Ai sensi del CTDPA, le aziende devono ottenere un consenso esplicito e informato prima di installare cookie o altre tecnologie di tracciamento che raccolgono dati personali o sensibili dai residenti del Connecticut. Avete a disposizione gli strumenti di gestione del consenso adeguati per ottemperare a questa normativa?
Il Connecticut Data Privacy Act (CTDPA) è entrato in vigore il 1° luglio 2023. Garantisce ai residenti del Connecticut diritti e tutele fondamentali in materia di dati e impone obblighi alle aziende e ai fornitori di servizi che trattano i dati personali dei residenti del Connecticut.
I titolari/responsabili del trattamento che soddisfano soglie quantitative o che gestiscono dati sanitari dei consumatori (nessuna soglia si applica ai titolari di CHD) sono interessati dal CTDPA.
Le aziende dovrebbero valutare se superano le soglie stabilite (elaborazione di dati di ≥100.000 residenti del Connecticut o ≥25.000 con oltre il 25% di fatturato derivante dalla vendita di dati) e se gestiscono dati sanitari dei consumatori (CHD). In tal caso, assicurarsi di:
Aggiorna l'informativa sulla privacy:
Aggiornamento delle informative sulla privacy con informative specifiche del Delaware
Implementare la gestione del consenso:
Implementare banner di consenso sui cookie e abilitare i diritti dei consumatori
Effettuare valutazioni:
Preparare valutazioni del rischio e della protezione dei dati
Supporto opt-in e out:
Utilizzare l'opt-in per i dati sensibili e integrare il supporto di opt-out globale (ad esempio, GPC)
Implementare gli accordi con i responsabili del trattamento:
Avere accordi in atto per far rispettare gli standard CTDPA
La conformità al CTDPA è obbligatoria per qualsiasi organizzazione che:
Le entità esenti includono:
Amministrazioni statali/locali
Istituzioni senza scopo di lucro e di istruzione superiore
Istituzioni finanziarie coperte dal GLBA
Entità coperte dall'HIPAA
Associazioni nazionali di titoli
I residenti del Connecticut possono esercitare i seguenti diritti:
I consumatori possono accedere ai dati personali, comprese le inferenze derivate dalla profilazione
I consumatori possono richiedere di correggere le inesattezze
I consumatori possono richiedere la cancellazione dei propri dati personali
I consumatori hanno il diritto di scaricare/trasmettere le proprie informazioni
I consumatori possono scegliere di non accettare la vendita di dati personali, la pubblicità mirata e la profilazione che produce effetti legali/significativi
I banner sui cookie e gli strumenti di consenso devono spiegare quali dati vengono raccolti, perché e come vengono utilizzati, e consentire agli utenti di accettare o rifiutare il tracciamento.
I cookie che elaborano dati personali o sensibili (ad esempio, ID dispositivo, dati biometrici, tracciamento relativo alla salute) richiedono un consenso esplicito. Le informative sui cookie devono specificare lo scopo, le tipologie di cookie e fornire semplici opzioni di accettazione/rifiuto. Le aziende devono registrare il consenso e supportare meccanismi di "Non vendere".
La mancata conformità comporterà sanzioni pecuniarie. Fino al 31 dicembre 2024, il CTDPA prevedeva un periodo di 60 giorni per sanare le violazioni dopo la notifica all'AG, durante il quale era necessario intervenire per evitare sanzioni. Dal 1° gennaio 2025, il periodo di sanatoria predefinito è stato eliminato. L'AG del Connecticut è autorizzata a stabilire fino a 5.000 USD per violazione intenzionale, inclusi risarcimento danni e provvedimenti ingiuntivi.
Per verificare la propria conformità al CTDPA, le organizzazioni devono:
Revisione contabile:
Eseguire un audit dei dati per identificare tutti i cookie e i tracker sui loro siti web
Classificare:
Categorizza i cookie (ad esempio, necessari, di preferenza, analitici, di marketing)
Implementare la gestione del consenso:
Assicurare che i banner di consenso siano implementati correttamente con scelte granulari, consentire agli utenti di revocare il consenso in qualsiasi momento e mantenere i registri dei consensi
Controllare i contratti di terze parti:
Esaminare le pratiche di condivisione dei dati di terze parti
Si applica ai titolari/responsabili del trattamento che operano nel Connecticut o che si rivolgono ai suoi residenti che elaborano annualmente ≥100.000 dati di consumatori, oppure ≥25.000 con >25% di ricavi derivanti dalla vendita di dati, oltre a qualsiasi titolare del trattamento dei dati sanitari dei consumatori.
Qualsiasi informazione collegata a un individuo identificabile (ad esempio nome, indirizzo, documenti d'identità, credenziali di accesso), escluse le informazioni pubbliche.
Sottoinsieme di dati personali, tra cui origine razziale/etnica, religione, condizioni di salute, orientamento sessuale, dati biometrici/genetici e dati sanitari del consumatore: il trattamento richiede il consenso esplicito.
Il Procuratore generale del Connecticut è responsabile dell'applicazione del CTDPA; l'applicazione comprende avvisi, multe, ingiunzioni e restituzioni.
Tra le entità esenti figurano enti governativi, organizzazioni non profit, istituti finanziari regolamentati dal GLBA, entità regolamentate dall'HIPAA e associazioni nazionali di titoli.
Per una guida ufficiale, visita la pagina CTDPA del Procuratore generale del Connecticut.
Disclaimer: Le informazioni fornite in questa pagina hanno solo scopo di riferimento generale e non intendono costituire consulenza legale o normativa. Le normative sulla privacy dei dati sono complesse e soggette a frequenti aggiornamenti, interpretazioni e variazioni giurisdizionali. Sebbene ci impegniamo a mantenere il materiale accurato e aggiornato, non possiamo garantirne la completezza o l'applicabilità alle vostre circostanze specifiche. Per indicazioni sulla conformità o sugli obblighi legali, si prega di consultare professionisti legali qualificati o le autorità di regolamentazione competenti.
©2025 CookieHub ehf.
