Compreendendo o Lei de Privacidade de Dados Online de Maryland (MODPA): Por que isso importa

O Lei de Privacidade de Dados Online de Maryland (MODPA) está previsto para entrar em vigor em 1 de outubro de 2025, e marca um passo significativo para melhorar a privacidade de dados dos residentes de Maryland. Esta regulamentação abrangente visa proporcionar aos consumidores maior controle sobre seus dados. dados pessoais Ao mesmo tempo em que impõe requisitos rigorosos às empresas que lidam com essas informações. Aqui está uma análise detalhada do que o MODPA envolve e por que ele é importante tanto para consumidores quanto para empresas.

Por que o MODPA é importante?

O MODPA representa um avanço significativo na regulamentação da privacidade de dados, alinhando Maryland com outras jurisdições que priorizam a proteção de dados do consumidor. As empresas que operam em Maryland devem se preparar para cumprir esses novos padrões, garantindo que respeitem e salvaguardar os dados pessoais de seus consumidores. A introdução do MODPA é crucial por vários motivos:

1. Proteção aprimorada ao consumidor: Ele fornece aos residentes de Maryland uma estrutura robusta direitos de acesso, controle e proteção de seus dados pessoais, promovendo confiança em transações digitais.
2. Transparência e Responsabilidade: As empresas são responsabilizadas por suas práticas de dados, garantindo maior transparência e reduzindo a probabilidade de uso indevido de dados.
3. Segurança de dados: O regulamento enfatiza a importância da segurança de dados, exigindo que as empresas implementem medidas apropriadas para proteger os dados dos consumidores contra violações.
4. Adaptação aos desafios modernos: Ao abordar questões como tomada de decisão automatizada e publicidade direcionada, o MODPA é adaptado às complexidades do processamento de dados moderno.

Âmbito e aplicação

O MODPA se aplica a empresas que operam em Maryland ou direcionam seus produtos e serviços a residentes de Maryland. Especificamente, abrange entidades que:

• Controlou ou processou os dados pessoais de pelo menos 35.000 consumidores no ano civil anterior (excluindo dados usados exclusivamente para transações de pagamento).
• Controlou ou processou os dados pessoais de pelo menos 10.000 consumidores e obteve mais de 20% de sua receita bruta com a venda de dados pessoais.

Vale ressaltar que a lei não se aplica a funcionários ou empresas B2B (business-to-business), concentrando-se, em vez disso, nas interações do consumidor.

Direitos do consumidor de Maryland

O MODPA está alinhado com as leis de privacidade do consumidor da maioria dos outros estados, definindo consumidor como um indivíduo residente em Maryland e que atua exclusivamente em caráter pessoal, excluindo aqueles que atuam em contextos empregatícios ou comerciais. De acordo com o MODPA, os consumidores têm diversos direitos para garantir transparência e controle sobre seus dados pessoais, incluindo:

1. Acesso e Confirmação: Os consumidores podem confirmar se seus dados estão sendo processados e acessar seus dados pessoais mantidos pelos controladores.
2. Correção: Os consumidores podem corrigir imprecisões em seus dados pessoais.
3. Eliminação: Os consumidores podem solicitar a eliminação dos seus dados, a menos que a retenção seja exigida por lei.
4. Portabilidade de dados: Se os dados forem processados automaticamente, os consumidores podem obter uma cópia dos seus dados em um formato portátil para transferi-los para outro controlador.
5. Divulgação de terceiros: Os consumidores podem obter uma lista de terceiros aos quais seus dados foram divulgados.
6. Direitos de exclusão: Os consumidores podem optar por não participar do processamento de dados para publicidade direcionada, venda de dados pessoais ou criação de perfis que os afetem legal ou significativamente.

Os controladores devem responder às solicitações dos consumidores no prazo de 45 dias, prorrogáveis por mais 45 dias, se necessário. Caso a solicitação seja negada, o controlador deve informar o consumidor sobre os motivos e fornecer instruções para recurso.

Responsabilidades do Controlador e do Processador

O MODPA estabelece diretrizes rígidas sobre como os controladores (entidades que determinam as finalidades e os meios de processamento de dados pessoais) e os processadores (entidades que processam dados em nome dos controladores) lidam com os dados do consumidor:

• Ações Proibidas: Os controladores não podem coletar, processar ou compartilhar dados sensíveis, a menos que seja necessário para fornecer um serviço solicitado. Eles também estão proibidos de vender dados sensíveis, processar dados de forma discriminatória ou direcionar publicidade a menores de 18 anos sem consentimento.
• Não discriminação: Os controladores não devem discriminar os consumidores por exercerem seus direitos sob o MODPA.
• Consentimento do consumidor: Os controladores devem obter o consentimento do consumidor para o processamento de dados que vá além do necessário para as finalidades divulgadas. Os consumidores podem revogar o consentimento, e os controladores devem cessar o processamento dos dados no prazo de 30 dias após a revogação.
• Processo de apelação: Os controladores devem estabelecer um processo de apelação para consumidores cujas solicitações forem negadas, com uma resposta exigida dentro de 60 dias.

Proteção e Segurança de Dados

Os processadores são obrigados a cumprir as instruções do controlador e auxiliar no cumprimento de obrigações relacionadas aos direitos do consumidor, segurança de dados e notificações de violação. Eles também devem fornecer as informações necessárias para que os controladores conduzam e documentem Avaliações de Proteção de Dados (APDs) para atividades que representem um risco elevado de danos aos consumidores.

De acordo com o MODPA, os controladores são obrigados a realizar “avaliações de proteção de dados” para quaisquer atividades de processamento que representem um risco elevado de dano. Isso inclui uma avaliação para cada algoritmo utilizado. Essas atividades abrangem:

• Processamento de dados pessoais para publicidade direcionada
• Venda de dados pessoais
• Processamento de dados sensíveis
• Criação de perfil de dados pessoais quando isso representa um risco previsível de tratamento injusto, abusivo ou enganoso dos consumidores ou resulta em danos substanciais ao consumidor

Essas avaliações devem avaliar e comparar os benefícios das atividades de processamento para todas as partes envolvidas em relação aos riscos potenciais para os direitos do consumidor. O MODPA permite o uso de avaliações de impacto conduzido para outras leis estaduais de privacidade para cumprir seus requisitos de avaliação. Esses requisitos de avaliação de proteção de dados serão aplicáveis às atividades de processamento iniciadas em ou após 1º de outubro de 2025.

Requisitos de Minimização de Dados

O MODPA determina que a coleta de dados pessoais seja limitada ao que for razoavelmente necessário para fornecer ou manter o produto ou serviço solicitado. Essa exigência é ainda mais rigorosa para dados sensíveis. A Lei também estipula que os controladores devem obter consentimento antes de processar dados pessoais para finalidades além daquelas originalmente divulgadas e consideradas necessárias ou compatíveis.

No entanto, o MODPA permite que controladores e processadores se envolvam em atividades de processamento específicas, como prevenção de fraudes e operações internas, desde que essas atividades sejam razoavelmente necessárias e proporcionais às finalidades pretendidas.

Disposições Especiais

O MODPA inclui disposições específicas, como:

• Dados de saúde: Requisitos especiais se aplicam ao processamento de dados de saúde do consumidor.
• Aviso de terceiros: Terceiros devem notificar os consumidores antes de usar ou compartilhar suas informações de maneiras diferentes dos termos de coleta iniciais.
• Avaliações de Algoritmos: Os DPAs são necessários para quaisquer atividades algorítmicas que apresentem riscos elevados aos consumidores.

Abordagem da BigID ao MODPA

BigID é a plataforma líder do setor em privacidade de dados, segurança, conformidade e Gerenciamento de dados de IA que permite que as organizações se preparem proativamente para o MODPA e alcancem a conformidade com sua automação de privacidade com reconhecimento de identidade patenteada.

Com o BigID, as empresas podem:

• Identificar todos os dados: Descubra e classifique dados para criar um inventário, mapear fluxos de dados e obter visibilidade sobre todas as informações pessoais e confidenciais sujeitas aos requisitos do MODPA.
• Automatize o gerenciamento de direitos de dados: Gerencie automaticamente solicitações de privacidade, preferências e consentimento, incluindo a desativação de venda de dados, publicidade direcionada e criação de perfil de usuário.
• Aplicar políticas: Corrija riscos baseados em políticas com controles e fluxos de trabalho para tomar medidas conforme os requisitos do MODPA.
• Minimizar dados: Aplique práticas de minimização de dados identificando, categorizando e excluindo dados pessoais desnecessários ou excessivos para gerenciar com eficiência o ciclo de vida dos dados.
• Implementar controles de proteção de dados: Automatize os controles de proteção de dados para impor o acesso aos dados e outras medidas de segurança, que são cruciais para proteger os dados e cumprir com o MODPA.
• Avaliar risco: Automatizar avaliações de impacto na privacidade, relatórios de inventário de dados e fluxos de trabalho de remediação para identificar e remediar riscos e manter a conformidade.

Agende uma demonstração individual para ver como o BigID pode acelerar sua conformidade com o MODPA.

Autor

Alexis Porter

Gerente de marketing de conteúdo

Alexis atua como gerente de marketing de conteúdo da BigID, fornecedora de DSPM líder do setor. Ela é especialista em ajudar startups de tecnologia a criar e aprimorar sua voz - para contar histórias mais convincentes que repercutam em diversos públicos. Ela é bacharel em Redação Profissional e tem mestrado em Comunicação de Marketing pela Universidade de Denver. Alexis mora em Orlando, Flórida.