Pular para o conteúdo
Ver todas as postagens

Lei de Privacidade do Colorado: Uma mudança em direção à proteção de dados

Por Heather Federman

5 leitura de um minuto

No último dia da sua sessão legislativa de 2021, o “capital mundial do melão”, também conhecido como estado do Colorado, recebeu o selo de aprovação para implementar a terceira lei abrangente de privacidade do consumidor nos Estados Unidos.

Promulgada como lei pelo governador Jared Polis em 7 de julho, a Lei de Privacidade do Colorado (CPA) assume particular importância à luz dos recentes fracassos de leis propostas semelhantes em Washington, Flórida e Nova York — e à medida que o tempo continua a correr em esforços semelhantes em outras legislaturas estaduais.

O que é a Lei de Privacidade do Colorado (CPA)

O CPA é modelado com base no fracasso Lei de Privacidade de Washington e Lei de Proteção de Dados do Consumidor da Virgínia (CDPA), com algumas diferenças importantes.

A lei se aplica a “controladores de dados” que conduzem negócios no Colorado ou fornecem produtos ou serviços intencionalmente direcionados a residentes do Colorado — e:

  1. controlar ou processar os dados pessoais de 100.000 ou mais residentes do Colorado anualmente; ou
  2. obter receita ou receber um desconto no preço de bens ou serviços da “venda” de dados pessoais, e processar ou controlar os dados pessoais de 25.000 ou mais residentes do Colorado.

Escopo e isenções do CPA

A CPA define “consumidor” como um indivíduo residente no Colorado que atua em um contexto individual ou doméstico. Como não inclui um indivíduo que atua em um contexto comercial ou de emprego, a lei prevê uma exclusão para os contextos de emprego e de empresa para empresa.

Ao contrário da exclusão limitada do modelo da Califórnia sob o Lei de Privacidade do Consumidor da Califórnia (CCPA), o CPA do Colorado contém várias exclusões substantivas, incluindo uma exclusão total para instituições financeiras que estão sujeitas ao governo federal Lei Gramm-Leach-Bliley (GLBA). Quando se trata de dados de saúde abrangidos pela Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)), no entanto, o CPA não inclui a exclusão total para assistência médica organizações — apenas certos tipos de saúde e informações do paciente.

Definições de dados sob CPA

Dados pessoais — De acordo com o CPA, dados pessoais significam: “informações que estão vinculadas ou razoavelmente vinculadas a um indivíduo identificado ou identificável”.

Dados sensíveis — CPA define dados confidenciais como:

  1. dados pessoais que revelem origem racial ou étnica, crenças religiosas, diagnóstico de saúde mental ou física, vida sexual ou orientação sexual ou status de cidadania
  2. dados genéticos ou biométricos que podem ser processados com a finalidade de identificar exclusivamente um indivíduo
  3. dados pessoais de uma criança conhecida

Ao contrário da CDPA da Virgínia e da futura Lei de Direitos de Privacidade da Califórnia (CPRA) da Califórnia, esta definição de dados sensíveis não inclui geolocalização precisa, o que representa uma diferença substancial para os controladores na forma como marcam e rotulam seus dados com base na residência no estado. Observe que os controladores só podem processar dados sensíveis com o consentimento do consumidor — ou com o consentimento parental fornecido pelos pais ou responsáveis legais da criança.

Requisitos da Lei de Privacidade do Colorado

Direitos de Dados

Os consumidores do Colorado podem exercer seus direitos de dados enviando solicitações formais, e os controladores devem agir de acordo com a solicitação dentro de 45 dias. Direitos do consumidor no que diz respeito aos dados pessoais, inclui o direito de:

  1. optar por não participar de certos processamentos de dados pessoais
  2. acessar dados pessoais
  3. corrigir dados pessoais imprecisos
  4. apagar dados pessoais; e
  5. portabilidade de dados

Os controladores têm requisitos adicionais de transparência nos quais devem divulgar de forma clara e significativa tipos específicos de práticas — bem como a maneira como os consumidores podem exercer seus direitos.

O CPA não exige especificamente uma página "não venda minhas informações" como a lei da Califórnia, mas espera-se que o Procurador-Geral do Colorado anuncie regras que detalhem especificações técnicas para um ou mais "mecanismos universais de exclusão".

Requisitos para Controladores de Dados

Avaliações de Proteção de Dados — O CPA proposto obriga os controladores a conduzir avaliações de proteção de dados envolvendo dados pessoais com relação a cada uma das seguintes atividades de processamento:

  1. o processamento de dados pessoais para fins de publicidade direcionada
  2. a venda de dados pessoais
  3. o tratamento de dados pessoais para efeitos de definição de perfis, quando tal definição apresente um risco razoavelmente previsível de prejuízo substancial para os consumidores
  4. o processamento de dados sensíveis
  5. quaisquer atividades de processamento que envolvam dados pessoais que apresentem um risco elevado de danos ao consumidor

Especificação de finalidade — O responsável pelo tratamento deve especificar a finalidade expressa para a qual os dados pessoais são recolhidos e processados — um requisito que está em conformidade com a legislação da UE Regulamento Geral sobre a Proteção de Dados (GDPR) e os Princípios de Práticas Justas de Informação.

Minimização de dados — A coleta de dados pessoais por um controlador deve ser adequada, relevante e limitada ao que é razoavelmente necessário em relação à finalidade especificada e expressa para a qual tais dados são processados.

Dever de evitar o uso secundário — Um controlador não pode processar dados pessoais para fins que não sejam razoavelmente necessários ou compatíveis com os propósitos especificados para os quais os dados pessoais são processados sem primeiro obter o consentimento.

Dever de cuidado — O dever de cuidado se estende aos requisitos de segurança. Tanto os controladores quanto os processadores devem implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança proporcional ao risco. Para muitas empresas, esse tipo de requisito de segurança de dados já existe. Informações de identificação pessoal (PII) de acordo com a lei de segurança de dados do Colorado. No entanto, a definição de “dados pessoais” segundo a CPA é significativamente mais ampla do que a de PII segundo a lei de segurança de dados do Colorado.

Requisitos adicionais para processadores de dados

Assim como no CDPA da Virgínia e no GDPR da UE, os processadores são obrigados a cumprir as obrigações previstas no CPA — e auxiliar os controladores no cumprimento dessas obrigações. Isso também exige um contrato por escrito especificando:

  • quais dados pessoais serão processados
  • como os dados serão processados e retidos
  • direitos de auditoria/conformidade

Aplicação e data de vigência do CPA

Assim como o CDPA da Virgínia, o CPA do Colorado é executável por meio de ações civis movidas pelo procurador-geral do estado. Embora não haja direito privado de ação para os consumidores, o procurador-geral e os promotores distritais terão poderes exclusivos de execução, o que pode resultar em até $20.000 para cada violação, e cada consumidor envolvido constitui uma violação separada. A penalidade máxima é de $500.000 para uma série relacionada de violações.

Semelhante à lei da Califórnia, o Procurador-Geral do Colorado tem autoridade para promulgar regras para a execução do CPA. Além disso, o Procurador-Geral é explicitamente obrigado a adotar regras relativas às especificações técnicas para mecanismos universais de opt-out até 1º de julho de 2023. E, se assim o desejar, o escritório do Procurador-Geral também pode criar suas próprias regras e diretrizes para ajudar as empresas a cumprir o CPA — e essas regras devem ser publicadas até janeiro de 2025.

Para empresas que estão cumprindo uma regulamentação estadual de privacidade pela primeira vez, o CPA exigirá mudanças significativas. As regras do Procurador-Geral do Colorado fornecerão mais orientações, mas as empresas devem começar a garantir que tenham um conhecimento completo de suas políticas de coleta, uso e documentação de dados agora — para que possam se preparar para cumprir suas obrigações de conformidade no futuro.

Enquanto as empresas já estão sujeitas a CPRA, CDPAe GDPR terá uma vantagem na preparação para a nova lei, elaborando uma estratégia proativa para conformidade com as disposições exclusivas do CPA — e sua integração na matriz de regulamentações de privacidade existentes — será fundamental.

Obter um Demonstração 1:1 para ver como o BigID ajuda as organizações a atender aos próximos requisitos de conformidade com o CPA — e a construir um programa de privacidade proativo para empresas atuais e emergentes regulamentos.

Autor

Heather Federman

Conteúdo