Lei de Privacidade de New Hampshire: SB 255 Preparação

Por Verrion Wright Estratégia e Desenvolvimento de Conteúdo

2 de fevereiro de 2024

7 leitura de minutos

Um apelido comum para New Hampshire é "Suíça da América". No entanto, New Hampshire está longe de ser neutro em relação à privacidade de dados, tendo se tornado o 14º estado a aprovar legislação sobre privacidade com a Lei de Privacidade de Dados. Lei de Privacidade de New Hampshire (NHPA) SB 255A nova legislação está em estreita consonância com Virgínia, Connecticute o falecido recentemente Nova Jersey SB 332 lei de privacidade.

A Assembleia Legislativa de New Hampshire aprovou o Projeto de Lei do Senado 255 em 18 de janeiro de 2024, e ele será sancionado pelo governador de New Hampshire, Chris Sununu. Após a sanção, o projeto de lei entrará em vigor em 1 de janeiro de 2025.

Veja o BigID em ação.

O que é a Lei de Privacidade de Dados de New Hampshire, SB 255?

A Lei NH SB 255 é uma lei abrangente de privacidade de dados promulgada em New Hampshire. Ela visa proteger as informações pessoais dos residentes de New Hampshire e garantir que as empresas implementem medidas de proteção de dados para salvaguardar dados sensíveis. A Lei NHPA busca Aumentar a transparência, responsabilidade e direitos do consumidor em todo o estado de New Hampshire, estabelecendo diretrizes e requisitos claros.

O que as empresas precisam saber

A Lei de Privacidade de New Hampshire (NHPA) atribui grande importância à proteção da privacidade e dos direitos de dados dos residentes de New Hampshire. A legislação garante aos indivíduos direitos sobre dados pessoais e exige que as empresas sejam transparentes quanto à coleta, processamento e gerenciamento de dados.

A Lei de Privacidade de New Hampshire (NHPA) fortalece a privacidade e a segurança de dados em New Hampshire. Aqui estão alguns aspectos críticos da NHPA:

Quem deve cumprir?

A Lei de Proteção de Dados Pessoais de New Hampshire (NHPA) aplica-se a empresas que coletam, usam ou compartilham informações pessoais de residentes de New Hampshire. Especificamente, uma empresa está sujeita à NHPA se:

Realiza negócios em New Hampshire ou produz produtos ou serviços para residentes de New Hampshire e, durante um ano civil, realiza uma das seguintes atividades:

Controla ou processa os dados pessoais de pelo menos 35.000 consumidores únicos., excluindo dados pessoais controlados ou processados para concluir uma transação financeira
Controla ou processa os dados pessoais de pelo menos 10.000 consumidores únicos. e obtém mais de 25% de sua receita com a venda de dados pessoais.

Isenções da NHPA para entidades específicas de dados

Governo
Organizações sem fins lucrativos
Instituições de ensino superior
Organizações sob a égide da Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA)
Instituições financeiras sujeito a Lei Gramm-Leach-Bliley

É crucial que as empresas entendam se estão sujeitas à NHPA e tomem as medidas necessárias para cumprir a nova legislação.

Preparando-se para a conformidade com a NHPA

O cumprimento da Lei Nacional de Proteção Ambiental de New Hampshire (NHPA) é vital para empresas que operam em New Hampshire. Aqui estão alguns requisitos essenciais para alcançar a conformidade:

Definição de Dados Pessoais Sensíveis

A NHPA inclui uma definição de dados sensíveis, semelhante às leis existentes, que se refere a informações que podem potencialmente revelar:

Raça ou etnia, crenças religiosas, condição ou diagnóstico de saúde mental ou física, vida sexual, orientação sexual, cidadania ou situação imigratória
O processamento de dados genéticos ou biométricos para identificar um indivíduo de forma inequívoca.
Dados pessoais coletados de uma criança conhecida (menor de 13 anos)
Dados de geolocalização precisos (num raio de 1.750 pés)

As empresas devem primeiro obter o consentimento do consumidor (ou dos pais em nome de uma criança) antes de processar dados sensíveis.

Aviso de privacidade

As organizações são obrigadas a fornecer aos consumidores um aviso de privacidade que inclua:

As categorias de dados pessoais processados
A finalidade do processamento de dados pessoais
As categorias de terceiros a quem os dados pessoais são divulgados.
As categorias de dados pessoais partilhados com terceiros
Uma descrição de como os consumidores podem exercer seus direitos de privacidade e recorrer de uma decisão relativa a uma solicitação de direitos de dados.
Endereço de e-mail ou outro sistema online (formulário web ou portal) que os consumidores possam usar para entrar em contato com a empresa.

Direitos do Consumidor

A NHPA concede aos consumidores muitos dos mesmos direitos previstos nas regulamentações estaduais existentes, alinhando-se explicitamente com as leis de privacidade da Virgínia e de Nova Jersey.

A NHPA concede direitos específicos de dados aos residentes de New Hampshire, incluindo:

O direito de confirmar quais dados pessoais estão sendo coletados e processados.
O direito de acessar e obter uma cópia de suas informações pessoais em um formato portátil e facilmente utilizável/transferível.
O direito de apagar os dados pessoais fornecidos ou obtidos sobre o consumidor.
O direito de optar por não participar da venda de informações pessoais, publicidade direcionada e criação de perfis.
O direito de corrigir informações pessoais imprecisas.
Os consumidores também têm o direito de não ser discriminado por exercerem seus direitos
O consentimento do consumidor é necessário para crianças com idade entre treze e dezesseis anos, no mínimo, quando os dados são processados para publicidade direcionada ou venda de dados pessoais.
A NHPA exige conformidade com o Lei de Proteção da Privacidade Online das Crianças (COPPA), que se aplica aos dados pessoais de uma criança conhecida com menos de 13 anos.

Garanta a conformidade hoje mesmo

Cronogramas de solicitações, recursos e agentes autorizados

Cronograma de Solicitações de Direitos de Dados

Uma organização deve atender prontamente a uma solicitação de dados do consumidor para que este possa exercer seus direitos:

Uma empresa deve responder ao consumidor rapidamente, mas no máximo 45 dias depois Recebendo a solicitação.
A empresa poderá prorrogar o prazo de resposta por 45 dias adicionais Quando razoavelmente necessário. No entanto, deve informar o consumidor sobre qualquer prorrogação dentro do prazo inicial de resposta de 45 dias, bem como o motivo da prorrogação.
Suponha que uma empresa se recuse a atender a um pedido do consumidor. Nesse caso, a empresa deve informar o consumidor. no máximo 45 dias depois recebendo a solicitação, com a justificativa para a recusa e Instruções sobre como recorrer da decisão.

Processo de Apelação

Uma organização deve estabelecer um processo para que o consumidor possa recorrer da recusa de atendimento a uma solicitação dentro de um prazo razoável após o recebimento da decisão. De acordo com a legislação, o processo de recurso deve ser facilmente acessível e semelhante ao processo de envio de solicitações para iniciar uma ação.
Dentro de 60 dias após o recebimento de um recurso.A empresa deve informar o consumidor por escrito sobre qualquer ação tomada ou não tomada em resposta à reclamação, incluindo uma explicação por escrito dos motivos das decisões.
Caso o recurso seja negado, a organização também deve fornecer ao consumidor um mecanismo online, se disponível, ou outro método pelo qual o consumidor possa entrar em contato com o procurador-geral para apresentar uma reclamação.

Agente autorizado

O consumidor pode designar um agente autorizado para exercer o seu direito de optar por não ter seus dados processados em seu nome.
Ao processar dados pessoais de uma criança, o pai, a mãe ou o responsável legal pode exercer esses direitos do consumidor em nome da criança.
O consumidor também pode designar outra pessoa para atuar como seu agente autorizado e agir em seu nome para optar por não ter seus dados pessoais processados.
O controlador deverá atender a uma solicitação de exclusão recebida de um agente autorizado se puder verificar, com esforço comercialmente razoável, a identidade do consumidor e a autoridade do agente autorizado para agir em nome desse consumidor.

Obrigações comerciais

A NHPA impõe obrigações comerciais que são muito semelhantes às de outros estados. As responsabilidades incluem a exigência de:

Limitar a coleta de dados pessoais ao que for adequado, relevante e razoavelmente necessário.
Estabelecer, implementar e manter práticas de segurança de dados.
Forneça um eficaz Mecanismo Universal de Exclusão (UOOM) para que os consumidores possam recusar o seu consentimento.
Proibir o tratamento de dados pessoais em violação das leis que proíbem a discriminação ilegal contra os consumidores e abster-se de discriminar os consumidores que exercem os seus direitos.
Proibir o processamento de dados pessoais de consumidores para publicidade direcionada ou venda sem consentimento, especialmente quando o consumidor tiver pelo menos 13 anos de idade, mas menos de 16 anos.

Requisitos de Avaliação de Proteção de Dados

A NHPA exige a documentação de uma avaliação de proteção de dados para identificar potenciais riscos aos consumidores caso a atividade de processamento de dados apresente um risco elevado de danos. "Risco elevado" inclui:

Publicidade direcionada
Criação de perfis
Venda de dados pessoais
Processamento de dados sensíveis

As avaliações devem ser apresentadas ao Procurador-Geral de New Hampshire mediante solicitação.

Fiscalização da NHPA

O procurador-geral de New Hampshire detém o poder exclusivo de fiscalização. Até o final de 2025, o procurador-geral deve notificar as organizações com 60 dias de antecedência, concedendo-lhes um prazo para regularização antes de tomar qualquer medida em resposta a uma violação, caso a regularização seja possível. A partir de 1º de janeiro de 2026, o procurador-geral poderá notificar as organizações, concedendo-lhes a oportunidade de regularização. De acordo com a seção 358-A:4, a multa por descumprimento da Lei de Proteção de New Hampshire (NHPA) não poderá exceder 10.000 dólares por violação.

Como a BigID ajuda as organizações a cumprir a lei SB255 de New Hampshire.

Embora a NHPA seja semelhante a diversas outras leis estaduais de privacidade, as organizações ainda precisam tomar as medidas necessárias para cumprir os aspectos específicos da lei de privacidade do consumidor de New Hampshire. A BigID permite que as organizações se preparem proativamente para a NHPA, alcançando a conformidade com sua plataforma patenteada de automação de privacidade com reconhecimento de identidade. Com a BigID, as empresas podem:

Descubra os dados de NH: Descoberta e classificação de dados do BigID Oferece visibilidade completa de todas as informações pessoais e sensíveis sujeitas à NHPA.
Aplicar as políticas da NHPA: Reduza o risco baseado em políticas com controles e fluxos de trabalho de remediação de dados para garantir a conformidade com os requisitos da NHPA.
Automatize o gerenciamento de direitos de dados: O BigID permite que as organizações Gerenciar automaticamente solicitações de privacidade, preferências e consentimento., incluindo a opção de os consumidores recusarem a venda de dados, a publicidade direcionada e a criação de perfis.
Minimizar dados: Implemente a minimização de dados, identificando e categorizando dados pessoais desnecessários ou excessivos para gerenciar o ciclo de vida dos dados, desde a retenção até a exclusão.
Implementar controles de proteção de dados: A BigID fornece controles automatizados de proteção de dados para Impor controles de acesso a dados e outras medidas de segurança, que são cruciais para proteger os dados e cumprir a NHPA.
Avaliar o risco: A BigID oferece avaliações automatizadas de impacto na privacidade, relatórios de inventário de dados e fluxos de trabalho de remediação para identificar riscos e reportá-los ao Procurador-Geral de New Hampshire.

Agende uma demonstração individual. Descubra como a BigID pode ajudá-lo a alcançar a conformidade com a NHPA.

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produto, desenvolvimento de conteúdo e estratégia digital. Com foco em insights baseados em dados e marketing integrado, ocupou cargos de liderança em diversos setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, responsável por elevar a qualidade do conteúdo em todos os pilares, regiões e públicos, criando conteúdo atraente em diversos formatos, como vídeos, artigos, checklists, white papers e guias.

Conteúdo

O que é a Lei de Privacidade de Dados de New Hampshire, SB 255?
O que as empresas precisam saber
Preparando-se para a conformidade com a NHPA
Cronogramas de solicitações, recursos e agentes autorizados
Como a BigID ajuda as organizações a cumprir a lei SB255 de New Hampshire.

Suíte de Privacidade de Dados BigID

Baixar Resumo da Solução

Postagens relacionadas

Ver todas as postagens

De costa a costa: Explorando as leis de privacidade dos estados dos EUA

2 de junho de 2023

Privacidade e Conformidade

Transformando o risco da IA em vantagem competitiva com IA TRiSM

28 de outubro de 2025

Segurança de IA

Estratégias-chave para garantir a segurança da IA e da IA de Geração: Principais conclusões da palestra de Allie Mellen