Lei de Privacidade de Dados de Connecticut: Salvaguardando os direitos de privacidade

O que é o CTDPA de Connecticut?

A CTDPA (Lei de Privacidade de Dados de Connecticut) de Connecticut é uma lei estadual que define diretrizes sobre como as empresas coletam, armazenam e usam as informações pessoais dos residentes de Connecticut. A lei se aplica a qualquer empresa que conduza negócios em Connecticut, mesmo que esteja localizada fora do estado.

De acordo com a CTDPA, as empresas devem fornecer avisos claros e concisos aos consumidores sobre quais informações pessoais estão sendo coletadas, como estão sendo usadas e com quem estão sendo compartilhadas. Os consumidores têm o direito de acessar e solicitar as informações. eliminação das suas informações pessoais, e as empresas devem cumprir essas solicitações dentro de prazos específicos

A CTDPA exige que as empresas implementem medidas de segurança razoáveis para proteger as informações pessoais dos consumidores contra acesso, uso ou divulgação não autorizados. Além disso, as empresas devem fornecer treinamento anual sobre privacidade de dados a todos os funcionários que têm acesso às informações pessoais dos consumidores.

Por que a lei de privacidade de Connecticut é importante?

Em 2019, Universidade de Yale anunciou um violação de dados que potencialmente impactou 119.000 pessoas, incluindo alunos, professores, funcionários e ex-alunos. A violação ocorreu quando um pessoa não autorizada acessou um banco de dados contendo informações pessoais, como nomes, números de Seguro Social e datas de nascimento.

Mais recentemente, em 2020, o Departamento de Trabalho de Connecticut sofreu uma violação de dados que potencialmente expôs o informações pessoais de milhares de pessoas que solicitaram seguro-desemprego. A violação ocorreu quando um fornecedor terceirizado que presta serviços ao Departamento do Trabalho sofreu uma violação de dados.

Esses incidentes destacam a importância da privacidade de dados e a necessidade de as organizações implementarem medidas robustas de segurança de dados para proteger informações pessoais sensíveis. Também ressaltam a importância da Lei de Privacidade de Dados do Consumidor (CTDPA) de Connecticut, que exige que as organizações tomem medidas para proteger as informações pessoais dos consumidores e notifiquem os indivíduos afetados em caso de violação de dados.

Direitos do consumidor da CTDPA

• O direito de saber quais informações pessoais as empresas estão coletando, por que as estão coletando e com quem elas estão sendo compartilhadas.
• O direito de acessar e obter uma cópia de suas informações pessoais mantidas por empresas.
• O direito de solicitar que as empresas excluam suas informações pessoais.
• O direito de optar por não permitir a venda de suas informações pessoais a terceiros.
• O direito de ter suas informações pessoais corrigidas ou atualizadas.
• O direito de receber notificações sobre violações de dados que exponham suas informações pessoais.
• O direito de registrar uma reclamação no Gabinete do Procurador-Geral de Connecticut se acreditar que seus direitos de privacidade de dados foram violados.
• O direito de mover uma ação privada contra empresas que não cumprem a CTDPA e buscar indenização e honorários advocatícios.

Quem deve cumprir?

A CTDPA (Lei de Privacidade de Dados de Connecticut) de Connecticut se aplica a empresas que coletam, usam ou compartilham informações pessoais de residentes de Connecticut. A lei se aplica a empresas de todos os portes, independentemente de sua localização, desde que atendam a determinados critérios. Especificamente, uma empresa está sujeita à CTDPA se:

• Realiza negócios em Connecticut
• Direciona seus produtos ou serviços para residentes de Connecticut
• Coleta informações pessoais de residentes de Connecticut

A lei define informações pessoais de forma ampla e inclui informações como nome, endereço, número do Seguro Social, número da carteira de habilitação e dados biométricos. A lei também abrange identificadores online, como endereços IP e biscoitos, bem como histórico de navegação e outras atividades online.

É importante que as empresas entendam se estão sujeitas à CTDPA e tomem medidas para cumpri-la. O descumprimento da CTDPA pode resultar em consequências jurídicas e financeiras significativas, incluindo multas e ações judiciais por parte da empresa. Gabinete do Procurador-Geral de Connecticut.

Preparando-se para a conformidade com a CTDPA

A CTDPA (Lei de Privacidade de Dados de Connecticut) de Connecticut foi sancionada em 10 de maio de 2022 e entrará em vigor em 1º de julho de 2023. A lei oferece às empresas um período de transição para se tornarem compatíveis com os novos requisitos.

Para cumprir com a CTDPA, as empresas devem tomar as seguintes medidas:

1. Realizar um inventário de dados: As empresas devem identificar todas as informações pessoais que coletam, armazenam e usam, e determinar a finalidade de cada elemento de dados.
2. Atualizar políticas de privacidade: As empresas devem atualizar suas políticas de privacidade para refletir os novos requisitos da CTDPA. A política de privacidade deve incluir informações sobre quais informações pessoais estão sendo coletadas, como estão sendo usadas e com quem estão sendo compartilhadas.
3. Fornecer avisos: As empresas devem fornecer avisos claros e concisos aos consumidores sobre suas práticas de coleta e uso de dados. Os avisos devem ser facilmente acessíveis e compreensíveis.
4. Implementar medidas de segurança: As empresas devem implementar medidas de segurança razoáveis para proteger as informações pessoais dos consumidores contra acesso, uso ou divulgação não autorizados.
5. Fornecer direitos ao consumidor: As empresas devem fornecer aos consumidores os direitos descritos na CTDPA, incluindo o direito de acessar, corrigir e excluir suas informações pessoais.
6. Treinar funcionários: As empresas devem fornecer treinamento anual sobre privacidade de dados a todos os funcionários que têm acesso às informações pessoais dos consumidores.
7. Desenvolva um plano de resposta a violações: As empresas devem desenvolver um plano para responder a violações de dados e notificar consumidores afetados e o Gabinete do Procurador-Geral de Connecticut dentro de 60 dias após a descoberta da violação.

O não cumprimento da CTDPA pode resultar em penalidades financeiras e consequências legais significativas, por isso é essencial que as empresas entendam e sigam os novos requisitos.

Aplicação da CTDPA

O Gabinete do Procurador-Geral de Connecticut é responsável por aplicar a CTDPA (Lei de Privacidade de Dados de Connecticut) de Connecticut. O gabinete tem autoridade para investigar reclamações e violações da lei e para mover ações judiciais contra empresas que não a cumpram.

A CTDPA concede ao Procurador-Geral amplos poderes de execução, incluindo a capacidade de emitir intimações, conduzir investigações e buscar medidas cautelares e sanções civis. O Procurador-Geral pode impor uma multa de até $5.000 por violação, com um máximo de $500.000 por incidente. Além das multas, as empresas também podem estar sujeitas a liminares, que podem proibi-las de se envolver em atividades específicas que violem a CTDPA.

O Ministério Público também pode trabalhar com outras agências estaduais e federais para fazer cumprir a lei. Por exemplo, o escritório pode colaborar com a Comissão Federal de Comércio (FTC) ou outros procuradores-gerais estaduais para investigar e processar violações de privacidade de dados.

Para garantir a conformidade com a CTDPA, o Ministério Público pode conduzir investigações e auditorias em empresas. O Ministério Público também pode se basear em reclamações de consumidores para identificar potenciais violações da lei. Consumidores que acreditam que seus direitos de privacidade de dados foram violados podem registrar uma reclamação junto ao Ministério Público, que investigará o caso e tomará as medidas cabíveis, se necessário.

Alcançando a conformidade com a CTDPA com o BigID

O BigID pode ajudar as organizações a se prepararem proativamente e a atingirem a conformidade com a Lei de Privacidade de Dados do Consumidor (CTDPA) de Connecticut com seus plataforma abrangente de gerenciamento de privacidade de dados.

• Conheça seus dados: O BigID traz grande visibilidade às organizações, permitindo que elas entendam os dados que possuem, onde eles residem e se incluem informações pessoais sensíveis sujeitas às regulamentações da CTDPA. Isso inclui descoberta de dados e classificação, mapeamento de fluxos de dadose rastreamento de linhagem de dados.
• Automatize DSARs: O BigID gerencia solicitações de titulares de dados, como solicitações de acesso, exclusão e retificação, automatizando o processo de atendimento e fornecendo um painel centralizado para rastreamento e relatórios.
• Implementar DSPM: O BigID reduz a superfície de ataque e mitiga proativamente os riscos em todo o cenário de dados de uma organização. O aplicativo de pontuação e remediação de riscos do BigID identifica vulnerabilidades críticas e dados confidenciais em risco para que você possa tomar as medidas adequadas e melhorar sua experiência geral. postura de segurança de dados.
• Avaliação PIA: A BigID oferece avaliações automatizadas de impacto na privacidade, relatórios de inventário de dados e planos de remediação para riscos identificados para ajudar as organizações a garantir a conformidade com a CTDPA.

Agende uma demonstração individual para ver como o BigID pode acelerar sua conformidade com o CTDPA hoje.

Autor

Alexis Porter

Gerente de marketing de conteúdo

Alexis atua como gerente de marketing de conteúdo da BigID, fornecedora de DSPM líder do setor. Ela é especialista em ajudar startups de tecnologia a criar e aprimorar sua voz - para contar histórias mais convincentes que repercutam em diversos públicos. Ela é bacharel em Redação Profissional e tem mestrado em Comunicação de Marketing pela Universidade de Denver. Alexis mora em Orlando, Flórida.