A Comunidade da Virgínia aprovou sua própria lei de privacidade para os consumidores da Virgínia: a Lei de Proteção de Dados do Consumidor (CDPA) – inspirado pelo Lei de Privacidade do Consumidor da Califórnia (CCPA) e a proposta Lei de Privacidade de Washington. As legislaturas da Câmara e do Senado da Virgínia aprovaram o CDPA dentro de um período de três semanas — e agora está com o governador para ser sancionado como lei.
Tal como a proposta da Lei de Privacidade de Washington e a CCPA antes dela, a CDPA introduz um novo conjunto de direitos aos consumidores da Virgínia — e impõe novas obrigações aos controladores e processadores de dados
O que é CDPA?
Em grande parte inspirado no Washington Privacy Act, o CDPA se aplica a pessoas que conduzem negócios na Comunidade da Virgínia ou produzem produtos ou serviços direcionados aos residentes da Virgínia — e:
-
- controlar ou processar os dados pessoais de 100.000 ou mais consumidores da Virgínia durante um ano civil
- controlar ou processar os dados pessoais de pelo menos 25.000 consumidores e obter mais de 50% de receita bruta com a venda de dados pessoais.
Isenções do CDPA
O CDPA inclui uma série de isenções relevantes, como aquelas para:
- instituições financeiras sujeitas ao Título V do GLBA
- entidades cobertas e associados comerciais regidos pelas regras de privacidade, segurança e notificação de violação HIPAA/HITECH
- organizações sem fins lucrativos
- instituições de ensino superior
O CCPA, por outro lado, isenta apenas os dados regulamentados pela GLBA e HIPAA.
Além disso, o CDPA proposto isenta 14 categorias de informações de sua cobertura, incluindo — mas não se limitando a — informações de saúde protegidas pela HIPAA e dados pessoais regulamentados pela FCRA, FERPA, a Lei de Proteção à Privacidade do Motorista e as Leis de Crédito Agrícola. Os dados coletados no contexto do emprego também estão fora do escopo da CDPA.
Novo Definições de dados
Dados Pessoais
De acordo com o CDPA, isso significa: "qualquer informação que esteja vinculada ou razoavelmente vinculada a uma pessoa física identificada ou identificável". Isso exclui dados publicamente disponíveis e não identificados — e a lei tem padrões específicos sobre como lidar com dados não identificados.
O que as empresas precisam fazer: descobrir e inventariar todos os dados pessoais e confidenciais pertencentes a uma identidade — diretos e inferidos — para ter uma visão completa de quais dados do consumidor você está coletando.
Categoria de Dados Sensíveis
O CDPA define dados sensíveis como:
- dados que revelam origem racial ou étnica, crenças religiosas, diagnóstico de saúde mental ou física, cidadania ou status de imigração
- dados genéticos ou biométricos
- dados coletados de uma criança, ou
- dados precisos de geolocalização
Os controladores só podem processar dados sensíveis com o consentimento do consumidor — ou “consentimento parental” para dados de crianças, de acordo com Lei de Proteção à Privacidade Online de Crianças (COPPA).
O que as empresas precisam fazer: Automaticamente encontrar, identificar e classificar Todos os seus dados sensíveis, onde quer que estejam — no local, na nuvem e híbridos — em todas as fontes de dados, em escala de petabytes. Valide se a geolocalização está sendo capturada.
Requisitos sob CDPA
Direitos de Dados
Virgínia direitos dos consumidores em relação aos dados pessoais incluem:
- direito de acesso, que inclui o direito de confirmar se uma organização está processando dados pessoais do consumidor — bem como o direito de acessar essas informações
- direito à correção
- direito de exclusão
- direito à portabilidade de dados
- direito de optar por não ser processado para fins de publicidade direcionada, venda de dados pessoais ou criação de perfis para promover decisões que produzam efeitos legais ou efeitos igualmente significativos em relação ao consumidor.
Devem ser tomadas medidas em relação às solicitações dos consumidores dentro de 45 dias do recebimento da solicitação e as organizações devem estabelecer um processo interno de apelação para os casos em que um controlador se recusa a tomar medidas em relação a uma solicitação do consumidor.
O que as empresas precisam fazer: Permita que sua organização atender às solicitações dos consumidores por:
- reagir de forma rápida e eficaz aos requisitos regulamentares, permitindo fluxos de trabalho de correção, atendendo a todas as solicitações de dados do consumidor em escala e relatando as atividades
- determinar quais dados devem ser excluídos e onde estão localizados — e garantir a validação contínua da exclusão por meio de consultas automatizadas
- rastrear e documentar o gerenciamento de preferências, consentimento e todo o compartilhamento de dados de terceiros
Requisitos para Controladores de Dados
Avaliações de Proteção de Dados
A lei proposta obriga os controladores a conduzir avaliações de proteção de dados envolvendo dados pessoais com relação a cada uma das seguintes atividades de processamento:
- o processamento de dados pessoais para fins de publicidade direcionada
- a venda de dados pessoais
- o tratamento de dados pessoais para efeitos de definição de perfis, quando tal definição apresente um risco razoavelmente previsível de prejuízo substancial para os consumidores
- o processamento de dados sensíveis
- quaisquer atividades de processamento que envolvam dados pessoais que apresentem um risco elevado de danos ao consumidor
O que as empresas precisam fazer: Dados de inventário; documentar fluxos de dados, RoPA e atividades de compartilhamento; e automatizar o processo de avaliação para um programa de gerenciamento de privacidade mais forte.
Minimização de dados
A coleta de dados pessoais pelo controlador deve ser adequada, relevante e limitada ao que é razoavelmente necessário em relação à finalidade especificada e expressa para a qual tais dados são processados — conforme divulgado ao consumidor.
O que as empresas precisam fazer: Definir e aplicar retenção de dados regras com fluxos de trabalho automatizados — e vocêdescobrir dados duplicados, derivados e similares para governança compatível com a privacidade e relatórios eficazes.
Evitação do uso secundário
A menos que um controlador obtenha o consentimento do consumidor, os controladores não estão autorizados a processar dados pessoais para fins que não sejam razoavelmente necessários ou compatíveis com os fins especificados e expressos para os quais os dados pessoais são processados, conforme divulgado ao consumidor.
O que as empresas precisam fazer: Rastreie e documente o gerenciamento de preferências e as obrigações de governança de consentimento com relação a dados confidenciais.
Segurança de dados
Os controladores são obrigados a estabelecer, implementar e manter práticas razoáveis de segurança de dados administrativos, técnicos e físicos para proteger a confidencialidade, a integridade e a acessibilidade dos dados pessoais.
O que as empresas precisam fazer: Descubra e correlacione informações pessoais, como endereços de e-mail, com senhas para melhor protegê-las contra possíveis violações. Identifique usuários potencialmente afetados por violações de dados conhecidas para uma resposta proativa a incidentes.
Requisitos adicionais para processadores de dados
De acordo com o CDPA, as atividades de processamento de dados devem ser regidas por um contrato escrito entre um controlador e um processador, contendo instruções de processamento. O contrato deve especificar:
- a natureza e a finalidade do processamento
- o tipo de dados pessoais sujeitos ao tratamento
- a duração do processamento
- obrigações e direitos de ambas as partes
O que as empresas precisam fazer: Além de garantir termos adequados de proteção de dados nos acordos, os controladores devem monitorar e rastrear seu fluxo de compartilhamento de dados de terceiross.
Sob orientação do controlador, o processador é obrigado a apagar ou devolver todos os dados pessoais ao controlador ao final de seus serviços. O processador é obrigado a disponibilizar ao controlador todas as informações necessárias para demonstrar sua conformidade com as obrigações legais — bem como para permitir auditorias e inspeções.
O que as empresas precisam fazer: Os processadores precisam ter a capacidade de corrigir quaisquer dados pessoais que recebam do controlador — e habilitar verificações de validação para garantir que os dados sejam excluídos.
Além disso, os processadores devem garantir que as pessoas que processam dados pessoais estejam sujeitas a obrigações de confidencialidade e contratar subcontratados de acordo com um acordo por escrito que exija que os subcontratados cumpram as obrigações impostas aos processadores.
Os processadores também devem auxiliar os controladores a cumprir suas obrigações perante a lei e fornecer aos controladores as informações necessárias para conduzir e documentar suas avaliações de proteção de dados.
O que as empresas precisam fazer: Os processadores devem criar seu próprio inventário de dados e documentar fluxos de negócios para responder prontamente a quaisquer solicitações de direitos de dados que os controladores com os quais trabalham possam receber dos consumidores.
Aplicação e data de vigência do CDPA
O CDPA é executável por meio de ações civis movidas pelo procurador-geral do estado da Virgínia. Embora não haja direito privado de ação para os consumidores, o procurador-geral está autorizado a mover ações civis em nome dos consumidores, sujeito a uma cláusula de aviso prévio de 30 dias — e pode buscar indenização de até $7.500 por cada violação da lei que afete o consumidor.
A lei deverá entrar em vigor em 1º de janeiro de 2023, mesmo dia em que a Lei de Direitos de Privacidade da Califórnia (CPRA) — a nova versão da CCPA — também deverá entrar em vigor.
A lei da Virgínia faz parte de uma tendência bipartidária crescente de legislaturas estaduais que buscam promulgar uma legislação abrangente sobre privacidade. Além disso, há um consenso crescente de que o modelo do VA inspirará outros estados devido à velocidade de adoção. E, claro, quanto mais leis estaduais vemos, mais motivação é criada para que o Congresso trabalhe em conjunto na aprovação de uma legislação federal sobre privacidade. Obtenha uma demonstração 1:1 para ver como o BigID ajuda as organizações a atender aos próximos requisitos de conformidade com o CDPA – e a criar um programa de privacidade sustentável e proativo para atender às regulamentações atuais e emergentes.