Iowa é conhecida por ser uma grande produtora de milho, soja, carne suína e ovos e é frequentemente chamada de "Capital Mundial da Alimentação", mas agora você pode adicionar legislação de privacidade de dados ao que Iowa produziu.
A Lei de Proteção de Dados do Consumidor de Iowa (ICDPA), sancionada em março de 2023, marca a entrada de Iowa na crescente lista de estados americanos que promulgam regulamentações abrangentes de privacidade de dados. A ICDPA se assemelha bastante a leis de privacidade como a Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA) e Lei de Privacidade do Consumidor de Utah (UCPA), criando uma estrutura que garante transparência e dá aos residentes de Iowa controle sobre seus dados pessoais.
Entender e aderir ao ICDPA é crucial para organizações que operam em Iowa ou atendem residentes de Iowa para evitar penalidades e promover a confiança do consumidor.
Principais características da Lei de Proteção de Dados do Consumidor de Iowa
1. Âmbito e aplicação da lei
O ICDPA se aplica a organizações que:
- Conduzir negócios em Iowa ou produzir produtos ou serviços direcionados aos residentes de Iowa.
- Atender a pelo menos um dos seguintes limites:
- Controlar ou processar os dados pessoais de 100.000 ou mais consumidores anualmente.
- Obtenha 50% ou mais de receita bruta com a venda de dados pessoais e processe os dados pessoais de pelo menos 25.000 consumidores.
As isenções incluem:
- Agências governamentais.
- Entidades já regidas por outras leis federais de privacidade, como HIPAA, GLBA, ou FERPA.
- Organizações sem fins lucrativos e instituições de ensino superior.
2. Direitos de Dados do Consumidor
O ICDPA concede direitos de dados semelhantes aos de outras leis estaduais de privacidade do consumidor, definindo consumidor como um indivíduo residente em Iowa que atua exclusivamente em caráter pessoal, excluindo aqueles que atuam em contextos empregatícios ou comerciais. O ICDPA concede aos residentes de Iowa direitos robustos para controlar seus dados pessoais, incluindo:
- Direito de acesso: Os consumidores podem solicitar acesso aos seus dados pessoais mantidos por organizações.
- Direito de exclusão: Os consumidores podem solicitar a exclusão dos seus dados pessoais.
- Direito à Portabilidade de Dados: Os consumidores podem obter seus dados em um formato portátil e utilizável.
- Direito de não participação: Os consumidores podem excluir do processamento de dados pessoais para publicidade direcionada, vendas de dados ou criação de perfis que produza efeitos legais ou similares significativos.
As organizações devem responder às solicitações de direitos do consumidor dentro 90 dias, com uma extensão opcional de 45 dias, se necessário.
3. Obrigações das Organizações
Avisos de transparência e privacidade
As organizações devem fornecer avisos de privacidade claros e concisos que incluam:
- Categorias de dados pessoais processados.
- Finalidades da coleta e utilização dos dados.
- Informações sobre os direitos do consumidor e como exercê-los.
- Se dados pessoais são vendidos ou compartilhados e como os consumidores podem optar por não participar.
Consentimento para Processamento de Dados Sensíveis
Consentimento explícito do consumidor é necessário para processamento dados confidenciais, que inclui:
- Origem racial ou étnica.
- Crenças religiosas.
- Dados genéticos ou biométricos para fins de identificação.
- Dados relativos à saúde ou orientação sexual.
Minimização de dados e limitação de finalidade
As organizações só podem coletar e reter dados pessoais estritamente necessários para finalidades específicas e divulgadas. O processamento de dados pessoais para finalidades não relacionadas exige o consentimento explícito dos consumidores.
Requisitos de segurança
O ICDPA exige a implementação de medidas técnicas, administrativas e físicas razoáveis para proteger dados pessoais contra violação, perda ou acesso não autorizado.
Contratos de Processador
Organizações que compartilham dados com processadores terceirizados devem estabelecer contratos para garantir que os processadores cumpram os requisitos do ICDPA.
Aplicação e penalidades por não conformidade com o ICDPA
O descumprimento do ICDPA pode resultar em penalidades significativas, incluindo multas de até $7.500 por violação. O Procurador-Geral de Iowa pode aplicar a lei e impor multas às empresas que não estiverem em conformidade, mas terá um "período de recuperação" para corrigir as violações antes de qualquer ação judicial.
Etapas para alcançar a conformidade com o ICDPA
1. Realizar um inventário de dados e exercício de mapeamento
Identifique e mapeie todos os dados pessoais coletados, processados ou armazenados em sua organização. Entenda o ciclo de vida desses dados, da coleta à exclusão, para garantir a conformidade com os requisitos de minimização de dados e limitação de finalidade.
2. Atualizar os Avisos de Privacidade
Revise suas políticas e avisos de privacidade para incluir todas as divulgações exigidas pelo ICDPA. Certifique-se de que sejam facilmente acessíveis, redigidos em linguagem clara e forneçam instruções para o exercício dos direitos do consumidor.
3. Implementar um Processo de Gestão dos Direitos do Consumidor
Crie um processo simplificado para receber, verificar e responder às solicitações de direitos de dados do consumidor. Utilize ferramentas de automação para cumprir o prazo de resposta de 90 dias com eficiência.
4. Avalie e minimize as práticas de coleta de dados
Adote práticas de minimização de dados, limitando a coleta de dados ao estritamente necessário para os propósitos divulgados. As organizações também devem auditar os dados periodicamente para excluir informações desnecessárias ou desatualizadas.
5. Fortalecer as práticas de segurança de dados
Garanta que sua organização empregue medidas de segurança de última geração, como criptografia, auditorias de segurança, avaliações de vulnerabilidades e controles de acesso baseados no princípio do menor privilégio.
6. Revise os contratos com os processadores
Auditar acordos com processadores terceirizados para garantir a conformidade com o ICDPA. Incluir disposições que exijam que os processadores protejam dados pessoais, excluam dados mediante solicitação e notifiquem imediatamente em caso de violação de dados.
7. Treinar funcionários
Eduque os funcionários, especialmente aqueles em funções de atendimento ao cliente ou gerenciamento de dados, sobre os requisitos do ICDPA e suas responsabilidades. Inclua orientações sobre como lidar com solicitações de direitos do consumidor e evitar padrões obscuros.
Como o BigID pode ajudar organizações a alcançar a conformidade com o ICDPA
BigID fornece às organizações a tecnologia para otimizar suas práticas de privacidade, segurança, conformidade e gerenciamento de dados de IA. Da descoberta avançada de dados ao gerenciamento automatizado de direitos de dados, os recursos do BigID estão em estreita sintonia com os requisitos do ICDPA, permitindo que as organizações:
- Descubra e classifique todos os dados pessoais e sensíveis em ambientes estruturados e não estruturados para criar um inventário, mapear fluxos de dados e obter visibilidade completa.
- Corrija o risco baseado em políticas com controles e fluxos de trabalho para tomar medidas sobre os requisitos do ICDPA.
- Automatize a resposta às solicitações de direitos do consumidor, preferências e consentimento, incluindo a exclusão de venda de dados, publicidade direcionada e criação de perfil de usuário.
- Aplicar práticas de minimização de dados identificando, categorizando e eliminação de dados pessoais desnecessários ou excessivos para gerenciar eficientemente o ciclo de vida dos dados.
- Automatize os controles de proteção de dados para impor o acesso aos dados e outras medidas de segurança, que são cruciais para proteger os dados e cumprir com o ICDPA.
Agende uma demonstração individual para ver como o BigID pode acelerar a conformidade com o ICDPA.
Autor
