Ano novo — novo panorama da privacidade. A última temporada nos deixou com sete novas leis estaduais abrangentes de privacidade, com estados como Kentucky, Maryland, Minnesota, Nebraska, New Hampshire, Nova Jersey e Rhode Island optando por oferecer maior proteção aos seus eleitores no mundo digital em constante mudança.
Agora, muitas dessas sementes de legislação de privacidade estão prontas para florescer em 2025. Vamos fazer um rápido resumo de todas as leis estaduais abrangentes de privacidade que entrarão em vigor este ano.
1. Delaware
Lei de Privacidade de Dados Pessoais de Delaware (DPDPA), que entrou em vigor em 1 de janeiro de 2025, estabelece proteções abrangentes de privacidade para os residentes do estado, tornando Delaware o mais recente a se juntar à crescente lista de jurisdições dos EUA com legislação de privacidade robusta. A lei obriga as empresas a aumentar a transparência em suas práticas de dados e exige consentimento explícito ao coletar ou usar dados pessoais sensíveis, como informações relacionadas a raça, religião, condições de saúde, dados biométricos, e localização.
Com a nova lei, os consumidores de Delaware ganham direitos poderosos sobre seus informações pessoais. Eles podem excluir da venda de seus dados, publicidade direcionada e certos tipos de tomada de decisão automatizada. A DPDPA também inclui marcos de implementação em fases: 1 de julho de 2025, as empresas devem realizar avaliações de proteção de dados para determinadas atividades de processamento e iniciar 1 de janeiro de 2026, eles devem honrar opt-out universal sinais para as preferências do consumidor. Além disso, o “direito de reparação” obrigatório para as violações terminará em 31 de dezembro de 2025, após o qual a execução pelo gabinete do Procurador-Geral de Delaware não exigirá mais um período de carência.
2. Iowa
O Lei de Proteção de Dados do Consumidor de Iowa (ICDPA) entrou em vigor em 1 de janeiro de 2025 e tem como alvo empresas que controlam ou processam dados pessoais de pelo menos 100.000 consumidores de Iowa ou que obtêm mais de 50% de sua receita com a venda de dados pessoais de pelo menos 25.000 residentes de Iowa. A lei impõe penalidades de até $7.500 por violação, mas com um generoso período de recuperação de 90 dias, que não expira, permitindo que as empresas tenham tempo suficiente para lidar com a não conformidade.
Notavelmente, o ICDPA é mais favorável aos negócios em comparação a outras leis estaduais, pois não possui certos requisitos, como reconhecimento de mecanismos universais de exclusão, realização de avaliações de impacto à privacidade ou obtenção de consentimento para processamento de dados confidenciais.
3. Maryland
O Lei de Proteção de Dados Online de Maryland (MODPA) entrará em vigor em 1 de outubro de 2025O MODPA se aplica a empresas que operam em Maryland ou que têm como alvo residentes de Maryland. As organizações estão sujeitas à lei se, no ano civil anterior, controlaram ou processaram dados pessoais de pelo menos 35.000 consumidores (excluindo dados de transações de pagamento) ou processaram dados pessoais de pelo menos 10.000 consumidores, obtendo mais de 20% de receita bruta com a venda de dados pessoais.
O descumprimento pode resultar em multas de até $10.000 por violação e $25.000 por reincidência. Um período de recuperação de 60 dias, disponível até 1º de abril de 2027, fica a critério do Procurador-Geral de Maryland.
4. Minnesota
O Lei de Privacidade de Dados do Consumidor de Minnesota (MCDPA) está previsto para entrar em vigor em 31 de julho de 2025. Estabelece obrigações de privacidade para empresas que tenham como alvo residentes de Minnesota. Aplica-se a organizações que processam anualmente dados pessoais de pelo menos 100.000 consumidores ou que obtêm mais de 25% de sua receita bruta com a venda de dados pessoais enquanto processam dados pessoais de pelo menos 25.000 consumidores.
Os infratores estão sujeitos a multas de até $7.500, com um período de recuperação de 30 dias disponível até 31 de janeiro de 2026. Notavelmente, a MCDPA isenta pequenas empresas, embora elas precisem obter consentimento antes de vender dados pessoais sensíveis. A lei também exige exclusivamente inventários de dados, uma medida que apoia uma conformidade mais ampla, mas raramente é exigida por lei.
5. Nebraska
O Lei de Privacidade de Dados de Nebraska (NDPA) entrou em vigor a partir de 1 de janeiro de 2025 e estabelece obrigações de privacidade para entidades que conduzem negócios em Nebraska ou oferecem produtos e serviços aos seus residentes. Ao contrário de muitas leis estaduais de privacidade, a NDPA se aplica a organizações que processam ou vendem dados pessoais, independentemente do volume de dados, desde que não sejam classificadas como pequenas empresas pela legislação federal. Diretrizes da Administração de Pequenas Empresas.
Os infratores estão sujeitos a penalidades de até $7.500 por infração, com um período de recuperação de 30 dias, sem prazo de validade. Embora as pequenas empresas estejam isentas da maioria dos requisitos, elas devem obter consentimento antes de vender dados pessoais sensíveis.
6. Nova Hampshire
O Lei de Privacidade de Dados de New Hampshire (NHDPA) entrou em vigor em 1º de janeiro de 2025 e introduz obrigações significativas de privacidade para entidades que conduzem negócios no estado ou oferecem produtos e serviços aos seus residentes. A lei se aplica a organizações que, no período de um ano, controlem ou processem dados pessoais de pelo menos 35.000 consumidores (excluindo dados processados exclusivamente para transações de pagamento) ou obtenham mais de 25% de receita bruta com a venda de dados pessoais de pelo menos 10.000 consumidores.
O não cumprimento pode resultar em multas de até $10.000 por violação, com um período de correção de 60 dias disponível até 1 de janeiro de 2026.
À parte das leis estaduais de privacidade, a NHDPA apresenta limites de aplicabilidade relativamente baixos, aumentando seu alcance para pequenas empresas. Ao contrário de Iowa, ela exige avaliações de impacto à privacidade para determinadas atividades e, diferentemente de Delaware, oferece isenções em nível de entidade para organizações sem fins lucrativos e organizações regulamentadas pelo governo federal. HIPAA ou GLBA. Com seu escopo abrangente, a NHDPA está pronta para aprimorar as práticas de proteção de dados em New Hampshire.
7. Nova Jersey
Lei de Privacidade de Dados de Nova Jersey (NJDPA) entrou em vigor a partir de 15 de janeiro de 2025 e estabelece limites claros para a conformidade. Aplica-se a entidades que controlam ou processam anualmente os dados pessoais de pelo menos 100.000 consumidores — excluindo dados processados exclusivamente para transações de pagamento — ou àquelas que tratam os dados de pelo menos 25.000 consumidores e geram receita ou recebem descontos pela venda de dados pessoais. As penalidades por não conformidade podem chegar a $10.000 para a primeira violação e $20.000 para violações subsequentes, com um período de recuperação de 30 dias disponível até 15 de julho de 2026.
Ao contrário de outras leis estaduais, a NJDPA não impõe um mínimo de receita para sua aplicabilidade, o que a torna relevante para além dos corretores de dados tradicionais e redes de tecnologia de anúncios. Além disso, organizações sem fins lucrativos não estão isentas da lei, embora dados financeiros usados exclusivamente para transações de pagamento sejam excluídos. Notavelmente, a NJDPA trata certos dados financeiros como sensíveis e exige consentimento para seu processamento fora de propósitos transacionais.
8. Tennessee
Lei de Proteção de Informações do Tennessee (TIPA) se tornará efetivo 1 de julho de 2025 e estabelece requisitos de privacidade para empresas que operam no estado. A lei se aplica a organizações com receita anual superior a $25 milhões que conduzam negócios no Tennessee ou tenham como alvo seus residentes e atendam a um dos seguintes critérios: processem informações pessoais de pelo menos 175.000 consumidores anualmente ou processem dados pessoais de 25.000 consumidores enquanto obtêm mais de 50% de receita bruta com suas vendas. Violações podem resultar em multas de até $7.500 por ocorrência, com o triplo de danos para violações intencionais e um período de recuperação de 60 dias sem caducidade.
A TIPA estabelece um limite de consumo notavelmente alto — 175.000 em comparação com o padrão de 100.000 — e se aplica exclusivamente a empresas com receita mínima de $25 milhões, estreitando seu escopo. Única entre as leis estaduais de privacidade, a TIPA permite que as empresas estabeleçam uma defesa afirmativa implementando um programa de privacidade documentado e alinhado com a Estrutura de privacidade do NIST ou padrões semelhantes. Embora não seja uma medida de segurança, essa medida proativa pode mitigar a responsabilidade de organizações em conformidade.
Obtenha conformidade de privacidade com o BigID
Não importa o setor que sua organização representa, 2025 exigirá que sua equipe analise mais de perto as diversas legislações de privacidade que agora podem impactar suas operações diárias. BigID é a plataforma DSPM líder do setor para privacidade de dados, segurança, conformidade e gerenciamento de dados de IA. Obtenha maior visibilidade dos dados da sua empresa e alcance a conformidade simplificada com leis abrangentes de privacidade de dados, como MODPA, TIPA, NJDPA e outras.
Com o BigID, as organizações podem:
- Descubra seus dados: Descubra e catalogue seus dados confidenciais, incluindo estruturados, semiestruturados e não estruturados, em ambientes locais e na nuvem.
- Conheça seus dados: Classifique, categorize, marque e rótulo dados pessoais e confidenciais com precisão, granularidade e escala.
- Mapeie seus dados: Mapeie automaticamente PII e PI para identidades, entidades e residências para visualizar dados em todos os sistemas.
- Aplicar políticas de privacidade: Garantir o alinhamento e a aplicação das políticas de dados de acordo com os mandatos de privacidade para atender aos requisitos de conformidade regulatória.
- Gerenciamento de Consentimento e Preferências Universais: Gerencie e ajuste o consentimento e as preferências do consumidor de forma universal e centralizada em vários canais com facilidade.
- Avalie abrangentemente os riscos de privacidade: Iniciar, gerenciar, documentar e concluir várias avaliações, incluindo PIA, DPIA, fornecedor, IA, TIA, LIA e muito mais para conformidade e redução de riscos.
- Simplifique o gerenciamento do ciclo de vida dos dados: Aplique uma abordagem baseada em políticas para automatizar o gerenciamento do ciclo de vida de dados durante a coleta, retenção e exclusão.
Não espere que os prazos de conformidade o alcancem — saia na frente com uma demonstração individual dos especialistas em privacidade da BigID hoje mesmo.
Autor
