone dovrebbero avere il controllo su come vengono utilizzati i loro dati. Questi diritti includono il diritto di cancellare, portabilità dei dati, prelievo, rettificare dati inaccurati, accesso, restrizione e obiezione.

Soggetti di dati’ I diritti negli Stati Uniti sono molto più limitati. Sebbene la legge degli Stati Uniti chiarisca che alcune informazioni dovrebbero essere fornite agli argomenti dei dati nel punto in cui vengono raccolti i loro dati personali, non vi sono generalmente ulteriori diritti di accesso ai soggetti dei dati o il diritto di cancellare. I diritti limitati delle materie dati che sono in atto si riferiscono ai bambini’S Dati, come i bambini’S Online Privacy Protection Act, che consente ai genitori di visualizzare le informazioni personali raccolte da un sito Web sul proprio figlio e di eliminare e correggere tali informazioni.

Il nuovo California Consumer Privacy Act introduce vari diritti ai residenti californiani: consentendo loro di capire come vengono utilizzati i loro dati, per cancellarli e di rinunciare a un’azienda in grado di vendere le proprie informazioni.

In base al GDPR, i trasferimenti di dati personali al di fuori del SEE sono limitati, principalmente per garantire che i diritti di dati disponibili per le persone non’t Mine perché viene utilizzato un fornitore internazionale. Questo di solito significa che i trasferimenti internazionali di dati personali saranno soggetti allo scudo della privacy dell’UE-USA, alle clausole contrattuali del modello o alle regole aziendali vincolanti.

Al contrario, ci sono pochi limiti sul trasferimento di dati personali al di fuori degli Stati Uniti imposti dalla legge degli Stati Uniti. Mentre le leggi e i regolamenti statunitensi continuano ad applicare ai dati dopo aver lasciato gli Stati Uniti, si concentrano principalmente sul garantire che le entità statunitensi rimangano responsabili dei dati.

Il GDPR ha esteso le penalità massime per le violazioni della protezione dei dati a 20 milioni di euro o il 4% del fatturato globale annuale, a seconda di quale sia il più alto. Al contrario, la FTC (Federal Trade Commission) consente multe fino a $ 16.000 per reato.

Che cosa’non è così diverso?

Non dovrebbe’Tiamo solo il consenso per tutto?

La raccolta del consenso è spesso visto come un modo semplice per evitare in dettaglio le pratiche di dati. Permettere’S Basta ottenere il soggetto dei dati’consenso a qualunque cosa, Giusto? Sbagliato.

Il consenso è uno dei sei modi in cui è possibile legittimare la gestione dei dati personali, ma non è l’unico ed è spesso abuso. Sia il GDPR che le leggi sulla protezione dei dati statunitensi si allineano qui – DON’T ho bisogno di consenso per tutto.

Nell’UE, i controllori dei dati devono avvisare la propria autorità di vigilanza nazionale in caso di violazione della sicurezza dei dati e, in alcune situazioni, i responsabili dei dati dovranno anche avvisare la materia dei dati. Le notifiche di violazione dei dati sono richieste anche negli Stati Uniti, in cui 48 stati su 50 hanno ora emanato leggi sulla notifica della violazione della sicurezza.

GDPR US Equivalente: come gli Stati Uniti e l’UE si confrontano sulle leggi sulla privacy dei dati

Se tu’VE ha visitato un sito Web o controllato la tua e -mail negli ultimi anni, tu’indubbiamente familiarità con il GDPR. Le aziende che ti informano degli aggiornamenti sull’informativa sulla privacy e dei siti Web che ti spingono a gestire le preferenze dei cookie sono solo alcuni modi in cui sperimentiamo l’impatto della legge sulla privacy dei dati di riferimento.

Nonostante sia stato redatto e adottato dall’Unione Europea, il GDPR ha implicazioni globali. Oltre all’impatto su come la tua azienda gestisce i dati di potenziale cliente e dei clienti, le politiche complete hanno continuato a influenzare le leggi sulla privacy dei dati in tutto il mondo, anche negli Stati Uniti. Sebbene non esista un GDPR US equivalente a livello federale, i singoli stati, come la California, hanno implementato politiche simili.

Stare oltre i requisiti normativi locali, federali e internazionali è essenziale per la tua azienda rimanere conforme ed evitare multe pesanti.

Una breve panoramica del GDPR

Il Regolamento generale sulla protezione dei dati (GDPR), emanato dall’Unione Europea (UE) nel 2016, è un regolamento completo che stabilisce gli standard per l’acquisizione, la gestione e l’elaborazione dei dati personali dei cittadini dell’UE e dei loro residenti. All’interno dell’ambito di GDPR, i dati personali sono qualsiasi informazione che si collega a una persona naturale identificabile o “soggetto dati.”

L’elemento più importante del GDPR è che il regolamento non impone che nessuna organizzazione possa raccogliere, archiviare o utilizzare i dati personali senza il consenso esplicito dell’argomento dei dati.

L’ampio spettro delle informazioni di identificazione personale (PII)

A differenza di simili leggi sulla protezione dei dati statunitensi, che limitano i dati regolamentati alle informazioni finanziarie o sanitarie, il GDPR protegge e regola vari settori di informazioni che possono essere legati agli argomenti dei dati, tra cui informazioni sulla posizione, indirizzi IP e dati sui cookie. Tutto sotto l’ombrello di informazioni personalmente identificabili, se la tua azienda raccoglie o elabora queste informazioni, ad esempio attraverso forme di cattura dei lead o pixel pubblicitari, tu’è responsabile del rispetto del GDPR.

L’impatto della non conformità

Mantenere la conformità al GDPR non è solo nei tuoi clienti’ I migliori interessi ma nella tua attività’s Il miglior interesse. Le storie horror di non conformità e violazioni dei dati possono essere accompagnate da pesanti multe. A seconda delle dimensioni della tua attività, le multe possono variare tra $ 11 e $ 21 milioni o 2 – 4% del fatturato globale annuale.

Cosa significa GDPR per le aziende negli Stati Uniti?

Sappiamo che il GDPR ha impatti di vasta portata, anche sulle imprese negli Stati Uniti. Mentre può essere facile ignorare i requisiti GDPR se non si è’t Una società multinazionale, staresti attento a non farlo. Anche se non’intende raccogliere dati da o vendere ai residenti dell’UE, se le proprietà digitali, compresi i siti Web, attirano visitatori dall’UE o dall’European Economic Area (SEE), si applica il GDPR.

Supponiamo che un visitatore di uno Stato membro dell’UE arriva sul tuo sito Web e si iscrive al tuo blog o scarica un documento di ricerca. I tuoi sforzi di retargeting tramite Google o LinkedIn Advertising possono far cadere un pixel di monitoraggio sul loro browser. Quell’utente è ora un soggetto di dati e tu’VE ha iniziato a elaborare i loro dati.

Con la ricchezza di scenari disponibili per la raccolta sensibile dei dati, rimanere al passo con le migliori pratiche per la conformità al GDPR è vitale per le imprese statunitensi. Ma al di là dei requisiti normativi, il GDPR ha un ulteriore impatto sulla legislazione sulla privacy in tutto il mondo, anche negli Stati Uniti.

RACCOMANDATO PER TE

Quali sono i dati di identificazione personale?

Comprendere ciò che definisce dati identificabili personalmente ti aiuterà a valutare se il GDPR si applica alla tua attività.

Gli Stati Uniti hanno leggi simili di protezione dei dati?

Mentre la legge federale non ha ancora affrontato la sicurezza dei dati e l’elaborazione dei dati nella misura del GDPR, le leggi statali fungono da equivalenti del GDPR negli Stati Uniti. A partire dal 2022, cinque stati, tra cui Utah, Colorado, Virginia, Connecticut e California, presentano tutti una sorta di legge sulla privacy dei consumatori. Nel frattempo, più di 15 stati stanno prendendo in considerazione una legislazione simile.

Proteggere i dati dei residenti della California

Il California Consumer Privacy Act (CCPA), approvato nel 2018, è stato il primo negli Stati Uniti come risposta al GDPR e alle violazioni della privacy dei dati nello stato. Vanta simili regolamenti di protezione dei dati, sebbene certamente su scala finita.

• Informazioni personali vs. dati personali: Sebbene spesso usato in modo intercambiabile, CCPA affronta e protegge specificamente informazione personale che può ragionevolmente essere collegato a a consumatore in California
• Consumatori vs. Soggetti dei dati: Mentre il GDPR protegge i soggetti di dati che vivono nell’UE (compresi i cittadini statunitensi), la portata del CCPA è limitata alle informazioni dei residenti della California e, più specificamente, ai consumatori
• Aziende a scopo di lucro vs. processori di dati: CCPA regola specifiche aziende a scopo di lucro che gestiscono i dati dei consumatori della California, mentre il GDPR fornisce linee guida normative per Qualunque Organizzazione all’interno e all’esterno degli Stati membri dell’UE che elaborano i dati, comprese le società multinazionali
• Ovvia richiesta: Mentre il GDPR richiede l’assunzione di un responsabile della protezione dei dati (DPO) di supervisionare la conformità e fungere da collegamento a fini di audit, CCPA non ha tale requisito per la supervisione

Nel gennaio 2023, la California Privacy Rights Act (CRPA), un emendamento al CCPA, entrò in vigore. Ciò ha offerto nuovi requisiti, diritti e meccanismi di applicazione per il CCPA, compresa una chiara definizione su chi è influenzato dalla legislazione e dalle protezioni per “Informazioni personali sensibili.” In particolare:

• Espandere la soglia di aziende da coloro che acquistano, vendono o condividono le informazioni personali di 50.000 residenti a 100.000 o più
• Definisce una nuova categoria di informazioni personali sensibili come identificatori emessi dal governo, informazioni finanziarie, dati di geolocalizzazione, nonché dati demografici come razza, religione e altro ancora

Ad alto livello, entrambe le politiche offrono agli individui più chiarezza e controllo sui loro dati personali e sull’elaborazione di tali dati. Per quanto riguarda i dati di GDPR, sanitaria e finanziario rientrano nell’ambito più ampio di informazioni personali identificabili. Negli Stati Uniti, dati simili sono ampiamente regolati attraverso più leggi federali.

Salvaguardare i dati sulla salute dei pazienti

La legge sulla portabilità e la responsabilità dell’assicurazione sanitaria (HIPAA), approvata nel 1996, regola le informazioni sulla salute protetta (PHI). Organizzazioni che gestiscono PHI, incluso “entità coperte” Come gli operatori sanitari o i soci in affari come la fatturazione o le società EHR, sono responsabili del rispetto delle normative HIPAA. Se la tua attività sfrutta o elabora i registri dei pazienti, le informazioni di pagamento, i dati biometrici o le informazioni del piano sanitario, l’utente’probabilmente soggetto a conformità HIPAA.

Regolamentazione dei pagamenti e transazioni con carta di credito

Nel frattempo, il Gramm-Leach-Bliley Act (GLBA), emanato nel 1999, richiede che gli istituti finanziari offrano a persone un maggiore accesso e trasparenza nell’uso dei loro dati personali. Il mantenimento della conformità GLBA include la comunicazione di come dati sensibili come un cliente’Il nome, l’indirizzo, il numero di telefono o i numeri di previdenza dell’account e di assistenza sociale vengono gestiti e condivisi. Simile al CCPA e al CPRA e al GDPR, le istituzioni devono offrire l’opportunità di rinunciare ai loro dati condivisi con terzi.

Simile a CCPA e GDPR, la non conformità con HIPAA e GLBA può avere un impatto significativo su un istituto, con multe per offensiva fino a $ 100.000 per GLBA o $ 50.000 per HIPAA. Ripetere i reati HIPAA possono ridimensionare multe fino a $ 250.000, fornendo un chiaro incentivo per mantenere la conformità.

Stabilire i diritti con le agenzie governative statunitensi

Poiché il CCPA regola le organizzazioni a scopo di lucro, it’s principalmente limitato ai dati sfruttati per scopi commerciali. Il Privacy Act del 1974 regola come il settore pubblico gestisce i tuoi dati.

Redatto in risposta all’insorgenza di database e computer che ora potrebbero archiviare una vasta gamma di informazioni, il Privacy Act guida le agenzie federali sulla protezione dei dati, la manutenzione e la diffusione. L’atto offre quattro diritti che i cittadini statunitensi hanno riguardo ai loro dati personali:

1. Le agenzie sono tenute a condividere i record conservati su un individuo quando richiesto
2. Le agenzie devono seguire “pratiche di informazione equa,” che definiscono l’ambito e la qualità delle agenzie di dati possono ragionevolmente raccogliere e gestire.
3. Le agenzie devono aderire a linee guida restrittive per la condivisione di dati personali tra agenzie o con altre persone.
4. Le agenzie possono essere citate in giudizio per aver violato uno dei diritti di cui sopra.

Esso’è importante notare che la legge sulla privacy non è onnicomprensiva. Le agenzie governative responsabili delle forze dell’ordine, come il Federal Bureau of Investigation (FBI) e la Central Intelligence Agency (CIA), sono esenti dalla legislazione. Inoltre, l’atto offre “Uso di routine” e altre esenzioni come per l’uso nel censimento degli Stati Uniti.

Cosa detiene il futuro per le leggi sulla protezione dei dati negli Stati Uniti?

Per quanto riguarda l’equivalente del GDPR negli Stati Uniti, la protezione dei dati è più una somma delle sue parti che un approccio globale. Legislazione come la California Consumer Privacy Act o la Virginia Consumer Data Protection Act rientra esigenze simili per le leggi sulla privacy all’interno dei confini dei singoli stati.

L’esistenza di trasferimenti di dati transfrontalieri e un’economia globale guida la necessità di più aziende statunitensi per raggiungere la conformità al GDPR, ma IT’non è un requisito universale.

Gli Stati Uniti’ L’approccio alla protezione dei dati e alla politica di trasparenza è stato patchwork negli ultimi anni. Tuttavia, il 2022 ha visto multe significative riscosse dalla Federal Trade Commission attraverso violazioni della privacy e rinnovati sforzi dal Congresso per creare una politica nazionale coesa sulla privacy dei dati.

Federal Trade Commission interrompendo la violazione della conformità

In particolare, l’FTC ha ordinato ai giochi epici di pagare oltre $ 500 milioni di multe per violare i bambini’s Online Privacy Protection Act (COPPA) tramite Design dell’interfaccia utente fuorviante o “motivi scuri” Ciò ha spinto migliaia di acquisti involontari e decisioni sulla privacy prese da bambini e adolescenti.

Inoltre, una coalizione di oltre 40 avvocati Generale ha raggiunto un accordo storico con Google a nord di $ 350 milioni sulla loro posizione di elaborazione dei dati di posizione. Le decisioni segnano un momento spartiacque nel regolamento sulla sicurezza delle informazioni degli Stati Uniti e in che modo le società possono essere ritenute finanziariamente responsabili della violazione delle leggi sulla privacy specifiche.

La legge globale sulla privacy dei dati potenzialmente aggiornati per il dibattito

L’impatto della legislazione esistente ha rinvigorito le conversazioni per un equivalente globale al GDPR negli Stati Uniti. Nel 2022, l’American Data Privacy and Protection Act (ADPPA) passò attraverso il comitato congressuale con sostegno bipartisan. Ma non è mai stato votato sul pavimento della Camera dei rappresentanti. Il disegno di legge prevederebbe il California Consumer Privacy Act e rimane un’opzione per il dibattito e la decisione nel 2023.

Come tenere conto delle leggi sulla privacy dei dati disparati

L’impatto della non conformità non è’T limitato a multe e penalità penali. L’impatto del cliente delle violazioni dei dati incombe e mantenere la loro fiducia può spesso dipendere dalla tua azienda’la capacità di salvaguardare le loro informazioni.

Con così tante linee guida, protocolli e regolamenti legali da seguire, come può la tua azienda rimanere al passo con la curva di sicurezza dei dati?

Fare le assunzioni giuste per la tua squadra

In alcuni casi, il percorso in avanti è abbastanza semplice. A seconda della tua attività, il GDPR potrebbe richiedere l’assunzione di un responsabile della protezione dei dati o DPO. Le responsabilità di un DPO includono l’educazione dei dipendenti sulla conformità e i dati e la conduzione di audit di sicurezza regolari. Il DPO funge anche da punto di contatto primario per accedere ai dati dell’azienda per l’audit o in altro modo.

Gli agenti di protezione dei dati e altre assunzioni di sicurezza e conformità sono essenziali per garantire che la tua azienda possa monitorare il panorama in continua evoluzione della legge sulla sicurezza delle informazioni. Con chiara visibilità nella tua attività’ Pratiche di dati e sicurezza delle informazioni, tali ruoli possono monitorare, consigliare e mantenere la postura di conformità in modo più salutare.

Lavorare con un partner

Mentre assume i membri del team per monitorare e determinare l’impatto commerciale di queste tendenze potrebbe non essere nella tua startup’S Roadmap, dovresti valutare continuamente come affrontare la sicurezza per la tua fase particolare. Ciò significa essere consapevoli delle tue basi di sicurezza, strumenti e pratiche di dati per comprendere in che modo i cambiamenti nella conformità normativa potrebbero influire sulle operazioni aziendali.

Non sai da dove cominciare? Inizia parlando con uno dei nostri esperti.

Esplora più contenuti

La tua azienda gestisce i dati di identificazione personale?

Scopri di più sull’ambito di GDPR in relazione a dati identificabili personalmente e cosa può significare per la tua attività.

Condividi questo post con la tua rete:

Sarà u.S. Adottare una legge sulla privacy dei dati nazionale simile al GDPR?

Hai sentito la domanda, “L’America è un melting pot o un insalata?” Permettere’S Applica quel concetto alle leggi sulla privacy dei dati. Oggi, nell’u.S. Non esiste una legge sulla privacy dei dati nazionali coerente. Invece le aziende stanno cercando di dare un senso a ‘insalata mista’ di diversi regolamenti e leggi applicati dai singoli stati e dagli organi di regolamentazione basati sul settore.

La necessità di leggi sulla privacy dei dati nazionali

Man mano che la tecnologia continua a evolversi ed effettuare così tanti aspetti della nostra vita, l’ambiente digitale richiede davvero un quadro generale per garantire e applicare la privacy dei dati.

Elimina confusione e inefficienza

Le attività oggi non operano entro i confini. I fornitori, i fornitori, i clienti e i soci delle imprese lavorano tutti per allungare le operazioni attraverso i confini statali e internazionali. Spesso operano o si affidano anche alle attività in più settori. Dover navigare in vari regolamenti federali, statali e legati al settore crea confusione e inefficienze per entità, valutatori e organismi di regolamentazione.

Evita un onere eccessivo di conformità

Allo stesso modo, con molteplici standard in vigore, il processo di reporting e conformità richiede più tempo, sforzi e denaro da entità.

Poiché il GDPR è arrivato per primo (in effetti da maggio 2018), molte aziende americane e multinazionali hanno già fatto lo sforzo di raggiungere la conformità del GDPR e continuare gli affari con i loro clienti europei. Al fine di evitare ulteriori oneri di conformità, u.S. La legislazione sulla privacy dei dati dovrebbe cercare di rimanere vicino allo standard già stabilito da GDPR.

Impedire ai regolamenti di diventare obsoleti

U.S. Le leggi per la privacy dei dati che sono attualmente sui libri sono state scritte in passato e sono state progettate per regolare un ambiente diverso. Ora, abbiamo bisogno di regolamenti abbastanza flessibili da affrontare la tecnologia in via di sviluppo ed essere comunque applicabili in futuro.

Rafforzare le protezioni per la privacy

Lacune e sovrapposizioni sono il risultato naturale di più regolamenti. In alcuni casi, sono persino in conflitto tra loro. Eppure, in un’era in cui i dati personali sono sempre più vulnerabili, proteggere la privacy è più critica che mai. I regolamenti dovrebbero essere completi e chiari – copre tutti i tipi di informazioni personali in tutte le forme, al fine di fornire il livello di protezione più forte possibile.

U.S. Leggi sulla privacy dei dati

Non esiste una legge federale sulla privacy come il GDPR negli Stati Uniti. Ci sono alcune leggi nazionali che sono state messe in atto per regolare l’uso dei dati in alcuni settori.

• 1974 – IL U.S. Privacy Actche delinea i diritti e le restrizioni relative ai dati detenuti dalle agenzie governative statunitensi.
• 1996 – Legge sulla portabilità e responsabilità dell’assicurazione sanitaria (HIPAA) che regola la privacy e la sicurezza nel settore sanitario.
• 1999 – Gramm-Leach-Bliley Act (GLBA) che governa come i consumatori’ Le informazioni sulla privacy non pubblica vengono raccolte e utilizzate nel settore finanziario.
• 2000 – Bambini’s Act online per la protezione della privacy (COPPA) ha fatto un primo passo nella regolazione delle informazioni personali raccolte dai minori. La legge proibisce specificamente alle aziende online di chiedere al PII dai bambini 12 e under a meno che non ci siano’S verificabile consenso dei genitori.

Ora ci troviamo nell’anno 2020. E ora ci sono stati progressi significativi nei confronti di un quadro unificato – tra gli stati e le industrie – delle migliori pratiche sulla privacy dei dati in 20 anni. La FTC è stata l’unica forza guida nella penalizzazione dei conglomerati di tecnologia e social media che hanno ingannato gli utenti su come i loro dati vengono raccolti e venduti a terzi.

Ma le multe non sono una forma efficace di regolamentazione e non sono’A aiutare le aziende a comprendere e attuare le migliori pratiche. Che cosa’S necessario è un framework che guida le entità nello sviluppo di politiche e pratiche di privacy di dati efficaci – da zero. Non solo punire le violazioni – dall’alto verso il basso. Perché la verità è che possiamo qui sui casi che coinvolgono Facebook e Zoom, ma quanti altri casi di sicurezza inefficaci hanno inosservato?

Differenza tra u.S. e leggi sulla privacy dei dati dell’UE

Noi possiamo’t fare un confronto equo perché non c’è’t (ancora) a u.S. equivalente al GDPR. In sostanza, l’UE rispetta la privacy come diritto fondamentale dei cittadini. GDPR è un quadro completo di protezione dei dati personali progettato per salvaguardare tali diritti. Governa le società che operano negli Stati membri dell’UE e entità internazionali che interagiscono con i residenti dell’UE.

Alcuni regolamenti proposti includono l’American Data Disingemination Act, il Consumer Data Protection Act e la Data Care Act. A questo punto, tuttavia, nessuna proposta ha ottenuto abbastanza sostegno al Congresso per diventare una nuova legge.

La legge nazionale più vicina di vigore sarebbe probabilmente HIPAA che è stata progettata per proteggere le informazioni sulla privacy e l’assistenza sanitaria dei pazienti. Tuttavia, ci mancano regolamenti che coprono la privacy dei consumatori e la sicurezza dei dati in tutti i settori.

Gli stati non uniti di privacy dei dati

Negli ultimi anni noi’gli stati hanno visto gli stati introducono le proprie normative sulla privacy dei dati dei consumatori. Il Californian Consumer Privacy Act (CCPA) e il Massachusetts Data Protection Act sono due esempi forti. Altri stati hanno già emanato le proprie leggi sulla protezione dei dati che si applicano a tutte le aziende. Questi stati includono:

• Arkansas
• Colorado
• Connecticut
• Florida
• Indiana
• Kansas
• Maryland
• Minnesota
• Nevada
• Nuovo Messico
• Oregon
• Rhode Island
• Texas
• Utah

Ognuno di questi stati ha sviluppato e adottato le proprie leggi sulla protezione dei dati che richiedono alle aziende che detengono le informazioni personali dei consumatori dei residenti statali per proteggere tali informazioni. Quindi il ‘insalatiera’ enigma. Senza una fusione delle forze di governo, ogni stato viene lasciato ad agire da solo e la conformità diventa confusa e incoerente.

Perché le multinazionali devono prendersi cura della conformità GDPR?

Gli affiliati non UE associati a un’azienda multinazionale devono prendersi cura del GDPR perché, molto probabilmente, hanno clienti che risiedono in un paese dell’UE. Se i dati del consumatore dell’UE che le multinazionali raccolgono durante le transazioni sono accessibili da un sistema centrale agli affiliati in tutto il mondo, è indispensabile che queste aziende comprendano come i dati fluttuano per garantire che i trasferimenti di dati transfrontalieri rispettano i requisiti GDPR.

Un altro motivo molto importante per rendere la conformità al GDPR una priorità è che la non conformità lascia le multinazionali soggette a sostanziali multe amministrative che le autorità di protezione dei dati designate (DPA) ricevono l’autorità per imporre se trovano la causa. Le sanzioni per la non conformità del GDPR sono il quattro percento dell’azienda’S entrate annuali lorde in tutto il mondo o € 20 milioni. Tali sanzioni sono applicabili anche se l’entità responsabile è semplicemente una consociata con solo pochi dipendenti, rendendo essenziale che le multinazionali si assicurano che siano a bordo anche eventuali filiali.

Inoltre, i DPA detengono il potere di bloccare o vietare i trasferimenti di dati dall’UE alla U.S. società madre se scoprono un problema di non conformità.

Sei confuso sulla conformità alla privacy dei dati?

Parlare con io.S. Partners, LLC. Possiamo aiutare la tua organizzazione a determinare quali regolamenti si applicano alle tue attività e costruire una strategia per raggiungere la piena conformità.