Domande frequenti: cos'è il Virginia Consumer Data Protection Act (VCDPA)?

La privacy dei dati continua a essere un argomento sempre più rilevante dei nostri tempi.

Il Virginia Consumer Data Protection Act (Virginia's CDPA o VCDPA) è stato recentemente emanato da entrambe le camere della legislatura della Virginia, imponendo nuove restrizioni sulla raccolta, la divulgazione e l'uso delle informazioni di identificazione personale (PII) dei residenti della Virginia da parte di società non esenti.

Risposte alle domande VCDPA in queste FAQ:

• Quali restrizioni ci sono nel nuovo VCDPA?
• Quali tutele dei consumatori sono fornite dal VCDPA?
• Chi applicherà il VCDPA?
• A chi si applica il VCDPA?
• Quando è entrato in vigore il VCDPA?
• Cosa devono sapere gli editori sulla VCDPA?

Quali restrizioni ci sono nel nuovo VCDPA?

• Che rispettino le richieste specifiche e verificabili dei consumatori della Virginia di divulgare, correggere o cancellare le informazioni personali;
• Che consentano ai consumatori della Virginia di rinunciare al trattamento dei dati personali per scopi specifici (e, inoltre, che i dati sensibili non vengano elaborati senza un inequivocabile opt-in);
• Che le aziende conducano valutazioni sulla protezione delle loro azioni di trattamento dei dati (così come altre azioni di trattamento dei dati personali "che presentano un elevato rischio di danno per i consumatori");
• Che le aziende mantengano e pubblichino informative e informative sulla privacy adeguate (e le rispettino); E
• Che le imprese ei loro responsabili del trattamento includano specifiche clausole legali nei loro contratti di utilizzo.

Al fine di garantire la sicurezza delle informazioni personali dei clienti alla luce del nuovo VCDPA, i responsabili del trattamento dei dati devono ora aderire ad alcune normative aggiuntive, principalmente relative alle valutazioni sulla protezione dei dati, alle richieste dei consumatori e alle notifiche di violazione della sicurezza.

I lettori possono esaminare il testo completo del VCDPA qui .

Alcuni osservatori hanno tracciato parallelismi tra il California Consumer Privacy Act (il CCPA, entrato in vigore nel 2020) — la prima misura significativa sulla privacy dei dati negli Stati Uniti — e il recente VCDPA, che è stato approvato più di due anni e mezzo Dopo. (Si noti che il CCPA stesso è stato modificato e ampliato dal California Privacy Rights Act [CPRA] il 1° gennaio 2023.)

Altri, tuttavia, sostengono che il regolamento generale sulla protezione dei dati (GDPR) dell'UE, molto più robusto, sia più analogo al VCDPA.

Ma il VCDPA è anche distintamente il proprio insieme di misure. Mentre il VCDPA pone alcune restrizioni sul targeting business-to-consumer (B2C), ci sono anche diversi modi per aggirare queste restrizioni.

Inoltre, mentre alcune di queste restrizioni potrebbero avere un effetto sugli sforzi di marketing B2C delle aziende, sembra che prendere di mira un virginiano all'interno di un contesto business-to-business (B2B) o business-to-government (B2G) sia ancora un gioco leale, quindi fintanto che ciò è rilevante per la funzione lavorativa del bersaglio e non viola alcuna legge. Ma se vuoi raggiungere un virginiano mentre lui o lei si rilassa con la sua famiglia (e il telefono) sul divano dopo una lunga giornata, potresti voler ridurre la tua pubblicità mirata.

Quali tutele dei consumatori sono fornite dal VCDPA?

Il VCDPA concede ai consumatori diritti specifici per quanto riguarda i loro dati privati. Queste protezioni ai sensi della legge includono:

1. Il diritto di vedere, accedere e confermare i dati personali
2. Il diritto alla cancellazione dei dati personali
3. Il diritto di correggere le inesattezze nei dati personali
4. Il diritto alla portabilità dei dati (ovvero, accesso semplificato e portatile a tutti i dati personali detenuti da un'azienda)
5. Il diritto di opporsi al trattamento di qualsiasi dato personale per scopi pubblicitari mirati
6. Il diritto di rinunciare alla vendita dei dati personali
7. Il diritto di rinunciare alla profilazione basata sui dati personali
8. Il diritto a non essere discriminato per l'esercizio di uno dei suddetti diritti

Ai sensi del VCDPA, per essere conformi, le aziende devono fornire ai consumatori informazioni sui loro diritti, nonché un meccanismo per esercitare tali diritti. La legge codifica anche vari obblighi in materia di dati personali per le imprese. Quando si tratta di raccogliere e utilizzare dati personali sensibili come dati di geolocalizzazione precisi, dati sui tratti utente protetti e dati genetici o biometrici, ad esempio, le aziende soggette al rispetto della legge devono prima ottenere il consenso.

Il VCDPA è simile al CCPA in quanto il VCDPA impone contratti speciali tra le società e i fornitori di servizi che utilizzano per elaborare i dati per loro conto. Questi contratti devono seguire i requisiti della legge e definire gli obblighi del fornitore di servizi in relazione ai dati personali che trattano.

Inoltre, il VCDPA impone alle aziende di conservare le informazioni personali per non più del periodo richiesto per uno scopo specifico e per non più del periodo necessario per raggiungere lo scopo dichiarato. Questi concetti sono noti rispettivamente come limitazione delle finalità e minimizzazione dei dati.

Il VCDPA impone inoltre alle aziende di adottare e mantenere adeguate politiche di sicurezza dei dati per salvaguardare la privacy, l'integrità e la disponibilità delle informazioni sui clienti.

Le misure di sicurezza dei dati di un'azienda sono probabilmente adeguate se aderiscono allo standard di settore riconosciuto, tenendo conto delle dimensioni e della complessità dell'organizzazione e dei dati personali che gestisce; tuttavia, non è ancora chiaro come verranno implementati tali criteri di ragionevolezza.

Infine, il VCDPA, come il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea, impone alle organizzazioni di eseguire e documentare una valutazione della protezione dei dati prima di elaborare dati sensibili o intraprendere determinate attività con dati personali, come pubblicità mirata, vendita o profilazione.

Chi applicherà il VCDPA?

Il procuratore generale della Virginia sarà responsabile dell'applicazione del VCDPA e, sebbene ci sia un periodo di grazia di 30 giorni per correggere eventuali violazioni, continuare a infrangere la legge oltre questo punto può comportare una sanzione civile fino a $ 7.500 per incidente. È significativo notare che la legge non fornisce ai singoli consumatori un diritto privato di azione legale come fa il CCPA.

Per quanto riguarda quest'ultima avvertenza, per qualificarsi come consumatore ai sensi del VCDPA, un residente in Virginia deve essere una persona fisica "che agisce solo in un contesto individuale o familiare". (Confronta questo con il CCPA, che non limita la sua definizione di "consumatore" a "individui o famiglie".) Il VCDPA chiarisce inoltre che non sono concesse tutele a coloro che "agiscono in un contesto commerciale o lavorativo".

A chi si applica il VCDPA?

Come il CCPA, il VCDPA può essere applicato alle aziende che non hanno sede in Virginia ma che comunque fanno affari nello stato. Questa legge impone che le società che (1) conducano affari in Virginia o commercializzino con i residenti della Virginia; e (2): (a) elaborare o controllare i dati personali di 100.000 o più residenti in Virginia; o (b) elaborare o controllare i dati personali di 25.000 o più residenti in Virginia e ricavare più del 50% delle entrate lorde dalla vendita di dati personali sono soggetti al VCDPA.

Quando è entrato in vigore il VCDPA?

Il VCDPA è entrato in vigore il 1° gennaio 2023, quindi le aziende devono rispettarlo attualmente.

Il 2 marzo 2021, la Virginia è diventata il secondo stato dopo la California ad attuare una legislazione completa sulla privacy dei dati, aggiungendosi a quella che sta diventando una legge nazionale patchwork di normative sulla privacy dei dati. (Anche gli stati del Nevada e del Maine hanno entrambi approvato leggi sulla privacy dei dati, sebbene non siano considerate "complete" come definito dall'Associazione internazionale dei professionisti della privacy [IAPP].)

Cosa devono sapere gli editori sulla VCDPA?

Le aziende dovrebbero valutare le proprie operazioni di trattamento dei dati personali, le misure di sicurezza dei dati, le politiche sulla privacy e i contratti dei fornitori di servizi il prima possibile per proteggersi dall'applicazione della VCDPA. Suggeriamo inoltre di considerare il quadro più ampio quando si tratta di rispondere alle richieste dei consumatori di far valere i diritti previsti dal CCPA o dal VCDPA.

Admiral, una CMP (Consent Management Platform), tiene traccia delle leggi sul consenso alla privacy che hanno un impatto sugli editori online negli Stati Uniti e in tutto il mondo. Si consiglia di leggere il CMP FAQ in caso di domande o dubbi.

Oltre ai mandati normativi, la raccolta del consenso dei visitatori può stabilire un prezioso segmento di visitatori da commercializzare e ha fornito CPM più elevati per alcuni editori.

Presto ci saranno leggi sulla privacy dei dati più severe

L'attenzione del pubblico è stata attirata sulla privacy dei dati poiché le storie di violazioni dei dati, uso improprio dei dati dei clienti e privacy diventano sempre più comuni. Secondo i risultati di un sondaggio Cisco, l'84% degli intervistati ora vuole più voce in capitolo sui propri dati e su come vengono utilizzati.

L'84% degli intervistati ora vuole avere più voce in capitolo sui propri dati e su come vengono utilizzati. - Sondaggio Cisco

Questa è la punta dell'iceberg per le case editrici. Illinois, Maine, Massachusetts, Nevada, New Jersey e Pennsylvania sono solo alcuni degli stati che hanno recentemente adottato leggi sulla protezione dei dati e sulla privacy.

C'è anche uno sforzo in corso per istituire un'agenzia federale per la protezione dei dati e norme nazionali sulla protezione dei dati. In previsione, il Tech Lab dello IAB ha creato la General Privacy Platform, un protocollo di conformità standardizzato. La piattaforma di gestione del consenso di Admiral è conforme al GPP e progettata per la flessibilità tra stati e giurisdizioni.

Conformità con VCDPA, CPRA, CCPA e GDPR

Per gli editori, può essere un incubo cercare di stare al passo con tutta la legislazione sulla privacy e le complessità di GDPR, CCPA, CPRA e VCDPA. Per gestire meglio la privacy e il consenso dei visitatori, molti editori hanno chiesto assistenza ad Admiral.

Admiral è una delle prime CMP a conformarsi alla metodologia dell'Interactive Advertising Bureau (IAB) per la trasmissione di informazioni sull'opt-out ai fornitori a valle, identificando automaticamente le visite al sito dagli indirizzi IP della Virginia e offrendo ai visitatori un'interfaccia utente per l'opt-out vendite di dati.

CMP di Admiral è la soluzione di gestione del consenso alla privacy più conveniente per gli editori di media. Pianifica una demo oggi.