Pular para o conteúdo

A Lei Americana de Direitos à Privacidade (APRA): Tudo o que você precisa saber

Por Verrion Wright Estratégia e Desenvolvimento de Conteúdo

5 leitura de minutos

Foi preciso um eclipse solar total para que o legislativo americano finalmente avançasse no desenvolvimento de uma regulamentação federal sobre privacidade de dados. A Lei de Direitos de Privacidade dos Estados Unidos (APRA, na sigla em inglês) é surpreendente, mas não chocante, visto que já estava em discussão há vários anos. A APRA começou a trilhar um caminho mais direto rumo à realidade com a recente aprovação de leis federais. ordens executivas A implementação de medidas relacionadas à transferência de dados e ao desenvolvimento e aplicação de IA seria difícil sem uma legislação nacional.

O que é a Lei Americana de Direitos de Privacidade (APRA)?

A Lei de Direitos de Privacidade Americana de 2024 (American Privacy Rights Act of 2024 - APRA) é atualmente um "rascunho para discussão" que fornece uma estrutura nacional de privacidade e segurança de dados, delineando os direitos do consumidor e os requisitos de gerenciamento de dados. De acordo com a APRA, as empresas teriam que limitar os tipos de dados do consumidor que coletam, retêm e utilizam, permitindo apenas os dados necessários para operar seus serviços.

Por que a APRA é importante?

A nova legislação preenche lacunas no quebra-cabeça da proteção da privacidade de dados e se adapta às novas complexidades da segurança cibernética e aos avanços tecnológicos, como: Inteligência Artificial (IA)Ela aborda os constantes desafios à privacidade de dados e propõe uma abordagem mais unificada para conceder aos consumidores direitos específicos sobre seus dados pessoais. A ARPA dá aos americanos mais controle sobre sua privacidade online, como por exemplo: o direito de optar por não participar de anúncios direcionados e tomar medidas legais por violando seus direitos de privacidade.

Baixe o relatório The Forrester Wave™: Software de Gestão de Privacidade, 4º trimestre de 2023

O que você precisa saber sobre a APRA

A minuta da APRA é uma versão evoluída da Lei Americana de Proteção e Privacidade de Dados (ADPPA)Ambas as legislações concederam direitos de privacidade aos consumidores, exigiram a minimização de dados, medidas de segurança avançadas e estabeleceram a regulamentação por parte do consumidor. Comissão Federal de Comércio (FTC)No entanto, embora ambos sejam semelhantes, várias mudanças significativas precisam ser consideradas:

Exclusões

A APRA exclui pequenas empresas somente se:

  • A receita anual é inferior a 40 milhões de dólares.
  • O processamento de dados envolve mais de 200.000 indivíduos, com algumas exceções.
  • Nenhuma receita é obtida com a transferência de dados para terceiros.

Responsabilidade Executiva

A ARPA exige um responsável designado pela privacidade ou segurança de dados, mas não precisa ser um cargo independente ou uma nova contratação.

Transparência de dados

  • As políticas de privacidade devem incluir informações específicas, como as categorias de dados coletados, processados ou armazenados; a finalidade do processamento dos dados, o período de retenção dos dados, as práticas de segurança de dados, a lista de terceiros e os nomes de quaisquer intermediários de dados envolvidos na transferência dos dados.
  • A política de privacidade também deve detalhar como os consumidores podem exercer seus direitos.
  • Alterações substanciais à política de privacidade exigem aviso prévio e opções de cancelamento.

Minimização de dados

Há uma grande ênfase em minimização de dados que restringe os dados coletados e utilizados a fins considerados necessários e limitados, com tratamento especial e consentimento para informações biométricas e genéticas.

Segurança e proteção de dados

A APRA exige que as organizações estabeleçam padrões de segurança de dados adequados ao porte da empresa, à natureza e ao escopo do gerenciamento de dados, ao volume e à sensibilidade dos dados e às tecnologias utilizadas para protegê-los. As organizações também devem avaliar as vulnerabilidades e mitigar os riscos aos dados do consumidor.

Baixe o Guia DSPM.

Direito Privado de Ação

A APRA introduziu o direito de ação privada. Esse direito permitirá que os consumidores entrem com ações judiciais e busquem indenização contra empresas que descumprem os direitos de privacidade de dados, como solicitações de exclusão de dados, ou que utilizam dados pessoais sem consentimento.

Avaliações de Impacto na Privacidade

A APRA exige avaliações de impacto na privacidade para algoritmos abrangidos que representem um “risco consequente”, especialmente quando se referem a:

  • Crianças e menores
  • Moradia, educação, emprego, saúde, seguro ou crédito
  • Alojamentos públicos baseados em características protegidas;
  • Raça, cor, religião e sexo
  • Registro e filiação a partidos políticos.

Explore nosso aplicativo de automação PIA

Prestadores de serviços e terceiros

  • A APRA exige que as organizações façam a devida diligência ao selecionar um prestador de serviços e ao compartilhar dados com terceiros.
  • Os prestadores de serviços devem seguir as instruções da entidade abrangida e cumprir as obrigações previstas na APRA.

Direitos do Consumidor da APRA

De acordo com a APRA, os consumidores têm o direito de:

  • Aceder aos seus dados recolhidos, processados ou conservados após o envio de um pedido verificado.
  • Saiba o nome de qualquer terceiro ou prestador de serviços para o qual os dados foram transferidos e a finalidade da transferência.
  • Corrigir dados imprecisos ou incompletos referentes a um indivíduo.
  • Excluir os dados de um indivíduo
  • Exportar dados relativos a um indivíduo
  • Não sofrer represálias por exercer os direitos do consumidor.
  • Desativar a transferência de dados e a publicidade direcionada.
  • Opção de desativação de algoritmos para decisões importantes relacionadas a emprego, saúde, educação, moradia, crédito ou seguros.

As organizações devem respeitar os direitos individuais de privacidade de dados dentro dos prazos adequados. As organizações podem negar uma solicitação se esta exigir acesso a dados de terceiros, interferir em um processo legal ou violar outras leis.

Como a ARPA afeta a legislação estadual nova e emergente?

Embora a ARPA seja aplicada em nível nacional, as leis estaduais individuais podem deixar de ser aplicáveis, mas ainda serão relevantes em questões específicas, como proteção do consumidor, direitos civis, saúde e dados financeiros.

A legislação é semelhante às leis estaduais existentes, como por exemplo: CCPA/CPRA, que incluem disposições semelhantes em torno da proteção de dados genéticos e biométricos.

Veja o BigID em ação.

Como a BigID ajuda as organizações a se destacarem perante a APRA

Independentemente do resultado da nova APRA, BigID Está preparada para ajudar as organizações a cumprir as regulamentações de privacidade em constante evolução e a se adaptar ao cenário de privacidade de dados em constante mudança, implementando um programa de privacidade abrangente.

Aproveite a gestão de privacidade de dados automatizada por IA e com reconhecimento de identidade da BigID para riscos e conformidade, indo além de políticas e processos para:

  • Descubra seus dados: Descubra e catalogue seus dados confidenciais, incluindo dados estruturados, semiestruturados e não estruturados – em ambientes locais e na nuvem.
  • Mapeie seus dados: Automaticamente mapear PII e PI para identidadesentidades e residências para visualizar dados em diferentes sistemas.
  • Aplicar as políticas de privacidade: Garantir o alinhamento e a aplicação das políticas de dados de acordo com as normas de privacidade para cumprir os requisitos regulamentares.
  • Automatize o gerenciamento de direitos de dados: Automatize as solicitações individuais de cumprimento dos direitos de dados pessoais, desde o acesso e atualizações até recursos e exclusão.
  • Monitore as violações e a ética da IA: Avaliar e monitorar a tecnologia e o uso de IA em toda a organização para proteger dados pessoais e mitigar riscos.
  • Monitorar transferências de dados transfronteiriças: Aplicar critérios de residência às fontes de dados e aos dados pessoais individuais, com políticas que acionem alertas sobre violações na transferência internacional de dados.
  • Avaliar os riscos à privacidade: Iniciar, gerenciar, documentar e concluir diversas avaliações, incluindo PIA, DPIA, de fornecedores, IA, TIA, LIA e outras, para fins de conformidade e redução de riscos.
  • Acelerar a análise e a resposta a violações de segurança: Determinar com precisão a extensão de uma violação de dados e notificar as pessoas e entidades corretas, de acordo com os requisitos regulamentares.
  • Simplifique a gestão do ciclo de vida dos dados: Aplicar uma abordagem baseada em políticas para automatizar a gestão do ciclo de vida dos dados em toda a coleta, retenção, e eliminação.

Solicite uma demonstração personalizada Veja como a BigID permite que as empresas automatizem e operacionalizem seus programas de privacidade para cumprir a APRA.

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produto, desenvolvimento de conteúdo e estratégia digital. Com foco em insights baseados em dados e marketing integrado, ocupou cargos de liderança em diversos setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, responsável por elevar a qualidade do conteúdo em todos os pilares, regiões e públicos, criando conteúdo atraente em diversos formatos, como vídeos, artigos, checklists, white papers e guias.

Conteúdo

Guia de Direitos de Privacidade de Dados

Baixar Whitepaper

Postagens relacionadas

Ver todas as postagens