L'État de Cornhusker a officiellement promulgué une loi sur la protection des données. La loi sur la protection des données du Nebraska (NDPA) a récemment été adoptée, rejoignant ainsi un nombre croissant de lois. législation nationale sur la confidentialité des données tandis que les États-Unis attendent une loi fédérale.
Le Nebraska a réussi Projet de loi 1074 Le 17 avril 2024, la loi a été promulguée par Jim Pillen. Elle entrera en vigueur le 1er janvier 2025.
Pourquoi la NDPA est-elle importante ?
La NDPA représente une avancée significative en matière de réglementation sur la confidentialité des données, alignant le Nebraska sur les autres États qui accordent la priorité à la protection des données des consommateurs. Les entreprises du Nebraska doivent se préparer à se conformer à ces nouvelles exigences, en veillant à respecter et à protéger les données personnelles de leurs consommateurs. L'introduction de la NDPA est importante pour plusieurs raisons :
- Protection renforcée des consommateurs : Il offre aux résidents du Nebraska une solide droits de contrôler, d’accéder et de protéger leurs données personnelles.
- Responsabilité et transparence : Les entreprises sont responsables de leurs pratiques en matière de données, ce qui garantit la transparence et réduit l’utilisation abusive des données.
- Sécurité des données : Le règlement donne la priorité à la sécurité des données, obligeant les entreprises à mettre en œuvre des mesures proactives et réactives pour protéger les données des consommateurs contre violations.
- Adaptation aux défis modernes : La NDPA s’adapte aux complexités du traitement moderne des données en abordant des questions telles que la publicité ciblée et la prise de décision automatisée.
Portée et application
La NDPA s'applique aux entreprises qui :
- Exercer une activité commerciale au Nebraska ou produire un produit ou un service consommé par les résidents du Nebraska
- Traite ou se livre à la vente de données personnelles
- N'est pas une petite entreprise au sens de la loi fédérale Loi sur les petites entreprises
Il est à noter que la loi ne s’applique pas aux employés ni aux entreprises interentreprises (B2B), mais se concentre plutôt sur les interactions avec les consommateurs.
Droits des consommateurs du Nebraska
La NDPA est très similaire aux autres lois étatiques sur la protection de la vie privée des consommateurs. Elle définit un consommateur comme une personne résidant au Nebraska et agissant uniquement à titre personnel, à l'exclusion de toute personne agissant dans le cadre d'un emploi ou d'un commerce. En vertu de la NDPA, les consommateurs bénéficient de plusieurs droits garantissant le contrôle et la transparence de leurs données personnelles, notamment :
- Confirmer et accéder : Les consommateurs peuvent confirmer si une organisation traite leurs données et peuvent également avoir facilement accès à leurs données personnelles.
- Correction: Les consommateurs peuvent corriger les informations inexactes dans leurs données personnelles.
- Effacement: Les consommateurs peuvent demander la suppression de leurs données, à moins qu’elles ne soient conservées à des fins légales.
- Portabilité des données : Si les données sont traitées automatiquement, les consommateurs peuvent obtenir une copie de leurs données dans un format techniquement réalisable, facilement utilisable et portable.
- Divulgation à des tiers : Les consommateurs peuvent obtenir une liste des tiers à qui leurs données ont été divulguées.
- Droits de retrait : Les consommateurs peuvent refuser le traitement de leurs données à des fins de publicité ciblée, de vente de données personnelles ou de profilage.
Les responsables du traitement doivent répondre aux demandes des consommateurs dans un délai de 45 jours, renouvelable si nécessaire. En cas de refus, le responsable du traitement doit en informer le consommateur et lui fournir les instructions nécessaires pour faire appel.
Agents autorisés
Autorisation: Un consommateur peut désigner une autre personne pour agir en tant que représentant du consommateur. agent autorisé et agir au nom du consommateur pour refuser le traitement des données personnelles du consommateur.
Parents et tuteurs légaux : A le parent ou le tuteur légal peut exercer les droits du consommateur au nom d'un enfant connu concernant le traitement des données personnelles appartenant à cet enfant.
Responsabilités du responsable du traitement et du sous-traitant
La NDPA établit des lignes directrices strictes sur la manière dont les responsables du traitement (entités qui déterminent les finalités et les moyens du traitement des données personnelles) et les sous-traitants (entités qui traitent les données pour le compte des responsables du traitement) doivent gérer les données des consommateurs :
- Actions interdites : Les responsables du traitement ne doivent pas collecter, traiter ou partager de données personnelles et sensibles, sauf si nécessaire. Il leur est également interdit de vendre des données sensibles, de les traiter de manière discriminatoire ou de cibler des publicités ciblant les enfants de moins de 18 ans sans leur consentement. Ils doivent traiter ces données par l'intermédiaire du gouvernement fédéral. COPPA.
- Non-discrimination : Les responsables du traitement ne peuvent pas discriminer les consommateurs qui exercent leurs droits en matière de confidentialité des données en vertu de la NDPA.
- Consentement du consommateur : Les responsables du traitement doivent obtenir le consentement du consommateur pour tout traitement de données allant au-delà de ce qui est nécessaire aux fins déclarées. Le consommateur peut révoquer son consentement et les responsables du traitement doivent cesser le traitement des données dans un délai de 30 jours.
- Processus d'appel : Les responsables du traitement doivent établir un processus d’appel pour les consommateurs si une demande particulière est refusée et répondre par écrit à toute action ou inaction dans les 60 jours.
Protection et sécurité des données
Les sous-traitants doivent se conformer aux instructions du responsable du traitement et remplir les obligations liées à la sécurité des données, aux droits des consommateurs et aux réponses aux violations.
En vertu de la NDPA, les responsables du traitement sont tenus de réaliser des évaluations de la protection des données (APD) pour toute activité de traitement présentant un risque accru. Les sous-traitants doivent également fournir les informations nécessaires aux responsables du traitement pour réaliser et documenter les APD dans les situations présentant un risque accru de préjudice pour les consommateurs. Ces activités comprennent :
- Traitement des données personnelles à des fins de publicité ciblée
- Vente de données personnelles
- Traitement des données sensibles
- Profilage des données personnelles lorsqu'il présente un risque prévisible de traitement injuste, abusif ou trompeur des consommateurs ou entraîne un préjudice substantiel pour les consommateurs
Ces évaluations doivent évaluer et comparer les avantages des activités de traitement pour toutes les parties concernées par rapport aux risques potentiels pour les droits des consommateurs.
Exigences de minimisation des données
La NDPA exige que les données personnelles ne soient collectées que dans des proportions raisonnables et nécessaires pour un produit ou un service particulier demandé. La législation exige également que les responsables du traitement obtiennent le consentement avant de traiter des données personnelles à des fins allant au-delà de celles initialement divulguées et jugées nécessaires ou compatibles.
Application de la loi NDPA et amendes
Le procureur général (« PG ») est seul compétent pour faire appliquer la nouvelle législation sur la protection de la vie privée. Il peut intenter une action en justice et réclamer des dommages-intérêts pouvant atteindre 1 TP4T7 500 par violation continue. L'organisation doit être informée par écrit des violations potentielles et bénéficie d'un délai de 30 jours pour y remédier. De plus, il n'existe aucun droit d'action privé.
L'approche de BigID en matière de conformité à la NDPA
BigID utilise son brevet automatisation de la confidentialité tenant compte de l'identité, la plate-forme leader du secteur pour la confidentialité des données, la sécurité, la conformité et la gestion des données d'IA, pour se préparer de manière proactive à la NDPA et atteindre la conformité.
Avec BigID, les entreprises peuvent :
- Identifier toutes les données : Découvrir et classer les données pour établir un inventaire, cartographier les flux de données et obtenir une visibilité sur toutes les informations personnelles et sensibles soumises aux exigences de la NDPA.
- Appliquer les politiques : Corrigez les risques liés aux politiques grâce à des contrôles et des flux de travail pour prendre des mesures conformément aux exigences de la NDPA.
- Évaluer les risques : Automatiser les évaluations de l'impact sur la vie privée, les rapports d'inventaire des données et les flux de travail de remédiation afin d'identifier et de remédier aux risques pour maintenir la conformité.
- Réduire les données : Appliquez des pratiques de minimisation des données en identifiant, en catégorisant et en supprimant les données personnelles inutiles ou excessives pour gérer efficacement le cycle de vie des données.
- Automatiser la gestion des droits sur les données : Gérer automatiquement les demandes, les préférences et le consentement en matière de protection de la vie privée, y compris le refus de la vente de données, de la publicité ciblée et du profilage des utilisateurs.
- Mettre en œuvre des contrôles de protection des données : Automatisez les contrôles de protection des données pour renforcer l’accès aux données et d’autres mesures de sécurité, qui sont essentielles pour protéger les données et se conformer à la NDPA.
Planifiez une démonstration individuelle pour voir comment BigID peut accélérer la conformité NDPA.
Auteur
