No último dia de sua sessão legislativa de 2021, o “capital mundial do melãoO estado do Colorado, também conhecido como Colorado, recebeu a aprovação para implementar a terceira lei abrangente de privacidade do consumidor nos Estados Unidos.
Sancionada pelo governador Jared Polis em 7 de julho, a Lei de Privacidade do Colorado (CPA) A medida assume particular importância à luz dos recentes fracassos de propostas legislativas semelhantes em Washington, Flórida e Nova York — e enquanto o prazo para iniciativas similares em outras assembleias legislativas estaduais continua a correr.
O que é a Lei de Privacidade do Colorado (CPA)?
O CPA é modelado com base no fracasso Lei de Privacidade de Washington e Lei de Proteção de Dados do Consumidor da Virgínia (CDPA), com algumas diferenças importantes.
A lei se aplica a “controladores de dados” que realizam negócios no Colorado ou fornecem produtos ou serviços direcionados intencionalmente a residentes do Colorado — e que:
- controlar ou processar os dados pessoais de 100.000 ou mais residentes do Colorado anualmente; ou
- obter receita ou receber um desconto no preço de bens ou serviços com a “venda” de dados pessoaise processar ou controlar os dados pessoais de 25.000 ou mais residentes do Colorado.
Âmbito de atuação e isenções do CPA
A Lei de Proteção ao Consumidor (CPA) define "consumidor" como um indivíduo residente no Colorado que atua em um contexto individual ou doméstico. Como não inclui um indivíduo que atua em um contexto comercial ou de emprego, a lei possui uma exclusão implícita para os contextos de emprego e de negócios entre empresas.
Ao contrário da exclusão limitada do modelo da Califórnia sob o Lei de Privacidade do Consumidor da Califórnia (CCPA)A Lei de Proteção ao Consumidor do Colorado (CPA) contém diversas exclusões substanciais, incluindo uma exclusão total para instituições financeiras sujeitas à legislação federal. Lei Gramm-Leach-Bliley (GLBA)Quando se trata de dados de saúde abrangidos pelo Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)), no entanto, o CPA não inclui exclusão total para assistência médica organizações — apenas certos tipos de saúde e informações do paciente.
Definições de dados de acordo com a CPA
Dados pessoais — De acordo com a CPA, dados pessoais significam: “informações que estão vinculadas ou razoavelmente vinculadas a um indivíduo identificado ou identificável”.
Dados sensíveis — CPA define dados sensíveis como:
- Dados pessoais que revelem a origem racial ou étnica, crenças religiosas, diagnóstico de saúde mental ou física, vida sexual ou orientação sexual, ou situação de cidadania.
- Dados genéticos ou biométricos que podem ser processados com o objetivo de identificar exclusivamente um indivíduo.
- dados pessoais de uma criança conhecida
Diferentemente da CDPA da Virgínia e da futura Lei de Direitos de Privacidade da Califórnia (CPRA), esta definição de dados sensíveis não inclui geolocalização precisa, o que representa uma diferença significativa para os controladores em relação à forma como classificam e rotulam seus dados com base na residência estadual. Observe que os controladores só podem processar dados sensíveis com o consentimento do consumidor — ou com o consentimento dos pais ou responsáveis legais da criança.
Requisitos da Lei de Privacidade do Colorado
Direitos de dados
Os consumidores do Colorado podem exercer seus direitos. direitos de dados mediante o envio de pedidos formais, os responsáveis pelo tratamento devem dar resposta ao pedido no prazo de 45 dias. Direitos do consumidor Com relação aos dados pessoais, inclui o direito a:
- optar por não participar de determinados processamentos de dados pessoais
- acessar dados pessoais
- corrigir dados pessoais incorretos
- excluir dados pessoais; e
- portabilidade de dados
Os controladores têm requisitos adicionais de transparência, devendo divulgar de forma clara e significativa tipos específicos de práticas, bem como a maneira pela qual os consumidores podem exercer seus direitos.
A Lei de Proteção ao Consumidor (CPA) não exige especificamente uma página "não venda minhas informações" como a lei da Califórnia, mas espera-se que o Procurador-Geral do Colorado anuncie regras que detalhem as especificações técnicas para um ou mais "mecanismos universais de exclusão".
Requisitos para Controladores de Dados
Avaliações de proteção de dados — A proposta de CPA obriga os controladores a realizar avaliações de proteção de dados pessoais em relação a cada uma das seguintes atividades de processamento:
- o processamento de dados pessoais para fins de publicidade direcionada
- a venda de dados pessoais
- o processamento de dados pessoais para fins de criação de perfis, quando tal criação de perfis apresentar um risco razoavelmente previsível de causar danos substanciais aos consumidores.
- o processamento de dados sensíveis
- Quaisquer atividades de tratamento de dados pessoais que apresentem um risco elevado de danos ao consumidor.
Especificação de Finalidade — O controlador deve especificar a finalidade expressa para a qual os dados pessoais são coletados e processados — um requisito que está em conformidade com a legislação da UE. Regulamento Geral de Proteção de Dados (RGPD) e os Princípios de Práticas Justas de Informação.
Minimização de dados — A coleta de dados pessoais por parte do controlador deve ser adequada, pertinente e limitada ao que for razoavelmente necessário em relação à finalidade específica e expressa para a qual esses dados são processados.
Dever de evitar o uso secundário — O controlador não pode processar dados pessoais para fins que não sejam razoavelmente necessários ou compatíveis com os fins específicos para os quais os dados pessoais são processados, sem antes obter o consentimento.
Dever de cuidado — O dever de cuidado dá lugar aos requisitos de segurança. Tanto os controladores quanto os processadores devem implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança proporcional ao risco. Para muitas empresas, esse tipo de requisito de segurança de dados já existe. Informações de identificação pessoal (PII) De acordo com a lei de segurança de dados do Colorado. No entanto, a definição de “dados pessoais” sob a CPA é significativamente mais ampla do que a de PII (Informações de Identificação Pessoal) sob a lei de segurança de dados do Colorado.
Requisitos adicionais para processadores de dados
Assim como ocorre com a CDPA da Virgínia e o GDPR da UE, os processadores são obrigados a cumprir as obrigações da CDPA — e a auxiliar os controladores no cumprimento dessas obrigações. Isso também exige um contrato por escrito que especifique:
- Que dados pessoais serão processados?
- Como os dados serão processados e armazenados.
- direitos de auditoria/conformidade
Fiscalização e data de entrada em vigor da Lei de Proteção ao Consumidor
Assim como a CDPA da Virgínia, a CPA do Colorado é aplicável por meio de ações civis movidas pelo procurador-geral do estado. Embora não haja direito de ação individual para os consumidores, o procurador-geral e os promotores distritais terão poderes exclusivos de fiscalização, que podem resultar em multas de até US$ 1.400.000 por cada violação, sendo que cada consumidor envolvido constitui uma violação separada. A penalidade máxima é de US$ 1.400.000 por uma série de violações relacionadas.
Assim como na Califórnia, o Procurador-Geral do Colorado tem autoridade para promulgar normas com o objetivo de implementar a Lei de Proteção ao Consumidor (CPA). Além disso, o Procurador-Geral é expressamente obrigado a adotar normas relativas às especificações técnicas para mecanismos universais de exclusão até 1º de julho de 2023. E, se assim o desejar, o gabinete do Procurador-Geral também pode criar suas próprias normas e orientações para auxiliar as empresas a cumprirem a CPA — e essas normas devem ser publicadas até janeiro de 2025.
Para empresas que estão se adequando a uma regulamentação estadual de privacidade pela primeira vez, a Lei de Privacidade do Colorado (CPA) exigirá mudanças significativas. As normas do Procurador-Geral do Colorado fornecerão mais orientações, mas as empresas devem começar agora a garantir que compreendam plenamente suas políticas de coleta, uso e documentação de dados — para que possam se preparar para cumprir suas obrigações de conformidade no futuro.
Embora as empresas já estejam sujeitas a CPRA, CDPA, e RGPD Terão uma vantagem na preparação para a nova lei, sendo fundamental a elaboração de uma estratégia proativa para o cumprimento das disposições específicas da CPA — e a sua integração na matriz das regulamentações de privacidade existentes.
Pegue um demonstração 1:1 Descubra como a BigID ajuda as organizações a atender aos próximos requisitos de conformidade com a CPA — e a construir um programa de privacidade proativo para políticas atuais e emergentes. regulamentos.
Autor
