8 Leis Estaduais de Privacidade Entrando em vigor em 2025

Novo ano, novo cenário de privacidade. A última temporada nos presenteou com sete novas leis estaduais abrangentes de privacidade, com estados como Kentucky, Maryland, Minnesota, Nebraska, New Hampshire, Nova Jersey e Rhode Island optando por oferecer maior proteção aos seus cidadãos no mundo digital em constante transformação.

Muitas dessas propostas de legislação sobre privacidade devem começar a surtir efeito em 2025. Vamos fazer um breve resumo de todas as leis estaduais abrangentes sobre privacidade que entrarão em vigor este ano.

1. Delaware

Lei de Privacidade de Dados Pessoais de Delaware (DPDPA), que entrou em vigor em 1º de janeiro de 2025A lei estabelece proteções abrangentes de privacidade para os residentes do estado, tornando Delaware o mais recente a se juntar à crescente lista de jurisdições dos EUA com legislação robusta de privacidade. A lei exige que as empresas aprimorem a transparência em suas práticas de dados e requer consentimento explícito ao coletar ou usar dados pessoais sensíveis, como informações relacionadas a raça, religião, condições de saúde, dados biométricose localização.

De acordo com a nova lei, os consumidores de Delaware ganham direitos importantes sobre seus produtos. informações pessoaisEles podem excluir da venda de seus dados, publicidade direcionada e certos tipos de tomada de decisão automatizada. A DPDPA também inclui marcos de implementação faseados: de 1º de julho de 2025As empresas devem realizar avaliações de proteção de dados para determinadas atividades de processamento e, a partir de então, começar a fazê-lo. 1º de janeiro de 2026, eles devem honrar exclusão universal sinais para preferências do consumidor. Além disso, o “direito de correção” obrigatório para violações terminará em 31 de dezembro de 2025, após o que a fiscalização pelo gabinete do Procurador-Geral de Delaware não exigirá mais um período de carência.

2. Iowa

O Lei de Proteção de Dados do Consumidor de Iowa (ICDPA) entrou em vigor em 1º de janeiro de 2025 A lei visa empresas que controlam ou processam dados pessoais de pelo menos 100.000 consumidores de Iowa ou que obtêm mais de 50% de sua receita com a venda de dados pessoais de pelo menos 25.000 residentes de Iowa. A lei impõe penalidades de até US$ 7.500 por violação, mas com um generoso prazo de 90 dias para regularização, que não expira, permitindo que as empresas tenham tempo suficiente para corrigir a situação de não conformidade.

Notavelmente, a ICDPA é mais favorável às empresas em comparação com outras leis estaduais, pois não possui certos requisitos, como o reconhecimento de mecanismos universais de exclusão, a realização de avaliações de impacto na privacidade ou a obtenção de consentimento explícito para o processamento de dados sensíveis.

3. Maryland

O Lei de Proteção de Dados Online de Maryland (MODPA) entrará em vigor em 1 de outubro de 2025A Lei de Proteção de Dados Pessoais de Maryland (MODPA) aplica-se a empresas que operam em Maryland ou que têm como público-alvo residentes de Maryland. As organizações estão sujeitas à lei se, no ano civil anterior, controlaram ou processaram os dados pessoais de pelo menos 35.000 consumidores (excluindo dados de transações de pagamento) ou processaram os dados pessoais de pelo menos 10.000 consumidores, obtendo mais de £201.000 de receita bruta com a venda de dados pessoais.

O descumprimento pode resultar em multas de até £10.000 por infração e £25.000 por infrações repetidas. Um prazo de 60 dias para regularização, disponível até 1º de abril de 2027, fica a critério do Procurador-Geral de Maryland.

4. Minnesota

O Lei de Privacidade de Dados do Consumidor de Minnesota (MCDPA) entrará em vigor em 31 de julho de 2025Estabelece obrigações de privacidade para empresas que têm como alvo residentes de Minnesota. Aplica-se a organizações que processam anualmente os dados pessoais de pelo menos 100.000 consumidores ou que obtêm mais de 25% de sua receita bruta com a venda de dados pessoais enquanto processam os dados pessoais de pelo menos 25.000 consumidores.

Os infratores estão sujeitos a multas de até £ 7.500, com um prazo de 30 dias para regularização, válido até 31 de janeiro de 2026. É importante destacar que a MCDPA isenta pequenas empresas, embora estas devam obter o consentimento explícito antes de vender dados pessoais sensíveis. A lei também exige, de forma inédita, a criação de inventários de dados, uma medida que contribui para uma maior conformidade, mas que raramente é exigida por lei.

5. Nebraska

O Lei de Privacidade de Dados do Nebraska (NDPA) entrou em vigor a partir de 1º de janeiro de 2025 e estabelece obrigações de privacidade para entidades que fazem negócios no Nebraska ou oferecem produtos e serviços aos seus residentes. Ao contrário de muitas leis estaduais de privacidade, a NDPA aplica-se a organizações que processam ou vendem dados pessoais, independentemente do volume de dados, desde que não sejam classificadas como pequenas empresas sob a legislação federal. Diretrizes da Administração de Pequenas Empresas.

Os infratores estão sujeitos a multas de até £ 7.500 por infração, com um prazo de 30 dias para regularização, que não expira. Embora as pequenas empresas estejam isentas da maioria dos requisitos, elas devem obter o consentimento explícito antes de vender dados pessoais sensíveis.

6. Nova Hampshire

O Lei de Privacidade de Dados de New Hampshire (NHDPA) A lei entrou em vigor em 1º de janeiro de 2025 e introduz obrigações significativas de privacidade para entidades que fazem negócios no estado ou oferecem produtos e serviços aos seus residentes. A lei se aplica a organizações que, dentro de um período de um ano, controlam ou processam dados pessoais de pelo menos 35.000 consumidores (excluindo dados processados exclusivamente para transações de pagamento) ou obtêm mais de 25% de receita bruta com a venda de dados pessoais de pelo menos 10.000 consumidores.

O não cumprimento pode resultar em multas de até $10.000 por violação, com um período de regularização de 60 dias disponível até 1º de janeiro de 2026.
Diferentemente das leis estaduais de privacidade, a NHDPA apresenta limites de aplicabilidade relativamente baixos, ampliando seu alcance para pequenas empresas. Ao contrário de Iowa, exige avaliações de impacto sobre a privacidade para determinadas atividades e, diferentemente de Delaware, prevê isenções para entidades sem fins lucrativos e organizações regulamentadas pelo governo federal. HIPAA ou GLBACom seu amplo escopo, a NHDPA visa aprimorar as práticas de proteção de dados em todo o estado de New Hampshire.

7. Nova Jersey

Lei de Privacidade de Dados de Nova Jersey (NJDPA) entrou em vigor a partir de 15 de janeiro de 2025 e estabelece limites claros para o cumprimento da lei. Ela se aplica a entidades que controlam ou processam anualmente os dados pessoais de pelo menos 100.000 consumidores — excluindo dados processados exclusivamente para transações de pagamento — ou àquelas que lidam com os dados de pelo menos 25.000 consumidores e geram receita ou recebem descontos com a venda de dados pessoais. As penalidades por descumprimento chegam a $10.000 para a primeira infração e $20.000 para infrações subsequentes, com um prazo de 30 dias para regularização. 15 de julho de 2026.

Diferentemente de outras leis estaduais, a NJDPA não impõe um faturamento mínimo para sua aplicabilidade, tornando-a relevante para além das corretoras de dados tradicionais e das redes de tecnologia de publicidade. Além disso, organizações sem fins lucrativos não estão isentas da lei, embora os dados financeiros usados exclusivamente para transações de pagamento sejam excluídos. Notavelmente, a NJDPA trata certos dados financeiros como sensíveis e exige consentimento explícito para seu processamento fora de fins transacionais.

8. Tennessee

Lei de Proteção de Informações do Tennessee (TIPA) entrará em vigor 1º de julho de 2025 e estabelece requisitos de privacidade para empresas que operam no estado. A lei se aplica a organizações com receita anual superior a US$ 1,4 milhão que realizam negócios no Tennessee ou têm como público-alvo seus residentes e que atendam a um dos seguintes critérios: processar informações pessoais de pelo menos 175.000 consumidores anualmente ou processar dados pessoais de 25.000 consumidores, obtendo receita bruta superior a US$ 50,1 milhão com a venda desses dados. As violações podem resultar em multas de até US$ 1,4 milhão e US$ 7.500 por ocorrência, com indenização triplicada para violações intencionais e um prazo de 60 dias para correção.

A TIPA estabelece um limite de consumidores notavelmente alto — 175.000, em comparação com o padrão de 100.000 — e se aplica exclusivamente a empresas com receita de pelo menos 1,25 milhão de dólares, restringindo seu alcance. Diferentemente das leis estaduais de privacidade, a TIPA permite que as empresas estabeleçam uma defesa afirmativa implementando um programa de privacidade documentado e alinhado com a lei. Estrutura de privacidade do NIST ou normas similares. Embora não seja infalível, essa medida proativa pode mitigar a responsabilidade de organizações em conformidade.

Obtenha conformidade com a privacidade com o BigID.

Independentemente do setor em que sua organização atua, 2025 exigirá que sua equipe analise mais atentamente as diversas legislações de privacidade que podem impactar suas operações diárias. BigID é a plataforma DSPM líder do setor para privacidade de dados, segurança, conformidade e gerenciamento de dados com IA. Obtenha maior visibilidade dos dados da sua empresa e alcance a conformidade de forma simplificada com leis abrangentes de privacidade de dados, como MODPA, TIPA, NJDPA e outras.

Com o BigID, as organizações podem:

• Descubra seus dados: Descubra e catalogue seus dados confidenciais, incluindo dados estruturados, semiestruturados e não estruturados – em ambientes locais e na nuvem.
• Conheça seus dados: Classificar, categorizar, etiquetar e rótulo Dados pessoais sensíveis com precisão, granularidade e escala.
• Mapeie seus dados: Mapeie automaticamente informações pessoais identificáveis (PII) e informações pessoais (PI) para identidades, entidades e locais de residência, a fim de visualizar dados em diferentes sistemas.
• Aplicar as políticas de privacidade: Garantir o alinhamento e a aplicação das políticas de dados de acordo com as normas de privacidade para cumprir os requisitos regulamentares.
• Consentimento universal e gestão de preferências: Gerencie e ajuste o consentimento e as preferências do consumidor de forma universal e centralizada em diversos canais com facilidade.
• Avalie de forma abrangente os riscos à privacidade: Iniciar, gerenciar, documentar e concluir diversas avaliações, incluindo: PIA, DPIA, fornecedor, IA, TIA, LIA e muito mais para conformidade e redução de riscos.
• Simplifique a gestão do ciclo de vida dos dados: Aplique uma abordagem baseada em políticas para automatizar o gerenciamento do ciclo de vida dos dados, abrangendo coleta, retenção e exclusão.

Não espere que os prazos de conformidade o alcancem — Saia na frente com uma demonstração individual dos especialistas em privacidade da BigID hoje mesmo..

Autor

Alexis Porter

Gerente de Marketing de Conteúdo

Alexis atua como Gerente de Marketing de Conteúdo na BigID, uma empresa líder em DSPM (Gerenciamento de Propostas de Conteúdo Digital). Ela se especializa em ajudar startups de tecnologia a desenvolver e aprimorar sua voz, para que contem histórias mais envolventes e que ressoem com públicos diversos. Alexis possui bacharelado em Escrita Profissional e mestrado em Comunicação de Marketing pela Universidade de Denver. Ela reside em Orlando, Flórida.