Foi preciso a magia de um eclipse nos Estados Unidos para que as legislaturas americanas finalmente avançassem no desenvolvimento da regulamentação federal de privacidade de dados. A Lei Americana de Direitos de Privacidade (APRA) é surpreendente, mas não chocante, visto que está em andamento há vários anos. A APRA começou a ter um caminho mais direto em direção à realidade à medida que... ordens executivas sobre transferências de dados e entrega e desenvolvimento de IA seria difícil de implementar sem uma lei nacional.
O que é a Lei Americana de Direitos de Privacidade (APRA)?
A Lei Americana de Direitos de Privacidade de 2024 é atualmente um "projeto de discussão" que fornece uma estrutura nacional de privacidade e segurança de dados, delineando os direitos do consumidor e os requisitos de gerenciamento de dados. De acordo com a APRA, as empresas teriam que limitar os tipos de dados de consumidores que coletam, retêm e usam, permitindo apenas os dados necessários para operar seus serviços.
Por que o APRA é importante?
A nova legislação preenche as peças do quebra-cabeça da proteção da privacidade de dados e adapta-se às novas complexidades da segurança cibernética e aos avanços tecnológicos, como Inteligência Artificial (IA). Aborda os constantes desafios da privacidade de dados e propõe uma abordagem mais unificada para conceder aos consumidores direitos específicos sobre seus dados pessoais. A ARPA oferece aos americanos mais controle sobre sua privacidade online, como o direito de optar por não participar de anúncios direcionados e tomar medidas legais para violando seus direitos de privacidade.
O que você precisa saber sobre a APRA
O rascunho do APRA é uma versão evoluída do Lei Americana de Privacidade e Proteção de Dados (ADPPA). Ambas as legislações forneciam direitos de privacidade aos consumidores, exigiam a minimização de dados, medidas de segurança avançadas e estabeleciam regras Comissão Federal de Comércio (FTC). No entanto, embora ambos sejam semelhantes, algumas mudanças significativas precisam de atenção:
Exclusões
A APRA exclui pequenas empresas somente se:
- A receita anual é inferior a US$ 40 milhões.
- O processamento de dados envolve mais de 200.000 indivíduos, com exceções.
- Nenhuma receita é obtida pela transferência de dados para terceiros.
Responsabilidade Executiva
A ARPA exige um responsável designado pela privacidade ou segurança de dados, mas não precisa ser um cargo independente ou uma nova contratação.
Transparência de dados
- As políticas de privacidade devem incluir informações específicas, incluindo categorias de dados coletados, processados ou retidos; a finalidade do processamento dos dados, a duração dos dados retidos, as práticas de segurança de dados, a lista de terceiros e os nomes de quaisquer transferências de corretores de dados.
- A política de privacidade também deve detalhar como os consumidores podem exercer seus direitos.
- Alterações materiais na política de privacidade exigem aviso prévio e formas de cancelamento.
Minimização de dados
Há uma grande ênfase em minimização de dados que restringe os dados coletados e utilizados às finalidades consideradas necessárias e limitadas, com tratamento e consentimento especiais para informações biométricas e genéticas.
Segurança e Proteção de Dados
A APRA exige que as organizações estabeleçam padrões de segurança de dados adequados ao porte da empresa, à natureza e ao escopo do gerenciamento de dados, ao volume e à sensibilidade dos dados e às tecnologias utilizadas para protegê-los. As organizações também devem avaliar vulnerabilidades e mitigar riscos aos dados dos consumidores.

Direito Privado de Ação
A APRA introduziu um direito privado de ação. O direito privado de ação permitirá que os consumidores entrem com ações judiciais e busquem indenização contra empresas que cumprem direitos de privacidade de dados, como solicitações de exclusão de dados, ou que utilizam dados pessoais sem consentimento.
Avaliações de Impacto à Privacidade
A APRA exige avaliações de impacto de privacidade para algoritmos cobertos que representam um “risco consequente”, especialmente quando se referem a:
- Crianças e menores
- Moradia, educação, emprego, assistência médica, seguro ou crédito
- Acomodações públicas baseadas em características protegidas;
- Raça, cor, religião e sexo
- Registro e filiação a partidos políticos.
Prestadores de serviços e terceiros
- A APRA exige que as organizações façam a devida diligência ao selecionar um provedor de serviços e compartilhar dados com terceiros.
- Os prestadores de serviços devem seguir as instruções de uma entidade coberta e cumprir as obrigações sob o APRA.
Direitos do Consumidor da APRA
De acordo com a APRA, os consumidores têm o direito de:
- Acessar os dados coletados, processados ou retidos após o envio de uma solicitação verificada
- Saiba o nome de qualquer terceiro ou prestador de serviços para o qual os dados foram transferidos e a finalidade da transferência
- Corrigir dados imprecisos ou incompletos sobre um indivíduo
- Excluir os dados de um indivíduo
- Exportar dados relativos a um indivíduo
- Não sofrer retaliações por exercer direitos de consumidor
- Optar por não receber transferências de dados e publicidade direcionada
- Exclusão de algoritmos para decisões consequentes relacionadas a emprego, saúde, educação, moradia, crédito ou seguro
As organizações devem cumprir os direitos individuais de privacidade de dados dentro dos prazos corretos. As organizações podem negar uma solicitação se ela exigir acesso a dados de outra pessoa; interferir em um processo legal; ou violar outras leis.
Como a ARPA afeta a legislação estadual nova e emergente?
Embora o ARPA seja aplicado nacionalmente, leis estaduais individuais podem não ser mais aplicáveis, mas ainda serão relevantes em questões específicas, como proteção ao consumidor, direitos civis, saúde e dados financeiros.
A legislação é semelhante às leis estaduais existentes, como CCPA/CPRA, que incluem disposições semelhantes sobre a proteção de dados genéticos e biométricos.
Como o BigID ajuda as organizações a se anteciparem à APRA
Independentemente do resultado do novo APRA, BigID está preparada para ajudar organizações a cumprir as regulamentações de privacidade em evolução e se adaptar ao cenário de privacidade de dados em constante mudança, implementando um programa de privacidade abrangente.
Aproveite o gerenciamento de privacidade de dados automatizado por IA e com reconhecimento de identidade da BigID para risco e conformidade para ir além de políticas e processos para:
- Descubra seus dados: Descubra e catalogue seus dados confidenciais, incluindo estruturados, semiestruturados e não estruturados, em ambientes locais e na nuvem.
- Mapeie seus dados: Automaticamente mapear PII e PI para identidades, entidades e residências para visualizar dados em todos os sistemas.
- Aplicar políticas de privacidade: Garantir o alinhamento e a aplicação das políticas de dados de acordo com os mandatos de privacidade para atender aos requisitos de conformidade regulatória.
- Automatize o gerenciamento de direitos de dados: Automatize solicitações de cumprimento de direitos de dados pessoais e individuais, desde acesso e atualizações até apelações e exclusões.
- Rastrear violações e ética da IA: Avalie e monitore a tecnologia e o uso de IA em toda a organização para proteger dados pessoais e remediar riscos.
- Monitorar transferências transfronteiriças de dados: Aplique residência a fontes de dados e dados pessoais individuais com políticas para disparar alertas sobre violações de transferência internacional de dados.
- Avalie os riscos de privacidade: Inicie, gerencie, documente e conclua várias avaliações, incluindo PIA, DPIA, fornecedor, IA, TIA, LIA e muito mais para conformidade e redução de riscos.
- Acelere a análise e resposta a violações: Determine com precisão a extensão de uma violação de dados e notifique os indivíduos e entidades corretos de acordo com os requisitos regulatórios.
- Simplifique o gerenciamento do ciclo de vida dos dados: Aplique uma abordagem baseada em políticas para automatizar o gerenciamento do ciclo de vida de dados durante a coleta, retenção e exclusão.
Obtenha uma demonstração 1:1 para ver como o BigID permite que as empresas automatizem e operacionalizem seus programas de privacidade para cumprir com a APRA.