L'Oregon Consumer Privacy Act, promulgato tramite il disegno di legge 619 del Senato nel giugno 2023, è entrato in vigore il 1° luglio 2024, con una finestra di applicazione che si aprirà a gennaio 2026. Regolamenta il modo in cui le aziende gestiscono i dati personali dei residenti dell'Oregon e garantisce loro rigorosi diritti alla privacy.
Le principali responsabilità includono:
Riconoscere se si è titolari del trattamento (decide l'utilizzo dei dati) o responsabili del trattamento (agisce per conto di un titolare del trattamento)
Offrire una chiara informativa sulla privacy che copra categorie di dati, finalità, condivisione con terze parti, diritti dei consumatori, informazioni di contatto, profilazione e relative opzioni di opt-out
Raccogliere solo i dati necessari e proteggerli con ragionevoli misure amministrative, tecniche e fisiche
Eseguire valutazioni della protezione dei dati durante il trattamento di dati sensibili, la profilazione, la pubblicità mirata o la vendita di dati personali
Stabilire contratti tra titolari del trattamento e responsabili del trattamento che riflettano gli obblighi dell'OCPA
Businesses should:
Eseguire un audit:
Eseguire un audit completo delle pratiche di raccolta e condivisione dei dati e identificare i dati personali raccolti e i relativi scopi
Aggiorna l'informativa sulla privacy:
Rivedere e aggiornare le politiche sulla privacy e sui cookie con le informative specifiche dell'OCPA
Implementare la gestione del consenso:
Implementare banner di consenso sui cookie e flussi di opt-out per automatizzare l'acquisizione del consenso e la gestione delle preferenze
Garantire i diritti dei consumatori:
Istituire meccanismi per rispondere alle richieste di tutela dei diritti dei consumatori entro 45 giorni
Eseguire valutazioni sulla protezione dei dati:
Tutelare la privacy per quanto riguarda la pubblicità mirata, la vendita di dati, la profilazione o l'elaborazione di dati sensibili.
L'OCPA si applica se, durante un anno solare, la tua azienda elabora i dati personali di 100.000 o più consumatori dell'Oregon (esclusi i dati relativi ai soli pagamenti) o elabora oltre 25.000 consumatori ricavando almeno il 25% dei ricavi dalla vendita dei dati.
Si applica alle entità che svolgono attività in Oregon o che servono i suoi residenti, comprese le organizzazioni non profit, che hanno ricevuto una proroga della scadenza per la conformità, entrata in vigore il 1° luglio 2025.
Le esenzioni includono agenzie governative, istituti finanziari ai sensi del GLBA, entità coperte dall'HIPAA, gruppi educativi e non profit di interesse pubblico (ad esempio, prevenzione delle frodi, associazioni di stampa).
La legge garantisce ai residenti dell'Oregon i seguenti diritti:
I consumatori possono accedere e confermare il trattamento dei dati personali
I consumatori possono richiedere di correggere le inesattezze
I consumatori possono richiedere la cancellazione dei propri dati personali
I consumatori hanno il diritto di trasferire/scaricare/trasmettere le proprie informazioni in un formato utilizzabile
I consumatori possono scegliere di non partecipare alla vendita di dati personali, alla pubblicità mirata e alla profilazione che produce effetti legali/significativi
I consumatori possono scoprire quali terze parti hanno ricevuto i loro dati e confermare se un'entità li sta elaborando
I titolari del trattamento devono rispondere entro 45 giorni, con una possibile proroga di altri 45 giorni, e devono motivare eventuali dinieghi con istruzioni per presentare ricorso. I genitori devono acconsentire al trattamento dei dati dei minori di 13 anni in conformità con il COPPA.
I cookie che facilitano il tracciamento di dati sensibili, la pubblicità mirata o la condivisione di dati rientrano nella normativa OCPA. Le aziende devono:
Informare chiaramente gli utenti tramite banner informativi
Ottenere il consenso esplicito per i cookie non essenziali
Fornire un meccanismo semplice per l'opt-out e la revoca del consenso
Ai sensi dell'OCPA, le aziende devono implementare banner o interfacce di consenso chiari quando i cookie vengono utilizzati per pubblicità mirata, profilazione o condivisione di dati, incluso il consenso ai cookie specificamente progettato per gli abitanti dell'Oregon. Il banner deve informare chiaramente gli utenti sui tipi di cookie utilizzati, consentire l'opt-in o l'opt-out e consentire agli utenti di revocare facilmente il consenso.
Il Procuratore Generale dell'Oregon è responsabile dell'applicazione dell'OCPA. Dopo aver individuato una violazione, può emettere un avviso di 30 giorni per porvi rimedio; dopo il 1° gennaio 2026, le violazioni possono comportare sanzioni civili fino a 7.500 dollari per violazione, oltre alle spese legali. Non è previsto alcun diritto di azione privata: è consentita solo l'applicazione da parte del Procuratore Generale.
Oltre a intraprendere determinate azioni per conformarsi all'OCPA Oregon, le organizzazioni devono anche aderire alle migliori pratiche in materia di privacy dei dati, come:
Revisione contabile:
Eseguire un audit dei dati per identificare tutti i cookie e i tracker sui loro siti web
Classificare:
Categorizza i cookie (ad esempio, necessari, di preferenza, analitici, di marketing)
Implementare la gestione del consenso:
Assicurare che i banner di consenso siano implementati correttamente con scelte granulari, consentire agli utenti di revocare il consenso in qualsiasi momento e mantenere i registri dei consensi
Controllare i contratti di terze parti:
Esaminare le pratiche di condivisione dei dati di terze parti
Una piattaforma di gestione del consenso come CookieHub automatizza i banner dei cookie, i flussi di opt-in/opt-out e i registri del consenso, semplificando notevolmente il rispetto degli obblighi dell'OCPA in materia di banner, consenso e revoca.
Si applica alle entità che svolgono attività commerciali o servono residenti dell'Oregon e che soddisfano le soglie: ≥100.000 consumatori o ≥25.000 + 25% di fatturato derivante dalla vendita di dati.
Tutti i dati che possono essere ragionevolmente collegati a un individuo: nomi, indirizzi e-mail, ID dispositivo, geolocalizzazione, abitudini di navigazione, ecc.
Origine razziale/etnica, religione, salute, dati biometrici/genetici, orientamento sessuale, geolocalizzazione precisa, cittadinanza, stato di vittima di reato, stato transgender e dati dei bambini di età inferiore a 13 anni.
L’applicazione della legge spetta esclusivamente all’ufficio del procuratore generale dell’Oregon.
Enti governativi, entità coperte da HIPAA/GLBA, alcune organizzazioni non profit (prevenzione delle frodi, informazione radiotelevisiva), dati relativi all'occupazione, dati deidentificati disponibili al pubblico.
Per informazioni più dettagliate sulla conformità e l'applicazione dell'OCPA, visitare il sito sulla privacy dei consumatori del Dipartimento di Giustizia dell'Oregon.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
