O Kentucky é conhecido por seu Derby, mas o cenário de privacidade de dados dos EUA tem sido como uma corrida de cavalos entre os estados. O Kentucky aprovou a Lei de Privacidade de Dados do Consumidor do Kentucky (KY CDPA), tornando-se o décimo quarto estado a promulgar uma lei de privacidade de dados.
A legislatura do Kentucky aprovou Projeto de Lei 15 em 4 de abril de 2024, assinado pelo governador Andy Beshar. O KCDPA entrará em vigor em 1 de janeiro de 2026.
O que é a Lei de Privacidade de Dados do Consumidor KY HB 15 (KCDPA)?
A Lei HB 15 do Kentucky não é apenas mais uma lei de privacidade de dados; é uma legislação abrangente e robusta promulgada pelo Kentucky. A KCDPA foi criada para proteger as informações pessoais dos residentes do Kentucky e garantir que as empresas implementem medidas rigorosas de proteção de dados. É um exemplo de transparência, responsabilidade e direitos do consumidor, estabelecendo diretrizes e requisitos claros em todo o estado.
O que as empresas precisam saber sobre a KCDPA
A KCDPA é extremamente importante para proteger a privacidade dos residentes do Kentucky. A lei concede aos indivíduos direitos sobre seus informações pessoais e exige que as empresas sejam transparentes sobre o uso, a coleta e o processamento de dados. Essas novas medidas de privacidade aprimoradas oferecem aos consumidores mais controle sobre seus dados.
A KCDPA introduz diversas disposições essenciais que fortalecem a privacidade e a segurança de dados no Kentucky. Aqui estão alguns aspectos cruciais da lei:
Quem deve obedecer?
O KY CDPA se aplica a empresas que coletam, usam ou compartilham informações pessoais de residentes do Kentucky. As empresas estão sujeitas ao KY HB 15 se:
Realiza negócios no Kentucky ou produz produtos ou serviços para residentes do Kentucky:
- Controla ou processa as informações pessoais de pelo menos 100.000 mil consumidores, excluindo dados pessoais processados para concluir uma transação.
- Controla ou processa os dados pessoais de pelo menos 25.000 consumidores de KY, e o controlador ganha 50% de receita bruta com a venda de informações pessoais.
Preparando-se para a conformidade com o KCDPA
A conformidade com a KCDPA é crucial para empresas que operam no Kentucky. A lei pode levar a multas, penalidades e danos à reputação significativos caso as organizações não cumpram a legislação. Aqui estão algumas considerações importantes para alcançar a conformidade:
Aviso de privacidade
A lei do Kentucky exige que as organizações forneçam aos consumidores uma informação “acessível, clara e significativa”. aviso de privacidade, que inclui:
- As categorias de dados pessoais processados
- A finalidade do processamento dos dados
- As categorias de terceiros aos quais poderá divulgar os dados pessoais
- As categorias de dados que pode divulgar
- Informações sobre como os consumidores podem exercer seus direitos e recorrer de decisões.
Minimização de dados
A legislação exige que as empresas limitem a coleta de dados pessoais ao que é considerado “adequado, relevante e razoavelmente necessário”, a menos que as empresas tenham obtido o consentimento do consumidor.
Segurança e Proteção de Dados
As organizações devem estabelecer e manter práticas de segurança de dados para proteger dados pessoais e impedir acesso não autorizado.
Proteção de Dados e Avaliações de Risco
A KCDPA atualmente se refere às suas avaliações de proteção de dados (APDs) como avaliações de impacto da proteção de dados (AIPD), semelhante ao GDPR. As empresas devem conduzir um DPA sobre dados pessoais processados, criados ou gerados a partir de 1º de junho de 2026, que possam causar danos aos consumidores e trazer riscos elevados, incluindo processamento de dados sensíveis, criação de perfis, venda de dados e publicidade direcionada.
Aplicação e multas da KCDPA
O Procurador-Geral da República (“PG”) tem autoridade exclusiva para fazer cumprir a Lei. O PG pode iniciar uma ação e buscar indenização por danos de até $7.500 por violação continuada. A organização deve receber notificação por escrito sobre potenciais violações e terá um período de 30 dias para se recuperar.
Direitos do consumidor de Kentucky
A KCDPA concede aos residentes do Kentucky direitos específicos sobre suas informações pessoais, incluindo:
- O direito de confirmar se uma empresa está ou não processando dados pessoais do consumidor
- O direito de acesso dados pessoais, a menos que a confirmação e o acesso revelem um segredo comercial
- O direito de correto imprecisões nos dados pessoais do consumidor
- O direito de excluir dados pessoais do consumidor
- O direito de portabilidade de dados em que o consumidor deve poder obter uma cópia dos seus dados pessoais
- O direito de excluir do tratamento de dados pessoais para fins de publicidade direcionada, venda de dados pessoais ou definição de perfis para promover decisões que produzam efeitos jurídicos ou efeitos igualmente significativos relativamente ao consumidor
- O direito de não ser discriminado para exercer quaisquer direitos do consumidor.
- Além disso, as empresas não devem processar dados sensíveis relativos a um consumidor sem obter o consentimento ou processar dados sensíveis coletados de uma criança. Os dados das crianças devem ser processados de acordo com a legislação federal. Lei de Proteção à Privacidade Online de Crianças (COPPA)
As empresas devem responder ao consumidor sem demora, mas em todos os casos no prazo de quarenta e cinco (45) dias a contar da recepção do pedido. As informações fornecidas em resposta a uma solicitação do consumidor devem ser fornecidas gratuitamente, até duas vezes ao ano por consumidor.
Processo de Apelação
As empresas precisam desenvolver um processo para que os consumidores possam recorrer da recusa de tomar providências sobre uma solicitação dentro de um prazo razoável após o consumidor receber a decisão. O processo de apelação deve estar disponível em um formato e processo semelhantes para o envio de solicitações de direitos de dados para iniciar uma ação. No prazo de sessenta (60) dias a contar da recepção do recurso, uma empresa deve informar o consumidor por escrito sobre qualquer ação tomada em resposta ao recurso, incluindo uma explicação por escrito dos motivos das decisões.
Como o BigID ajuda organizações a cumprir a Lei de Privacidade de Dados do Consumidor do Kentucky
BigID permite que as organizações se preparem proativamente para o KCDPA e alcancem a conformidade com uma plataforma patenteada de automação de privacidade com reconhecimento de identidade. Com o BigID, as empresas podem:
- Identificar todos os dados: Descobrir e classificar dados para criar um inventário, mapear fluxos de dados e obter visibilidade sobre todas as informações pessoais e confidenciais sujeitas aos requisitos do KCDPA.
- Aplicar políticas: Corrija riscos baseados em políticas com controles e fluxos de trabalho para tomar medidas conforme os requisitos do KCDPA.
- Automatize o gerenciamento de direitos de dados: Gerencie automaticamente solicitações de privacidade, preferências e consentimento, incluindo a desativação de venda de dados, publicidade direcionada e criação de perfil de usuário.
- Minimizar dados: Aplique práticas de minimização de dados identificando, categorizando e eliminação de dados pessoais desnecessários ou excessivos para gerenciar eficientemente o ciclo de vida dos dados.
- Implementar controles de proteção de dados: Automatize os controles de proteção de dados para impor o acesso aos dados e outras medidas de segurança, que são cruciais para proteger os dados e cumprir com a KCDPA.
- Avaliar risco: Automatize avaliações de impacto de privacidade, relatórios de inventário de dados e fluxos de trabalho de remediação para identificar e remediar riscos para manter a conformidade.
Agende uma demonstração individual para ver como o BigID pode acelerar sua conformidade com o KCDPA.
Autor
