Risorsa gratuita per i professionisti della privacy

La tabella di confronto definitiva delle leggi statali sulla privacy per il 2025

Oltre 20 leggi statali sulla privacy. Centinaia di requisiti sovrapposti. Un unico riferimento chiaro e fianco a fianco, così non ti sfuggirà mai più un obbligo di conformità.

Il panorama statunitense della privacy a livello statale si è espanso da una sola legge applicabile nel 2020 a 20 leggi statali complete sulla privacy a partire dal 2026. Ciascuna ha soglie di ambito, diritti dei consumatori, meccanismi di opt-out, periodi di rimedio e strutture di applicazione diversi. Che tu sia un RPD che mappa gli obblighi tra le controllate o un team legale che fornisce consulenza su operazioni in più stati, questa tabella di confronto ti dà la chiarezza di cui hai bisogno in pochi minuti, non in giorni.

Nessuna carta di credito. Nessuna chiamata di vendita. Inserisci la tua e-mail di lavoro qui sotto e ti invieremo la tabella nella casella di posta.

Piattaforma con hosting in Svizzera

Residenza europea dei dati

Allineata alla ISO 27001

Openmedical: oltre 200 ore risparmiate nella preparazione

20 leggi statali monitorate

IAPP US State Privacy Legislation Tracker

Scelta dai team privacy

Che gestiscono oltre 50 entità in tutto il mondo

20

Leggi statali complete sulla privacy promulgate

IAPP e ArentFox Schiff, a metà 2025

$1.55M

Il maggiore accordo transattivo CCPA del procuratore generale della California

Smith Anderson, azione di applicazione del luglio 2025

8

Stati che hanno modificato le proprie leggi sulla privacy nel 2025

IAPP US State Privacy Laws Report, ottobre 2025

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Capacità chiave del prodotto

Creata per la realtà della conformità privacy multi-stato

Venti stati hanno promulgato leggi complete sulla privacy da quando la California ha approvato il CCPA nel 2018, e nove di essi hanno modificato le proprie leggi nel solo 2025. Stare al passo richiede più di fogli di calcolo e schede del browser. Queste capacità aiutano i team privacy a restare un passo avanti rispetto a un panorama che cambia ogni trimestre.

Gestione del registro dei trattamenti tra le entità

Quando operi in più stati, ciascuno con soglie di ambito e diritti dei consumatori distinti, il tuo registro delle attività di trattamento deve riflettere ogni giurisdizione. Priverion automatizza la ricertificazione del registro dei trattamenti in tutte le entità del gruppo, così gli aggiornamenti si propagano man mano che le leggi cambiano, non settimane dopo, quando qualcuno si ricorda di aprire il foglio di calcolo.

Un assicuratore svizzero ha raggiunto un tasso di ricertificazione del registro dei trattamenti del 100% con flussi completamente automatizzati.

Un assicuratore svizzero, prova della clientela Priverion

DPIA assistita dall'IA e scoring del rischio

Stati come il Colorado e il New Jersey ora richiedono valutazioni della protezione dei dati prima ancora che il trattamento ad alto rischio possa iniziare. La legge del Maryland del 2025 aggiunge alcuni degli standard di minimizzazione dei dati più rigorosi del paese. La redazione assistita dall'IA di Priverion ti aiuta a produrre la documentazione delle valutazioni più velocemente, con uno scoring del rischio calibrato sui requisiti specifici di ciascuno stato. L'IA assiste; le persone decidono. Nessun dato dei clienti viene utilizzato per l'addestramento dei modelli.

Un'azienda di tecnologia medica ha risparmiato oltre 200 ore nella preparazione alla ISO 27001 utilizzando gli strumenti di valutazione di Priverion.

Un'azienda di tecnologia medica, prova della clientela Priverion

Monitoraggio dei cambiamenti normativi

Nel 2025 sono entrate in vigore otto nuove leggi statali sulla privacy, mentre nove leggi esistenti hanno ricevuto modifiche significative. Il Connecticut ha rafforzato le tutele per i minori. Il Colorado ha aggiunto obblighi sui dati biometrici. La California ha finalizzato nuove norme sulle valutazioni del rischio. Il monitoraggio dei cambiamenti normativi di Priverion mantiene aggiornato il tuo programma di conformità man mano che i requisiti evolvono, così non dovrai affidarti a post di blog di studi legali superati o a un foglio di calcolo che il tuo predecessore ha iniziato e mai terminato.

Otto leggi statali sulla privacy sono diventate operative nel 2025, quasi raddoppiando il numero di stati con leggi in vigore.

Perkins Coie, Privacy Law Recap 2025 (gennaio 2026)

Gestione degli incidenti e workflow per le violazioni

Il CCPA della California resta una delle poche leggi statali con un diritto di azione individuale per le violazioni dei dati. Il Texas ha ottenuto un accordo transattivo di 1,4 miliardi di dollari con Meta sulla raccolta di dati biometrici. Quando si verifica una violazione, i tempi di risposta e le regole di notifica variano da stato a stato. I workflow di gestione degli incidenti di Priverion guidano il tuo team attraverso i requisiti di notifica delle violazioni specifici per ciascuna giurisdizione, generando pacchetti di prove pronti per l'audit in pochi minuti anziché in settimane.

L'accordo transattivo CCPA della California del luglio 2025 ha raggiunto 1,55 milioni di dollari, il più alto fino ad oggi ai sensi di tale legge.

Smith Anderson, Data Privacy in 2026 (gennaio 2026)

Valutazioni del rischio dei fornitori

Il Texas ha intentato la sua prima causa ai sensi del TDPSA contro Allstate e la controllata Arity per aver presumibilmente integrato software di tracciamento in app di terze parti al fine di raccogliere e vendere dati personali. Il tuo ecosistema di fornitori è la tua superficie di esposizione. La gestione delle terze parti di Priverion ti offre piena visibilità su come i fornitori trattano i dati, con valutazioni mappate sugli obblighi specifici di ciascuna legge statale a cui la tua organizzazione deve conformarsi.

Un operatore sanitario ha raggiunto una copertura del 100% delle valutazioni del rischio dei fornitori con Priverion.

Un operatore sanitario, prova della clientela Priverion

Dashboard di conformità pronte per il consiglio di amministrazione

I procuratori generali statali coordinano sempre più l'applicazione tramite un consorzio bipartisan di autorità di regolamentazione sulla privacy. Quando il tuo CEO chiede "siamo conformi ovunque?", hai bisogno di una risposta chiara, aggiornata e difendibile. Le dashboard di Priverion offrono a CISO e RPD visibilità in tempo reale su ogni entità e giurisdizione, trasformando i dati operativi di conformità in reportistica pronta per il consiglio di amministrazione senza consolidamento manuale.

Un produttore aeronautico ha ridotto del 60% il tempo dedicato all'amministrazione della conformità nei primi 6 mesi.

Produttore aeronautico, prova della clientela Priverion (primi 6 mesi)

Esplora la piattaforma completa

Scopri come Priverion mappa gli obblighi di conformità su oltre 50 entità e in più giurisdizioni.

Risultati misurabili da clienti reali

I numeri che fanno sorridere i RPD

200+

Ore risparmiate nella preparazione alla ISO 27001

Un'azienda di tecnologia medica ha risparmiato oltre 200 ore preparandosi alla certificazione ISO 27001 con Priverion. Il tipico processo di certificazione richiede dai 6 ai 12 mesi; i clienti di Priverion raggiungono la prontezza per l'audit con mesi di anticipo rispetto alla tabella di marcia.

Un'azienda di tecnologia medica, risultato verificato del cliente

60%

In meno di tempo per l'amministrazione della conformità

Un produttore aeronautico ha ridotto del 60% il tempo dedicato all'amministrazione della conformità nei primi 6 mesi. Con prezzi prevedibili basati sul numero di aziende, non su tariffe per utente, i team evitano l'escalation dei costi comune alle piattaforme enterprise.

Produttore aeronautico, primi 6 mesi su Priverion

3 mesi

In anticipo sulla tabella di marcia per la ISO 27001

Mentre la certificazione ISO 27001 richiede in genere dai 6 ai 12 mesi, i pacchetti di prove pronti per l'audit e la documentazione automatizzata di Priverion aiutano i team a comprimere significativamente le tempistiche.

Un'azienda di tecnologia medica, rispetto alle tempistiche medie del settore

Priverion vs. OneTrust

Creata per il mid-market. Non ridimensionata dall'enterprise.

Con sanzioni GDPR che ora superano complessivamente i 7,1 miliardi di euro e un'applicazione che si estende ben oltre le Big Tech, la tua piattaforma di conformità conta più che mai. Ecco perché le organizzazioni in crescita scelgono Priverion.

Fonte: DLA Piper GDPR Fines and Data Breach Survey, gennaio 2026

Priverion

Creata su misura per la gestione della privacy multi-entità

  • Sovranità dei dati svizzera, garantita

    Sviluppata in Svizzera e ospitata in Svizzera. Tutto il trattamento dei dati resta all'interno dell'infrastruttura svizzera, al di fuori della portata di leggi extraterritoriali come il CLOUD Act statunitense e FISA Sezione 702. In un clima normativo in cui persino gli hyperscaler statunitensi ammettono di non poter garantire la sovranità dei dati dell'UE, questa non è una dichiarazione di marketing: è un elemento di differenziazione giuridico.

    Il direttore generale di Microsoft France ha testimoniato sotto giuramento che non è possibile escludere l'accesso ai dati da parte degli Stati Uniti (Senato francese, estate 2025)

  • Operativa in settimane, non in mesi

    Interfaccia pulita e intuitiva progettata per i RPD, non per i team IT enterprise. Nessuna settimana di configurazione o personale dedicato all'implementazione. Un produttore aeronautico ha registrato una riduzione del 60% del tempo dedicato all'amministrazione della conformità nei primi 6 mesi.

    Produttore aeronautico, primi 6 mesi su Priverion

  • Prezzi prevedibili e trasparenti

    Basati sul numero di aziende e sulle dimensioni dell'organizzazione. Nessuna tariffa per utente, nessuna trappola di espansione per modulo, nessun preventivo personalizzato opaco. Sai quanto pagherai prima di firmare.

  • Piattaforma per la privacy all-in-one

    Registro dei trattamenti, DPIA/TIA, rischio fornitori, gestione degli incidenti, gestione delle DSR, mappatura dei dati, registro IA e dashboard di conformità in un'unica piattaforma. Nessun upsell di moduli per sbloccare ciò di cui hai bisogno.

  • Assistita dall'IA, controllata dall'uomo

    L'IA aiuta a redigere le DPIA, a valutare i rischi e a mappare le normative. Tutti gli output sono rivisti da persone prima di diventare documenti di conformità. Nessun dato dei clienti viene mai utilizzato per l'addestramento dei modelli.

  • Integrazioni profonde e mirate

    Integrazioni con i sistemi HR, di approvvigionamento e di gestione degli asset IT che contano per i workflow privacy. Meno connettori, ma ciascuno funziona in modo affidabile senza oneri di manutenzione continui.

OneTrust

Di livello enterprise con complessità enterprise

  • Sede negli Stati Uniti, hosting negli Stati Uniti

    Soggetta al CLOUD Act statunitense e a FISA Sezione 702. Esistono opzioni di residenza europea dei dati, ma l'entità giuridica resta sotto la giurisdizione statunitense. La Dichiarazione di Berlino sulla sovranità digitale dell'UE, adottata nel novembre 2025, sottolinea perché ciò è importante.

    Dichiarazione per la sovranità digitale europea, firmata da tutti gli Stati membri dell'UE, novembre 2025

  • Curva di apprendimento ripida

    Gli utenti segnalano costantemente processi di configurazione complessi che richiedono settimane di lavoro e risorse tecniche dedicate. I team più piccoli trovano la piattaforma particolarmente difficile da mantenere.

    Recensioni degli utenti su Capterra, 2025/2026

  • Prezzi opachi e in crescita

    Nessun prezzo pubblicato. Preventivi personalizzati che variano in base a moduli, domini, utenti e volumi di dati. OneTrust non pubblica i prezzi di listino. Secondo i dati aggregati sui prezzi riportati dagli acquirenti, i deployment mid-market vanno comunemente da cifre intorno alla metà delle cinque cifre fino a sei cifre basse all'anno, con i servizi di implementazione fatturati separatamente. Fonte: dati aggregati sui prezzi riportati dagli acquirenti di Vendr ed Enzuzo, consultati il 18.05.2026.

    Analisi dei prezzi Enzuzo, marzo 2026; dati di approvvigionamento Vendr, febbraio 2026

  • Modello modulare, a pagamento per capacità

    Cinque linee di prodotto separate, ciascuna fatturata in base alla propria metrica. Ogni modulo che aggiungi aumenta il costo totale, e la fattura può crescere in direzioni che non avevi previsto man mano che il tuo team o la tua impronta di dati si espandono.

    Sprinto OneTrust Review, marzo 2026

  • Funzionalità IA complete

    Solide capacità di AI Governance e intelligence normativa in oltre 300 giurisdizioni. Un potente set di funzionalità, anche se aggiunge complessità e costi complessivi alla piattaforma.

  • Ampio ecosistema di integrazioni

    Ampia libreria di connettori per piattaforme IT, di sicurezza, di marketing, HR e cloud. Potente una volta completamente configurata, ma il mantenimento di queste integrazioni richiede una significativa supervisione tecnica continua.

L'applicazione sta accelerando. Nel solo 2024, le autorità europee per la protezione dei dati hanno emesso circa 1,2 miliardi di euro di sanzioni GDPR, con notifiche di violazione che ora ammontano in media a 443 al giorno. La legge UE sull'IA raggiunge la piena applicazione per i sistemi ad alto rischio nell'agosto 2026, aggiungendo un ulteriore livello di sanzioni. La domanda non è se investire in strumenti di conformità, ma se i tuoi sono dimensionati correttamente per la tua organizzazione.

Fonti: DLA Piper GDPR Fines Survey, gennaio 2025; tempistica di applicazione della legge UE sull'IA

Nota di onestà: OneTrust è un prodotto solido per le grandi imprese con team di conformità dedicati ed esigenze GRC complesse. Priverion non è un sostituto di tutto ciò. Siamo creati per organizzazioni mid-market e multi-entità che necessitano di una gestione della privacy di livello enterprise senza la complessità o i costi enterprise. Non copriamo l'ESG, le linee etiche di segnalazione o il consenso ai cookie.

Anteprima della tabella

Cosa contiene: un estratto del confronto completo

Il PDF completo copre tutte le 20 leggi statali sulla privacy promulgate su 12 categorie di confronto. Ecco un esempio di come è strutturata la tabella, che copre 6 stati rappresentativi.

Categoria California (CCPA/CPRA) Colorado (CPA) Connecticut (CTDPA) Texas (TDPSA) Maryland (MODPA) Rhode Island
Data di entrata in vigore 1 gen 2020 / 1 gen 2023 1 lug 2023 1 lug 2023 1 lug 2024 1 ott 2025 1 gen 2026
Soglia di applicabilità $25M di fatturato, 100K consumatori o 50% del fatturato da vendite di dati 100K consumatori o 25K consumatori + fatturato da vendite di dati 100K consumatori o 25K consumatori + fatturato da vendite di dati Svolge attività in TX o si rivolge a residenti del TX (nessuna soglia di fatturato) 100K consumatori o 25K consumatori + fatturato da vendite di dati 35K consumatori o 10K consumatori + fatturato da vendite di dati
Diritto alla cancellazione
Diritto di opt-out dalla vendita Sì (+ pubblicità mirata)
DPIA richiesta Sì (norme CPRA, 2025) Sì (minimizzazione rigorosa dei dati)
Periodo di rimedio Nessuno (decaduto a luglio 2023) 60 giorni (decaduto a gennaio 2025) 60 giorni (decaduto a dicembre 2024) 30 giorni 60 giorni (primi 2 anni) Nessuno
Applicazione Procuratore generale + CPPA + diritto di azione individuale (violazioni) Solo procuratore generale Solo procuratore generale Solo procuratore generale Solo procuratore generale Solo procuratore generale
Sanzione massima per violazione $7,500 (intenzionale) $20,000 $5,000 $7,500 $10,000 $10,000

Questa è un'anteprima di 6 stati e 8 categorie. Il PDF completo include tutti i 20 stati e 12 categorie di confronto.

Fonti: testo delle leggi promulgate, IAPP US State Privacy Legislation Tracker (aprile 2026), analisi di ArentFox Schiff

Modello gratuito

Tabella di confronto delle leggi statali sulla privacy: tutte le 20 leggi, fianco a fianco

Venti stati statunitensi hanno ora leggi complete sulla privacy in vigore, e le differenze tra loro creano reali lacune di conformità. Questo PDF gratuito ti offre un confronto strutturato e a colpo d'occhio, così puoi smettere di incrociare manualmente le leggi.

Cosa otterrai:

  • + Diritti dei consumatori mappati su tutte le 20 leggi statali promulgate: accesso, rettifica, cancellazione, opt-out e portabilità
  • + Obblighi delle aziende a confronto: consenso per i dati sensibili, DPIA, meccanismi universali di opt-out e periodi di rimedio (incluso il requisito di assenza di rimedio del Rhode Island)
  • + Soglie di applicabilità a colpo d'occhio: dai trigger basati sul fatturato della California alla soglia più bassa di 35.000 consumatori del Rhode Island
  • + Date chiave di entrata in vigore e tempistiche delle modifiche per il 2026, inclusi Indiana, Kentucky e Rhode Island, oltre alle nuove norme su ADMT e valutazioni del rischio della California

Le fonti includono lo IAPP US State Privacy Legislation Tracker (aggiornato ad aprile 2026) e il testo delle leggi promulgate per tutti i 20 stati.

Scarica la tabella gratuita

Inserisci la tua e-mail di lavoro e ti invieremo il PDF direttamente nella casella di posta.

PDF gratuito. Nessuna demo richiesta. Lo invieremo nella tua casella di posta.

20

Stati statunitensi con leggi complete sulla privacy in vigore a partire dal 2026

MultiState, febbraio 2026; IAPP Tracker, aprile 2026

Cosa dicono i team privacy

Dal caos dei fogli di calcolo alla fiducia strategica

Questi sono i risultati che contano: meno tempo dedicato all'amministrazione, più tempo per il lavoro che protegge davvero la tua organizzazione.

"Siamo passati dal dedicare la maggior parte del nostro tempo di conformità a inseguire le unità di business per gli aggiornamenti del registro dei trattamenti su più controllate a una ricertificazione completamente automatizzata. Il nostro RPD ora si concentra sul lavoro strategico sulla privacy anziché sulla manutenzione dei fogli di calcolo."

Team privacy

Produttore aeronautico — riduzione del 60% del tempo per l'amministrazione della conformità, primi 6 mesi

"Raggiungere il 100% di ricertificazione del registro dei trattamenti era qualcosa che non potevamo immaginare con processi manuali. L'automazione di Priverion lo ha reso possibile in tutte le nostre entità senza aumentare il personale."

Team di conformità

Un assicuratore svizzero — tasso di ricertificazione del registro dei trattamenti del 100%, completamente automatizzato

"La copertura della valutazione del rischio dei fornitori ci ha dato una visibilità che non avevamo mai avuto prima. Ora possiamo mostrare al nostro consiglio di amministrazione esattamente a che punto siamo con ogni terza parte che tratta dati personali."

Team protezione dei dati

Un operatore sanitario — copertura del 100% delle valutazioni del rischio dei fornitori

Domande frequenti

Domande comuni sulle leggi statali statunitensi sulla privacy

Quanti stati statunitensi hanno leggi complete sulla privacy a partire dal 2025?

A metà 2025, 20 stati statunitensi hanno promulgato leggi complete sulla privacy dei consumatori. Otto nuove leggi sono entrate in vigore nel solo 2025 (Delaware, Iowa, Nebraska, New Hampshire, New Jersey, Tennessee, Minnesota e Maryland), quasi raddoppiando il numero di stati con leggi sulla privacy applicabili. Altri stati, tra cui Indiana, Kentucky e Rhode Island, hanno leggi che entrano in vigore nel 2026. Fonte: IAPP US State Privacy Legislation Tracker; ArentFox Schiff, 2025.

Qual è la differenza tra le leggi statali sulla privacy e il GDPR?

Il GDPR è un'unica normativa che copre tutti gli Stati membri dell'UE/SEE con un insieme uniforme di requisiti. Le leggi statali statunitensi sulla privacy sono promulgate in modo indipendente da ciascuno stato, creando un mosaico di soglie di ambito, diritti dei consumatori, meccanismi di applicazione e periodi di rimedio diversi. Per le organizzazioni che operano in più stati, ciò significa mappare gli obblighi legge per legge anziché seguire un unico quadro normativo. Il GDPR si applica inoltre direttamente ai responsabili del trattamento, mentre la maggior parte delle leggi statali si concentra sui titolari del trattamento con obblighi separati per i responsabili del trattamento.

Quale legge statale sulla privacy ha i requisiti più rigorosi?