Legislação de privacidade de dados de Nova Jersey SB 332: Tudo o que você precisa saber

Quando a maioria dos americanos pensa em Nova Jersey, "Jersey Shore" parece estar sempre em primeiro lugar. Até agora: Nova Jersey é o décimo terceiro estado a aprovar uma lei de privacidade de dados do consumidor.

A legislatura de Nova Jersey aprovou o Projeto de Lei do Senado 332 em 8 de janeiro de 2024, e foi assinado pelo governador de Nova Jersey, Phil Murphy, em 16 de janeiro de 2024. A lei entrará em vigor um ano após sua promulgação em 16 de janeiro de 2025.

O que é a Lei de Privacidade de Dados de Nova Jersey SB 332?

A Lei SB 332 de Nova Jersey é uma lei abrangente de privacidade de dados promulgada pelo estado de Nova Jersey. Ela visa proteger as informações pessoais dos residentes de Nova Jersey e garantir que as empresas adotem medidas robustas de proteção de dados para proteger dados sensíveis. Ao estabelecer diretrizes e requisitos claros, a Lei SB 332 de Nova Jersey busca aprimorar a transparência, a responsabilização e os direitos do consumidor.

O que as empresas precisam saber

O NJ SB 332 atribui grande importância à proteção da privacidade dos residentes de Nova Jersey. A lei empodera os indivíduos, concedendo-lhes direitos sobre suas informações pessoais e exigindo que as empresas sejam transparentes sobre a coleta, o processamento e o uso de dados. Com medidas de privacidade aprimoradas em vigor, os consumidores terão mais controle sobre seus dados pessoais.

O NJ SB 332 introduz diversas disposições essenciais que fortalecem a privacidade e a segurança de dados em Nova Jersey. Aqui estão alguns aspectos cruciais da lei:

Quem deve obedecer?

A NJ SB332 se aplica a empresas que coletam, usam ou compartilham informações pessoais de residentes de Nova Jersey. Especificamente, uma empresa está sujeita à NJ SB332 se:

Realiza negócios em Nova Jersey ou produz produtos ou serviços para residentes de Nova Jersey e, durante um ano civil:

• Controla ou processa as informações pessoais de pelo menos 100.000 consumidores de NJ, excluindo dados pessoais processados para a finalidade de concluir uma transação; ou
• Controla ou processa os dados pessoais de pelo menos 25.000 consumidores de NJ, e o controlador obtém receita com a venda de informações pessoais ou recebe um desconto no preço de quaisquer bens ou serviços com a venda de dados pessoais.

A lei exclui os dados de organizações sem fins lucrativos, entidades governamentais e certas entidades regulamentadas.

É essencial que as organizações entendam se estão sujeitas ao NJ SB332 e tomem as medidas necessárias para cumprir a nova legislação.

Preparando-se para a conformidade com a NJ SB 332

A conformidade com a SB332 de Nova Jersey é crucial para empresas que operam em Nova Jersey. A lei pode levar a penalidades significativas e danos à reputação caso as organizações não cumpram a legislação. Aqui estão algumas considerações essenciais para alcançar a conformidade:

Aviso de privacidade

As organizações são obrigadas a fornecer um aviso de privacidade que descreva:

1. as categorias de dados pessoais processados
2. a finalidade do processamento
3. as categorias de terceiros aos quais os dados pessoais são divulgados
4. as categorias de dados pessoais compartilhados com terceiros
5. como os consumidores podem exercer seus direitos e recorrer de uma decisão de solicitação de direitos de dados
6. como a organização notifica os consumidores sobre mudanças materiais no aviso de privacidade
7. as organizações devem fornecer um endereço de e-mail ou outro sistema online (formulário da web ou portal) que o consumidor possa usar para entrar em contato com a empresa

Avaliações de Proteção de Dados

As empresas devem realizar avaliações regulares de proteção de dados (APD) para identificar e corrigir vulnerabilidades prontamente. A lei exige explicitamente uma APD para o processamento de dados que representem um risco elevado de danos aos consumidores. As avaliações devem ser apresentadas ao Procurador-Geral de Nova Jersey mediante solicitação.

Mecanismos Universais de Exclusão (UOOM)

Mecanismos Universais de Exclusão têm sido um debate contínuo entre diferentes legislaturas estaduais, resultando em diversas disputas. Embora Nova Jersey apoie as UOOMs não apenas para publicidade direcionada e vendas de dados pessoais, o escopo é ampliado para incluir a opção de exclusão para criação de perfil de usuário, que é a primeira entre as leis estaduais. A lei autoriza a Divisão de Assuntos do Consumidor do Procurador-Geral de Nova Jersey aplicar regras e regulamentos relativos às especificações técnicas da UOOM.

Além disso, sob NJ SB332, uma UOOM não deve “fazer uso de uma configuração padrão que opte por um consumidor para o processamento [para fins de publicidade direcionada] ou venda de dados pessoais, a menos que o controlador tenha determinado que o consumidor selecionou tal configuração padrão e a seleção represente claramente a escolha afirmativa, livre e inequívoca do consumidor de optar por qualquer processamento de dados pessoais desse consumidor”.

Multas e Execução

Haverá um período de carência durante os primeiros 18 meses após a data de vigência, que é um ano após a promulgação do projeto de lei. O Procurador-Geral de Nova Jersey implementará regras e regulamentos e fornecerá orientações adicionais sobre solicitações de direitos de dados, solicitar verificação, avaliações de processamento de dados e mecanismos de exclusão.

Uma violação do NJ SB332 é considerada uma violação dos Atos e Práticas Injustas e Enganosas de Nova Jersey (UDAP), e o Procurador Geral pode buscar penalidades de até $10.000 para a primeira violação e até $20.000 para a segunda e subsequentes violações.

Direitos do consumidor de Nova Jersey

A S332 de Nova Jersey proporcionaria aos consumidores muitos dos mesmos direitos existentes em regulamentações estaduais já estabelecidas, como na Califórnia, Colorado, Connecticut, Utah e Virgínia, e em vários outros estados com leis de privacidade previstas para entrar em vigor em 2024 e 2025.

O NJ SB332 concede aos residentes de NJ direitos específicos sobre suas informações pessoais, incluindo:

• O direito de saber quais informações pessoais estão sendo coletadas e processadas
• O direito de acessar e obter uma cópia de suas informações pessoais
• O direito de solicitar a exclusão de informações pessoais
• O direito de optar por não participar da venda de suas informações pessoais, publicidade direcionada e criação de perfil
• O direito de ter suas informações pessoais corrigidas, alteradas ou atualizadas
• A opção de adesão ou exclusão é obrigatória para crianças com pelo menos 13 anos e menos de 17 anos
• NJ S322 está alinhado com o governo federal Lei de Proteção à Privacidade Online de Crianças, que se aplica aos dados pessoais de uma criança conhecida com menos de 13 anos

As empresas são obrigadas a responder às solicitações de dados dos consumidores em até 45 dias. Há uma possível extensão de 45 dias se for razoavelmente necessário.

Como o BigID ajuda organizações a cumprir a SB332 de Nova Jersey

As organizações que adotaram uma abordagem proativa em relação à CCPA e outras leis estaduais de privacidade estarão em melhor posição para alcançar a conformidade — mas ainda precisarão tomar as medidas necessárias para cumprir os aspectos específicos da lei de privacidade do consumidor de Nova Jersey. A BigID permite que as organizações se preparem proativamente para a NJ SB332, a fim de alcançar a conformidade com sua plataforma patenteada de automação de privacidade com reconhecimento de identidade. Com a BigID, as empresas podem:

• Descubra dados: O BigID fornece descoberta e classificação de dados profundos para mapear fluxos de dados e obter visibilidade completa sobre todas as informações pessoais e confidenciais sujeitas aos regulamentos NJ SB332.
• Aplicar políticas: Reduzir o risco baseado em políticas com controles e fluxos de trabalho de remediação de dados para tomar medidas sobre os requisitos do NJ SB332.
• Automatize o gerenciamento de direitos de dados: O BigID permite que as organizações de forma proativa e gerenciar automaticamente solicitações de privacidade, preferências e consentimento, incluindo o UOOM para que os consumidores optem por não participar de vendas de dados, publicidade direcionada e criação de perfil de usuário.
• Minimizar dados: Aplicar princípios de minimização de dados identificando e categorizando dados pessoais desnecessários ou excessivos para gerenciar o ciclo de vida dos dados, da retenção à exclusão.
• Implementar controles de proteção de dados: O BigID fornece controles automatizados de proteção de dados para aplicar controles de acesso a dados e outras medidas de segurança, que são cruciais para proteger dados e cumprir com NJ SB332.
• Avaliar risco: Ofertas BigID avaliações automatizadas de impacto na privacidade, relatórios de inventário de dados e fluxos de trabalho de remediação para identificar riscos, reportar ao Procurador-Geral de Nova Jersey e garantir a conformidade com o NJ SB332.

Agende uma demonstração individual para ver como o BigID pode acelerar sua conformidade com o NJ SB332.

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produtos, desenvolvimento de conteúdo e estratégia digital. Com foco em insights orientados por dados e marketing integrado, ele ocupou cargos seniores em vários setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, que ajuda a elevar o conteúdo em todos os pilares, regiões e compradores, criando consistentemente conteúdo atraente em várias mídias, incluindo vídeos, artigos, listas de verificação, white papers e guias.