A legislatura de Utah aprovou por unanimidade a Lei de Privacidade do Consumidor de Utah (SB 227) em 3 de março de 2022 — um dia antes de encerrar sua 64ª sessão.
O projeto de lei, apresentado em 18 de fevereiro de 2022, foi aprovado no plenário do Senado menos de uma semana depois. Em 25 de fevereiro, o Senado votou unanimemente pela aprovação do projeto, encaminhando-o à Câmara para aprovação, onde também foi aprovado por unanimidade após pequenas emendas.
O Senado confirmou ontem as emendas da Câmara, apesar de uma coalizão de grupos de privacidade instando o governador do estado a devolver o projeto de lei ao legislativo para uma análise mais aprofundada.
A Quarta Lei de Privacidade dos Estados Unidos
O projeto de lei agora está com o governador, que terá vinte dias para decidir se o assina, não assina ou veta. Atualmente, a SB 227 deve se tornar a quarta lei estadual de privacidade nos Estados Unidos, depois da Califórnia, Virgínia e Colorado.
O SB 227 compartilha várias semelhanças com CDPA da Virgínia (VCDPA) e CPA do Colorado (CPA). Por exemplo, o projeto de lei impõe obrigações separadas a uma entidade coberta com base no fato de a entidade atuar como controladora ou processadora de dados do consumidor.
O projeto de lei se aplicaria a qualquer controlador ou processador que faça negócios em Utah ou forneça produtos e/ou serviços ao consumidor voltados para residentes de Utah; tenha uma receita anual de $25.000.000 ou mais; e atenda a uma ou mais das seguintes condições:
Controla ou processa os dados pessoais de 100.000 ou mais consumidores; ou
Obtém mais de 50% de sua receita bruta com a venda de dados pessoais e controla ou processa os dados pessoais de 25.000 ou mais consumidores.
Exceções sob o Projeto de Lei de Utah
O projeto de lei não se aplicaria a entidades governamentais, dados de funcionários, organizações sem fins lucrativos, instituições de ensino superior, tribos ou empresas cobertas por HIPAA.
Muito parecido com o leis de privacidade aprovadas nos outros três estados, o projeto de lei também não se aplicaria às informações regidas pela FCRA, o GLBA, ou HIPAA.
Alguns outros pontos importantes a serem considerados se o UCPA aprovadas em lei incluem que:
- Fornecer aos consumidores o direito de acessar, corrigir ou excluir dados pessoais (com algumas exceções) — bem como o direito de optar por não participar de certas atividades de processamento, como publicidade direcionada e venda de dados pessoais;
- Aplicar o termo “dados sensíveis” aos dados pessoais de crianças (ou seja, menores de 13 anos em Utah);
- Permitir que um pai ou responsável legal de uma criança exerça os direitos do consumidor em seu nome; e
- Atribuir ao Procurador-Geral de Utah poderes de execução, em oposição à concessão aos consumidores de um direito privado de acção como o próximo CPRA.
Aplicação da UCPA pela Procuradoria-Geral
Conforme relatado pela primeira vez pelo IAPPUm detalhe que diferencia a UCPA das demais leis estaduais de privacidade é que ela implementa um processo de duas etapas para ações de execução. Primeiro, o consumidor precisa registrar uma reclamação junto à Divisão de Proteção ao Consumidor do Departamento de Comércio de Utah. A divisão, então, investigaria a legitimidade da reclamação do consumidor e a aprovaria ou rejeitaria com base em suas conclusões.
Se a Divisão aprovar a reclamação do consumidor, ela a submeterá ao Gabinete do Procurador-Geral da UT para determinar se deve ou não entrar com uma ação de execução contra a empresa. No entanto, o Procurador-Geral deve primeiro notificar a empresa por escrito e conceder-lhe 30 dias para sanar a violação. Se a empresa não sanar a violação, somente então o Procurador-Geral poderá entrar com uma ação de execução contra a empresa.
Se for sancionada, a UCPA entrará em vigor em 31 de dezembro de 2023. Com a ajuda do BigID, os clientes atendem aos requisitos de conformidade estabelecidos pela UCPA — como acomodar e automatizando solicitações de titulares de dados, fornecer medidas de segurança e proteção para dados sensíveis do consumidor, atendendo a solicitações de exclusão para a venda de dados pessoais ou atividades de processamento relacionados à publicidade direcionada e fornecendo às empresas as ferramentas certas para ajudá-las a entender por que e como usam os dados pessoais que coletam dos consumidores. Saiba mais — e faça uma demonstração 1:1 do BigID.