Pular para o conteúdo
Ver todas as postagens

A Lei Americana de Direitos de Privacidade (APRA): Tudo o que você precisa saber

Foi preciso a magia de um eclipse nos Estados Unidos para que as legislaturas americanas finalmente avançassem no desenvolvimento da regulamentação federal de privacidade de dados. A Lei Americana de Direitos de Privacidade (APRA) é surpreendente, mas não chocante, visto que está em andamento há vários anos. A APRA começou a ter um caminho mais direto em direção à realidade à medida que... ordens executivas sobre transferências de dados e entrega e desenvolvimento de IA seria difícil de implementar sem uma lei nacional.

O que é a Lei Americana de Direitos de Privacidade (APRA)?

A Lei Americana de Direitos de Privacidade de 2024 é atualmente um "projeto de discussão" que fornece uma estrutura nacional de privacidade e segurança de dados, delineando os direitos do consumidor e os requisitos de gerenciamento de dados. De acordo com a APRA, as empresas teriam que limitar os tipos de dados de consumidores que coletam, retêm e usam, permitindo apenas os dados necessários para operar seus serviços.

Por que o APRA é importante?

A nova legislação preenche as peças do quebra-cabeça da proteção da privacidade de dados e adapta-se às novas complexidades da segurança cibernética e aos avanços tecnológicos, como Inteligência Artificial (IA). Aborda os constantes desafios da privacidade de dados e propõe uma abordagem mais unificada para conceder aos consumidores direitos específicos sobre seus dados pessoais. A ARPA oferece aos americanos mais controle sobre sua privacidade online, como o direito de optar por não participar de anúncios direcionados e tomar medidas legais para violando seus direitos de privacidade.

Baixe o Forrester Wave™: Software de Gestão de Privacidade, 4º Trimestre de 2023

O que você precisa saber sobre a APRA

O rascunho do APRA é uma versão evoluída do Lei Americana de Privacidade e Proteção de Dados (ADPPA). Ambas as legislações forneciam direitos de privacidade aos consumidores, exigiam a minimização de dados, medidas de segurança avançadas e estabeleciam regras Comissão Federal de Comércio (FTC). No entanto, embora ambos sejam semelhantes, algumas mudanças significativas precisam de atenção:

Exclusões

A APRA exclui pequenas empresas somente se:

  • A receita anual é inferior a US$ 40 milhões.
  • O processamento de dados envolve mais de 200.000 indivíduos, com exceções.
  • Nenhuma receita é obtida pela transferência de dados para terceiros.

Responsabilidade Executiva

A ARPA exige um responsável designado pela privacidade ou segurança de dados, mas não precisa ser um cargo independente ou uma nova contratação.

Transparência de dados

  • As políticas de privacidade devem incluir informações específicas, incluindo categorias de dados coletados, processados ou retidos; a finalidade do processamento dos dados, a duração dos dados retidos, as práticas de segurança de dados, a lista de terceiros e os nomes de quaisquer transferências de corretores de dados.
  • A política de privacidade também deve detalhar como os consumidores podem exercer seus direitos.
  • Alterações materiais na política de privacidade exigem aviso prévio e formas de cancelamento.

Minimização de dados

Há uma grande ênfase em minimização de dados que restringe os dados coletados e utilizados às finalidades consideradas necessárias e limitadas, com tratamento e consentimento especiais para informações biométricas e genéticas.

Segurança e Proteção de Dados

A APRA exige que as organizações estabeleçam padrões de segurança de dados adequados ao porte da empresa, à natureza e ao escopo do gerenciamento de dados, ao volume e à sensibilidade dos dados e às tecnologias utilizadas para protegê-los. As organizações também devem avaliar vulnerabilidades e mitigar riscos aos dados dos consumidores.

Baixe o Guia DSPM.

Direito Privado de Ação

A APRA introduziu um direito privado de ação. O direito privado de ação permitirá que os consumidores entrem com ações judiciais e busquem indenização contra empresas que cumprem direitos de privacidade de dados, como solicitações de exclusão de dados, ou que utilizam dados pessoais sem consentimento.

Avaliações de Impacto à Privacidade

A APRA exige avaliações de impacto de privacidade para algoritmos cobertos que representam um “risco consequente”, especialmente quando se referem a:

  • Crianças e menores
  • Moradia, educação, emprego, assistência médica, seguro ou crédito
  • Acomodações públicas baseadas em características protegidas;
  • Raça, cor, religião e sexo
  • Registro e filiação a partidos políticos.
Explore nosso aplicativo de automação PIA

Prestadores de serviços e terceiros

  • A APRA exige que as organizações façam a devida diligência ao selecionar um provedor de serviços e compartilhar dados com terceiros.
  • Os prestadores de serviços devem seguir as instruções de uma entidade coberta e cumprir as obrigações sob o APRA.

Direitos do Consumidor da APRA

De acordo com a APRA, os consumidores têm o direito de:

  • Acessar os dados coletados, processados ou retidos após o envio de uma solicitação verificada
  • Saiba o nome de qualquer terceiro ou prestador de serviços para o qual os dados foram transferidos e a finalidade da transferência
  • Corrigir dados imprecisos ou incompletos sobre um indivíduo
  • Excluir os dados de um indivíduo
  • Exportar dados relativos a um indivíduo
  • Não sofrer retaliações por exercer direitos de consumidor
  • Optar por não receber transferências de dados e publicidade direcionada
  • Exclusão de algoritmos para decisões consequentes relacionadas a emprego, saúde, educação, moradia, crédito ou seguro

As organizações devem cumprir os direitos individuais de privacidade de dados dentro dos prazos corretos. As organizações podem negar uma solicitação se ela exigir acesso a dados de outra pessoa; interferir em um processo legal; ou violar outras leis.

Como a ARPA afeta a legislação estadual nova e emergente?

Embora o ARPA seja aplicado nacionalmente, leis estaduais individuais podem não ser mais aplicáveis, mas ainda serão relevantes em questões específicas, como proteção ao consumidor, direitos civis, saúde e dados financeiros.

A legislação é semelhante às leis estaduais existentes, como CCPA/CPRA, que incluem disposições semelhantes sobre a proteção de dados genéticos e biométricos.

Veja o BigID em ação

Como o BigID ajuda as organizações a se anteciparem à APRA

Independentemente do resultado do novo APRA, BigID está preparada para ajudar organizações a cumprir as regulamentações de privacidade em evolução e se adaptar ao cenário de privacidade de dados em constante mudança, implementando um programa de privacidade abrangente.

Aproveite o gerenciamento de privacidade de dados automatizado por IA e com reconhecimento de identidade da BigID para risco e conformidade para ir além de políticas e processos para:

  • Descubra seus dados: Descubra e catalogue seus dados confidenciais, incluindo estruturados, semiestruturados e não estruturados, em ambientes locais e na nuvem.
  • Mapeie seus dados: Automaticamente mapear PII e PI para identidades, entidades e residências para visualizar dados em todos os sistemas.
  • Aplicar políticas de privacidade: Garantir o alinhamento e a aplicação das políticas de dados de acordo com os mandatos de privacidade para atender aos requisitos de conformidade regulatória.
  • Automatize o gerenciamento de direitos de dados: Automatize solicitações de cumprimento de direitos de dados pessoais e individuais, desde acesso e atualizações até apelações e exclusões.
  • Rastrear violações e ética da IA: Avalie e monitore a tecnologia e o uso de IA em toda a organização para proteger dados pessoais e remediar riscos.
  • Monitorar transferências transfronteiriças de dados: Aplique residência a fontes de dados e dados pessoais individuais com políticas para disparar alertas sobre violações de transferência internacional de dados.
  • Avalie os riscos de privacidade: Inicie, gerencie, documente e conclua várias avaliações, incluindo PIA, DPIA, fornecedor, IA, TIA, LIA e muito mais para conformidade e redução de riscos.
  • Acelere a análise e resposta a violações: Determine com precisão a extensão de uma violação de dados e notifique os indivíduos e entidades corretos de acordo com os requisitos regulatórios.
  • Simplifique o gerenciamento do ciclo de vida dos dados: Aplique uma abordagem baseada em políticas para automatizar o gerenciamento do ciclo de vida de dados durante a coleta, retenção e exclusão.

Obtenha uma demonstração 1:1 para ver como o BigID permite que as empresas automatizem e operacionalizem seus programas de privacidade para cumprir com a APRA.

Conteúdo

Guia de direitos de privacidade de dados

Download do whitepaper