Contrariamente alla saggezza convenzionale, gli Stati Uniti hanno effettivamente leggi sulla privacy dei dati. È vero, non esiste una legge sulla privacy a livello federale centrale, come il GDPR dell’UE. Ci sono invece diverse leggi federali sulla privacy focalizzate verticalmente, così come una nuova generazione di leggi sulla privacy orientate ai consumatori provenienti dagli Stati uniti.
Facciamo un giro delle leggi sulla privacy degli Stati Uniti e avere un’idea per il paesaggio., Se vuoi saperne di più sul panorama legale degli Stati Uniti, scarica la nostra incredibile Guida essenziale per la conformità e le normative sulla protezione dei dati negli Stati Uniti.
Ottieni la Guida essenziale gratuita per la conformità e le normative sulla protezione dei dati degli Stati Uniti
- Come viene gestita la privacy su Internet?
- UE vs., NOI le Leggi sulla Privacy
- Nuovo Stato Leggi sulla Privacy dei Dati
- California
- Massachusettes
- New York
- Hawaii
- Maryland
- Dakota del Nord
- di Stato americano per la Legge sulla Privacy Confronto
- NOI Legge sulla Privacy FAQ
Verticale Concentrato di NOI Leggi sulla Privacy dei Dati
NOI Privacy Act del 1974
nel secolo scorso, quando il database non sono stati all’altezza della tecnologia informatica, il Congresso e gli altri sono stati (giustamente) preoccupati per il potenziale uso improprio dei dati personali detenuti dal governo., Il Congresso ha approvato il punto di riferimento US Privacy Act del 1974, che conteneva importanti diritti e restrizioni sui dati detenuti dalle agenzie governative degli Stati Uniti, e dovrebbe sembrare molto familiare ai professionisti dei dati nell’anno 2019. Li elencherò qui perché sono i primi riferimenti che conosco a tutto ciò che è seguito:
- Diritto dei cittadini statunitensi di accedere a qualsiasi dato detenuto da agenzie governative. E il diritto di copiare quei dati.,
- Diritto dei cittadini di correggere eventuali errori di informazione
- Le agenzie dovrebbero seguire i principi di minimizzazione dei dati quando raccolgono dati – meno informazioni “pertinenti e necessarie” per raggiungere i suoi scopi.
- L’accesso ai dati è limitato in base alla necessità di conoscere, ad esempio i dipendenti che hanno bisogno dei record per il loro ruolo lavorativo.,
- La condivisione di informazioni tra altre agenzie federali (e non federali) è limitata e consentita solo a determinate condizioni
Punti extra se hai notato i principi di Privacy by Design incorporati in questa innovativa legge sulla privacy dell’era degli anni ‘ 70!
HIPAA
Approvata nel 1996, l’Health Insurance Portability and Accountability Act (HIPAA) era una legislazione storica per regolamentare l’assicurazione sanitaria. Si tratta di una legge molto complessa con un sacco di parti in movimento, ma comprendeva sia la privacy dei dati e sezioni di sicurezza. La parte di protezione dei dati di HIPAA si trova nella regola di sicurezza., HIPAA anche stabilito requisiti di riservatezza dei dati che possono essere trovati in, attendere che, La regola sulla privacy.
Se hai mai compilato un modulo presso l’ufficio del medico che consente ai coniugi e agli altri membri della famiglia di rivedere o vedere le informazioni sulla salute — ciò che HIPAA si riferisce a come informazioni sanitarie protette (PHI) — hai visto la regola sulla privacy in azione.
La regola sulla privacy contiene un elenco contorto di regole su chi può vedere PHI., Ma in breve, un operatore sanitario o” entità coperta “ha più o meno il permesso di utilizzare i dati del paziente se è correlato a” trattamento, pagamento e operazioni di assistenza sanitaria.”Tuttavia, l’utilizzo dei dati per scopi di marketing o la vendita del PHI richiede un’autorizzazione esplicita.
Il requisito minimo necessario dell’HIPAA è un buon esempio dei principi della PbD applicati alla condivisione del PHI. Dice che le entità coperte che condividono i dati per scopi di marketing diversi da quelli sopra menzionati dovrebbero limitare chi può vederlo., Le organizzazioni sanitarie dovrebbero valutare i loro dati e le loro pratiche e mettere in atto misure di salvaguardia per limitare l’accesso” non necessario o inappropriato ” al PHI. In effetti, l’accesso basato sui ruoli per PHI.
COPPA
Nei primi giorni del primo Internet, circa 2000, il Children’s Online Privacy Protection Act (COPPA) ha fatto un primo passo per regolamentare le informazioni personali raccolte dai minori. La legge vieta specificamente le aziende online di chiedere PII da bambini 12-e-under a meno che non ci sia il consenso dei genitori verificabile.,
Gli aggiornamenti alle norme normative di COPPA alcuni anni fa hanno effettivamente ampliato la portata della legge e ampliato il tipo di informazioni personali da proteggere, inclusi nomi di schermo, indirizzi e-mail, nomi di chat video, nonché fotografie, file audio e coordinate geografiche a livello stradale.
Questi aggiornamenti estendono anche la copertura della privacy e della sicurezza a terze parti che utilizzano i dati dei bambini. L’operatore del sito web di origine deve adottare ” misure ragionevoli per rilasciare le informazioni personali dei bambini solo alle aziende che sono in grado di mantenerle sicure e riservate.,”
GLBA
Un’altra legislazione degli anni ‘ 90, Gramm-Leach-Bliley Act (GLBA) è un’enorme lastra di diritto bancario e finanziario che ha sepolto in esso importanti requisiti di privacy e sicurezza dei dati. Le sue protezioni delle informazioni personali sono un importante miglioramento rispetto alle precedenti leggi sui dati finanziari dei consumatori-vedere il Fair Credit Reporting Act (FCRA).,
nel complesso, Gramm – Leach-Bliley Act protegge le informazioni personali riservate (NPI), che è definito come “le informazioni raccolte su di un individuo in relazione alla fornitura di un prodotto o servizio finanziario, a meno che le informazioni sono pubblicamente disponibili” — essenzialmente PII con un’eccezione per qualsiasi ampiamente disponibili, informazioni finanziarie, ad esempio, i registri di proprietà o di talune informazioni relative all’ipoteca.,
Potresti aver notato che le banche inviano periodicamente notifiche sulla privacy dei dati, spiegando le categorie di NPI che vengono raccolte e condivise insieme a speciali istruzioni di opt-out. Ciò è dovuto alle protezioni della privacy un po ‘ limitate di GLBA. I consumatori possono opt-out se non desiderano che le informazioni vengano inviate a una terza parte” non affiliata”.
Tuttavia, per le società terze affiliate alla banca o alla compagnia assicurativa-parte della, tosse, “famiglia aziendale” — i consumatori non hanno controlli legali sulla privacy ai sensi di GLBA per limitare la condivisione dell’NPI., Questa è una scappatoia piuttosto ampia, e GLBA non è affatto un modello per una legge sulla privacy dell’era di Internet.
Come viene gestita la privacy su Internet?
La risposta breve è che non lo è! Al di fuori delle leggi federali statunitensi incentrate sul settore descritte sopra, Internet è un territorio deregolamentato in cui le società tecnologiche e di social media, in particolare, hanno praticato una filosofia nulla-va. Gli stati Uniti, tuttavia, stanno finalmente intervenendo (vedi sotto) con le proprie leggi sulla privacy dei dati, con la California che prende il comando.,
Ci si potrebbe chiedere in base a quali statuti, se non ci sono leggi generali sulla privacy (e sulla sicurezza) dei consumatori, il governo degli Stati Uniti è stato in grado di emettere enormi multe contro Facebook, Uber e PayPal?
Ottima domanda!
E la risposta ci porta, per favore, alla Federal Trade Commission o alla FTC. In breve, ai sensi della legge FTC del 1914, che ha portato questa agenzia governativa all’esistenza, alle aziende è vietato impegnarsi in “atti o pratiche sleali o ingannevoli” sotto i suoi poteri di Sezione 5., C’era una volta in America a metà del secolo, la FTC ha iniziato ad assumere-e questo potrebbe essere uno shock per alcuni — pubblicità audacemente falsa o fuorviante da parte di alcuni dei principali marchi di consumo americani.
È un breve passo da lì alla FTC che esamina le “rappresentazioni” fuorvianti fatte dalle principali società tecnologiche e di social media sulla privacy dei dati dei consumatori che raccoglie. Come ad esempio Facebook e il modo molto audace in cui ha detto agli utenti nelle sue app e comunicazioni sulla privacy che non venderà i loro dati o che gli utenti potrebbero limitare l’accesso ai dati se fanno clic su determinate caselle.,
In realtà, il contrario è stato il caso e la FTC ha presentato un reclamo di otto conteggi in 2012 contro Facebook, che ha accettato di risolvere. Questa denuncia è stata seguita dalla denuncia FTC più recente e più pubblicizzata — per alcune delle stesse violazioni — in cui Facebook ha accettato un accordo di settlement 5 miliardi. Non puoi inventarti questa roba.
Il lettore di avvisi potrebbe essersi reso conto che se un’azienda non menziona nulla sulla privacy dei dati sul suo sito web, nei suoi prodotti o nella sua pubblicità, allora la FTC non può fare nulla, almeno sotto i suoi poteri di “pratiche o atti ingannevoli”. E sarebbe giusto!,
Questo è un altro modo per dire che una legge federale sulla privacy generale, come quella che viene considerata qui, costringerebbe le aziende ad avere politiche sulla privacy e rispettarle, piuttosto che passare attraverso il meccanismo di applicazione della privacy indiretta (e imperfetta) della FTC.
Leggi sulla privacy UE vs USA
Come promemoria, gli Stati Uniti non hanno (ancora) una legge generale sulla privacy dei dati dei consumatori a livello federale, per non parlare di una legge sulla sicurezza dei dati. L’UE con il suo Regolamento generale sulla protezione dei dati (GDPR) ha entrambi! Quindi non possiamo davvero confrontare i due.,
Tuttavia, il Californian Consumer Privacy Act (CCPA), si avvicina ad affrontare la privacy dei dati dei consumatori almeno per i residenti in California ed è un ottimo esercizio per confrontare e contrastare il GDPR, come quello che facciamo di seguito.
In breve, sia il CCPA che il GDPR danno ai consumatori il diritto di accesso, il diritto di cancellazione e il diritto di opt-out dal trattamento in qualsiasi momento. Differiscono in quanto il GDPR concede ai consumatori il diritto di correggere o rettificare dati personali errati mentre il CCPA non lo fa., Il GDPR richiede anche un consenso esplicito-vedi l’articolo 7 del GDPR “condizione per il consenso” – nel momento in cui i consumatori consegnano i loro dati. Al contrario, CCPA chiede solo che venga resa disponibile un’informativa sulla privacy sul sito Web per informare i consumatori che hanno il diritto di rinunciare a determinate raccolte di dati.
Se quanto sopra solletica la tua aquila legale interiore, allora fai riferimento a questo grafico di confronto completo GDPR vs CCPA assemblato dallo studio legale BakerHostetler. Oppure dai un’occhiata alla nostra gita attraverso le differenze viste dall’incredibile Sarah Hospelhorn di Varonis!,
Nuove leggi sulla privacy dei dati dello Stato degli Stati Uniti
Con la mancanza di direzione a Washington, non sorprende che altri stati abbiano preso spunto dalla California e abbiano redatto le proprie leggi sulla privacy. Prima di esaminare le singole leggi CCPA “copycat” di New York, Massachusetts e altri stati, esaminiamo prima la legge sulla privacy della California, che è l’invidia della nazione.
California Consumer Privacy Act
Nel 2018, il California Consumer Privacy Act (CCPA) è stato firmato in legge. Il suo obiettivo è quello di estendere le protezioni privacy dei consumatori a Internet., Non è un’esagerazione dire che il CCPA è la legislazione sulla privacy dei dati più completa focalizzata su Internet negli Stati Uniti e senza equivalenti a livello federale.
Ai sensi del CCPA, i consumatori hanno il diritto di accedere tramite una richiesta di accesso all’interessato (DSAR) alle categorie e a specifiche informazioni personali detenute dalle imprese interessate. Le aziende non possono vendere le informazioni personali dei consumatori senza fornire un avviso web (”un link pulito e ben visibile”) e dando loro l’opportunità di opt-out.,
Come il GDPR, esiste anche il “diritto di cancellare” — con alcune esenzioni — le informazioni personali dei consumatori su richiesta. Il CCPA offre anche ai consumatori un limitato diritto di azione di citare in giudizio se sono vittime di una violazione dei dati. C’è una possibilità più generale per il Procuratore generale dello stato di citare in giudizio per conto dei residenti. La legislazione è in cantiere per ampliare il diritto privato di azione dei consumatori di citare in giudizio per altri motivi.,
Un’altra innovazione sorprendente all’interno della CCPA è la sua definizione molto ampia di informazioni personali: “le informazioni che identificano, si riferiscono, descrivono, possono essere associate o potrebbero essere ragionevolmente collegate, direttamente o indirettamente, con un particolare consumatore o famiglia.”Questo copre molto terreno ed è simile alla visione espansiva dei dati personali del GDPR.,
Per riportarlo a “black letter law”, il CCPA contiene anche una lunga lista di identificatori che considera informazioni personali, tra cui biometrico, geolocalizzazione, e-mail, cronologia di navigazione, dati dei dipendenti e altro ancora.
Il CCPA introduce anche “identificatori probabilistici”. Gli avvocati discuteranno di cosa significhi, ma sembra che i dati che danno una probabilità maggiore del 50% di identificare qualcuno saranno trattati allo stesso modo di un identificatore deterministico. Forse una combinazione di, diciamo, Netflix visualizzazione storia e dati di geolocalizzazione può essere sufficiente per far pendere la bilancia., A proposito, altri stati hanno preso il termine probabilistico nelle loro leggi (sotto).
Mentre l’attenzione — e giustamente —è stata su ampi nuovi diritti alla privacy per i consumatori, c’è anche un componente di sicurezza dei dati al CCPA. La legge chiede alle aziende di”implementare e mantenere procedure di sicurezza ragionevoli”. Che significa?, Nessuno è sicuro, anche se ci sono forti indizi che il governo della California sta cercando al centro di top 20 controlli di Internet Security e il NIST Critical Infrastructure Security (CIS) Quadro come linee di base.
Con nessuna risposta federale al GDPR all’orizzonte, molti altri stati stanno prendendo una pagina dal libro della California redigendo i propri regolamenti per dare ai cittadini un maggiore controllo sui loro dati personali. Mentre la maggior parte di queste fatture utilizzano CCPA come un quadro, ci sono differenze. Abbiamo anche messo insieme un cheat sheet alla fine per confrontare le diverse leggi statali proposte., Diamo prima un’occhiata a due proposte di privacy difficili provenienti da New York e Massachusetts
Massachusetts Data Privacy Law
La proposta di legge sulla privacy dei dati (S-120) condivide un sacco di lingua CCPA. Accesso dei consumatori alle informazioni personali? Controllare. Diritto di cancellazione? Controllare. Notifica esplicita dei diritti alla privacy, e la possibilità di opt-out di terze parti vendite di dati? Controllare. Un’ampia definizione di informazioni personali inclusi identificatori probabilistici? Controllare.,
Ci sono alcune importanti divergenze dal CCPA, che includono il diritto per i consumatori di citare in giudizio per qualsiasi violazione della proposta di legge del Massachusetts. I consumatori” non devono subire una perdita di denaro o proprietà a causa della violazione ” per presentare un’azione.
Gli avvocati sottolineano che c’è un enorme potenziale esposizione delle aziende del Massachusetts a cause legali collettive: i querelanti possono recuperare fino a 7 750 per consumatore. Ad esempio, nel 2017, quasi 400.000 Massa., i residenti sono stati colpiti da violazioni dei dati, che porta alla possibile esposizione, se la legge fosse stata in vigore, di quasi million 300 milioni per quell’anno.
New York Privacy Act
La proposta S5642 di New York (attualmente in attesa) contiene alcuni dei tratti distintivi di CCPA. C’è il diritto di cancellare e richiedere informazioni personali. La definizione di informazioni personali — ” qualsiasi informazione relativa a una persona identificata o identificabile ” – include un elenco molto ampio di identificatori: biometrici, indirizzi e-mail, informazioni sulla rete e altro ancora.,
A differenza della California e simile al Massachusetts, la legge di New York ha un diritto privato di azione per qualsiasi violazione della legge! E la legge si applica a tutte le imprese senza alcuna soglia di entrate, che differisce dalla California e da altri stati. Questo rende la proposta di legge NY piuttosto severa.
La legge di NY, tuttavia, richiede solo alle aziende di rivelare ai consumatori le grandi categorie di informazioni condivise a terzi. In alcune circostanze, i consumatori avrebbero il diritto di richiedere copie di informazioni specifiche condivise.,
Un’altra differenza fondamentale è la proposta di legge NY impone il ruolo dei dati fiduciari”, costringendo tutte le imprese NYS ad essere legalmente responsabili per i dati dei consumatori che detengono. Il NY act ha una visione molto espansiva: “esercitare il dovere di cura, lealtà e riservatezza che ci si aspetta da un fiduciario per quanto riguarda la protezione dei dati personali di un consumatore contro un rischio di privacy; e deve agire nel migliore interesse del consumatore, senza riguardo agli interessi dell’entità, del controller o del broker di dati”. In breve: i consumatori possiedono i dati.,
La legge NY offre anche ai consumatori la possibilità di correggere le informazioni inesatte, rendendolo più vicino nello spirito al GPDR UE. Nessuno degli altri cloni, tra cui la California, andare così lontano!
Hawaii Consumer Privacy Protection Act
Hawaii SB 418 è simile al CCPA, offrendo tutti gli stessi principali diritti e protezioni (potenzialmente più, in base alla formulazione attuale del disegno di legge). Mentre CCPA si applica esplicitamente ai siti Web che conducono affari nello stato della California, il disegno di legge SB 418 delle Hawaii non ha clausole simili., In teoria, i siti web basati in qualsiasi parte del mondo potrebbero violare la legge se non offrono una protezione adeguata come delineato nel disegno di legge. Tuttavia, è probabile che il disegno di legge venga modificato in una bozza successiva per concentrarsi esclusivamente sui siti Web hawaiani.
Maryland Online Consumer Protection Act
SB 613 del Maryland è un altro disegno di legge con il potenziale per espandere la portata del CCPA in alcune aree. Le imprese avranno obblighi simili di divulgare l’utilizzo delle informazioni, anche se, in misura minore rispetto ai sensi CCPA., E come la California e il Massachusetts, c’è anche l’uso di un “identificatore probabilistico” per riferirsi a un certo tipo di informazioni personali. Vai Maryland!
Tuttavia, questo disegno di legge va oltre l’ambito di CCPA quando si tratta di rivelare il coinvolgimento di terze parti. Ai sensi del CCPA, le aziende devono divulgare solo se le informazioni sui consumatori vengono vendute a terzi, ma in conformità con SB 613 del Maryland, le aziende dovrebbero divulgare qualsiasi informazione trasmessa a terzi, anche se tali dati vengono trasferiti gratuitamente., Questo disegno di legge vieta anche siti web di divulgare consapevolmente tutte le informazioni personali raccolte sui bambini.
North Dakota
North Dakota HB 1485, che è attualmente nella Camera dei Rappresentanti dello stato, è il disegno di legge più leggero in questa lista. L’unica clausola significativa di HB 1485 limiterebbe completamente i siti Web dal trasmettere qualsiasi informazione a terzi senza il consenso degli utenti. Non vi è alcun diritto di ottenere informazioni rimosse o cancellate una volta che il consenso è stato concesso.,
US State Privacy Law Comparison
| State | Right to Delete? | Right to Access? | Right to Correct? | Private Right of Private Action? | Broad Definition of PII?,4f”>Revenues over $25 million | In effect : 1/1/2020 | |
| New York | Yes | Yes | Yes | $750/consumer | Yes | All | Pending |
| Maryland | Yes | Yes | No | No., (Solo attraverso AG.,div id=”e783018f4f”>All | Pending | ||
| North Dakota | No | Yes | No | Limited | No | Over $25 million | Pending |
Micro Data Privacy FAQ and Cheat Sheet
The most cocktail-worthy privacy chitchat from this post compressed into four questions!,
D: Gli Stati Uniti hanno un’unica legge sulla privacy dei consumatori in stile GDPR?
A: No. Gli Stati Uniti invece hanno focalizzato verticalmente le leggi federali sulla privacy dei dati per la finanza (GLBA), l’assistenza sanitaria (GLBA), i dati dei bambini (COPPA), così come una nuova ondata di leggi sulla privacy statali con California Consumer Privacy Act (CCPA) che è il più significativo.
Le ragioni di questo mosaico sono radicate nelle decisioni politiche statunitensi per promuovere l’innovazione — “romperla e vedere cosa succede” — nella tecnologia rispetto ad altre considerazioni., Ma nei “nostri laboratori di democrazia”, le leggi statali stanno finalmente raggiungendo la realtà e alla fine scodinzoleranno il cane federale.
D: Quali stati hanno leggi sulla privacy?
A: Pochissimi-tre in totale! Certo, tutti i 50 stati ora hanno una regola di notifica di violazione dei dati che di solito richiede anche una ragionevole sicurezza dei dati. Ma al momento della stesura di questo documento, solo California, Nevada e Maine hanno leggi sulla privacy in vigore. Diversi stati (vedi sopra) hanno leggi sulla privacy che si fanno strada attraverso le legislature., Per un’istantanea attuale dello stato di queste leggi statali proposte, l’Associazione internazionale dei professionisti della privacy (IAPP) sta mantenendo una scorecard aggiornata.
D: Cosa è protetto dalla legge sulla privacy del 1974?
A: Molte persone presumono che quando la legge sulla privacy è stata approvata nel lontano 1970 che protegge i dati dei consumatori negli Stati Uniti. Nulla può essere più lontano dalla verità! Mentre la legge sulla privacy degli Stati Uniti era una legislazione innovativa, che incorpora idee come la minimizzazione dei dati, il diritto di accesso e il diritto di correggere — è limitata ai dati raccolti dal governo degli Stati Uniti dai suoi cittadini., Non ha alcun impatto sull’industria privata o in particolare sui dati raccolti su Internet dalle aziende.
D: Le leggi federali e statali sulla privacy degli Stati Uniti hanno un impatto sulle società straniere?
A: Nella misura in cui le società straniere incorporano filiali negli Stati Uniti, sarebbero soggette a tutte le leggi statunitensi, comprese ovviamente le nostre leggi sulla sicurezza dei dati e sulla privacy. La vera domanda è se gli Stati Uniti hanno un aspetto extraterritoriale alle sue leggi sulla sicurezza e sulla privacy come il GDPR dell’UE che raggiungerebbe le organizzazioni al di fuori dei suoi confini. E la risposta è no.,
Chiusura dei pensieri sulla privacy e il futuro delle leggi sulla privacy dei dati
Con gli stati che si impegnano a innovare in questo settore, è forse solo una questione di tempo prima che venga introdotta una legge federale per creare condizioni di parità.
Nel frattempo, ci sono tre lezioni da trarre dagli esperimenti di stato:
- PII sarà definito per andare oltre gli identificatori ordinari per includere identificatori probabilistici (o quasi-PII) che possono essere utilizzati per identificare indirettamente i consumatori.
- Il diritto di cancellazione diventerà una parte essenziale delle leggi sulla privacy., Se ciò si estenderà a un più ampio “diritto all’oblio” è meno probabile
- Ora c’è una comprensione tra i regolatori che i consumatori vogliono conoscere tutte le informazioni che le aziende hanno su di loro, supportate dal diritto di visualizzare ed eventualmente correggere questi dati.
Dove si trova tutta questa intestazione?, Se dovessi pronosticare, direi che qualcosa di simile agli atti sulla privacy recentemente proposti dal deputato Eschoo o dal senatore Cantwell diventerà la legge della terra.
E vale a dire una futura legge sulla privacy degli Stati Uniti rifletterà alcune delle idee chiave del CCPA. Ma come abbiamo visto in California ci saranno probabilmente esenzioni e ammorbidimento dei requisiti che coinvolgono i diritti alla privacy dei dipendenti, richieste di accesso e cancellazione e, infine, sanzioni e multe.
Incuriosito, preoccupato, o addirittura in preda al panico da ciò che sta arrivando lungo la strada della privacy?, Richiedi una demo delle nostre soluzioni per la privacy e la sicurezza dei dati per scoprire come possiamo aiutarti!
