Domande frequenti su Virginia Consumer Data Protection Act (VCDPA)

1. Il Virginia Consumer Data Protection Act (VCDPA) è una legge completa sulla privacy nel Stati Uniti e verrà applicata dal Virginia Attorney General (AG) a partire dal 1° gennaio 2023. Il procuratore generale può richiedere "danni fino a 7.500 dollari per ogni violazione".
2. Il VCDPA offre una varietà di diritti sulla privacy ai consumatori della Virginia. Le aziende regolamentate dal VCDPA avranno molti obblighi nei confronti di tali consumatori, tra cui la fornitura di informazioni, la risposta in modo analogo alle richieste dell'interessato (DSR) del Regolamento generale sulla protezione dei dati (GDPR) e il rispetto di determinati obblighi di trattamento dei dati (ad esempio, riduzione al minimo dei dati, procedure di sicurezza dei dati ragionevoli).
3. Anche se le aziende con forti programmi di conformità gdpr possono godere di un vantaggio sulla conformità VCDPA, ci sono differenze chiave tra il GDPR e VCDPA che sono importanti da considerare. La conformità non può verificarsi da un giorno all'altro; ci vuole tempo per comprendere le complessità normative del VCDPA e implementare strumenti e meccanismi interni per garantire che i data estate siano pronti per la conformità VCDPA.
4. Come descritto in dettaglio nella sezione Domande frequenti complete, Microsoft fornisce prodotti e servizi per aiutare i clienti a raggiungere la conformità VCDPA e fornire determinati strumenti elementali per aiutare i clienti a stabilire, implementare e mantenere "procedure di sicurezza dei dati amministrative, tecniche e fisiche ragionevoli per proteggere la riservatezza, l'integrità e l'accessibilità dei dati personali", come richiesto dal VCDPA.

Il VCDPA si applicherà a società a scopo di lucro che controllano o elaborano i dati personali dei residenti della Virginia su larga scala.

Più in particolare, il VCDPA si applica alle organizzazioni "che svolgono attività nel commonwealth della Virginia o producono prodotti o servizi destinati ai residenti del Commonwealth" e, durante l'anno civile, controllano o elaborano dati personali di almeno 100.000 residenti della Virginia o (2) derivano oltre il 50% dei ricavi lordi dalla vendita di dati personali (il VCDPA non chiarisce se la soglia di entrate si applica solo ai residenti della Virginia) e controllare o elaborare i dati personali di almeno 25.000 residenti in Virginia.

Come nota, anche se il VCDPA non definisce "condurre affari in Virginia", un'azienda regolamentata può presumere che il VCDPA si applicherà ad esso se vi è un'attività economica che attiva la responsabilità fiscale o la giurisdizione personale in Virginia.

No. Come descritto in Sono presenti altri termini di elaborazione dati che devono essere applicati? sezione, le condizioni del componente aggiuntivo per la protezione dei dati di Prodotti e servizi Microsoft soddisferanno i requisiti del VCDPA.

Molti dei diritti del VCDPA ai consumatori della Virginia sono simili ai diritti forniti dal GDPR, inclusi i diritti dei consumatori come i diritti di accesso, eliminazione e portabilità dei dati personali. Di conseguenza, un'azienda regolamentata può esaminare le soluzioni GDPR esistenti per aiutarli a svolgere le proprie attività di conformità VCDPA.

A seconda delle circostanze specifiche dell'azienda e della posizione in cui si sta sviluppando il programma di privacy VCDPA, è possibile concentrarsi sui cinque passaggi principali seguenti per iniziare il percorso VCDPA:

• Scopri: identificare i dati personali dell'azienda e la posizione in cui risiede.
• Mappa: determinare in che modo l'azienda condivide i dati personali con terze parti.
• Gestisci: consente di gestire l'uso e l'accesso ai dati personali.
• Protezione: stabilire controlli di sicurezza per prevenire, rilevare e risolvere vulnerabilità e violazioni dei dati.
• Documento: documentare un programma di risposta alla violazione dei dati.

Microsoft Purview Compliance Manager è inoltre una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Il modello per realizzare la valutazione è disponibile nella pagina dei modelli di valutazioni di Compliance Manager. Per altre informazioni, vedere l'articolo sulle valutazioni della compilazione in Compliance Manager .

È necessario comprendere quali sono gli obblighi specifici dell'organizzazione ai sensi di VCDPA e come soddisfarli, anche se Microsoft è qui per aiutarti nel tuo percorso.

Il VCDPA è stato firmato in legge il 2 marzo 2021. Tuttavia, l'applicazione da parte del Procuratore Generale della Virginia (AG) non inizierà fino al 1° gennaio 2023.

Alcune organizzazioni sono esentate dal VCDPA, tra cui:

• Agenzie statali della Virginia
• Istituzioni finanziarie soggette al Gramm-Leach-Bliley Act
• Entità coperte o associati aziendali disciplinati dalle regole di notifica di privacy, sicurezza e violazione stabilite ai sensi del Health Insurance Portability and Accountability Act
• Organizzazioni senza scopo di lucro; istituti di istruzione superiore.

Il VCDPA fornisce anche protezioni contro la discriminazione se/quando i consumatori scelgono di esercitare i propri diritti e dà ai consumatori la possibilità di rifiutare esplicitamente la vendita dei propri dati personali, pubblicità mirata e determinate profilature. Per altre informazioni su come utilizzare prodotti, servizi e strumenti amministrativi Microsoft per trovare e "agire" sui dati personali, vedere Richieste degli interessati e GDPR e CCPA.

Il VCDPA richiede alle aziende regolamentate di rispondere alle richieste di esercizio dei diritti dei consumatori entro 45 giorni e questo periodo può essere esteso per altri 45 giorni se viene fornito un avviso al consumatore richiedente che spiega il motivo di tale ritardo. Il VCDPA offre inoltre ai consumatori il diritto di presentare ricorso contro il rifiuto di tale richiesta da parte di un'azienda attraverso un processo di ricorso fornito dall'azienda che deve essere "vistosamente disponibile". Un'azienda deve rispondere per iscritto a un ricorso entro 60 giorni; se il ricorso viene negato, l'azienda deve fornire al consumatore un "meccanismo online (se disponibile) o un altro metodo" attraverso il quale un consumatore può presentare un reclamo al gruppo di disponibilità.

Gli obblighi aziendali ai sensi del VCDPA includono:

• Minimizzazione dei dati: limitare la raccolta dei dati personali a ciò che è adeguato, pertinente e ragionevolmente necessario (ad esempio, le finalità specificate ed esplicite per il trattamento).
• Limitazione dello scopo: elaborare i dati personali solo per scopi ragionevolmente necessari o compatibili con le finalità divulgate al consumatore (ad esempio, in un'informativa sulla privacy).
• Controlli di sicurezza: stabilire, implementare e mantenere "procedure di sicurezza dei dati amministrative, tecniche e fisiche ragionevoli" per proteggere i dati personali dei consumatori.
• Non discriminazione: non elaborare i dati personali in modo da violare le leggi antidiscriminazione statali o federali. Inoltre, alle aziende è vietato discriminare un consumatore per l'esercizio dei propri diritti ai sensi del VCDPA (con alcune eccezioni, tra cui per i programmi fedeltà).
• Consenso: ottenere il consenso esplicito dei consumatori quando l'azienda (1) elabora dati sensibili o (2) si discosta dalle finalità del trattamento dei dati divulgate al consumatore (ad esempio, all'interno dell'informativa sulla privacy dell'azienda).

"Dati personali" è definito come qualsiasi informazione collegata o ragionevolmente collegabile a una persona fisica identificata o identificabile, ma non include dati non identificati o informazioni disponibili pubblicamente. La definizione di "dati personali" del VCDPA è approssimativamente allineata ai "dati personali" in base al GDPR.

"Dati sensibili" è una categoria di "dati personali" che include quanto segue:

• Dati personali che rivelano l'origine razziale o etnica, le credenze religiose, la diagnosi di salute mentale o fisica, l'orientamento sessuale, la cittadinanza o lo stato di immigrazione;
• Il trattamento di dati genetici o biometrici ai fini dell'identificazione univoca di una persona fisica;
• I dati personali raccolti da un bambino noto; O
• Dati di georilevazione precisi.

Come accennato in precedenza, il VCDPA richiede il "consenso" del consumatore prima di elaborare i dati in determinate circostanze, anche prima di elaborare i dati sensibili di un utente. Il "consenso" è definito come un "chiaro atto affermativo che indica l'accordo libero, specifico, informato e non ambiguo del consumatore per elaborare i dati personali relativi al cliente" e potrebbe includere "un'informativa scritta, inclusa una dichiarazione scritta con mezzi elettronici, o qualsiasi altra azione affermativa non ambigua".

Le informazioni seguenti devono essere incluse in un'informativa sulla privacy ragionevolmente accessibile e chiara:

• Le categorie di dati personali trattati;
• Lo scopo del trattamento dei dati personali;
• In che modo i consumatori possono esercitare i propri diritti in relazione ai propri dati personali (ad esempio, il diritto di correggere le informazioni personali);
• Le categorie di dati personali condivisi con terze parti (se presenti);
• Le categorie di terze parti con cui un'azienda regolamentata condivide i dati personali (se presenti).
• Il fatto che i dati personali vengano venduti a terze parti o trattati per pubblicità mirata e come rifiutare esplicitamente (questa informativa è necessaria solo se un titolare del trattamento vende o elabora i dati per la pubblicità mirata); E
• In che modo i consumatori possono presentare ricorso contro una decisione di richiesta di diritti presa dall'azienda.

La "vendita di dati personali" è definita come "lo scambio di dati personali per la considerazione monetaria" da parte di un'azienda a una terza parte. Il VCDPA offre ai consumatori il diritto di "rifiutare esplicitamente" la vendita dei propri dati personali.

Come nota, il VCDPA afferma che un'azienda regolamentata non deve rispettare le richieste di vendita "opt-out" nelle seguenti divulgazioni:

• (i) a un responsabile del trattamento (ad esempio un'entità che elabora i dati personali per conto dell'azienda),
• (ii) a terzi ai fini della fornitura di un prodotto o di un servizio richiesto da un consumatore,
• (iii) a un affiliato,
• (iv) di informazioni che un consumatore ha intenzionalmente messo a disposizione del pubblico attraverso un canale multimediale di massa e non ha limitato tali informazioni a un pubblico specifico, e
• (v) nell'ambito di una fusione, acquisizione, ecc., in cui una terza parte assume il controllo di tutto o parte del patrimonio dell'azienda.

Un DPA è una valutazione che identifica e valuta i vantaggi rispetto ai potenziali rischi per i consumatori derivanti da un determinato trattamento dei dati personali. In VCDPA, un DPA deve essere condotto per le seguenti attività: la vendita di dati personali, quando si elaborano dati personali sensibili, quando si elaborano dati personali per la pubblicità mirata, quando si elaborano dati personali per determinati scopi di profilatura e casi in cui il trattamento presenta un rischio maggiore di danni ai consumatori. Per informazioni su come usare prodotti, servizi e strumenti amministrativi Microsoft per condurre un DPA, vedere Valutazione dell'impatto sulla protezione dei dati per il GDPR.

Il VCDPA richiede che un titolare del trattamento (ad esempio, l'entità che determina lo scopo e i mezzi di trattamento dei dati personali) e un responsabile del trattamento dei dati (ad esempio, un'entità che elabora i dati personali per conto del titolare del trattamento) stipulano un contratto che include determinate condizioni di trattamento dei dati. Le condizioni del presente contratto devono includere alcune disposizioni, ad esempio: istruzioni per il trattamento dei dati, tipi di dati soggetti al trattamento, natura e scopo del trattamento, durata del trattamento e diritti e obblighi di entrambe le parti. Inoltre, il contratto deve includere obblighi associati al subappalto, alle valutazioni, al dovere di riservatezza, alla cancellazione o alla restituzione dei dati personali e dimostrare la conformità di un responsabile del trattamento con il VCDPA.

Microsoft può essere considerato un responsabile del trattamento dei dati in alcune circostanze quando fornisce servizi ai clienti. In tal caso, le condizioni dell'Addendum per la protezione dei dati (DPA) dei prodotti e dei servizi Microsoft soddisfano già i requisiti del VCDPA poiché questi requisiti sono simili ai requisiti contrattuali del GDPR; non è necessario aggiornare il contratto dell'organizzazione con Microsoft. Come indicato nella DPA, Microsoft è conforme a tutte le leggi e alle normative applicabili alla sua fornitura dei Servizi online, che includerebbe il VCDPA.

Il VCDPA concede all'autorità esclusiva del gruppo di disponibilità di applicare la sua disposizione, soggetto a un periodo di cura di 30 giorni per eventuali presunta violazione del VCDPA. Il gruppo di disponibilità può richiedere un'assistenza ingiuntiva e danni fino a 7.500 dollari per ogni violazione e qualsiasi "spesa ragionevole sostenuta per indagare e preparare il caso, incluse le spese legali".

Come nota, il VCDPA non concede ai consumer un diritto di azione privato.

Tra le altre cose, Microsoft ha implementato le richieste DSR correlate al GDPR a livello globale, quindi ci troviamo già in una posizione eccellente per aiutarti a soddisfare requisiti VCDPA simili. Abbiamo anche esaminato i nostri accordi di condivisione dei dati di terze parti e abbiamo adottato misure per stabilire che sono in vigore le condizioni contrattuali e le protezioni necessarie per garantire che non vendiamo informazioni personali.

Microsoft consente inoltre di soddisfare gli obblighi previsti dal VCDPA implementando misure tecniche e organizzative appropriate volte a facilitare le risposte alle richieste DSR dei consumatori, fornendo strumenti/meccanismi di conformità tecnici e seguendo le istruzioni per l'elaborazione dei dati.

A causa della natura del cloud computing, Microsoft opera in base a un modello di responsabilità condivisa per Servizi online. La responsabilità condivisa è un argomento importante, in quanto sia i provider di servizi cloud che le aziende regolamentate sono responsabili di parti della sicurezza cloud. Per altre informazioni sulle procedure di sicurezza e privacy, visitare il Centro protezione Microsoft.

• Iniziare a usare la valutazione GDPR in Compliance Manager come parte del programma di privacy VCDPA dell'organizzazione.
• Stabilire un processo per rispondere in modo efficiente alle richieste di diritti dei consumatori.
• Configurare i criteri per individuare, classificare, etichettare e proteggere i dati sensibili con Microsoft Purview Information Protection.
• Usare le funzionalità di crittografia della posta elettronica per controllare ulteriormente le informazioni riservate.

VCDPA definisce un figlio come qualsiasi individuo di età inferiore ai 13 anni. Le aziende che rispettano i requisiti di consenso verificabili ai sensi della Children's Online Privacy Protection Rule (COPPA) saranno considerate conformi a qualsiasi obbligo di ottenere il consenso dei genitori ai sensi del VCDPA.

Il VCDPA prevede che i dati sensibili di un figlio debbano essere elaborati in base ai requisiti COPPA .

Gli obblighi di VCDPA non si applicano ai dati personali raccolti e usati in un contesto lavorativo.

Ci sono molte differenze. È più facile concentrarsi sulle analogie, tra cui:

• Obblighi di trasparenza/divulgazione.
• Diritti dei consumatori per l'accesso, l'eliminazione e la correzione dei dati personali.

È importante sottolineare che VCDPA richiede alle aziende di consentire ai consumatori di rifiutare esplicitamente la vendita di dati a terze parti, la pubblicità mirata e determinate profilatura. Si tratta di obblighi più limitati e più specifici rispetto all'ampio diritto del GDPR di opporsi al trattamento, che comprende questi tipi di divulgazione, ma non si limita specificamente a coprire tali divulgazioni.

Inoltre, il VCDPA offre anche ai consumatori il diritto di presentare ricorso contro il rifiuto di un'azienda di eseguire una richiesta dell'interessato tramite un processo di ricorso fornito dall'azienda che deve essere "vistosamente disponibile". Tale processo di ricorso non è richiesto dal GDPR.