Lista de verificação de conformidade com a CDPA – Proteção dos dados do consumidor

A Virgínia pode ter sido o 10º estado dos EUA, mas é o 2º estado, depois da Califórnia, a passar para a América Latina. legislação de privacidade de dados em lei.

Clique aqui para baixar a lista de verificação. – ou continue para obter detalhes sobre como as empresas podem se preparar para o Lei de Privacidade de Dados do Consumidor da Virgínia (CDPA).

Visão geral da CDPA

A Virgínia Lei de Privacidade de Dados do Consumidor (CDPA) A lei entrou em vigor em 1º de janeiro de 2023. A nova legislação coloca os direitos de dados nas mãos dos consumidores da Virgínia e impõe novas obrigações aos controladores e processadores de dados, aplicando-se a qualquer pessoa que faça negócios na Comunidade da Virgínia ou produza produtos ou serviços para residentes da Virgínia.

Quem é protegido pela Lei de Proteção de Dados do Consumidor?

A lei protege qualquer indivíduo que seja residente da Virgínia ou pertença a um domicílio que possa ser razoavelmente identificado.

A legislação foi concebida para proteger os consumidores da Virgínia e motivar (e obrigar) todas as organizações que processam informações de residentes da Virgínia a serem responsáveis pela proteção da privacidade dos dados e pela salvaguarda adequada dos dados do consumidor.

Âmbito territorial da CDPA

Qualquer empresa que colete dados pessoais e realize negócios na Comunidade da Virgínia ou produza produtos ou serviços direcionados a residentes da Virgínia deve cumprir a CDPA. A CDPA estabelece limites para a quantidade de dados coletados, processados e monetizados, com os seguintes termos específicos:

• Qualquer empresa que controle ou processe os dados pessoais de 100.000 ou mais consumidores da Virgínia dentro de um ano.
• Qualquer empresa que controle ou processe os dados pessoais de pelo menos 25.000 consumidores e obtenha mais de 50% de receita bruta com a venda de dados pessoais.

Penalidades e fiscalização da CDPA

• A Lei de Direitos Autorais e Proteção de Dados da Virgínia (CDPA) não prevê o direito de ação privada, o que significa que os cidadãos da Virgínia não podem entrar com ações judiciais por violações da CDPA.
• O procurador-geral da Virgínia é o único responsável pela aplicação da CDPA.
• Caso o controlador não cumpra as normas, poderá ser multado em até £ 1.400 por violação. O controlador deverá resolver a situação e fornecer uma notificação por escrito, descrevendo a infração e a solução encontrada.

Direitos do consumidor em relação aos dados da CDPA

• direito de acesso: Os consumidores podem enviar um Solicitação de acesso do titular dos dados (DSAR) para obter acesso às suas informações pessoais, o que também inclui o direito de confirmar se uma organização está processando dados pessoais do consumidor.
• direito à retificação: As empresas devem oferecer aos consumidores a possibilidade de atualizar e corrigir informações incorretas que a empresa possa ter sobre eles.
• direito ao apagamento: Os consumidores têm o direito de solicitar que seus dados sejam apagados (ou razoavelmente colocados em quarentena).
• Direito à portabilidade de dados: Os consumidores devem ter seus dados transferidos entre sistemas de forma segura e protegida.
• direito de optar por não participar: Os consumidores podem optar por não ter seus dados processados para publicidade direcionada, venda de dados pessoais ou criação de perfis para fins de decisões que produzam efeitos legais ou similares que lhes digam respeito.

As organizações devem tomar medidas em relação às solicitações dos consumidores no prazo de 45 dias após o recebimento e estabelecer um processo de recurso quando necessário. solicitação do consumidor Não está concluído.

O que a CDPA significa para as organizações

A Lei de Proteção de Dados e Direitos Civis (CDPA), semelhante a CPRA, possui requisitos específicos para minimização de dados, políticas de retenção, e avaliações de impacto sobre a proteção de dados (AIPD) Para mitigar o risco à privacidade:

• Minimização de dados: A CDPA exige que as organizações implementem princípios de minimização de dados para limitar o processamento de dados além do necessário.
• Políticas de retenção de dados: As empresas devem aplicar políticas de retenção para garantir que apenas os dados razoavelmente necessários sejam mantidos.
• Avaliações de Risco de Privacidade: Para que as empresas avaliem adequadamente os riscos, a CDPA exige que as organizações realizem avaliações de impacto sobre a proteção de dados (AIPD) quando:
  • Processamento de dados para marketing direcionado
  • Venda de dados pessoais
  • Processamento de dados para criação de perfis.
  • Processamento de dados sensíveis
  • Qualquer atividade de processamento que apresente risco para os consumidores.

Responsabilidades das organizações em relação aos dados pessoais segundo a CDPA

De acordo com a CDPA, dados pessoais referem-se a informações vinculadas ou razoavelmente vinculadas à identificação de uma pessoa física na Virgínia. No entanto, isso exclui dados publicamente acessíveis e dados anonimizados — e a lei estabelece padrões específicos sobre como gerenciar dados anonimizados.
As organizações só podem processar dados sensíveis com o consentimento dos consumidores ou o "consentimento dos pais" quando se tratar de dados de crianças, conforme o disposto no documento. Lei de Proteção da Privacidade Online das Crianças (COPPA).

A CDPA define dados sensíveis como:

• Raça ou etnia, crenças religiosas, cidadania ou situação imigratória
• Dados biométricos ou genéticos
• Dados infantis
• Dados de geolocalização

Lista de verificação CDPA

Baixe a lista de verificação de conformidade com a CDPA Priorizar as ações corretas para se tornar compatível com a CDPA, incluindo como:

• Mapeamento e inventário automáticos de dados de residentes da Virgínia
• Atender às solicitações de direitos de dados do consumidor
• Atualizar notificações de divulgação e política de privacidade
• Defina a abordagem e os fluxos de trabalho para resposta a violações de segurança.

Como a BigID ajuda com a CDPA

A BigID ajuda as organizações a atingirem a conformidade com regulamentações de privacidade como a CDPA. Utilize a BigID para cumprir a CDPA por meio de avaliações de impacto sobre a proteção de dados, um portal de autoatendimento, atendimento automatizado de solicitações de acesso a dados pessoais (DSAR) e relatórios regulatórios para simplificar a conformidade com a privacidade. Com a BigID, as organizações podem:

• Descubra e classifique todos os CDPA
• Mapa e inventário de dados CDPA
• Simplifique o mapeamento do fluxo de dados para monitorar o risco de privacidade.
• Automatize todo o processo de cumprimento dos direitos de dados.
• Implementar políticas de retenção de dados em escala
• Realizar avaliações de risco de privacidade para proteger os dados.
• Gerenciar e monitorar o compartilhamento de dados com terceiros.

Veja como BigID Ajuda as organizações a gerenciar as expectativas de conformidade com a CDPA – desde cumprimento dos DSARs para avaliações de risco de privacidade – Obtenha uma demonstração

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produto, desenvolvimento de conteúdo e estratégia digital. Com foco em insights baseados em dados e marketing integrado, ocupou cargos de liderança em diversos setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, responsável por elevar a qualidade do conteúdo em todos os pilares, regiões e públicos, criando conteúdo atraente em diversos formatos, como vídeos, artigos, checklists, white papers e guias.