O estado da Virgínia aprovou sua própria lei de privacidade para os consumidores da Virgínia: a Lei de Proteção de Dados do Consumidor (CDPA) – inspirado por Lei de Privacidade do Consumidor da Califórnia (CCPA) e a proposta Lei de Privacidade de WashingtonA Câmara e o Senado da Virgínia aprovaram a CDPA em um prazo de três semanas — e agora ela está nas mãos do governador para ser sancionada.
Assim como a proposta de Lei de Privacidade de Washington e a CCPA antes dela, a CDPA introduz um novo conjunto de direitos aos consumidores da Virgínia — e impõe novas obrigações aos controladores e processadores de dados.
O que é CDPA?
Em grande parte inspirada na Lei de Privacidade de Washington, a CDPA aplica-se a pessoas que fazem negócios na Comunidade da Virgínia ou produzem produtos ou serviços destinados a residentes da Virgínia — e:
- controlar ou processar os dados pessoais de 100.000 ou mais consumidores da Virgínia durante um ano civil.
- controlar ou processar os dados pessoais de pelo menos 25.000 consumidores e obter mais de 50% de receita bruta com a venda de dados pessoais.
Isenções da CDPA
A CDPA inclui uma série de isenções relevantes, como as seguintes:
- instituições financeiras sujeitas ao Título V de GLBA
- Entidades cobertas e parceiros comerciais regidos pelas normas de privacidade, segurança e notificação de violação de dados da HIPAA/HITECH.
- organizações sem fins lucrativos
- instituições de ensino superior
A CCPA, por outro lado, isenta apenas os dados regulamentados pela GLBA e pela HIPAA.
Além disso, a CDPA proposta isenta 14 categorias de informações de sua abrangência, incluindo — mas não se limitando a — informações de saúde protegidas pela HIPAA e dados pessoais regulamentados pela FCRA. FERPA, a Lei de Proteção da Privacidade do Motorista e as Leis de Crédito Agrícola. Os dados coletados no contexto do emprego também estão fora do escopo da CDPA.
Novo Definições de dados
Dados pessoais
Segundo a CDPA, isso significa: “qualquer informação que esteja vinculada ou razoavelmente vinculada a uma pessoa singular identificada ou identificável”. Isso exclui dados publicamente disponíveis e dados anonimizados — e a lei estabelece normas específicas sobre como lidar com dados anonimizados.
O que as empresas precisam fazer: Descobrir e inventariar todos os dados sensíveis e pessoais pertencentes a uma identidade — diretos e inferidos — para obter uma visão completa dos dados do consumidor que estão coletando.
Categoria de Dados Sensíveis
A CDPA define dados sensíveis como:
- Dados que revelem origem racial ou étnica, crenças religiosas, diagnóstico de saúde mental ou física, cidadania ou situação imigratória.
- dados genéticos ou biométricos
- dados coletados de uma criança, ou
- dados de geolocalização precisos
Os controladores só podem processar dados sensíveis com o consentimento do consumidor — ou “consentimento dos pais” para dados de crianças, de acordo com a Lei de Proteção da Privacidade Online das Crianças (COPPA).
O que as empresas precisam fazer: Automaticamente Encontrar, identificar e classificar Todos os seus dados sensíveis, onde quer que estejam — em infraestruturas locais, na nuvem e híbridas — em todas as fontes de dados, em escala de petabytes. Valide se a geolocalização está sendo capturada.
Requisitos da CDPA
Direitos de dados
Virgínia direitos dos consumidores em relação aos dados pessoais incluem:
- direito de acesso, que inclui o direito de confirmar se uma organização está processando dados pessoais do consumidor — bem como o direito de acessar essas informações.
- direito à correção
- direito ao apagamento
- direito à portabilidade de dados
- Direito de optar por não participar do processamento de dados para fins de publicidade direcionada, venda de dados pessoais ou criação de perfis para a tomada de decisões que produzam efeitos legais ou similares significativos para o consumidor.
É necessário tomar medidas em relação às solicitações dos consumidores. dentro de 45 dias após o recebimento. As organizações devem estabelecer um processo interno de recurso para os casos em que um responsável se recuse a atender a uma solicitação do consumidor.
O que as empresas precisam fazer: Capacite sua organização para atender às solicitações do consumidor por:
- Responder de forma rápida e eficaz aos requisitos regulamentares, viabilizar fluxos de trabalho de correção, atender a todas as solicitações de dados do consumidor em larga escala e gerar relatórios de atividades.
- Determinar quais dados devem ser excluídos e onde estão localizados — e garantir a validação contínua da exclusão por meio de consultas automatizadas.
- Rastreamento e documentação da gestão de preferências, consentimento e todo o compartilhamento de dados com terceiros.
Requisitos para Controladores de Dados
Avaliações de proteção de dados
A lei proposta obriga os controladores a realizar avaliações de proteção de dados pessoais em relação a cada uma das seguintes atividades de processamento:
- o processamento de dados pessoais para fins de publicidade direcionada
- a venda de dados pessoais
- o processamento de dados pessoais para fins de criação de perfis, quando tal criação de perfis apresentar um risco razoavelmente previsível de causar danos substanciais aos consumidores.
- o processamento de dados sensíveis
- Quaisquer atividades de tratamento de dados pessoais que apresentem um risco elevado de danos ao consumidor.
O que as empresas precisam fazer: Dados de inventárioDocumentar fluxos de dados, RoPA e atividades de compartilhamento; e automatizar o processo de avaliação para um programa de gestão de privacidade mais robusto.
Minimização de dados
A coleta de dados pessoais pelo controlador deve ser adequada, pertinente e limitada ao que for razoavelmente necessário em relação à finalidade específica e expressa para a qual tais dados são tratados — conforme divulgado ao consumidor.
O que as empresas precisam fazer: Definir e impor retenção de dados regras com fluxos de trabalho automatizados — e uDescobrir dados duplicados, derivados e semelhantes para uma governança em conformidade com a privacidade e relatórios eficazes.
Evitar o uso secundário
A menos que o controlador obtenha o consentimento do consumidor, não está autorizado a processar dados pessoais para fins que não sejam razoavelmente necessários ou compatíveis com as finalidades específicas e expressas para as quais os dados pessoais são processados, conforme divulgado ao consumidor.
O que as empresas precisam fazer: Rastrear e documentar as obrigações de gestão de preferências e governança de consentimento em relação a dados sensíveis.
Segurança de dados
Os controladores são obrigados a estabelecer, implementar e manter práticas razoáveis de segurança de dados administrativas, técnicas e físicas para proteger a confidencialidade, a integridade e a acessibilidade dos dados pessoais.
O que as empresas precisam fazer: Descubra e correlacione informações pessoais, como endereços de e-mail, com senhas para melhor protegê-las contra possíveis violações. Identifique usuários potencialmente afetados por violações de dados conhecidas para uma resposta proativa a incidentes.
Requisitos adicionais para processadores de dados
De acordo com a CDPA, as atividades de processamento de dados devem ser regidas por um contrato escrito entre o controlador e o processador, contendo instruções de processamento. O contrato deve especificar:
- a natureza e a finalidade do processamento
- o tipo de dados pessoais sujeitos a processamento
- a duração do processamento
- obrigações e direitos de ambas as partes
O que as empresas precisam fazer: Além de garantir termos adequados de proteção de dados nos contratos, os controladores devem Monitorar e rastrear o fluxo de compartilhamento de dados com terceiros.s.
Por determinação do controlador, o processador é obrigado a apagar ou devolver todos os dados pessoais ao controlador ao término da prestação dos seus serviços. O processador é obrigado a disponibilizar ao controlador todas as informações necessárias para demonstrar o cumprimento das obrigações legais, bem como para permitir auditorias e inspeções.
O que as empresas precisam fazer: Os processadores precisam ter a capacidade de corrigir quaisquer dados pessoais que recebam do controlador — e ativar verificações de validação para garantir que os dados sejam excluídos.
Além disso, os processadores devem garantir que as pessoas que processam dados pessoais estejam sujeitas a obrigações de confidencialidade e contratar subcontratados mediante um contrato escrito que exija que os subcontratados cumpram as obrigações impostas aos processadores.
Os processadores também devem auxiliar os controladores no cumprimento de suas obrigações legais e fornecer aos controladores as informações necessárias para realizar e documentar suas avaliações de proteção de dados.
O que as empresas precisam fazer: Os processadores devem criar seu próprio inventário de dados e documentar os fluxos de negócios para poderem responder prontamente a quaisquer solicitações de direitos de dados que os controladores com os quais trabalham possam receber dos consumidores.
Aplicação e data de entrada em vigor da CDPA
A CDPA é aplicável por meio de ações civis movidas pelo procurador-geral do estado da Virgínia. Embora não exista um direito de ação privado para os consumidores, o procurador-geral está autorizado a mover ações civis em nome dos consumidores, sujeitas a um prazo de notificação de 30 dias para correção da violação, e pode buscar indenizações de até US$ 1.400.000 por cada violação da lei que afete o consumidor.
A lei deverá entrar em vigor em 1º de janeiro de 2023, mesmo dia em que a Lei de Direitos de Privacidade da Califórnia (CPRA) — a nova versão da CCPA — também deverá entrar em vigor.
A lei da Virgínia faz parte de uma crescente tendência bipartidária de legislaturas estaduais que buscam promulgar leis abrangentes de privacidade. Além disso, há um consenso crescente de que o modelo da Virgínia inspirará outros estados, dada a rapidez com que foi adotado. E, claro, quanto mais leis estaduais forem aprovadas, maior será a motivação para que o Congresso trabalhe em conjunto na aprovação de uma legislação federal de privacidade. Solicite uma demonstração personalizada Descubra como a BigID ajuda as organizações a atender aos próximos requisitos de conformidade com a CDPA e a construir um programa de privacidade sustentável e proativo para lidar com as regulamentações atuais e emergentes.
Autor
