Lei de Privacidade de New Hampshire: Preparação SB 255

Um apelido comum para New Hampshire é a Suíça da América. No entanto, New Hampshire está longe de ser neutro em relação à privacidade de dados, tendo se tornado o 14º estado a aprovar uma legislação de privacidade com a Lei de Privacidade de New Hampshire (NHPA) SB 255A nova legislação está estreitamente alinhada com Virgínia, Connecticut, e o recentemente falecido Nova Jersey SB 332 lei de privacidade.

A legislatura de New Hampshire aprovou o Projeto de Lei do Senado 255 em 18 de janeiro de 2024, que será sancionado pelo governador de New Hampshire, Chris Sununu. Uma vez assinado, o projeto entrará em vigor em 1 de janeiro de 2025.

O que é a Lei de Privacidade de Dados de NH SB 255?

A NH SB 255 é uma lei abrangente de privacidade de dados promulgada por New Hampshire. Ela visa proteger as informações pessoais dos residentes de New Hampshire e garantir que as empresas implementem medidas de proteção de dados para salvaguardar dados confidenciais. A NHPA busca aumentar a transparência, responsabilidade e direitos do consumidor em New Hampshire, definindo diretrizes e requisitos claros.

O que as empresas precisam saber

A NHPA atribui grande importância à proteção da privacidade e dos direitos de dados dos residentes de New Hampshire. A legislação concede aos indivíduos direitos sobre dados pessoais e exige que as empresas sejam transparentes sobre a coleta, o processamento e o gerenciamento de dados.

A NHPA reforça a privacidade e a segurança de dados em New Hampshire. Aqui estão alguns aspectos cruciais da NHPA:

Quem deve obedecer?

A NHPA se aplica a empresas que coletam, usam ou compartilham informações pessoais de residentes de New Hampshire. Especificamente, uma empresa está sujeita à NHPA se:

Realiza negócios em New Hampshire ou produz produtos ou serviços para residentes de New Hampshire e, durante um ano civil:

• Controla ou processa os dados pessoais de pelo menos 35.000 consumidores únicos, excluindo dados pessoais controlados ou processados para concluir uma transação financeira
• Controla ou processa os dados pessoais de pelo menos 10.000 consumidores únicos e obtém mais de 25% de sua receita com a venda de dados pessoais

Isenções da NHPA para entidades de dados específicos

• Governo
• Organizações sem fins lucrativos
• Instituições de ensino superior
• Organizações sob a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
• Instituições financeiras sujeito ao Lei Gramm-Leach-Bliley

É crucial que as empresas entendam se estão sujeitas à NHPA e tomem as medidas necessárias para cumprir a nova legislação.

Preparando-se para a conformidade com a NHPA

A conformidade com a NHPA é vital para empresas que operam em New Hampshire. Aqui estão alguns requisitos essenciais para alcançar a conformidade:

Definição de Dados Pessoais Sensíveis

A NHPA inclui uma definição de dados sensíveis, que é semelhante às leis existentes, que são informações que podem potencialmente revelar:

• Raça ou etnia, crenças religiosas, condição ou diagnóstico de saúde mental ou física, vida sexual, orientação sexual, cidadania ou status de imigração
• O processamento de dados genéticos ou biométricos para identificar exclusivamente um indivíduo
• Dados pessoais coletados de uma criança conhecida (menor de 13 anos)
• Dados precisos de geolocalização (num raio de 1.750 pés)

As empresas devem primeiro obter o consentimento do consumidor (ou dos pais em nome da criança) antes de processar dados confidenciais.

Aviso de privacidade

As organizações são obrigadas a fornecer aos consumidores um aviso de privacidade que inclua:

• As categorias de dados pessoais processados
• A finalidade do processamento de dados pessoais
• As categorias de terceiros aos quais os dados pessoais são divulgados
• As categorias de dados pessoais compartilhados com terceiros
• Uma descrição de como os consumidores podem exercer seus direitos de privacidade e apelar de uma decisão de solicitação de direitos de dados
• Endereço de e-mail ou outro sistema online (formulário ou portal da web) que os consumidores podem usar para entrar em contato com a empresa

Direitos do Consumidor

A NHPA fornece aos consumidores muitos dos mesmos direitos das regulamentações estaduais existentes, alinhando-se explicitamente com as leis de privacidade da Virgínia e Nova Jersey.

A NHPA concede direitos de dados específicos aos residentes de NH, incluindo:

• O direito de confirmar quais dados pessoais estão sendo coletados e processados
• O direito de acessar e obter uma cópia de suas informações pessoais em um formato portátil e facilmente utilizável/transferível
• O direito de eliminar os dados pessoais fornecidos ou obtidos sobre o consumidor
• O direito de optar por não participar da venda de informações pessoais, publicidade direcionada e criação de perfis
• O direito de corrigir informações pessoais imprecisas
• Os consumidores também têm a direito de não ser discriminado para exercer seus direitos
• O consentimento do consumidor é necessário para crianças com pelo menos treze anos de idade, mas menores de dezesseis anos, ao processar dados para publicidade direcionada ou venda de dados pessoais.
• A NHPA exige o cumprimento das Lei de Proteção à Privacidade Online de Crianças (COPPA), que se aplica aos dados pessoais de uma criança conhecida com menos de 13 anos

Cronogramas de solicitação, recursos e agentes autorizados

Cronograma de solicitação de direitos de dados

Uma organização deve atender a uma solicitação de dados para que o consumidor exerça seus direitos prontamente:

• Uma empresa deve responder ao consumidor rapidamente, mas no máximo 45 dias depois recebendo a solicitação.
• A empresa pode estender o prazo de resposta por 45 dias adicionais quando razoavelmente necessário. Ainda assim, deve informar o consumidor sobre qualquer prorrogação dentro do prazo inicial de resposta de 45 dias e o motivo da prorrogação.
• Suponha que uma empresa se recuse a atender à solicitação de um consumidor. Nesse caso, a empresa deve informar o consumidor no máximo 45 dias depois receber o pedido, com a justificativa do indeferimento e instruções sobre como apelar da decisão.

Processo de Apelação

• Uma organização deve estabelecer um processo para que o consumidor possa recorrer da recusa de tomar providências sobre uma solicitação dentro de um prazo razoável após o consumidor receber a decisão. De acordo com a legislação, o processo de recurso deve estar prontamente disponível e ser semelhante ao processo de envio de solicitações para iniciar uma ação.
• No prazo de 60 dias após o recebimento de um recurso, uma empresa deve informar o consumidor por escrito sobre qualquer ação tomada ou não tomada em resposta ao recurso, incluindo uma explicação por escrito dos motivos das decisões.
• Se o recurso for negado, a organização também deve fornecer ao consumidor um mecanismo on-line, se disponível, ou outro método pelo qual o consumidor possa entrar em contato com o procurador-geral para enviar uma reclamação.

Agente Autorizado

• Um consumidor pode designar um agente autorizado para exercer os direitos desse consumidor de optar por não processar seus dados em nome do consumidor.
• Ao processar dados pessoais de uma criança conhecida, o pai ou responsável legal pode exercer tais direitos de consumidor em nome da criança.
• Um consumidor também pode designar outra pessoa para atuar como seu agente autorizado e agir em nome do consumidor para optar por não processar dados pessoais.
• Um controlador deverá atender a uma solicitação de exclusão recebida de um agente autorizado se o controlador puder verificar, com esforço comercialmente razoável, a identidade do consumidor e a autoridade do agente autorizado para agir em nome desse consumidor.

Obrigações Comerciais

A NHPA impõe obrigações comerciais que refletem de perto as de outros estados. As responsabilidades incluem requisitos para:

1. Limite a coleta de dados pessoais ao que for adequado, relevante e razoavelmente necessário.
2. Estabelecer, implementar e manter práticas de segurança de dados.
3. Fornecer uma solução eficaz Mecanismo Universal de Exclusão (UOOM) para os consumidores recusarem seu consentimento.
4. Proibir o processamento de dados pessoais em violação às leis que proíbem a discriminação ilegal contra consumidores e abster-se de discriminar consumidores que exercem seus direitos.
5. Proibir o processamento de dados pessoais dos consumidores para publicidade direcionada ou venda sem consentimento, especialmente quando o consumidor tiver pelo menos 13 anos de idade, mas menos de 16 anos.

Requisitos de Avaliação de Proteção de Dados

A NHPA exige a documentação de uma avaliação de proteção de dados para identificar riscos potenciais aos consumidores caso a atividade de processamento de dados apresente um risco elevado de dano. “Risco elevado” inclui:

• Publicidade direcionada
• Criação de perfil
• Venda de dados pessoais
• Processamento de dados sensíveis

As avaliações devem ser apresentadas ao Procurador-Geral de New Hampshire mediante solicitação.

Fiscalização da NHPA

O procurador-geral de New Hampshire tem poder exclusivo de execução. Até o final de 2025, o procurador-geral deve fornecer às organizações um aviso prévio de 60 dias e um período de correção antes de tomar qualquer medida em resposta a uma violação, se a correção for possível. Em 1º de janeiro de 2026, o procurador-geral poderá fornecer um aviso com a oportunidade de correção. De acordo com a seção 358-A:4, o descumprimento da NHPA não excederá $10.000 por violação.

Como o BigID ajuda organizações a cumprir a SB255 de New Hampshire

Embora a NHPA seja semelhante a várias outras leis estaduais de privacidade, as organizações ainda precisam tomar as medidas necessárias para cumprir os aspectos específicos da lei de privacidade do consumidor de New Hampshire. O BigID permite que as organizações se preparem proativamente para a NHPA, a fim de alcançar a conformidade com sua plataforma patenteada de automação de privacidade com reconhecimento de identidade. Com o BigID, as empresas podem:

• Descubra os dados de NH: Descoberta e classificação de dados do BigID fornece visibilidade completa sobre todas as informações pessoais e confidenciais sujeitas à NHPA.
• Aplicar as políticas da NHPA: Reduza o risco baseado em políticas com controles e fluxos de trabalho de remediação de dados para garantir a conformidade com os requisitos da NHPA.
• Automatize o gerenciamento de direitos de dados: O BigID permite que as organizações gerenciar automaticamente solicitações de privacidade, preferências e consentimento, incluindo o UOOM para que os consumidores optem por não participar de vendas de dados, publicidade direcionada e criação de perfis.
• Minimizar dados: Execute a minimização de dados identificando e categorizando dados pessoais desnecessários ou excessivos para gerenciar o ciclo de vida dos dados, da retenção à exclusão.
• Implementar controles de proteção de dados: O BigID fornece controles automatizados de proteção de dados para aplicar controles de acesso a dados e outras medidas de segurança, que são cruciais para proteger dados e cumprir com a NHPA.
• Avaliar risco: Ofertas BigID avaliações automatizadas de impacto na privacidade, relatórios de inventário de dados e fluxos de trabalho de remediação para identificar riscos e reportar ao Procurador-Geral de NH.

Agende uma demonstração individual para ver como o BigID pode ajudar você a atingir a conformidade com a NHPA.

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produtos, desenvolvimento de conteúdo e estratégia digital. Com foco em insights orientados por dados e marketing integrado, ele ocupou cargos seniores em vários setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, que ajuda a elevar o conteúdo em todos os pilares, regiões e compradores, criando consistentemente conteúdo atraente em várias mídias, incluindo vídeos, artigos, listas de verificação, white papers e guias.