Ai sensi dell'MCDPA, i siti web che si rivolgono ai residenti del Minnesota devono ottenere un consenso esplicito e inequivocabile prima di installare cookie non essenziali, soprattutto quando trattano dati sensibili o profilano individui. La trasparenza e un meccanismo di consenso valido sono obbligatori per la conformità. Sei conforme?
Il Minnesota Consumer Data Privacy Act (MCDPA) è una legge statale sulla privacy dei dati, firmata il 24 maggio 2024, che entrerà in vigore il 31 luglio 2025. Conferisce ai residenti del Minnesota diritti sui propri dati personali e impone obblighi, come trasparenza, inventario dei dati e sicurezza, alle aziende qualificate.
Le aziende dovrebbero effettuare una checklist di conformità:
Aggiorna l'informativa sulla privacy:
Aggiornamento delle informative sulla privacy con le informative specifiche del Minnesota.
Implementare la gestione del consenso:
Implementare banner di consenso sui cookie e flussi di opt-out per ottenere un consenso chiaro e affermativo e gestire i diritti dei consumatori
Trattamento dei dati personali:
Stabilire procedure per la gestione delle richieste degli interessati.
Sicurezza dei dati:
Garantire l'adozione di misure di sicurezza dei dati.
Eseguire valutazioni dei dati:
Eseguire le valutazioni necessarie sull'impatto o sulla protezione della privacy e mantenere un inventario dei dati.
Diverse tipologie di attività devono conformarsi al MCDPA:
Aziende che elaborano annualmente i dati di oltre 100.000 consumatori del Minnesota; oppure
Aziende con oltre 25.000 consumatori del Minnesota e oltre il 25% del fatturato derivante dalla vendita di dati personali
Le esenzioni si applicano alle piccole imprese (secondo la SBA), al governo, alle tribù indiane, ad alcune organizzazioni non profit, alle banche, alle compagnie assicurative, alle entità soggette a HIPAA/GLBA e ai contesti lavorativi.
I consumatori del Minnesota hanno:
I consumatori possono accedere e confermare il trattamento dei dati personali
I consumatori possono richiedere di correggere le inesattezze
I consumatori possono richiedere la cancellazione dei propri dati personali
I consumatori possono contestare i risultati della profilazione e ricevere spiegazioni e possono presentare ricorso contro i rifiuti
I consumatori possono scegliere di non partecipare alla vendita di dati personali, alla pubblicità mirata e alla profilazione che produce effetti legali/significativi
I consumatori possono ottenere un elenco di terze parti specifiche che hanno ricevuto i loro dati
Le aziende devono disporre di processi DSAR e tempi di risposta.
I cookie che raccolgono dati personali degli utenti del Minnesota devono essere resi pubblici in modo chiaro, mentre i cookie non essenziali o di profilazione richiedono il consenso esplicito. I meccanismi di consenso devono integrarsi con i banner dei cookie e i CMP per ottemperare agli obblighi di opt-out e trasparenza.
L'applicazione della legge è affidata al Procuratore Generale del Minnesota. Le aziende hanno diritto a un periodo di 30 giorni (fino al 31 gennaio 2026) per sanare le violazioni, dopodiché possono essere imposte multe fino a 7.500 dollari per violazione. I consumatori non hanno diritto di azione privata.
Le organizzazioni devono garantire l'aderenza alle migliori pratiche in materia di privacy dei dati come parte della loro conformità all'MCDPA Minnesota:
Revisione contabile:
Eseguire un audit dei dati per identificare tutti i cookie e i tracker sui loro siti web
Classificare:
Categorizza i cookie (ad esempio, necessari, di preferenza, analitici, di marketing)
Implementare la gestione del consenso:
Assicurare che i banner di consenso siano implementati correttamente con scelte granulari, consentire agli utenti di revocare il consenso in qualsiasi momento e mantenere i registri dei consensi
Controllare i contratti di terze parti:
Esaminare le pratiche di condivisione dei dati di terze parti
Una piattaforma di gestione del consenso come CookieHub può automatizzare i banner dei cookie, registrare e gestire le adesioni/rinunce, rispettare i meccanismi universali (ad esempio GPC) e garantire che il consenso venga registrato, semplificando gli sforzi di conformità MCDPA.
L'MCDPA riguarda i residenti del Minnesota nelle loro capacità individuali o familiari, non i dati B2B o dei dipendenti, e si applica alle aziende che raggiungono soglie di volume di dati o di fatturato rivolte a tali consumatori.
Qualsiasi informazione collegata o ragionevolmente collegabile a una persona identificabile, esclusi i dati deidentificati o pubblici, come nomi, e-mail, indirizzi IP, geolocalizzazione, ID dispositivo, dati biometrici e altro ancora.
Le categorie sensibili includono l'origine razziale o etnica, le convinzioni religiose, i dati sanitari, l'orientamento sessuale, i dati genetici/biometrici, lo stato di cittadinanza, la geolocalizzazione precisa e i dati personali di bambini conosciuti.
L'unica autorità preposta all'applicazione della legge è il procuratore generale del Minnesota.
Sono previste esenzioni per le piccole imprese (standard SBA), il governo, le tribù riconosciute a livello federale, alcune banche/assicurazioni, organizzazioni non profit che rilevano frodi assicurative, dati regolamentati da HIPAA/GLBA, contesti lavorativi e registri pubblici.
Visitare il sito web dell'ufficio del procuratore generale del Minnesota, esaminare gli statuti HF4757/Minnesota emanati (capitolo 325O).
Disclaimer: Le informazioni fornite in questa pagina hanno solo scopo di riferimento generale e non intendono costituire consulenza legale o normativa. Le normative sulla privacy dei dati sono complesse e soggette a frequenti aggiornamenti, interpretazioni e variazioni giurisdizionali. Sebbene ci impegniamo a mantenere il materiale accurato e aggiornato, non possiamo garantirne la completezza o l'applicabilità alle vostre circostanze specifiche. Per indicazioni sulla conformità o sugli obblighi legali, si prega di consultare professionisti legali qualificati o le autorità di regolamentazione competenti.
©2025 CookieHub ehf.
