Desde a introdução de legislações históricas como a Regulamento Geral de Proteção de Dados (RGPD) em 2016 e Lei de Privacidade do Consumidor da Califórnia (CCPA) em 2018—vários Estados dos EUA diversos estados aprovaram suas próprias versões na esperança de proteger melhor a privacidade dos dados de seus respectivos cidadãos. Um dos estados mais recentes a aderir a essa tendência é Delaware, com a aprovação da Lei de Privacidade de Dados Pessoais de Delaware (DPDPA) em 11 de setembro de 2023.
Neste guia completo, exploramos as complexidades da DPDPA, comparando-a com suas contrapartes — a RGPD e o CCPAVamos explorar a quem se aplica a DPDPA, suas isenções e limites, os direitos que ela garante aos indivíduos e muito mais.
O que é a Lei de Privacidade de Dados Pessoais de Delaware?
A Lei de Proteção de Dados Pessoais de Delaware (DPDPA) torna Delaware o 13º estado a promulgar uma lei abrangente de privacidade de dados do consumidor — juntando-se a outros estados. Califórnia, Virgínia, Colorado, Connecticut, Utah, Iowa, Indiana, Tennessee, Montana, Flórida, Texas, e OregonEm sua essência, a Lei de Privacidade de Dados Pessoais de Delaware (DPDPA) é uma legislação histórica criada para aprimorar a proteção de dados pessoais e os direitos de privacidade dos indivíduos no estado de Delaware.
Inspirada no GDPR e no CCPA, a DPDPA impõe requisitos rigorosos às organizações que lidam com dados pessoais, exigindo transparência, responsabilidade e medidas proativas para proteger informações sensíveis. A DPDPA entrará em vigor em 1º de janeiro de 2025.
Como a DPDPA se compara à GDPR e à CCPA?
Assim como a grande maioria dos leis de privacidade de dadosA lei de privacidade de dados de Delaware segue o Regulamento Geral de Proteção de Dados (RGPD) da UE no que diz respeito à definição de consentimento válido: “um ato afirmativo claro que significa a concordância livre, específica, informada e inequívoca do consumidor em permitir o processamento de dados pessoais relacionados ao consumidor”.
Diferentemente da CCPA (Califórnia), a DPDPA não possui um limite específico que possa ser acionado com base unicamente na receita anual. Também diferentemente da CCPA, a lei de Delaware exclui da definição de "consumidor" indivíduos que atuam em um contexto comercial ou de emprego, tornando a Califórnia o único estado cuja lei geral de privacidade abrange dados pessoais no contexto de recursos humanos, emprego e B2B.
A quem se aplica a Lei de Privacidade de Delaware?
A DPDPA será aplicada a entidades que realizam negócios no Estado de Delaware e que controlam ou processam dados pessoais de pelo menos 35.000 consumidores, ou que controlam ou processam dados pessoais de pelo menos 10.000 consumidores e que obtêm mais de 20% de sua receita bruta com a venda de dados pessoais.
A lei de privacidade de Delaware exige que o Departamento de Justiça de Delaware realize ações de divulgação pública para educar os consumidores e a comunidade empresarial sobre a lei, pelo menos seis meses antes da data de entrada em vigor da DPPA.
Isenções e limites da DPDPA
Embora a DPPA imponha obrigações rigorosas aos controladores e processadores de dados, certas isenções e limites podem ser aplicáveis em circunstâncias específicas. As entidades isentas e seus serviços incluem:
- Órgãos governamentais, incluindo órgãos reguladores, administrativos, legislativos ou judiciais.
- Organizações de saúde pública Instituições financeiras (incluindo entidades e afiliadas sujeitas ao GLBA)
- Serviços de imprensa, agências de notícias ou outros serviços de informação (e atividades não comerciais de entidades de mídia)
- Vítimas ou testemunhas de atividades criminosas
As regulamentações isentas (e os dados processados a elas relacionados) incluem:
- Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA)
- Lei Gramm-Leach-Bliley (GLBA)
- Lei de Relatórios de Crédito Justos (FCRA)
- Lei de Proteção da Privacidade do Motorista
- Lei dos Direitos Educacionais e Privacidade da Família (FERPA)
- Lei de Crédito Agrícola
- Lei de Desregulamentação Aérea
Direitos individuais sob a Lei de Privacidade de Delaware
A Lei de Privacidade de Dados Pessoais de Delaware concede aos residentes de Delaware — denominados “consumidores” — direitos específicos de acesso e controle sobre seus dados pessoais. Os consumidores têm o direito de fazer solicitações autenticadas a um controlador, que incluem:
- Verificar se o controlador está processando seus dados e acessando seus dados.
- Retificar quaisquer dados pessoais incorretos.
- Exclusão de dados pessoais
- Receber uma cópia dos seus dados pessoais (portabilidade de dados)
- Receber uma lista das categorias de terceiros com quem o controlador compartilhou seus dados pessoais.
- Optar por não permitir o processamento de seus dados pessoais para publicidade direcionada, venda ou criação de perfis para decisões exclusivamente automatizadas com efeitos jurídicos significativos.
Os controladores são obrigados a responder às solicitações dos consumidores para o exercício desses direitos no prazo de 45 dias, com a opção de prorrogar esse prazo por mais 45 dias, se necessário, devido à complexidade ou ao volume das solicitações.
Requisitos de Processamento de Dados e Consentimento ao abrigo da DPDPA
Assim como diversas outras leis de privacidade de dados nos EUA, a Lei de Privacidade de Dados Pessoais de Delaware exige que os controladores estabeleçam contratos com os processadores para regular o processamento de dados. Esses contratos, de acordo com a Lei de Privacidade de Dados Pessoais de Delaware, devem descrever explicitamente as instruções para o processamento de dados pessoais, a finalidade e a natureza do processamento, as categorias de dados sujeitos ao processamento, a duração do processamento e os respectivos direitos e responsabilidades das partes envolvidas.
Além disso, esses contratos devem incluir cláusulas de confidencialidade e estipular que os processadores só podem contratar subcontratados após obterem a aprovação do controlador e celebrarem um contrato por escrito garantindo que o subcontratado cumpra as obrigações do processador em relação aos dados pessoais.
Lei de Proteção e Privacidade Online de Delaware
Em 1º de janeiro de 2016, entrou em vigor a Lei de Privacidade e Proteção Online de Delaware (“DOPPA”), uma lei que proporcionou forte proteção à privacidade online de seus residentes. A nova lei visava três áreas de conformidade: (1) publicidade direcionada a crianças; (2) exibição visível de uma política de privacidade em conformidade; e (3) aprimoramento da proteção à privacidade dos usuários de livros digitais (“e-books”). A lei concedeu à Unidade de Proteção ao Consumidor do Departamento de Justiça do estado a autoridade para investigar e processar violações da lei.
De acordo com a DOPPA, os operadores de sites e aplicativos que direcionavam seus serviços a crianças tinham que garantir que não anunciassem ou comercializassem certos conteúdos enumerados e considerados pela lei como inadequados para visualização infantil, como álcool, tabaco, armas de fogo, pornografia e uma série de outras categorias definidas pela lei.
Como os dados pessoais são definidos pela legislação?
Dados pessoais — conforme definidos pela DPDPA — referem-se a “qualquer informação que esteja vinculada ou possa ser razoavelmente vinculada a um indivíduo identificado ou identificável, e não inclui dados anonimizados ou informações publicamente disponíveis”.
Consequências do descumprimento da DPDPA
Assim como muitas outras leis estaduais de privacidade de dados dos EUA, a Lei de Privacidade de Dados Pessoais de Delaware não prevê o direito de ação privada. Em vez disso, a autoridade para fiscalizar é exclusiva do Departamento de Justiça de Delaware. Até 31 de dezembro de 2025, o Departamento de Justiça é obrigado a emitir uma notificação de violação e conceder aos controladores um prazo de 60 dias para sanar a violação, caso considere tal correção viável. A partir de 1º de janeiro de 2026, o Departamento de Justiça poderá, a seu critério, oferecer uma oportunidade para sanar uma suposta violação.
Nos termos da Lei de Privacidade de Dados Pessoais de Delaware, o Departamento de Justiça de Delaware está autorizado a investigar e processar violações de acordo com a legislação de proteção ao consumidor de Delaware. Essa autoridade permite a emissão de ordens de cessação e desistência, a busca de medidas administrativas, o início de ações judiciais e o estabelecimento das normas e regulamentos necessários. Em caso de processo judicial, o tribunal pode impor multas civis de até US$ 10.000 por cada violação dolosa cometida.
Melhores práticas para mitigar riscos
Implementar medidas proativas para mitigar os riscos previstos na Lei de Privacidade de Dados Pessoais de Delaware (DPDPA) é essencial para garantir a conformidade e proteger dados sensíveis. Aqui estão algumas boas práticas a serem consideradas:
- Realizar um inventário de dados abrangente: Comece por realizar um inventário completo de todos os dados pessoais que a sua organização coleta, processa e armazena. Compreenda onde esses dados residem, como são usados e quem tem acesso a eles.
- Atualizar as Políticas e Avisos de Privacidade: Assegure-se de que as políticas e avisos de privacidade da sua organização estejam atualizados para refletir os requisitos da DPDPA. Comunique claramente aos indivíduos como seus dados pessoais são coletados, processados e protegidos.
- Obtenha o consentimento válido: Implementar procedimentos para obter o consentimento válido dos indivíduos antes de processar seus dados pessoais. O consentimento deve ser específico, informado e livremente concedido, em conformidade com os requisitos da DPDPA.
- Estabelecer políticas de retenção de dados: Desenvolva políticas claras de retenção de dados que definam por quanto tempo os dados pessoais serão retidos e os critérios para sua exclusão. Garanta que os dados não sejam mantidos por mais tempo do que o necessário para cumprir a finalidade pretendida.
A abordagem da BigID para alcançar a conformidade.
Embora a DPDPA seja semelhante a várias outras leis estaduais de privacidade, as organizações ainda precisam tomar as medidas necessárias para cumprir os aspectos específicos da lei de privacidade de Delaware. BigID Permite que as organizações se preparem proativamente para a DPDPA, a fim de alcançar a conformidade com sua plataforma líder do setor. privacidade de dados, segurança, e governançaCom o BigID você pode:
- Descubra seus dados: BigID's descoberta e classificação de dados Oferece visibilidade completa de todas as informações pessoais e sensíveis sujeitas à DPDPA.
- Minimizar dados: Implemente a minimização de dados, identificando e categorizando dados pessoais ROT desnecessários para gerenciar o ciclo de vida dos dados, desde a retenção até a exclusão.
- Automatize o gerenciamento de direitos de dados: O BigID permite que as organizações automaticamente Gerenciar solicitações de privacidade, preferências e consentimento., incluindo a opção de os consumidores recusarem a venda de dados, a publicidade direcionada e a criação de perfis.
- Implementar DSPM: A BigID fornece gerenciamento de postura de segurança de dados de próxima geraçãoPara proteger todos os seus dados sensíveis em toda a infraestrutura da sua empresa, seja qual for o ambiente, na nuvem ou localmente Assim, você poderá proteger melhor os dados e cumprir a DPDPA.
- Avaliar o risco: A BigID oferece avaliações automatizadas de impacto na privacidade, relatórios de inventário de dados e fluxos de trabalho de remediação Identificar riscos e reportá-los ao Departamento de Justiça de Delaware.
Para ver como a BigID pode ajudar você a alcançar a conformidade com a DPDPA— Agende hoje mesmo uma reunião individual com nossos especialistas em privacidade de dados.
Autor
