Desde a introdução de legislações históricas como a Regulamento Geral sobre a Proteção de Dados (GDPR) em 2016 e Lei de Privacidade do Consumidor da Califórnia (CCPA) em 2018 - vários Estados dos EUA aprovaram suas próprias iterações na esperança de proteger melhor a privacidade dos dados dos cidadãos de seus respectivos estados. Um dos estados mais recentes a se juntar à iniciativa foi Delaware, com a aprovação da Lei de Privacidade de Dados Pessoais de Delaware (DPDPA) em 11 de setembro de 2023.
Neste guia abrangente, aprofundamo-nos nas complexidades do DPDPA, comparando-o com os seus homólogos – o GDPR e o CCPA. Exploraremos a quem o DPDPA se aplica, suas isenções e limites, os direitos que ele oferece aos indivíduos e muito mais.
O que é a Lei de Privacidade de Dados Pessoais de Delaware?
O DPDPA torna Delaware o 13º estado a promulgar uma lei abrangente de privacidade de dados do consumidor - juntando-se Califórnia, Virgínia, Colorado, Connecticut, Utah, Iowa, Indiana, Tennessee, Montana, Flórida, Texase Oregon. Em sua essência, a Lei de Privacidade de Dados Pessoais de Delaware (DPDPA) é uma legislação histórica projetada para aprimorar a proteção de dados pessoais e os direitos de privacidade de indivíduos no estado de Delaware.
Inspirado no GDPR e no CCPA, o DPDPA impõe requisitos rigorosos às organizações que lidam com dados pessoais, exigindo transparência, responsabilidade e medidas proativas para proteger informações confidenciais. O DPDPA entrará em vigor em 1º de janeiro de 2025.
Como o DPDPA se compara ao GDPR e ao CCPA?
Como a grande maioria de leis de privacidade de dados, a lei de privacidade de dados de Delaware segue o Regulamento Geral de Proteção de Dados (GDPR) da UE no que diz respeito à definição de consentimento válido: “um ato afirmativo claro que significa um acordo livre, específico, informado e inequívoco do consumidor para permitir o processamento de dados pessoais relacionados ao consumidor”.
Ao contrário da CCPA (Califórnia), a DPDPA não possui um limite específico que possa ser acionado com base apenas na receita anual. Também diferentemente da CCPA, a lei de Delaware exclui da definição de "consumidor" indivíduos que atuam em um contexto comercial ou trabalhista, deixando a Califórnia como o único estado cuja lei geral de privacidade abrange dados pessoais no contexto de recursos humanos, emprego e B2B.
A quem se aplica a Lei de Privacidade de Delaware?
O DPDPA será aplicado a entidades que conduzem negócios no Estado de Delaware que controlaram ou processaram dados pessoais de não menos que 35.000 consumidores ou controlaram ou processaram dados pessoais de não menos que 10.000 consumidores e obtiveram mais de 20 por cento de sua receita bruta com a venda de dados pessoais.
A lei de privacidade de Delaware exige que o Departamento de Justiça de Delaware se envolva em ações de conscientização pública para educar os consumidores e a comunidade empresarial sobre a Lei, começando pelo menos 6 meses antes da data efetiva do DPPA.
Isenções e Limites do DPDPA
Embora a DPPA imponha obrigações rigorosas aos controladores e processadores de dados, certas isenções e limites podem ser aplicados em circunstâncias específicas. As entidades isentas e seus serviços incluem:
- Agências governamentais, incluindo órgãos reguladores, administrativos, legislativos ou judiciais
- Organizações de saúde pública Instituições financeiras (também entidades e afiliadas sujeitas à GLBA)
- Imprensa, agência de notícias ou outro serviço de informação (e atividades não comerciais de entidades de mídia)
- Vítimas ou testemunhas de atividades criminosas
Os regulamentos isentos (e dados processados relevantes para eles) incluem:
- Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
- Lei Gramm-Leach-Bliley (GLBA)
- Lei de Relatórios de Crédito Justo (FCRA)
- Lei de Proteção à Privacidade do Motorista
- Lei de Direitos Educacionais e Privacidade da Família (FERPA)
- Lei de Crédito Agrícola
- Lei de Desregulamentação das Companhias Aéreas
Direitos individuais sob a lei de privacidade de Delaware
A Lei de Privacidade de Dados Pessoais de Delaware concede aos residentes de Delaware — denominados "consumidores" — direitos específicos de acesso e controle sobre seus dados pessoais. Os consumidores têm o direito de fazer solicitações autenticadas a um controlador, que incluem:
- Verificar se o controlador está processando seus dados e acessando seus dados
- Retificar quaisquer dados pessoais imprecisos
- Exclusão de dados pessoais
- Receber uma cópia dos seus dados pessoais (portabilidade de dados)
- Receber uma lista de categorias de terceiros com os quais o controlador compartilhou seus dados pessoais
- Optar por não processar seus dados pessoais para publicidade direcionada, venda ou criação de perfil apenas para decisões automatizadas com efeitos legais significativos
Os controladores são obrigados a responder às solicitações dos consumidores para exercer esses direitos dentro de 45 dias, com a opção de estender esse período por mais 45 dias, se necessário devido à complexidade ou ao volume das solicitações.
Requisitos de processamento e consentimento de dados sob DPDPA
Semelhante a diversas outras leis de privacidade de dados nos EUA, a Lei de Privacidade de Dados Pessoais de Delaware (Delaware Personal Data Privacy Act) obriga os controladores a firmar contratos com processadores para regular o processamento de dados. Esses contratos, sob a Lei de Privacidade de Dados Pessoais de Delaware, devem descrever explicitamente as instruções para o processamento de dados pessoais, a finalidade e a natureza do processamento, as categorias de dados sujeitos ao processamento, a duração do processamento e os respectivos direitos e responsabilidades das partes envolvidas.
Além disso, esses contratos devem incluir disposições de confidencialidade e estipular que os processadores só podem contratar subcontratados após obter a aprovação do controlador e firmar um acordo por escrito garantindo que o subcontratado cumpra as obrigações do processador em relação aos dados pessoais.
Lei de Privacidade e Proteção Online de Delaware
Em 1º de janeiro de 2016, entrou em vigor a Lei de Privacidade e Proteção Online de Delaware ("DOPPA"), uma lei que proporcionou forte proteção à privacidade online de seus residentes. A nova lei visava três áreas de conformidade: (1) publicidade para crianças; (2) publicação ostensiva de uma política de privacidade em conformidade; e (3) aprimoramento da proteção da privacidade dos usuários de livros digitais ("e-books"). A lei concedeu à Unidade de Proteção ao Consumidor do Departamento de Justiça do estado a autoridade para investigar e processar violações da lei.
De acordo com a DOPPA, os operadores de sites e aplicativos que direcionavam seus serviços a crianças tinham que garantir que não anunciassem ou comercializassem certos conteúdos enumerados considerados pela lei como inapropriados para visualização por crianças, como álcool, tabaco, armas de fogo, pornografia e uma série de outras categorias delineadas pela lei.
Como os dados pessoais são definidos pela legislação?
Dados pessoais — conforme definido na DPDPA — referem-se a “qualquer informação que esteja vinculada ou razoavelmente vinculável a um indivíduo identificado ou identificável, e não inclui dados desidentificados ou informações publicamente disponíveis”.
Consequências da não conformidade com a DPDPA
Semelhante a muitas outras Leis de Privacidade de Dados dos Estados Unidos, a Lei de Privacidade de Dados Pessoais de Delaware não inclui disposições para um direito privado de ação. Em vez disso, a autoridade de execução é exclusivamente do Departamento de Justiça de Delaware. Até 31 de dezembro de 2025, o Departamento de Justiça é obrigado a emitir uma notificação de violação e fornecer aos controladores um prazo de 60 dias para remediar a violação, se considerar tal remediação viável. A partir de 1º de janeiro de 2026, o Departamento de Justiça poderá, a seu critério, oferecer uma oportunidade para sanar uma suposta violação.
De acordo com a Lei de Privacidade de Dados Pessoais de Delaware, o Departamento de Justiça de Delaware tem poderes para investigar e processar violações, de acordo com o estatuto de proteção ao consumidor de Delaware. Essa autoridade permite a emissão de ordens de cessação e desistência, a busca de recursos administrativos, a instauração de ações judiciais e o estabelecimento de regras e regulamentos necessários. Em caso de processo judicial, o tribunal pode impor penalidades civis de até US$ 1.000 por violação intencional cometida.
Melhores práticas para mitigar riscos
Implementar medidas proativas para mitigar riscos sob a Lei de Privacidade de Dados Pessoais de Delaware (DPDPA) é essencial para garantir a conformidade e proteger dados sensíveis. Aqui estão algumas práticas recomendadas a serem consideradas:
- Realizar um inventário abrangente de dados: Comece realizando um inventário completo de todos os dados pessoais que sua organização coleta, processa e armazena. Entenda onde esses dados residem, como são usados e quem tem acesso a eles.
- Atualizar Políticas de Privacidade e Avisos: Garanta que as políticas e avisos de privacidade da sua organização estejam atualizados para refletir os requisitos da DPDPA. Comunique claramente aos indivíduos como seus dados pessoais são coletados, processados e protegidos.
- Obtenha consentimento válido: Implementar procedimentos para obter consentimento válido dos indivíduos antes do processamento de seus dados pessoais. O consentimento deve ser específico, informado e dado livremente, em conformidade com os requisitos da Lei de Proteção de Dados Pessoais (LPDP).
- Estabelecer políticas de retenção de dados: Desenvolva políticas claras de retenção de dados que definam por quanto tempo os dados pessoais serão retidos e os critérios para sua exclusão. Garanta que os dados não sejam mantidos por mais tempo do que o necessário para cumprir a finalidade pretendida.
Abordagem da BigID para alcançar a conformidade
Embora a DPDPA seja semelhante a várias outras leis estaduais de privacidade, as organizações ainda precisam tomar as medidas necessárias para cumprir os aspectos específicos da lei de privacidade de Delaware. BigID permite que as organizações se preparem proativamente para o DPDPA para atingir a conformidade com sua plataforma líder do setor para privacidade de dados, segurançae governança. Com o BigID você pode:
- Descubra seus dados: BigIDs descoberta e classificação de dados fornece visibilidade completa sobre todas as informações pessoais e confidenciais sujeitas à DPDPA.
- Minimizar dados: Implemente a minimização de dados identificando e categorizando dados pessoais ROT desnecessários para gerenciar o ciclo de vida dos dados, da retenção à exclusão.
- Automatize o gerenciamento de direitos de dados: O BigID permite que as organizações automaticamente gerenciar solicitações de privacidade, preferências e consentimento, incluindo o UOOM para que os consumidores optem por não participar de vendas de dados, publicidade direcionada e criação de perfis.
- Implementar DSPM: O BigID fornece gerenciamento de postura de segurança de dados de última geraçãopara proteger todos os seus dados confidenciais em todo o ambiente da sua empresa, seja na nuvem ou no local para que você possa proteger melhor os dados e cumprir com a DPDPA.
- Avaliar risco: O BigID oferece avaliações automatizadas de impacto na privacidade, relatórios de inventário de dados e fluxos de trabalho de remediação para identificar riscos e relatar ao Departamento de Justiça de Delaware.
Para ver como o BigID pode ajudá-lo a atingir a conformidade com o DPDPA— agende uma reunião individual com nossos especialistas em privacidade de dados hoje mesmo.
Autor
