Lei de Privacidade de Dados de Nebraska (NDPA): O que você precisa saber

O estado de Cornhusker sancionou oficialmente a lei de privacidade de dados. A Lei de Privacidade de Dados de Nebraska (NDPA) foi aprovada recentemente, juntando-se a um número crescente de legislação estadual de privacidade de dados enquanto os EUA aguardam uma lei federal.

Nebraska passou Projeto de Lei 1074 em 17 de abril de 2024, que foi sancionada por Jim Pillen. A NDPA entrará em vigor em 1 de janeiro de 2025.

Por que a NDPA é importante?

A NDPA representa um avanço significativo na regulamentação da privacidade de dados, alinhando Nebraska a outros estados que priorizam a proteção de dados dos consumidores. As empresas em Nebraska devem se preparar para cumprir esses novos requisitos, garantindo o respeito e a proteção dos dados pessoais de seus consumidores. A introdução da NDPA é importante por vários motivos:

• Proteção reforçada ao consumidor: Oferece aos residentes de Nebraska uma estrutura robusta direitos de controlar, acessar e proteger seus dados pessoais.
• Responsabilidade e transparência: As empresas são responsáveis por suas práticas de dados, o que garante transparência e reduz o uso indevido de dados.
• Segurança de dados: A regulamentação prioriza a segurança dos dados, exigindo que as empresas implementem medidas proativas e reativas para proteger os dados dos consumidores de violações.
• Adaptação aos desafios modernos: A NDPA se adapta às complexidades do processamento moderno de dados abordando questões como publicidade direcionada e tomada de decisão automatizada.

Âmbito e aplicação

A NDPA se aplica a empresas que:

• Realizar negócios em Nebraska ou produzir um produto ou serviço consumido por residentes de Nebraska
• Processa ou se envolve na venda de dados pessoais
• Não é uma pequena empresa, conforme determinado pela legislação federal Lei das Pequenas Empresas

Vale ressaltar que a lei não se aplica a funcionários ou empresas B2B (business-to-business), concentrando-se, em vez disso, nas interações do consumidor.

Direitos do consumidor de Nebraska

A NDPA é extremamente semelhante a outras leis estaduais de privacidade do consumidor, definindo consumidor como um indivíduo residente no Nebraska e que atua exclusivamente em caráter pessoal, excluindo aqueles que atuam em contextos empregatícios ou comerciais. De acordo com a NDPA, os consumidores têm diversos direitos para garantir controle e transparência no que se refere aos seus dados pessoais, incluindo:

• Confirmar e acessar: Os consumidores podem confirmar se uma organização está processando seus dados e também podem ter acesso fácil aos seus dados pessoais.
• Correção: Os consumidores podem corrigir informações imprecisas em seus dados pessoais.
• Eliminação: Os consumidores podem solicitar a exclusão de seus dados, a menos que eles sejam retidos para fins legais.
• Portabilidade de dados: Se os dados forem processados automaticamente, os consumidores poderão obter uma cópia de seus dados em um formato tecnicamente viável, facilmente utilizável e portátil.
• Divulgação de terceiros: Os consumidores podem obter uma lista de terceiros aos quais seus dados foram divulgados.
• Direitos de exclusão: Os consumidores podem optar por não participar do processamento de dados para publicidade direcionada, venda de dados pessoais ou criação de perfil.

Os controladores devem responder às solicitações dos consumidores no prazo de 45 dias, prorrogáveis por mais 45 dias, se necessário. Caso a solicitação seja negada, o controlador deve informar o consumidor sobre os motivos e fornecer instruções para recurso.

Agentes Autorizados

Autorização: Um consumidor pode designar outra pessoa para atuar como seu representante legal. agente autorizado e agir em nome do consumidor para optar por não permitir o processamento dos seus dados pessoais.

Pais e responsáveis legais: A os pais ou responsáveis legais podem exercer os direitos do consumidor em nome de uma criança conhecida em relação ao processamento de dados pessoais pertencentes a essa criança.

Responsabilidades do Controlador e do Processador

A NDPA define algumas diretrizes rígidas sobre como os controladores (entidades que determinam as finalidades e os meios de processamento de dados pessoais) e os processadores (entidades que processam dados em nome dos controladores) devem gerenciar os dados do consumidor:

• Ações Proibidas: Os controladores não devem coletar, processar ou compartilhar dados pessoais e sensíveis, a menos que seja necessário. Eles também estão proibidos de vender dados sensíveis, processar dados de forma discriminatória ou direcionar publicidade a crianças menores de 18 anos sem consentimento, e devem processar esses dados por meio do governo federal. COPPA.
• Não discriminação: Os controladores não podem discriminar consumidores por exercerem seus direitos de privacidade de dados sob a NDPA.
• Consentimento do consumidor: Os controladores devem obter o consentimento do consumidor para o processamento de dados que vá além do necessário para as finalidades divulgadas. Os consumidores podem revogar o consentimento, e os controladores devem cessar o processamento dos dados em até 30 dias.
• Processo de apelação: Os controladores devem estabelecer um processo de apelação para os consumidores caso uma solicitação específica seja negada e responder por escrito sobre qualquer ação ou omissão dentro de 60 dias.

Proteção e Segurança de Dados

Os processadores devem aderir às instruções do controlador e cumprir obrigações relacionadas à segurança de dados, direitos do consumidor e respostas a violações.

De acordo com a NDPA, os controladores são obrigados a realizar “Avaliações de Proteção de Dados” (APDs) para quaisquer atividades de tratamento que representem um risco aumentado. Os processadores também devem fornecer as informações necessárias para que os controladores conduzam e documentem APDs em situações que representem um risco aumentado de danos aos consumidores. Essas atividades abrangem:

• Processamento de dados pessoais para publicidade direcionada
• Venda de dados pessoais
• Processamento de dados sensíveis
• Criação de perfil de dados pessoais quando isso representa um risco previsível de tratamento injusto, abusivo ou enganoso dos consumidores ou resulta em danos substanciais ao consumidor

Essas avaliações devem avaliar e comparar os benefícios das atividades de processamento para todas as partes envolvidas em relação aos riscos potenciais aos direitos do consumidor.

Requisitos de Minimização de Dados

A NDPA determina que os dados pessoais sejam coletados apenas em proporções razoáveis e necessárias para um produto ou serviço específico solicitado. A legislação também exige que os controladores obtenham consentimento antes de processar dados pessoais para finalidades além daquelas inicialmente divulgadas e consideradas necessárias ou compatíveis.

Aplicação e multas da NDPA

O Procurador-Geral da República (“PG”) tem autoridade exclusiva para aplicar a nova legislação de privacidade. O PG pode iniciar uma ação e buscar indenização de até $7.500 por violação continuada. A organização deve receber notificação por escrito sobre potenciais violações e terá um período de 30 dias para saná-las. Além disso, não há direito privado de ação.

Abordagem da BigID para conformidade com NDPA

BigID usa seu patenteado automação de privacidade com reconhecimento de identidade, a plataforma líder do setor para privacidade de dados, segurança, conformidade e gerenciamento de dados de IA, para se preparar proativamente para a NDPA e atingir a conformidade.

Com o BigID, as empresas podem:

• Identificar todos os dados: Descubra e classifique dados para criar um inventário, mapear fluxos de dados e obter visibilidade sobre todas as informações pessoais e confidenciais sujeitas aos requisitos da NDPA.
• Aplicar políticas: Corrija riscos baseados em políticas com controles e fluxos de trabalho para tomar medidas conforme os requisitos da NDPA.
• Avaliar risco: Automatize avaliações de impacto de privacidade, relatórios de inventário de dados e fluxos de trabalho de remediação para identificar e remediar riscos e manter a conformidade.
• Minimizar dados: Aplique práticas de minimização de dados identificando, categorizando e excluindo dados pessoais desnecessários ou excessivos para gerenciar com eficiência o ciclo de vida dos dados.
• Automatize o gerenciamento de direitos de dados: Gerencie automaticamente solicitações de privacidade, preferências e consentimento, incluindo a desativação de venda de dados, publicidade direcionada e criação de perfil de usuário.
• Implementar controles de proteção de dados: Automatize os controles de proteção de dados para impor o acesso aos dados e outras medidas de segurança, que são cruciais para proteger os dados e cumprir a NDPA.

Agende uma demonstração individual para ver como o BigID pode acelerar a conformidade com a NDPA.

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produtos, desenvolvimento de conteúdo e estratégia digital. Com foco em insights orientados por dados e marketing integrado, ele ocupou cargos seniores em vários setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, que ajuda a elevar o conteúdo em todos os pilares, regiões e compradores, criando consistentemente conteúdo atraente em várias mídias, incluindo vídeos, artigos, listas de verificação, white papers e guias.