Pular para o conteúdo
Ver todas as postagens

Legislação de privacidade de Connecticut aprovada: Visão geral e histórico do SB 6 da CT

Por Jaclyn Wishnia , Consultor de Privacidade

3 leitura de um minuto

Connecticut é mais conhecido por suas folhas de outono, pelo basquete universitário (Huskies) e pela invenção do hambúrguer (Louis' Lunch; 1900). A partir de ontem, Connecticut também pode ser conhecido por se tornar o primeiro estado da região da Nova Inglaterra a aprovar legislação de privacidade. Se sancionado pelo governador, Connecticut será o quinto Estado dos EUA implementará lei abrangente de privacidade.

Uma vez sancionada, a SB 6 exigirá que as empresas:

  • Estabelecer uma estrutura para controlar e processar dados pessoais;
  • Estabelecer responsabilidades e padrões de proteção de privacidade para controladores e processadores de dados;
  • Conceder aos consumidores o direito de acessar, corrigir, excluir ou obter cópias de dados pessoais;
  • Crie uma força-tarefa para estudar Dados relacionados à HIPAA e outros tópicos sobre privacidade de dados;
  • Optar por não participar do processamento de dados pessoais para fins de publicidade direcionada, determinadas vendas de dados pessoais ou criação de perfil
  • Implementar controlos globais de privacidade para operadoras de Internet e gestores de dados até 1º de janeiro de 2025.

O que há no Projeto de Lei de Privacidade de Connecticut?

O SB 6 foi inicialmente pensado para ser modelado em um Estrutura estilo CDPA da Virgínia, com alguns elementos do CCPA. A versão alterada do projeto de lei, no entanto, se aproxima mais do CO CPA, com duas diferenças principais.

  • Primeiro, ele ampliaria os direitos de privacidade de dados existentes para crianças, exigindo o consentimento dos pais para menores (ou seja, menores de 13 anos) e permitiria que adolescentes entre 13 e 15 anos dessem consentimento para determinadas atividades de processamento de dados.
  • Em segundo lugar, ao contrário de CPA do Colorado e as leis de privacidade da Califórnia (CCPA/CPRA), O SB 6 não concede autoridade normativa ao Procurador-Geral de Connecticut. Este elemento é semelhante ao VCDPA.

A quem se aplica o SB 6?

O SB 6 se aplicaria a indivíduos ou entidades que:

  • Realizar negócios em Connecticut ou fornecer produtos e serviços direcionados aos residentes de Connecticut, e
  • Dados pessoais controlados ou processados durante o ano anterior de pelo menos:
    • 100.000 consumidores, excluindo dados pessoais controlados ou processados exclusivamente para concluir uma transação de pagamento, ou
    • 25.000 consumidores e obtiveram mais de 25% de sua receita bruta com a venda de dados pessoais.

Quais são os direitos de dados no Regulamento de Privacidade de Connecticut?

O SB 6 permitiria que os consumidores exercessem os seguintes direitos sobre seus dados:

  • Acesso e conhecimento, a menos que revele um segredo comercial;
  • Corrigir imprecisões;
  • Excluir certos tipos de dados;
  • Obter uma cópia dos seus dados que seja portátil e esteja num formato facilmente utilizável; e
  • Optar por não participar do processamento se ele envolver:
    • Publicidade direcionada;
    • A venda de dados pessoais (com exceção de programas de clube); ou
    • Criação de perfil com base em decisões automatizadas que produzem efeitos legais ou similarmente significativos em relação ao consumidor (por exemplo, decisões tomadas pelo controlador que impactariam os resultados de obtenção de moradia, educação, emprego, seguro, etc.).
    • Para optar por não participar do processamento – a preferência de não participação deve ser enviada por uma plataforma, tecnologia ou mecanismo ao controlador, indicando a intenção do consumidor de não participar do processamento ou da venda.

Avaliações de Proteção de Dados (APDs):

O SB 6 exige que o controlador conduza e documente os DPAs para cada atividade de processamento que apresente um risco elevado de dano ao consumidor, o que pode incluir:

  • Processamento de dados pessoais para fins de publicidade direcionada;
  • Venda de dados pessoais;
  • Processamento de dados sensíveis; e
  • Criação de perfil.

Penalidades e aplicação do SB 6:

A Lei de Práticas Comerciais Desleais de Connecticut (SB 6) concede poderes exclusivos de execução ao Procurador-Geral de Connecticut. Embora não inclua um direito privado de ação, qualquer violação dos requisitos da SB 6 constituirá uma violação da Lei de Práticas Comerciais Desleais de Connecticut (“CUPTA”), aplicável exclusivamente ao Procurador-Geral.

Disposição Única: O Direito de Cura

O projeto de lei estabelece um período de carência até 31 de dezembro de 2024, durante o qual o Procurador-Geral de Connecticut deve dar aos infratores a oportunidade de sanar quaisquer violações. O controlador terá 60 dias para sanar a violação. Caso o controlador não sane a violação dentro de 60 dias, o Procurador-Geral poderá ajuizar uma ação de execução.

A partir de 1º de janeiro de 2025, no entanto, o projeto de lei concede ao Procurador-Geral de Connecticut total discrição sobre se deve ou não notificar um controlador e dar-lhe a oportunidade de corrigir uma suposta violação. O SB 6 estabelece diversas condições que o Procurador-Geral pode considerar ao tomar essa decisão.

Como o BigID pode ajudar

Se a CT SB 6 for sancionada pelo governador do estado, as organizações precisarão adaptar sua estratégia de dados à nova lei. Com o BigID, as empresas podem descobrir todos os dados da organização para, então, classificar e catalogar dados (pessoais/sensíveis). avaliar o risco de privacidade com PIA'se gerenciar direitos de dados solicitação em escala. Descubra como o BigID pode ajudar sua empresa a atender aos requisitos do SB 6.

Autor

Jaclyn Wishnia

Consultor de Privacidade

Conteúdo