A Lei Americana de Direitos de Privacidade (APRA): Tudo o que você precisa saber

Por Verrion Wright , Estratégia e Desenvolvimento de Conteúdo

16 de abril de 2024

5 leitura de um minuto

Foi preciso a magia de um eclipse nos Estados Unidos para que as legislaturas americanas finalmente avançassem no desenvolvimento da regulamentação federal de privacidade de dados. A Lei Americana de Direitos de Privacidade (APRA) é surpreendente, mas não chocante, visto que está em andamento há vários anos. A APRA começou a ter um caminho mais direto em direção à realidade à medida que... ordens executivas sobre transferências de dados e entrega e desenvolvimento de IA seria difícil de implementar sem uma lei nacional.

O que é a Lei Americana de Direitos de Privacidade (APRA)?

A Lei Americana de Direitos de Privacidade de 2024 é atualmente um "projeto de discussão" que fornece uma estrutura nacional de privacidade e segurança de dados, delineando os direitos do consumidor e os requisitos de gerenciamento de dados. De acordo com a APRA, as empresas teriam que limitar os tipos de dados de consumidores que coletam, retêm e usam, permitindo apenas os dados necessários para operar seus serviços.

Por que o APRA é importante?

A nova legislação preenche as peças do quebra-cabeça da proteção da privacidade de dados e adapta-se às novas complexidades da segurança cibernética e aos avanços tecnológicos, como Inteligência Artificial (IA). Aborda os constantes desafios da privacidade de dados e propõe uma abordagem mais unificada para conceder aos consumidores direitos específicos sobre seus dados pessoais. A ARPA oferece aos americanos mais controle sobre sua privacidade online, como o direito de optar por não participar de anúncios direcionados e tomar medidas legais para violando seus direitos de privacidade.

Baixe o Forrester Wave™: Software de Gestão de Privacidade, 4º Trimestre de 2023

O que você precisa saber sobre a APRA

O rascunho do APRA é uma versão evoluída do Lei Americana de Privacidade e Proteção de Dados (ADPPA). Ambas as legislações forneciam direitos de privacidade aos consumidores, exigiam a minimização de dados, medidas de segurança avançadas e estabeleciam regras Comissão Federal de Comércio (FTC). No entanto, embora ambos sejam semelhantes, algumas mudanças significativas precisam de atenção:

Exclusões

A APRA exclui pequenas empresas somente se:

A receita anual é inferior a US$ 40 milhões.
O processamento de dados envolve mais de 200.000 indivíduos, com exceções.
Nenhuma receita é obtida pela transferência de dados para terceiros.

Responsabilidade Executiva

A ARPA exige um responsável designado pela privacidade ou segurança de dados, mas não precisa ser um cargo independente ou uma nova contratação.

Transparência de dados

As políticas de privacidade devem incluir informações específicas, incluindo categorias de dados coletados, processados ou retidos; a finalidade do processamento dos dados, a duração dos dados retidos, as práticas de segurança de dados, a lista de terceiros e os nomes de quaisquer transferências de corretores de dados.
A política de privacidade também deve detalhar como os consumidores podem exercer seus direitos.
Alterações materiais na política de privacidade exigem aviso prévio e formas de cancelamento.

Minimização de dados

Há uma grande ênfase em minimização de dados que restringe os dados coletados e utilizados às finalidades consideradas necessárias e limitadas, com tratamento e consentimento especiais para informações biométricas e genéticas.

Segurança e Proteção de Dados

A APRA exige que as organizações estabeleçam padrões de segurança de dados adequados ao porte da empresa, à natureza e ao escopo do gerenciamento de dados, ao volume e à sensibilidade dos dados e às tecnologias utilizadas para protegê-los. As organizações também devem avaliar vulnerabilidades e mitigar riscos aos dados dos consumidores.

Direito Privado de Ação

A APRA introduziu um direito privado de ação. O direito privado de ação permitirá que os consumidores entrem com ações judiciais e busquem indenização contra empresas que cumprem direitos de privacidade de dados, como solicitações de exclusão de dados, ou que utilizam dados pessoais sem consentimento.

Avaliações de Impacto à Privacidade

A APRA exige avaliações de impacto de privacidade para algoritmos cobertos que representam um “risco consequente”, especialmente quando se referem a:

Crianças e menores
Moradia, educação, emprego, assistência médica, seguro ou crédito
Acomodações públicas baseadas em características protegidas;
Raça, cor, religião e sexo
Registro e filiação a partidos políticos.

Explore nosso aplicativo de automação PIA

Prestadores de serviços e terceiros

A APRA exige que as organizações façam a devida diligência ao selecionar um provedor de serviços e compartilhar dados com terceiros.
Os prestadores de serviços devem seguir as instruções de uma entidade coberta e cumprir as obrigações sob o APRA.

Direitos do Consumidor da APRA

De acordo com a APRA, os consumidores têm o direito de:

Acessar os dados coletados, processados ou retidos após o envio de uma solicitação verificada
Saiba o nome de qualquer terceiro ou prestador de serviços para o qual os dados foram transferidos e a finalidade da transferência
Corrigir dados imprecisos ou incompletos sobre um indivíduo
Excluir os dados de um indivíduo
Exportar dados relativos a um indivíduo
Não sofrer retaliações por exercer direitos de consumidor
Optar por não receber transferências de dados e publicidade direcionada
Exclusão de algoritmos para decisões consequentes relacionadas a emprego, saúde, educação, moradia, crédito ou seguro

As organizações devem cumprir os direitos individuais de privacidade de dados dentro dos prazos corretos. As organizações podem negar uma solicitação se ela exigir acesso a dados de outra pessoa; interferir em um processo legal; ou violar outras leis.

Como a ARPA afeta a legislação estadual nova e emergente?

Embora o ARPA seja aplicado nacionalmente, leis estaduais individuais podem não ser mais aplicáveis, mas ainda serão relevantes em questões específicas, como proteção ao consumidor, direitos civis, saúde e dados financeiros.

A legislação é semelhante às leis estaduais existentes, como CCPA/CPRA, que incluem disposições semelhantes sobre a proteção de dados genéticos e biométricos.

Veja o BigID em ação

Como o BigID ajuda as organizações a se anteciparem à APRA

Independentemente do resultado do novo APRA, BigID está preparada para ajudar organizações a cumprir as regulamentações de privacidade em evolução e se adaptar ao cenário de privacidade de dados em constante mudança, implementando um programa de privacidade abrangente.

Aproveite o gerenciamento de privacidade de dados automatizado por IA e com reconhecimento de identidade da BigID para risco e conformidade para ir além de políticas e processos para:

Descubra seus dados: Descubra e catalogue seus dados confidenciais, incluindo estruturados, semiestruturados e não estruturados, em ambientes locais e na nuvem.
Mapeie seus dados: Automaticamente mapear PII e PI para identidades, entidades e residências para visualizar dados em todos os sistemas.
Aplicar políticas de privacidade: Garantir o alinhamento e a aplicação das políticas de dados de acordo com os mandatos de privacidade para atender aos requisitos de conformidade regulatória.
Automatize o gerenciamento de direitos de dados: Automatize solicitações de cumprimento de direitos de dados pessoais e individuais, desde acesso e atualizações até apelações e exclusões.
Rastrear violações e ética da IA: Avalie e monitore a tecnologia e o uso de IA em toda a organização para proteger dados pessoais e remediar riscos.
Monitorar transferências transfronteiriças de dados: Aplique residência a fontes de dados e dados pessoais individuais com políticas para disparar alertas sobre violações de transferência internacional de dados.
Avalie os riscos de privacidade: Inicie, gerencie, documente e conclua várias avaliações, incluindo PIA, DPIA, fornecedor, IA, TIA, LIA e muito mais para conformidade e redução de riscos.
Acelere a análise e resposta a violações: Determine com precisão a extensão de uma violação de dados e notifique os indivíduos e entidades corretos de acordo com os requisitos regulatórios.
Simplifique o gerenciamento do ciclo de vida dos dados: Aplique uma abordagem baseada em políticas para automatizar o gerenciamento do ciclo de vida de dados durante a coleta, retenção e exclusão.

Obtenha uma demonstração 1:1 para ver como o BigID permite que as empresas automatizem e operacionalizem seus programas de privacidade para cumprir com a APRA.

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produtos, desenvolvimento de conteúdo e estratégia digital. Com foco em insights orientados por dados e marketing integrado, ele ocupou cargos seniores em vários setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, que ajuda a elevar o conteúdo em todos os pilares, regiões e compradores, criando consistentemente conteúdo atraente em várias mídias, incluindo vídeos, artigos, listas de verificação, white papers e guias.

Conteúdo

O que é a Lei Americana de Direitos de Privacidade (APRA)?
Por que o APRA é importante?
O que você precisa saber sobre a APRA
Exclusões
Responsabilidade Executiva
Transparência de dados
Minimização de dados
Segurança e Proteção de Dados
Direito Privado de Ação
Avaliações de Impacto à Privacidade
Prestadores de serviços e terceiros
Direitos do Consumidor da APRA
Como a ARPA afeta a legislação estadual nova e emergente?
Como o BigID ajuda as organizações a se anteciparem à APRA

Guia de direitos de privacidade de dados

Download do whitepaper