Ai sensi dell'INCDPA, le aziende devono ottenere un chiaro consenso esplicito prima di trattare dati personali sensibili, inclusi i cookie che raccolgono dati biometrici o di geolocalizzazione precisi. Il consenso deve essere documentato, revocabile e direttamente collegato a specifiche finalità dei cookie. La tua gestione del consenso è allineata alle migliori pratiche?
L'Indiana Consumer Data Protection Act (INCDPA), firmato il 1° maggio 2023 e in vigore dal 1° gennaio 2026, è una legge statale completa sulla privacy, modellata sul VCDPA della Virginia. Stabilisce i diritti dei consumatori in materia di dati e gli obblighi dei titolari/responsabili del trattamento.
Le aziende che si rivolgono ai residenti dell'Indiana devono valutarne l'applicabilità, aggiornare i banner sui cookie, perfezionare i meccanismi di consenso, eseguire DPIA e predisporre informative sulla privacy efficaci, utilizzando strumenti come le piattaforme di gestione del consenso per semplificare la conformità e ridurre i rischi.
Per determinare se l'INCDPA è applicabile, chiediti se svolgi attività in Indiana o se ti rivolgi a residenti dell'Indiana. In tal caso, tratti dati personali di ≥100.000 residenti dell'Indiana ogni anno o di ≥25.000 residenti, generando oltre il 50% dei ricavi dalla vendita dei loro dati?
In caso affermativo, la conformità richiede che tu:
Esaminare le pratiche relative ai dati:
Mappa tutti i dati personali e sensibili raccolti (inclusi i cookie).
Implementare la gestione del consenso:
Esaminare i banner di consenso e gli avvisi sui cookie.
Mettere in atto misure di opt-out:
Garantire opzioni di opt-out per la vendita di dati, la profilazione e la pubblicità mirata.
Fornire la sicurezza dei dati:
Implementare misure di sicurezza dei dati e DPIA per le attività ad alto rischio.
I titolari o i responsabili del trattamento devono conformarsi all'INCDPA se:
Operano in Indiana o si rivolgono ai suoi residenti e
Elaborano dati personali di ≥100.000 residenti/anno oppure
Elaborano ≥25.000 residenti/anno e ricavano >50% dei ricavi dalla vendita di dati personali
Le esenzioni includono:
Enti governativi, organizzazioni non profit, istituti scolastici, servizi di pubblica utilità, entità coperte da GLBA o HIPAA, dati relativi all'occupazione e casinò fluviali che utilizzano il riconoscimento facciale approvato dallo Stato.
I residenti dell'Indiana hanno i seguenti diritti:
I consumatori possono accedere e confermare il trattamento dei dati personali
I consumatori possono richiedere di correggere le inesattezze
I consumatori possono richiedere la cancellazione dei propri dati personali
I consumatori hanno il diritto di trasferire/scaricare/trasmettere le proprie informazioni in un formato utilizzabile
I consumatori possono scegliere di non partecipare alla vendita di dati personali, alla pubblicità mirata e alla profilazione che produce effetti legali/significativi
Le richieste devono essere gestite entro 45 giorni (estendibili a 90 giorni) e il diniego deve consentire l'appello.
I cookie che tracciano dati sensibili o personali (ad esempio, posizione, profilazione dell'utente) richiedono il consenso esplicito dell'utente. Anche i cookie analitici possono essere soggetti a legge se elaborano dati personali di un numero sufficiente di residenti dell'Indiana.
Banner chiari sui cookie, opzioni di opt-out e controlli granulari del consenso sono essenziali.
Le organizzazioni che non rispettano l'INCDPA possono incorrere in sanzioni per inadempienza. Le sanzioni civili, applicate dal Procuratore Generale dell'Indiana, possono raggiungere i 7.500 dollari per violazione.
Per verificare la conformità all'INCDPA, le organizzazioni devono:
Revisione contabile:
Eseguire un audit dei dati per identificare tutti i cookie e i tracker sui loro siti web
Classificare:
Categorizza i cookie (ad esempio, necessari, di preferenza, analitici, di marketing)
Implementare la gestione del consenso:
Assicurare che i banner di consenso siano implementati correttamente con scelte granulari, consentire agli utenti di revocare il consenso in qualsiasi momento e mantenere i registri dei consensi
Controllare i contratti di terze parti:
Esaminare le pratiche di condivisione dei dati di terze parti
Una piattaforma di gestione del consenso come CookieHub centralizza e automatizza la distribuzione dei banner dei cookie, consente l'acquisizione granulare del consenso, fornisce l'applicazione dell'opt-out e consente la registrazione degli audit, semplificando la conformità all'INCDPA per le aziende.
Si applica alle aziende che si rivolgono ai residenti dell'Indiana (o che vi operano) che elaborano ≥100.000 dati personali di consumatori, oppure ≥25.000 i cui ricavi derivanti dai dati superano il 50% del fatturato lordo. Sono previste esclusioni.
Qualsiasi informazione collegata o ragionevolmente collegabile a un individuo identificato o identificabile, come nome, e-mail, indirizzo IP, informazioni sanitarie, comportamento di navigazione.
Include dati che rivelano razza, religione, orientamento sessuale, cittadinanza, salute, dati biometrici, geolocalizzazione precisa e dati noti sui minori. Richiede il consenso esplicito.
Il procuratore generale dell'Indiana, con autorità esclusiva di esecuzione e potere di emettere sanzioni dopo un preavviso di 30 giorni.
Tra le entità esenti rientrano agenzie governative, organizzazioni non profit, scuole, servizi di pubblica utilità, istituzioni regolamentate da GLBA o HIPAA, dati datore di lavoro-dipendente e casinò fluviali che seguono le regole del riconoscimento facciale.
Per ulteriori informazioni, consultare il disegno di legge 5 del Senato dell'Indiana (Codice dell'Indiana §24-15) e il sito web del Procuratore generale dell'Indiana per esempi di notifiche.
Disclaimer: Le informazioni fornite in questa pagina hanno solo scopo di riferimento generale e non intendono costituire consulenza legale o normativa. Le normative sulla privacy dei dati sono complesse e soggette a frequenti aggiornamenti, interpretazioni e variazioni giurisdizionali. Sebbene ci impegniamo a mantenere il materiale accurato e aggiornato, non possiamo garantirne la completezza o l'applicabilità alle vostre circostanze specifiche. Per indicazioni sulla conformità o sugli obblighi legali, si prega di consultare professionisti legali qualificati o le autorità di regolamentazione competenti.
©2025 CookieHub ehf.
