Iubenda logo
Inizia la generazione

La soluzione completa per adeguare siti, app e aziende alle leggi degli Stati Uniti

Le leggi statali introducono nuovi requisiti per il trattamento dei dati personali e, di conseguenza, nuovi oneri legali e tecnici per le aziende. Adeguarsi può essere complicato. Le nostre soluzioni ti evitano di fare congetture in materia di conformità e ti permettono di soddisfare facilmente i requisiti, così tu puoi dedicarti al tuo business.

Scopri di più sui requisiti legali

Genera un avviso per il CCPA

A quali leggi devo adeguarmi?

In generale, le leggi sulla privacy degli Stati Uniti come il CPRA (precedentemente CCPA) e il VCDPA possono applicarsi a te se ti rivolgi a utenti che hanno sede in quegli stati e, allo stesso tempo, se soddisfi uno dei requisiti delineati qui di seguito.

CPRA

Il California Privacy Rights Act (CPRA) riprende i provvedimenti del CCPA, aumenta i diritti dei consumatori e aggiunge nuovi requisiti per le aziende che trattano i dati personali degli utenti della California.
Si applica alle entità giuridiche che svolgono la loro attività commerciale in California, trattano le informazioni personali dei consumatori e soddisfano uno o più di questi requisiti:

  • hanno un fatturato annuo lordo superiore a 25 milioni di dollari
  • ogni anno acquistano, ricevono, vendono o condividono i dati personali di 100.000 o più consumatori o famiglie; oppure
  • almeno il 50% del loro fatturato deriva dalla vendita o condivisione* di informazioni personali.

*Può includere le integrazioni di terza parte presenti sul tuo sito.

Non se devi adeguarti al CPRA?Fai questo quiz di 1 minuto

VCDPA

Il Virginia Consumer Data Protection Act (VCDPA) è diventato legge nel marzo 2021 e la Virgina è il secondo stato degli Stati Uniti, dopo la California, a promulgare una legge sulla privacy completa. Il VCDPA entrerà in vigore il 1 gennaio 2023.

Si applica alle persone che svolgono la loro attività in Virginia o forniscono beni o servizi agli utenti della Virginia e che:

  • controllano o trattano i dati personali di almeno 100.000 consumatori in un anno; o
  • controllano o trattano i dati personali di almeno 25.000 consumatori e generano più del 50% del loro profitto dalla vendita di dati personali.

CPA

Il Colorado Privacy Act (CPA) è pensato per proteggere i diritti alla privacy dei residenti del Colorado disciplinando il modo in cui le aziende raccolgono, trattano e conservano i dati personali.

Si applica ai titolari che operano in Colorado o che si rivolgono intenzionalmente ai residenti del Colorado con prodotti o servizi commerciali e che:

  • controllano o trattano i dati personali di almeno 100.000 consumatori nel corso di un anno civile; o
  • ricavano proventi dalla vendita di dati personali e trattano o controllano i dati personali di almeno 25.000 consumatori.

CTDPA

Il Connecticut Data Privacy Act (CTDPA) impone di fornire ai consumatori informative sulla privacy chiare e significative che includano, tra gli altri requisiti, informazioni sul trattamento dei dati personali, sulle finalità, sui diritti dei consumatori e sulla condivisione con terze parti.

Si applica ai soggetti che operano nel Connecticut oppure che producono prodotti o servizi rivolti ai residenti del Connecticut e che nel corso dell’anno civile precedente:

  1. Hanno controllato o trattato i dati personali di almeno 100.000 consumatori (esclusi i dati personali controllati o trattati esclusivamente per completare un’operazione di pagamento); o
  2. Hanno controllato o trattato i dati personali di almeno 25.000 consumatori e ricavato oltre il 25% dei propri proventi lordi dalla vendita di dati personali.

UCPA

Lo Utah Consumer Privacy Act (UCPA) è una nuova legge sulla privacy dei consumatori dello Utah che entrerà in vigore il 31 dicembre 2023. L'UCPA adotta un approccio alla privacy dei consumatori favorevole alle aziende. L’UCPA mira a fornire uno standard praticabile per le aziende proteggendo al contempo i diritti garantiti dei consumatori dello Utah.

Si applica a qualsiasi organizzazione che:

  1. Opera nello Utah; o
  2. Produce un prodotto o servizio rivolto a consumatori che sono residenti nello Utah;
  3. ha proventi annuali pari ad almeno 25.000.000 dollari; e
  4. Raggiunge una o più delle seguenti soglie:
  5. Nel corso di un anno solare, controlla o tratta i dati personali di almeno 100.000 consumatori; o
  6. Ricava oltre il 50% dei proventi lordi dalla vendita di dati personali e controlla o tratta i dati personali di almeno 25.000 consumatori.

Cronologia delle leggi degli Stati Uniti

Cosa serve per adeguarsi alle leggi degli Stati Uniti?

Dal momento che le legislazioni cambiano da stato a stato, adeguarsi a ogni scenario può essere complicato. Le soluzioni di iubenda applicano gli standard più severi, per aiutarti a essere conforme con il minimo sforzo. Ti basta selezionare Leggi degli Stati Uniti nel generatore per adeguarti alle principali legislazioni negli USA.

CCPA world

Disponi di una privacy policy dettagliata

Requisito USA

Le aziende devono includere informazioni specifiche nelle loro privacy policy. Vanno indicati i diritti dei consumatori, le finalità del trattamento, le terze parti con cui vengono condivise le informazioni degli utenti, le fonti da cui provengono tali dati e altro ancora. Queste informazioni devono essere complete, aggiornate e facilmente accessibili tramite il tuo sito/app.

Le policy non sono valide senza le informazioni necessarie

Per essere conforme, la tua policy deve contenere almeno:

Invalid document icon
  • Includi le categorie di informazioni personali che la tua azienda ha venduto o condiviso con terze parti negli ultimi 12 mesi, l’elenco delle relative terze parti e la tua finalità operativa. Devi indicare anche se non hai venduto o condiviso le informazioni personali degli utenti negli ultimi 12 mesi.
  • Aggiungi un’indicazione circa il fatto o meno che la tua azienda vende o condivide intenzionalmente le informazioni personali di utenti di età inferiore ai 16 anni.
  • Includi le categorie di informazioni personali che la tua azienda ha comunicato (per finalità operative) a terzi negli ultimi 12 mesi, l’elenco delle relative terze parti e le finalità della tua azienda. Dovrai inoltre indicare se non hai diffuso le informazioni personali dei consumatori nei 12 mesi precedenti.
  • Specifica se la tua attività utilizza o comunica informazioni personali sensibili per finalità diverse da quelle specificate dalla legge in questione.
  • Fornisci tutti i link ai portali o ai moduli di richiesta online in modo che i tuoi utenti possano presentare richieste relative alle loro informazioni personali oggetto di raccolta, comunicazione o vendita.

Ecco l'elenco completo delle informazioni che devi includere nella tua privacy policy secondo il CPRA.

  • Includi le categorie di dati personali trattati dalla tua organizzazione.
  • Includi le finalità del trattamento dei dati personali da parte della tua organizzazione.
  • Informa gli utenti su come possono esercitare i loro diritti (leggi sotto), incluso come possono contestare una decisione riguardante le loro richieste. Devi fornire uno o più metodi per permettere agli utenti di presentare una richiesta.
  • Includi le categorie di dati personali che la tua organizzazione condivide con eventuali terze parti.
  • Includi le categorie delle eventuali terze parti con cui la tua organizzazione condivide i dati personali.

Nello specifico, il CPA impone di fornire un’informativa sulla privacy che includa le seguenti informazioni:

  1. Categorie di dati personali raccolti o trattati.
  2. Finalità per le quali sono trattate le categorie di dati personali.
  3. Come e dove i consumatori possono esercitare i loro diritti, comprese le informazioni di contatto e come contestare un’azione del titolare del trattamento in relazione alla richiesta di un consumatore.
  4. Categorie degli dati personali condivisi con eventuali terzi.
  5. Categorie delle eventuali terze parti con cui i dati personali vengono condivisi.

Troverai ulteriori dettagli qui →

La nuova legge sulla privacy del Connecticut impone di fornire ai consumatori un’informativa chiara e significativa che sia ragionevolmente accessibile. Ecco l’elenco di tutto quello che devi includere nella tua privacy policy per rispettare la nuova legge:

  • Categorie di dati personali: La tua privacy policy deve includere l’elenco delle categorie di dati personali che tratti.
  • Finalità del trattamento: La tua privacy policy deve indicare chiaramente le finalità del trattamento dei dati personali, incluso qualsiasi motivo per cui raccogli e utilizzi i dati personali, ad esempio per adempiere a un contratto o fornire un servizio.
  • Diritti dei consumatori: La tua privacy policy deve spiegare in che modo i consumatori possono esercitare i loro diritti previsti dalla legge, incluso in che modo un consumatore può accedere, correggere, eliminare o limitare il trattamento dei propri dati personali. Devi anche includere informazioni su come un consumatore può contestare una decisione relativa a una sua richiesta.
  • Condivisione con terze parti: Se condividi dati personali con terze parti, la tua privacy policy deve specificare le categorie di dati personali che condividi.
  • Categorie di terze parti: La tua privacy policy deve anche specificare le categorie di terze parti con cui condividi i dati personali.
  • Informazioni di contatto: La tua privacy policy deve fornire un indirizzo di posta elettronica attivo o un altro meccanismo online che i consumatori possono utilizzare per contattarti in caso di domande o dubbi sui propri dati personali.
  • Vendita o pubblicità mirata: Se tratti dati personali per finalità di vendita o pubblicità mirata, la tua privacy policy deve indicarlo in modo chiaro e ben visibile. Devi inoltre fornire informazioni sulle modalità con cui i consumatori possono esercitare il loro diritto di eseguire l’opt-out da tale trattamento.

Troverai ulteriori dettagli qui →

Se nel tuo caso si applica lo Utah Consumer Privacy Act (UCPA), devi fornire una privacy policy ragionevolmente accessibile e chiara ai consumatori. La tua privacy policy deve includere quanto segue:

  1. Categorie di dati personali trattati: Identifica i tipi di dati personali raccolti e trattati dalla tua organizzazione, quali nomi, indirizzi e-mail e informazioni di pagamento.
  2. Finalità del trattamento dei dati personali: Descrivi i motivi per cui la tua organizzazione raccoglie e tratta i dati personali, ad esempio per evadere ordini, fornire assistenza ai clienti o migliorare prodotti o servizi.
  3. Diritti dei consumatori: Spiega come i consumatori possono esercitare i loro diritti, come il diritto di accedere e cancellare i propri dati personali. Ricorda che l’UCPA non concede ai consumatori il diritto di chiedere la correzione dei dati personali inesatti.
  4. Condivisione dei dati personali: Indica le categorie di dati personali che la tua organizzazione condivide con eventuali terze parti. Ad esempio, puoi condividere informazioni di pagamento con un processore di pagamento o indirizzi postali con un fornitore di servizi di spedizione.
  5. Terze parti: Identifica le categorie delle eventuali terze parti con cui la tua organizzazione condivide i dati personali, ad esempio vendor, fornitori di servizi o partner di marketing.

Troverai ulteriori dettagli qui →

Soluzione
Privacy and Cookie Policy icon

Generatore di Privacy e Cookie Policy

Crea la tua privacy e cookie policy in pochi minuti.

Personalizzabile grazie a oltre 2000 clausole in 14 lingue, aggiornate automaticamente se la legge cambia. Il nostro generatore ti permette di redigere un documento in pochi minuti e di integrarlo perfettamente sul tuo sito o la tua app.
Scopri di più

Mostra un avviso e consenti l'opt-out

Desktop cookie banner icon

Il CPRA (modifica del CCPA) richiede di mostrare un’informativa prima o durante l'atto di raccolta che spieghi agli utenti quali categorie di dati personali saranno raccolti e per quali finalità. Inoltre, i consumatori devono avere la possibilità di eseguire l’opt-out da questo trattamento. In quanto azienda, hai quindi il dovere di informare i consumatori di questa opzione e di fornire i mezzi concreti per eseguire l’opt-out.

In particolare, devi:

  • Rilevare se un consumatore si trova o meno in California e se ha visitato o meno il tuo sito web in precedenza
  • Facilitare le richieste di opt-out tramite un link con la dicitura “Non vendere i miei dati personali” (“DNSMPI”)
  • Invitare le terze parti interessate a cessare il trattamento dei dati del consumatore quando viene ricevuta una richiesta di opt-out.
  • Mostrare al consumatore un'informativa contenente le informazioni necessarie alla prima visita del sito

Tieni presente che il VCDPA non prevede obblighi circa la presenza di link di opt-out che consentano agli utenti di eseguire l’opt-out dal trattamento dei dati personali per determinate finalità.

Infatti, le disposizioni del VCDPA trattano i diritti di opt-out degli utenti allo stregua di qualsiasi altro diritto degli utenti previsto da questa legge.

La tua azienda deve far fronte alle richieste degli utenti come segue:

  • Devi far fronte alla richiesta entro 45 giorni. Puoi prorogare il periodo di risposta una sola volta di altri 45 giorni laddove ragionevolmente necessario, purché informi l’utente di questa proroga e del suo motivo durante il periodo di risposta iniziale di 45 giorni;
  • Se ti rifiuti di adempiere alla richiesta di un utente, devi informare quest’ultimo del rifiuto entro 45 giorni, specificando il motivo del rifiuto e le istruzioni su come contestare la decisione;
  • Se non sei in grado di verificare la richiesta tramite sforzi commerciali ragionevoli, non devi far fronte alla richiesta e puoi richiede maggiori informazioni, purché congrue e necessarie per identificare l’utente e la sua richiesta.

Tieni presente che il CPA non prevede obblighi circa la presenza di link di opt-out che consentano ai consumatori di eseguire l’opt-out dal trattamento dei dati personali per determinate finalità. Tuttavia, se stai trattando dati personali a fini di vendita o di pubblicità mirata, devi fornire ai consumatori un metodo chiaro e ben visibile per esercitare il loro diritto di opt-out.

Questo metodo deve essere descritto in modo chiaro e ben visibile nell'informativa sulla privacy e deve essere facilmente accessibile al di fuori dell'informativa sulla privacy.

Devi inoltre consentire ai consumatori di eseguire l’opt-out dal trattamento dei propri dati personali a fini di pubblicità mirata o di vendita attraverso un segnale di preferenza relativo all'opt-out inviato tramite una piattaforma, una tecnologia o un meccanismo, con il consenso del consumatore.
Questo meccanismo:

  • non deve sfavorire in modo sleale gli altri titolari,
  • richiede una scelta positiva e inequivocabile da parte del consumatore,
  • deve essere facile da usare,
  • deve essere il più coerente possibile con altri meccanismi analoghi richiesti da leggi o normative federali o statali, e
  • deve consentire al titolare di determinare se il consumatore è residente nel Connecticut e se ha presentato una richiesta di opt-out legittima.

Secondo lo Utah Consumer Privacy Act (UCPA), i consumatori hanno il diritto di eseguire l’opt-out dal trattamento dei propri propri personali per finalità di pubblicità mirata o di vendita dei loro dati personali a terzi. Tuttavia, la legge non contiene indicazioni specifiche sulle modalità con cui si deve consentire ai consumatori di esercitare questo diritto.

Per rispettare l'UCPA, devi:

  • fornire ai consumatori un mezzo per presentare le richieste di opt-out; e
  • specificare il diritto che intendono esercitare.

Va notato che l’UCPA prevede i link di opt-out esclusivamente in relazione al diritto dei consumatori di eseguire l’opt-out dal trattamento dei dati sensibili.

Soluzione
Cookie solution icon

Privacy Controls and Cookie Solution per il CCPA

Avvisa i tuoi utenti e gestisci le richieste di opt-out. Compatibile con il CCPA Compliance Framework di IAB.

La nostra soluzione ti permette di:

Display banner icon

Mostrare un avviso di raccolta dati per informare gli utenti

Profiling cookie icon

Mostrare un link "Non vendere le mie informazioni personali" (DNSMPI) all'interno dell'avviso e in altre parti del sito/app, agevolando così l'opt-out

Detect location icon

Rilevare la posizione e applicare automaticamente gli standard corretti, anche quando sono più di uno. Quando richiesto, la nostra soluzione ti permette di applicare agli stessi utenti sia gli standard CPRA (precedentemente CCPA) che gli standard GDPR

Opt out icon

Salvare e passare automaticamente le preferenze degli utenti (tra cui l'opt-out) ai fornitori di servizi pubblicitari che supportano lo IAB CCPA Compliance Framework (come Google e AdRoll)

Opt out preferences icon

Privacy Controls and Cookie Solution di iubenda supporta le preferenze di opt-out signal come GPC e GPP come richiesto dal CPRA

Scopri di più
Pointed world icon

Mantieni un registro aggiornato per l'opt-out manuale

Requisito USA

Come indicato in precedenza, in modo simile al CPRA (precedentemente CCPA), molte di queste leggi conferiscono ai consumatori il diritto di opporsi. Qualora il trattamento sia in qualche modo manuale (cioè, non connesso a degli script, come nel caso del direct email marketing), le aziende potrebbero dover soddisfare manualmente le richieste di opt-out.

Inoltre, leggi come il CPRA prevedono che gli utenti non possano essere contattati per i 12 mesi successivi la richiesta. Per questo motivo è consigliabile tenere un registro comprensivo di dettagli dell'opt-out quali utente, data e fornitori da notificare in caso di richiesta.

Soluzione
Consent Solution icon

Consent Database

Il nostro Consent Database si integra con i tuoi form per permetterti di passare via API le preferenze dei consumatori (tra cui l'opt-out) ad un'intuitiva dashboard. Puoi registrare tutti i dettagli rilevanti, inclusi data e ora dell'opt-out, la versione della privacy policy mostrata all'utente al momento della richiesta, user ID, e-mail e persino l'indirizzo IP, così da ottenere una richiesta verificabile.
Scopri di più
Internal Privacy Management icon

Registro delle attività di trattamento dei dati

Il Registro delle attività di trattamento dei dati consente di registrare accuratamente i dati necessari per soddisfare le richieste dei consumatori.

La nostra soluzione archivia:

  • i dettagli relativi alla sicurezza, come ad esempio quali membri della tua organizzazione hanno accesso ai dati degli utenti;
  • gli eventuali fornitori che trattano dati personali a tuo nome;
  • le finalità del trattamento aggiunte manualmente;
  • i metodi di raccolta dati e altro ancora.
Scopri di più

Sanzioni e provvedimenti per il mancato adeguamento

California icon

Sanzione civile di
2500$ per violazione o;
7500$ per violazione, se la violazione è intenzionale o riguarda le informazioni personali di un minore.

Virginia icon

Sanzione civile fino a 7500$ per ogni violazione.

Se queste sanzioni non sembrano particolarmente elevate a confronto con quelle previste da altre normative, tieni presente che vanno intese per singola violazione e per consumatore. Possono quindi arrivare a costituire una somma considerevole anche per un’azienda con pochi clienti.

Quali sono i requisiti principali per i proprietari di siti web e app?

Display banner icon

Condivisione e profilazione

Se ti rivolgi a utenti negli Stati Uniti, è possibile che tu debba adeguarti a leggi come il CPRA e il VCDPA per quanto riguarda la profilazione o la condivisione delle informazioni degli utenti. Quindi devi informare gli utenti che stai trattando i loro dati per queste finalità e dare loro la possibilità di opporsi alla condivisione (opt-out).

Store consent proof icon

Registro dei consensi

In alcune regioni, come l’Europa e il Brasile, è richiesto tenere delle prove di consenso (anche note come registro dei consensi). Spesso, senza questo registro, i consensi che raccogli potrebbero non essere considerati validi e potresti violare la legge.

Cross-region icon

Requisiti per più regioni

Se ti rivolgi a utenti di varie regioni (come Europa e Stati Uniti), è possibile che tu debba adeguarti a più leggi sulla privacy contemporaneamente, come quella della California [CPRA] o il GDPR europeo. Quindi, nei tuoi documenti legali, devi predisporre clausole specifiche per ogni regione e molto altro.

Scelto da oltre 100.000 clienti in più di 100 Paesi

Armani hotel Milano logo
Milano Malpensa logo
Mondadori logo
Mediaset logo
ITA Airways logo
La Republica logo
Ansa logo
Last Minute logo
Tiscali logo
Boggi logo
Italiaonline logo
Maxmara logo
Il Messaggero logo
Museo Uffizi logo
Costa Crociere logo
Libero logo
Virgilio logo
Pagine Gialle logo
Pagine Bianche logo
Unicef logo
3BMeteo logo
Kiko logo
Quattroruote logo
The Spectator logo
Ustwo logo
Capterra rating

“Se, come me, fai parte di un team smart e non sopporti aggiornare la tua privacy policy ogni volta che aggiungi del codice al tuo sito, allora iubenda fa per te. È incredibilmente conveniente e super facile da utilizzare.”

Genera un avviso per il CCPA

PROVA PRIMA DI ACQUISTARE o UTILIZZA LA VERSIONE GRATUITA

2882733 documenti già generati

FAQ

Come preparasi per il CPRA?

Il CPRA diventa legge il 1 gennnaio 2023, ed entra pienamente in vigore il 1 luglio 2023.

Come sempre, noi di iubenda teniamo d’occhio gli ultimi aggiornamenti e ci assicuriamo che tutti i nostri documenti e prodotti siano in linea, per aiutarti a essere conforme.

Se ti stai già adeguando al CCPA, potrebbe essere una buona idea iniziare a rivedere i procedimenti in atto e prendere nota di alcune cose.

Scopri di più sul CCPA 2.0
e cosa devi fare per adeguarti

Cosa devi fare per prepararti al VCDPA

Il Virginia’s Data Protection Act (VCDPA) si aggiunge alle leggi sulla privacy deli Stati Uniti.

Il VCDPA entra in vigore il 1 gennaio 2023.

Se la tua organizzazione rientra nel campo di applicazione del VCDPA, devi iniziare a valutar delle soluzioni affidabili e a prova di avvocato.

Se ancora non ne hai una, inizia a configurare tutto oggi, e noi ti informeremo quando le clausole saranno disponibili!

Scopri di più sul Virginia’s
Data Protection Act (VCDPA)

Tutti i nostri prodotti sono conformi al livello AAA delle WCAG

Level AAA conformance, W3C WAI Web Content Accessibility Guidelines 2.1

Soluzioni a 360° per adeguare i tuoi siti web e le tue app alle normative

Compliance per siti web e app

Privacy and Cookie Policy icon

Generatore di Privacy e Cookie Policy

Crea la tua privacy e cookie policy in pochi minuti.

Personalizzabile grazie a oltre 2000 clausole in 14 lingue, aggiornate automaticamente se la legge cambia. Il nostro generatore ti permette di redigere un documento in pochi minuti e di integrarlo perfettamente sul tuo sito o la tua app.

Scopri di più
Cookie Solution icon

Privacy Controls and Cookie Solution

Gestisci le preferenze di consenso come richiesto dalla Direttiva ePrivacy, dal GDPR, dal CPRA (modifica al CCPA) e dalla LGPD. Integrazione con il TCF di IAB e il CCPA Compliance Framework.

La nostra soluzione ti permette di mostrare un cookie banner/banner di consenso completamente personalizzabile, raccogliere il consenso ai cookie, implementare il blocco preventivo (incluso il blocco automatico), impostare le preferenze pubblicitarie e altro ancora.

Scopri di più

Compliance per la tua organizzazione

Consent Solution icon

Consent Database

Adegua i tuoi form al GDPR, al CCPA e alla LGPD: raccogli una prova del consenso e documenta opt-in e opt-out.

La nostra soluzione si integra perfettamente con i tuoi moduli di raccolta dati, si sincronizza con i tuoi documenti legali e include un'intuitiva dashboard che ti permette di recuperare i consensi in qualsiasi momento.

Scopri di più
Internal Privacy Management icon

Registro delle attività di trattamento dei dati

Documenta le attività di trattamento dati all'interno della tua organizzazione.

Per adeguarsi alle leggi sulla privacy, in particolare il GDPR, le aziende devono mantenere un registro delle modalità di archiviazione e utilizzo dei dati dei propri utenti. La nostra soluzione ti permette di documentare facilmente tutte le attività di trattamento all'interno della tua organizzazione.

Scopri di più