Em conformidade com o Lei de Proteção de Dados do Consumidor de Iowa (ICDPA): Um guia para organizações

Iowa é conhecida por ser uma das principais produtoras de milho, soja, carne suína e ovos, sendo frequentemente chamada de "Capital Mundial da Alimentação", mas agora você pode adicionar a legislação sobre privacidade de dados à lista de produtos de Iowa.

A Lei de Proteção de Dados do Consumidor de Iowa (ICDPA), sancionada em março de 2023, marca a entrada de Iowa na crescente lista de estados americanos que promulgaram regulamentações abrangentes de privacidade de dados. A ICDPA se assemelha bastante a leis de privacidade como a Lei de Proteção de Dados do Consumidor de Iowa (ICDPA). Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA) e Lei de Privacidade do Consumidor de Utah (UCPA), criando uma estrutura que garanta transparência e dê aos residentes de Iowa o controle sobre seus dados pessoais.

Compreender e cumprir a ICDPA é crucial para as organizações que operam em Iowa ou que atendem residentes de Iowa, a fim de evitar penalidades e promover a confiança do consumidor.

Principais características da Lei de Proteção de Dados do Consumidor de Iowa

1. Âmbito de aplicação e aplicação da lei

A ICDPA aplica-se a organizações que:

• Realizar negócios em Iowa ou produzir produtos ou serviços direcionados a residentes de Iowa.
• Atender a pelo menos um dos seguintes critérios:
  • Controlar ou processar os dados pessoais de 100.000 ou mais consumidores anualmente.
  • Obter 50% ou mais de receita bruta com a venda de dados pessoais e processar os dados pessoais de pelo menos 25.000 consumidores.

As isenções incluem:

• Agências governamentais.
• Entidades já regidas por outras leis federais de privacidade, como HIPAA, GLBA, ou FERPA.
• Organizações sem fins lucrativos e instituições de ensino superior.

2. Direitos do Consumidor sobre Dados Pessoais

A Lei de Privacidade do Consumidor de Iowa (ICDPA) oferece direitos de dados semelhantes aos de outras leis estaduais de privacidade do consumidor, definindo consumidor como um indivíduo residente em Iowa e que age exclusivamente em caráter pessoal, excluindo aqueles que atuam em contextos de emprego ou comerciais. A ICDPA concede aos residentes de Iowa amplos direitos de controle sobre seus dados pessoais, incluindo:

• Direito de acesso: Os consumidores podem solicitar acesso aos seus dados pessoais mantidos por organizações.
• Direito de exclusão: Os consumidores podem solicitar a exclusão dos seus dados pessoais.
• Direito à portabilidade de dados: Os consumidores podem obter seus dados em um formato portátil e utilizável.
• Direito de optar por não participar: Os consumidores podem excluir do processamento de dados pessoais para fins de publicidade direcionada, venda de dados ou criação de perfis que produza efeitos jurídicos significativos ou similares.

As organizações devem responder às solicitações de direitos do consumidor dentro de 90 dias, com possibilidade de prorrogação por mais 45 dias, se necessário.

3. Obrigações das Organizações

Avisos de Transparência e Privacidade

As organizações devem fornecer avisos de privacidade claros e concisos que incluam:

• Categorias de dados pessoais processados.
• Finalidades da coleta e uso de dados.
• Informações sobre os direitos do consumidor e como exercê-los.
• Se os dados pessoais são vendidos ou compartilhados e como os consumidores podem optar por não participar.

Consentimento para o Processamento de Dados Sensíveis

Consentimento explícito do consumidor é necessário para o processamento dados sensíveis, que inclui:

• Origem racial ou étnica.
• Crenças religiosas.
• Dados genéticos ou biométricos para fins de identificação.
• Dados relativos à saúde ou à orientação sexual.

Minimização de dados e limitação de finalidade

As organizações só podem coletar e reter dados pessoais estritamente necessários para fins específicos e divulgados. O processamento de dados pessoais para fins não relacionados exige o consentimento explícito dos consumidores.

Requisitos de segurança

A ICDPA exige a implementação de medidas técnicas, administrativas e físicas razoáveis para proteger os dados pessoais contra violação, perda ou acesso não autorizado.

Contratos de Processamento

Organizações que compartilham dados com processadores terceirizados devem estabelecer contratos para garantir que esses processadores cumpram os requisitos da ICDPA.

Fiscalização e penalidades por descumprimento da ICDPA

O descumprimento da ICDPA pode resultar em penalidades significativas, incluindo multas de até US$ 7.500 por violação. O Procurador-Geral de Iowa pode fazer cumprir a lei e impor multas às empresas que não a cumprem, mas é concedido um "período de regularização" para que elas corrijam as violações antes de qualquer ação legal.

Passos para alcançar a conformidade com a ICDPA

1. Realizar um exercício de inventário e mapeamento de dados

Identifique e mapeie todos os dados pessoais coletados, processados ou armazenados em sua organização. Compreenda o ciclo de vida desses dados, da coleta à exclusão, para garantir a conformidade com os requisitos de minimização de dados e limitação de finalidade.

2. Atualizar os Avisos de Privacidade

Revise suas políticas e avisos de privacidade para incluir todas as divulgações exigidas pela ICDPA. Certifique-se de que sejam facilmente acessíveis, redigidos em linguagem clara e forneçam instruções para o exercício dos direitos do consumidor.

3. Implementar um processo de gestão dos direitos do consumidor

Estabeleça um processo simplificado para receber, verificar e responder às solicitações de direitos de dados do consumidor. Utilize ferramentas de automação para cumprir o prazo de resposta de 90 dias com eficiência.

4. Avaliar e minimizar as práticas de coleta de dados

Adote práticas de minimização de dados, limitando a coleta de dados ao estritamente necessário para os fins divulgados. As organizações também devem auditar periodicamente os dados para excluir informações desnecessárias ou desatualizadas.

5. Reforçar as práticas de segurança de dados

Garanta que sua organização empregue medidas de segurança de última geração, como criptografia, auditorias de segurança, avaliações de vulnerabilidade e controles de acesso baseados no princípio do menor privilégio.

6. Analisar os contratos com os processadores

Audite os contratos com processadores terceirizados para garantir a conformidade com a ICDPA. Inclua cláusulas que exijam que os processadores protejam os dados pessoais, excluam os dados mediante solicitação e notifiquem imediatamente em caso de violação de dados.

7. Treinar funcionários

Eduque os funcionários, especialmente aqueles que atuam em funções de atendimento ao cliente ou gerenciamento de dados, sobre os requisitos da ICDPA e suas responsabilidades. Inclua orientações sobre como lidar com solicitações de direitos do consumidor e evitar práticas obscuras.

Como a BigID pode ajudar as organizações a atingir a conformidade com a ICDPA

BigID A BigID fornece às organizações a tecnologia necessária para otimizar suas práticas de privacidade, segurança, conformidade e gerenciamento de dados com IA. Da descoberta avançada de dados ao gerenciamento automatizado de direitos de dados, os recursos da BigID estão alinhados aos requisitos da ICDPA, permitindo que as organizações:

• Descubra e classifique todos os dados pessoais e sensíveis. em ambientes estruturados e não estruturados para construir um inventário, mapear fluxos de dados e obter visibilidade completa.
• Corrigir o risco baseado em políticas com controles e fluxos de trabalho para implementar medidas em relação aos requisitos da ICDPA.
• Automatize a resposta às solicitações de direitos do consumidor., preferências e consentimento, incluindo a opção de recusar a venda de dados, publicidade direcionada e criação de perfis de usuários.
• Aplicar práticas de minimização de dados por meio da identificação, categorização e eliminação de dados pessoais desnecessários ou excessivos para gerenciar o ciclo de vida dos dados de forma eficiente.
• Automatize os controles de proteção de dados para garantir o acesso aos dados e outras medidas de segurança, que são cruciais para a proteção dos dados e o cumprimento da ICDPA.

Agende uma demonstração individual. Veja como a BigID pode acelerar a conformidade com a ICDPA.

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produto, desenvolvimento de conteúdo e estratégia digital. Com foco em insights baseados em dados e marketing integrado, ocupou cargos de liderança em diversos setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, responsável por elevar a qualidade do conteúdo em todos os pilares, regiões e públicos, criando conteúdo atraente em diversos formatos, como vídeos, artigos, checklists, white papers e guias.