En vertu de la loi sur la protection de la vie privée du Colorado, les « données personnelles » sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable, ou pouvant être raisonnablement reliée, directement ou indirectement, à une telle personne. Cela inclut les informations généralement considérées comme personnelles, telles que le nom, l’adresse, le numéro de téléphone et l’adresse électronique, ainsi que des types de données moins évidents, comme les adresses IP, les données de géolocalisation et les données biométriques.
CPA comprend également une définition large de la « vente », qui inclut l’échange de données personnelles contre une contrepartie de valeur, comme de l’argent ou d’autres biens ou services de valeur. Cela signifie que les entreprises doivent se conformer à la loi non seulement lorsqu’elles vendent purement et simplement des données personnelles, mais aussi lorsqu’elles les échangent contre quelque chose de valeur.
CPA s’applique à la collecte, à l’utilisation et au partage des données personnelles, quel que soit le type de données concerné. Toutefois, certains types de données personnelles sont considérés comme sensibles et bénéficient d’une protection supplémentaire en vertu de la loi. Il s’agit notamment des données relatives à la race ou à l’origine ethnique, à l’orientation sexuelle, à la santé ou aux conditions médicales, et aux données génétiques. Les entreprises doivent obtenir le consentement explicite des consommateurs avant de collecter, d’utiliser ou de partager des données personnelles sensibles.