Il 18 giugno, una nuova stella è emersa nella costellazione americana della privacy dei dati: il Texas ha preso orgogliosamente il suo posto come l’undicesimo stato a difendere i diritti alla privacy dei consumatori promulgando il Texas Data Privacy and Security Act (TDPSA), con l’asciugatura dell’inchiostro su HB 4.
Il TDPSA entrerà in vigore il 1 ° luglio 2024, lo stesso giorno della sua controparte della Florida, la Florida Digital Bill of Rights.
Introduzione al Texas Data Privacy and Security Act
Il TDPSA tutela la privacy e i diritti dei dati personali di oltre 31 milioni di texani. Ma ciò che lo distingue dalle altre legislazioni sulla privacy dei dati a livello statale negli Stati Uniti è il suo linguaggio e la sua applicazione unici.
Mentre la maggior parte delle leggi del suo genere si concentrano su beni o servizi “mirati” ai residenti dello stato, il termine “consumato” del TDPSA potrebbe essere la sua caratteristica più distintiva. Questa particolare scelta di verbosità potrebbe potenzialmente espandere la sua portata alle imprese fuori dallo stato che trattano con i texani, assicurando che aderiscano al TDPSA o escludano in altro modo i residenti del Texas dalla loro clientela se non rispettano le normative equivalenti.
Organizzazioni sotto l'ombrello TDPSA
Qualsiasi azienda che elabora le informazioni personali dei consumatori è influenzata dalla legge. Il Texas definisce un consumatore non solo come qualsiasi residente, ma specificamente come uno che agisce a titolo individuale o familiare, esclusi i contesti commerciali o lavorativi.
Pertanto, è fondamentale per queste organizzazioni informare i propri consumatori sulle varie attività di raccolta ed elaborazione dei dati che perfezionano, il che include la chiarezza sulla natura dei dati raccolti, l’uso previsto e la potenziale condivisione di terze parti.
Il modello di opt-out
Il TDPSA utilizza un modello di opt-out, simile a molti altri stati che hanno introdotto normative complete sulla privacy dei dati. Ciò impone alle aziende di offrire ai consumatori un percorso chiaro per rifiutare la raccolta e l’elaborazione dei dati.
Oltre a questo, sia le aziende che le loro affiliate di terze parti devono applicare ragionevoli misure di sicurezza dei dati e salvaguardie.
Definizioni di base ai sensi del TDPSA
Dati personali: TDPSA segue un approccio convenzionale alla definizione dei dati personali. Comprende qualsiasi informazione, sensibile o meno, che può essere collegata (o è collegabile) a un individuo identificabile.
Sebbene la legge non elenchi esempi specifici, i dettagli tradizionali come nomi, numeri di telefono, indirizzi IP e numeri di previdenza sociale rientrano in questa categoria.
Consenso: Traendo ispirazione dal GDPR dell’Unione Europea, il TDPSA definisce il consenso come un atto chiaro e inequivocabile che indica il consenso volontario di un consumatore al trattamento dei propri dati personali.
Ciò potrebbe avvenire sotto forma di dichiarazioni scritte o altre evidenti azioni affermative. Tuttavia, la legge differisce da molte altre escludendo alcuni casi specifici, come l’accettazione di ampie condizioni d’uso, dal qualificarsi come consenso valido.
Dati sensibili: Questa categoria è riservata alle informazioni personali che, se gestite in modo improprio, potrebbero causare danni significativi. Ciò include dati che rivelano origini razziali o etniche, credenze religiose, diagnosi di salute, sessualità, stato di cittadinanza, dati genetici o biometrici, informazioni su bambini sotto i 13 anni e dati precisi di geolocalizzazione.
Titolare e responsabile del trattamento: Le aziende che dettano le modalità e le finalità del trattamento dei dati personali sono definite “titolari del trattamento”. Nel frattempo, le entità di terze parti che gestiscono i dati per conto di queste aziende sono definite “responsabili del trattamento”.
Vendita: Questo è definito come il trasferimento o la divulgazione di dati personali per guadagni tangibili o altri guadagni di valore. Ci sono diverse esclusioni, tuttavia: come la condivisione dei dati per la fornitura di prodotti / servizi richiesti o come parte di fusioni.
Pubblicità mirata: Si riferisce a annunci pubblicitari curati in base ai dati di un consumatore (raccolti nel tempo su diverse piattaforme), che mirano a prevedere le preferenze dei consumatori.
Esenzioni al TDPSA
Il Texas si allinea con le leggi statunitensi sulla privacy dei dati esistenti fornendo alcune esenzioni, riconoscendo principalmente leggi federali come HIPAA, COPPA e FCRA, per citarne alcuni.
La legge esclude anche i dati relativi a soggetti di ricerca umana, risorse umane, cartelle cliniche e scopi di impiego. Inoltre, entità come agenzie governative statali, istituti di istruzione superiore, compagnie assicurative, istituzioni finanziarie, servizi elettrici e organizzazioni senza scopo di lucro sono tra quelli esentati.
Diritti dei consumatori ai sensi del TDPSA
I consumatori texani possono esercitare diversi diritti ai sensi di questa legge:
Diritto di accesso
Ciò consente ai consumatori di verificare se un responsabile del trattamento sta elaborando i propri dati e di accedervi.
Diritto di rettifica
I consumatori possono rettificare qualsiasi informazione inesatta o obsoleta.
Diritto di cancellazione
I consumatori possono chiedere al responsabile del trattamento di cancellare i propri dati personali, salvo alcune eccezioni.
Diritto alla portabilità
Ciò garantisce che i consumatori possano recuperare i propri dati in un formato utilizzabile.
Diritto alla non discriminazione
I titolari del trattamento non possono discriminare indebitamente i consumatori per far valere i loro diritti.
Diritto di opt-out
Ciò comprende il rifiuto della vendita di dati personali, annunci mirati o processi decisionali significativi basati sulla profilazione.
I genitori o i tutori legali possono anche rappresentare i minori di 13 anni. In particolare, a differenza della legge della California, il TDPSA non concede ai consumatori il diritto di avviare procedimenti legali contro i trasgressori del trattamento dei dati.
Conclusione
Il Texas Data Privacy and Security Act mostra l’impegno del Texas a bilanciare i progressi tecnologici ed economici dell’era digitale con i diritti alla privacy dei suoi cittadini.
Con il suo linguaggio unico e le ampie implicazioni, il TDPSA è una testimonianza del panorama in evoluzione delle leggi sulla privacy dei dati negli Stati Uniti. Mentre il mondo digitale continua ad espandersi, aumenterà anche l’importanza di questi regolamenti nell’offrire un modello per altri stati che considerano misure simili.