Lista de verificação de conformidade com o CDPA – Proteção de Dados do Consumidor

A Virgínia pode ter sido o 10º estado dos EUA, mas é o 2º estado depois da Califórnia a aprovar legislação de privacidade de dados em lei.

Clique aqui para baixar a lista de verificação – ou continue para obter detalhes sobre como as empresas podem se preparar para a Lei de Privacidade de Dados do Consumidor da Virgínia (CDPA).

Visão geral do CDPA

A Virgínia Lei de Privacidade de Dados do Consumidor (CDPA) foi promulgada em 1º de janeiro de 2023. A nova legislação coloca os direitos de dados nas mãos dos consumidores da Virgínia e impõe novas obrigações aos controladores e processadores de dados, que se aplicam a qualquer pessoa que conduza negócios na Comunidade da Virgínia - ou produza produtos ou serviços para residentes da Virgínia.

Quem a Lei de Privacidade de Dados do Consumidor protege?

A lei protege qualquer indivíduo residente ou residente na Virgínia que possa ser razoavelmente identificado.

A legislação foi elaborada para proteger os consumidores da Virgínia e motivar (e obrigar) todas as organizações que processam informações de residentes da Virgínia a serem responsáveis pela proteção da privacidade de dados e pela salvaguarda adequada dos dados dos consumidores.

Âmbito Territorial do CDPA

Qualquer empresa que colete dados pessoais e realize negócios na Comunidade da Virgínia ou produza produtos ou serviços direcionados a residentes da Virgínia deve cumprir o CDPA. O CDPA estabelece limites para a quantidade de dados coletados, processados e monetizados com estes termos específicos:

• Qualquer empresa que controle ou processe os dados pessoais de 100.000 ou mais consumidores da Virgínia dentro de um ano
• Qualquer empresa que controle ou processe dados pessoais de pelo menos 25.000 consumidores e obtenha mais de 50% de receita bruta com a venda de dados pessoais.

Penalidades e aplicação do CDPA

• O CDPA da Virgínia não prevê um direito privado de ação, o que significa que os cidadãos da Virgínia não podem tomar medidas legais por violações do CDPA.
• O procurador-geral da Virgínia gerencia exclusivamente a execução do CDPA.
• Caso o controlador não cumpra as regras, poderá ser aplicada uma multa de até $7.500 por violação. O controlador deverá resolver a situação e fornecer uma notificação por escrito informando a violação e a resolução.

Direitos de Dados do Consumidor CDPA

• direito de acesso: os consumidores podem apresentar uma solicitação de acesso ao titular dos dados (DSAR) para obter acesso às suas informações pessoais, o que também inclui o direito de confirmar se uma organização está processando dados pessoais do consumidor
• direito à correção: as empresas devem oferecer aos consumidores a capacidade de atualizar e corrigir informações imprecisas que uma empresa possa ter sobre elas.
• direito à eliminação: Os consumidores têm o direito de solicitar que seus dados sejam excluídos (ou colocados em quarentena razoável)
• direito à portabilidade de dados: Os consumidores precisam ter seus dados transferidos com segurança entre os sistemas.
• direito de optar por não participar: Os consumidores podem optar por não receber processamento de dados para publicidade direcionada, venda de dados pessoais ou criação de perfil para promover decisões que produzam efeitos legais ou similarmente significativos em relação ao consumidor.

As organizações devem tomar medidas sobre as solicitações dos consumidores no prazo de 45 dias após o recebimento e estabelecer um processo de apelação quando uma solicitação do consumidor não está concluído.

O que o CDPA significa para as organizações

O CDPA, semelhante ao CPRA, tem requisitos específicos para minimização de dados, políticas de retençãoe avaliações de impacto da proteção de dados (DPIA) para mitigar o risco de privacidade:

• Minimização de dados: o CDPA exige que as organizações implementem princípios de minimização de dados para limitar o processamento de dados além de uma finalidade necessária.
• Políticas de retenção de dados: as empresas devem aplicar políticas de retenção para garantir que os dados mantidos sejam razoavelmente necessários.
• Avaliações de risco de privacidade: para que as empresas avaliem adequadamente os riscos, o CDPA exige que as organizações conduzam avaliações de impacto à proteção de dados (DPIA) quando:
  • Processamento de dados para marketing direcionado
  • Venda de dados pessoais
  • Processamento de dados para criação de perfil
  • Processamento de dados sensíveis
  • Qualquer atividade de processamento que represente um risco para os consumidores

Responsabilidades das organizações em relação aos dados pessoais de acordo com o CDPA

Dados pessoais, segundo o CDPA, referem-se a informações vinculadas ou razoavelmente vinculadas à identificação de uma pessoa física na Virgínia. No entanto, isso exclui dados publicamente acessíveis e anonimizados — e a lei estabelece padrões específicos sobre como gerenciar dados anonimizados.
As organizações só estão autorizadas a processar dados sensíveis com o consentimento dos consumidores ou “consentimento parental” quando se tratar de dados de crianças, na sequência da Lei de Proteção à Privacidade Online de Crianças (COPPA).

O CDPA define dados sensíveis como:

• Raça ou etnia, crenças religiosas, cidadania ou status de imigração
• Dados biométricos ou genéticos
• Dados das crianças
• Dados de geolocalização

Lista de verificação do CDPA

Baixe a lista de verificação de conformidade com o CDPA priorizar as ações corretas para se tornar compatível com o CDPA, incluindo como:

• Mapear e inventariar automaticamente os dados dos residentes da Virgínia
• Atender às solicitações de direitos de dados do consumidor
• Atualizar notificações de divulgação e política de privacidade
• Definir abordagem de violação e fluxos de trabalho para resposta

Como o BigID ajuda com o CDPA

O BigID ajuda organizações a atingir a conformidade com regulamentações de privacidade como o CDPA. Utilize o BigID para cumprir o CDPA usando avaliações de impacto à proteção de dados, um portal de autoatendimento, preenchimento automatizado de DSAR e relatórios regulatórios para simplificar a conformidade com a privacidade. Com o BigID, as organizações podem:

• Descubra e classifique todos os CDPA
• Dados do CDPA de mapa e inventário
• Simplifique o mapeamento do fluxo de dados para monitorar o risco de privacidade
• Automatize o cumprimento de direitos de dados de ponta a ponta
• Execute políticas de retenção de dados em escala
• Realizar avaliações de risco de privacidade para proteger dados
• Gerenciar e monitorar o compartilhamento de dados de terceiros

Veja como BigID ajuda as organizações a gerenciar as expectativas de conformidade para o CDPA – de Cumprimento de DSARs para avaliações de risco de privacidade – Obter uma demonstração

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produtos, desenvolvimento de conteúdo e estratégia digital. Com foco em insights orientados por dados e marketing integrado, ele ocupou cargos seniores em vários setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, que ajuda a elevar o conteúdo em todos os pilares, regiões e compradores, criando consistentemente conteúdo atraente em várias mídias, incluindo vídeos, artigos, listas de verificação, white papers e guias.