O que é a Lei de Proteção de Informações do Tennessee?
A Lei de Proteção de Informações do Tennessee, comumente conhecida como TIPA, é uma lei estadual projetada para proteger as informações pessoais dos residentes. Ela estabelece regras para empresas que lidam com esses dados, incluindo medidas de segurança, notificação de violação, descarte adequado e penalidades por não conformidade. O TIPA entrará em vigor em 1º de julho de 2025.
Como as PII são definidas pela regulamentação
A Lei de Proteção de Informações do Tennessee define informações pessoais como quaisquer dados vinculados ou razoavelmente vinculados a uma pessoa física identificada. A definição exclui informações publicamente disponíveis, desidentificadas ou agregadas ao consumidor.
A TIPA também fornece uma definição para “dados sensíveis”, que inclui, mas não são informações pessoais que revelam origem racial ou étnica, crenças religiosas, diagnóstico de saúde mental ou física, orientação sexual ou status de cidadania ou imigração, dados precisos de geolocalização, informações pessoais coletadas de uma criança conhecida e processamento que envolve dados genéticos ou biométricos com a finalidade de identificar exclusivamente uma pessoa física.
Direitos do consumidor do Tennessee
A Lei de Proteção de Informações do Tennessee (TIPA) concede aos indivíduos certos direitos relativos às suas informações pessoais. Esses direitos incluem a possibilidade de solicitar a correção de imprecisões, a exclusão e o acesso às suas informações pessoais. Os indivíduos também podem optar por não participar para fins de venda de suas informações pessoais, publicidade direcionada ou para fins de definição de perfil em prol de decisões que produzam efeitos legais ou similarmente significativos em relação ao consumidor. Além disso, a TIPA exige consentimento para o processamento de dados sensíveis.
Ao receber uma solicitação do consumidor, os controladores devem responder em até 45 dias, com possível prorrogação de 45 dias para solicitações complexas ou numerosas. Semelhante às leis de privacidade em Colorado, Connecticut, Virgínia, Iowae Indiana, a TIPA exige que os controladores ofereçam um processo de apelação para solicitações negadas, com um prazo de 60 dias para resposta. Se a apelação for negada, o controlador também deve fornecer ao consumidor um mecanismo online, se disponível, ou outro método pelo qual o consumidor possa entrar em contato com o procurador-geral e o relator para apresentar uma reclamação.
A TIPA não concede um direito privado de ação. Em vez disso, a autoridade de execução reside exclusivamente no Procurador-Geral do Tennessee, que pode aplicar penalidades civis de até $15.000 por cada violação — um valor superior ao da maioria das outras leis estaduais de privacidade.
A TIPA considera cada disposição violada e cada consumidor afetado como violações distintas, o que pode resultar em rápida acumulação de penalidades. Em casos de violações intencionais ou conscientes, os tribunais podem conceder indenizações em triplo. No entanto, os infratores têm 60 dias para retificar as violações após receberem notificação do Procurador-Geral, antes da aplicação das penalidades.
Violações da TIPA
A Lei de Proteção de Informações do Tennessee (TIPA) atribui a Procurador-Geral do Tennessee (AG) como única autoridade para fazer cumprir suas disposições, excluindo qualquer direito privado de ação. Em caso de suposta violação, controladores e processadores têm 60 dias para retificar a não conformidade, o que se destaca de outras leis estaduais de privacidade por não caducar. A não correção dentro desse prazo pode resultar na imposição de penalidades civis pelo Procurador-Geral de até $7.500 por violação.
GDPR vs TIPA: como eles se comparam?
TIPA (Lei de Proteção de Informações do Tennessee) e RGPD (Regulamento Geral de Proteção de Dados) são duas leis distintas de proteção de dados com algumas diferenças notáveis:
- Jurisdição: TIPA é uma lei estadual no Tennessee, EUA, enquanto GDPR é uma regulamentação abrangente aplicável a todos os estados-membros da UE.
- Escopo: O TIPA se concentra principalmente na proteção de informações pessoais de residentes do Tennessee, enquanto o GDPR se aplica aos dados pessoais de indivíduos dentro da UE, independentemente de sua residência.
- Execução: A TIPA concede autoridade de execução exclusivamente ao Procurador-Geral e Relator do Tennessee, enquanto o GDPR permite que tanto autoridades de supervisão quanto indivíduos apliquem suas disposições por meio de ação legal.
- Direito Privado de Ação: A TIPA não prevê um direito privado de ação, o que significa que indivíduos não podem processar diretamente por violações, enquanto o GDPR permite que indivíduos busquem recursos legais e indenização por danos causados pela não conformidade.
- Período de cura: A TIPA inclui um período de 60 dias para o direito de correção, durante o qual controladores e processadores podem corrigir a não conformidade, enquanto o GDPR não especifica um período fixo para correção de violações.
- Penalidades: A TIPA permite que o Procurador-Geral do Tennessee imponha penalidades civis de até $7.500 por violação, enquanto o GDPR impõe multas de até € 20 milhões ou 4% do faturamento global anual do ano fiscal anterior, o que for maior.
- Alcance territorial: A TIPA se aplica principalmente a controladores e processadores de dados que operam no estado do Tennessee, enquanto o GDPR tem alcance extraterritorial, impactando organizações fora da UE se elas processarem dados pessoais de residentes da UE.
O que as organizações podem fazer para se preparar
Para se preparar para a conformidade com a TIPA, as organizações podem seguir estas etapas:
- Familiarize-se: Entenda completamente os requisitos e disposições da Lei de Proteção de Informações do Tennessee (TIPA) para identificar como ela se aplica à sua organização.
- Realizar uma auditoria de dados: Avalie as informações pessoais que você coleta, armazena e manipula para determinar quais dados estão sob a alçada da TIPA e garantir sua proteção.
- Implementar medidas de segurança: Estabeleça medidas de segurança razoáveis para proteger informações pessoais, incluindo criptografia, controles de acesso, firewalls e avaliações de segurança regulares.
- Desenvolver políticas e procedimentos: Crie políticas e procedimentos abrangentes de proteção de dados alinhados aos requisitos da TIPA. Isso inclui diretrizes para notificação de violação de dados, descarte adequado de dados e direitos do consumidor.
- Treinar a equipe e monitorar a conformidade: Eduque os funcionários sobre as disposições da TIPA, suas responsabilidades em relação à proteção de dados e monitore regularmente a conformidade para garantir o cumprimento dos requisitos da lei.
Abordagem da BigID para conformidade com TIPA
A conformidade com a TIPA é um esforço contínuo que exige soluções flexíveis e escaláveis para atender às necessidades da sua organização. O BigID é uma plataforma de inteligência de dados de última geração para privacidade, segurança, e governança que utiliza aprendizado de máquina e IA avançada para automação descoberta e classificação de dados profundos. Avalie seu risco de privacidade e tome medidas proativas para proteger todos os seus dados empresariais mais confidenciais.
Suíte de Privacidade da BigID apresenta uma variedade de ferramentas poderosas para ajudar a gerenciar e rastrear Solicitações DSAR, monitorar a governança de consentimento, conduzir avaliações direcionadas de impacto na privacidade e muito mais.
Para uma conformidade simplificada com a TIPA, Agende uma demonstração individual gratuita com nossos especialistas em privacidade hoje mesmo.
Autor
