O Lei de Privacidade de Dados Online de Maryland (MODPA) entrará em vigor em 1 de outubro de 2025e representa um passo significativo para aprimorar a privacidade de dados dos residentes de Maryland. Essa regulamentação abrangente visa proporcionar aos consumidores maior controle sobre seus dados. dados pessoais Ao mesmo tempo que impõe requisitos rigorosos às empresas que lidam com essas informações, apresentamos uma análise detalhada do que a MODPA implica e por que ela é importante tanto para consumidores quanto para empresas.
Por que o MODPA é importante?
A MODPA representa um avanço significativo na regulamentação da privacidade de dados, alinhando Maryland com outras jurisdições que priorizam a proteção de dados do consumidor. As empresas que operam em Maryland devem se preparar para cumprir esses novos padrões, garantindo que respeitem e proteger os dados pessoais de seus consumidores. A introdução do MODPA é crucial por diversos motivos:
- Proteção reforçada ao consumidor: Isso proporciona aos residentes de Maryland uma base sólida de recursos. direitos de acesso, controle e proteção de seus dados pessoais, fomentando a confiança nas transações digitais.
- Transparência e Responsabilidade: As empresas são responsabilizadas por suas práticas de dados, garantindo maior transparência e reduzindo a probabilidade de uso indevido de dados.
- Segurança de dados: A regulamentação enfatiza a importância da segurança de dados, exigindo que as empresas implementem medidas adequadas para proteger os dados do consumidor contra violações.
- Adaptação aos desafios modernos: Ao abordar questões como a tomada de decisões automatizada e a publicidade direcionada, o MODPA é adaptado às complexidades do processamento de dados moderno.
Âmbito e aplicação
A MODPA aplica-se a empresas que operam em Maryland ou que direcionam seus produtos e serviços a residentes de Maryland. Especificamente, abrange entidades que:
- Controlaram ou processaram os dados pessoais de pelo menos 35.000 consumidores no ano civil anterior (excluindo os dados utilizados exclusivamente para transações de pagamento).
- Controlaram ou processaram os dados pessoais de pelo menos 10.000 consumidores e obtiveram mais de 20% de sua receita bruta com a venda de dados pessoais.
Vale ressaltar que a lei não se aplica a funcionários ou empresas que realizam transações entre empresas (B2B), focando-se, em vez disso, nas interações com os consumidores.
Direitos do Consumidor de Maryland
A Lei de Privacidade de Dados de Maryland (MODPA) está alinhada com as leis de privacidade do consumidor da maioria dos outros estados, definindo consumidor como um indivíduo residente em Maryland e que age exclusivamente em caráter pessoal, excluindo aqueles que atuam em contextos comerciais ou de emprego. De acordo com a MODPA, os consumidores têm diversos direitos garantidos para assegurar transparência e controle sobre seus dados pessoais, incluindo:
- Acesso e Confirmação: Os consumidores podem confirmar se os seus dados estão sendo processados e acessar os seus dados pessoais mantidos pelos controladores.
- Correção: Os consumidores podem corrigir imprecisões em seus dados pessoais.
- Eliminação: Os consumidores podem solicitar a exclusão de seus dados, a menos que a retenção seja exigida por lei.
- Portabilidade de dados: Se os dados forem processados automaticamente, os consumidores poderão obter uma cópia dos seus dados em formato portátil para transferi-los a outro controlador.
- Divulgação a terceiros: Os consumidores podem obter uma lista de terceiros aos quais seus dados foram divulgados.
- Direito de optar por não participar: Os consumidores podem optar por não ter seus dados processados para publicidade direcionada, venda de dados pessoais ou criação de perfis que os afetem legalmente ou de forma significativa.
Os responsáveis pelo tratamento dos dados devem responder às solicitações dos consumidores no prazo de 45 dias, prorrogáveis por mais 45 dias, se necessário. Caso a solicitação seja negada, o responsável pelo tratamento deve informar o consumidor sobre os motivos e fornecer instruções para apresentar um recurso.
Responsabilidades do Controlador e do Processador
A MODPA estabelece diretrizes rigorosas sobre como os controladores (entidades que determinam as finalidades e os meios de processamento de dados pessoais) e os processadores (entidades que processam dados em nome dos controladores) lidam com os dados do consumidor:
- Ações Proibidas: Os controladores não podem coletar, processar ou compartilhar dados sensíveis, a menos que seja necessário para fornecer um serviço solicitado. Também estão proibidos de vender dados sensíveis, processar dados de forma discriminatória ou direcionar publicidade a menores de 18 anos sem consentimento.
- Não discriminação: Os responsáveis pelo tratamento dos dados não devem discriminar os consumidores por exercerem os seus direitos ao abrigo da MODPA.
- Consentimento do consumidor: Os controladores devem obter o consentimento do consumidor para o processamento de dados que vá além do necessário para as finalidades divulgadas. Os consumidores podem revogar o consentimento, e os controladores devem cessar o processamento dos dados em até 30 dias após a revogação.
- Processo de Apelação: Os responsáveis pelo controle devem estabelecer um processo de recurso para os consumidores cujos pedidos forem negados, com uma resposta exigida no prazo de 60 dias.
Proteção e segurança de dados
Os processadores são obrigados a seguir as instruções do controlador e a auxiliar no cumprimento das obrigações relacionadas aos direitos do consumidor, à segurança de dados e às notificações de violação de dados. Devem também fornecer as informações necessárias para que os controladores realizem e documentem as Avaliações de Proteção de Dados (APD) para atividades que representem um risco elevado de danos aos consumidores.
De acordo com a MODPA, os controladores são obrigados a realizar "avaliações de proteção de dados" para quaisquer atividades de processamento que apresentem um risco elevado de danos. Isso inclui uma avaliação para cada algoritmo utilizado. Tais atividades abrangem:
- Processamento de dados pessoais para publicidade direcionada
- Venda de dados pessoais
- Processamento de dados sensíveis
- A criação de perfis com base em dados pessoais quando isso representar um risco previsível de tratamento injusto, abusivo ou enganoso dos consumidores ou resultar em danos substanciais aos consumidores.
Essas avaliações devem avaliar e comparar os benefícios das atividades de processamento para todas as partes envolvidas em relação aos riscos potenciais aos direitos do consumidor. A MODPA permite o uso de avaliações de impacto conduzida para outras leis estaduais de privacidade, a fim de cumprir seus requisitos de avaliação. Esses requisitos de avaliação de proteção de dados serão aplicados às atividades de processamento iniciadas a partir de 1º de outubro de 2025.
Requisitos de minimização de dados
A MODPA exige que a coleta de dados pessoais seja limitada ao estritamente necessário para fornecer ou manter o produto ou serviço solicitado. Essa exigência é ainda mais rigorosa para dados sensíveis. A lei também estipula que os controladores devem obter o consentimento antes de processar dados pessoais para fins que não sejam aqueles originalmente divulgados e considerados necessários ou compatíveis.
No entanto, a MODPA permite que controladores e processadores se envolvam em atividades específicas de processamento, como prevenção de fraudes e operações internas, desde que essas atividades sejam razoavelmente necessárias e proporcionais aos seus objetivos.
Disposições Especiais
MODPA inclui disposições específicas, tais como:
- Dados de saúde: Requisitos especiais se aplicam ao processamento de dados de saúde do consumidor.
- Aviso de terceiros: Terceiros devem notificar os consumidores antes de usar ou compartilhar suas informações de maneiras que difiram dos termos de coleta iniciais.
- Avaliações de Algoritmos: Os DPAs (Acordos de Proteção de Dados) são necessários para quaisquer atividades algorítmicas que apresentem riscos elevados para os consumidores.
A abordagem da BigID ao MODPA
BigID é a plataforma líder do setor para privacidade, segurança e conformidade de dados, gerenciamento de dados de IA Isso permite que as organizações se preparem proativamente para o MODPA e alcancem a conformidade com sua automação de privacidade com reconhecimento de identidade patenteada.
Com o BigID, as empresas podem:
- Identificar todos os dados: Descobrir e classificar dados Criar um inventário, mapear fluxos de dados e obter visibilidade de todas as informações pessoais e sensíveis sujeitas aos requisitos do MODPA.
- Automatize o gerenciamento de direitos de dados: Gerencie automaticamente solicitações de privacidade, preferências e consentimento, incluindo a opção de recusar a venda de dados, publicidade direcionada e criação de perfis de usuários.
- Aplicar as políticas: Corrigir riscos baseados em políticas com controles e fluxos de trabalho para agir de acordo com os requisitos do MODPA.
- Minimizar dados: Aplique práticas de minimização de dados, identificando, categorizando e excluindo dados pessoais desnecessários ou excessivos para gerenciar com eficiência o ciclo de vida dos dados.
- Implementar controles de proteção de dados: Automatize os controles de proteção de dados para aplicar medidas de acesso a dados e outras medidas de segurança, que são cruciais para a proteção de dados e o cumprimento da MODPA.
- Avaliar o risco: Automatizar avaliações de impacto na privacidade, relatórios de inventário de dados e fluxos de trabalho de remediação para identificar e remediar riscos, a fim de manter a conformidade.
Agende uma demonstração individual. Descubra como a BigID pode acelerar sua conformidade com a MODPA.
Autor
