Problemas de privacidade de dados e regulamentações correspondentes são alguns dos maiores desafios que as empresas enfrentam hoje. Enquanto as empresas afetadas pelo GDPR sentiram a onda inicial de multas, exigências e padrões, a privacidade agora é uma questão internacional.
Os EUA já começaram a se mover em direção a uma regulamentação revolucionária de privacidade. Com as leis aprovadas na Califórnia e em Nevada e projetos de lei planejados em muitos outros estados, as empresas devem esperar o impacto nos próximos meses.
Este artigo analisa as partes cruciais da lei / projeto de lei de regulamentação de privacidade de cada estado - incluindo quem eles cobrem, quando entram em vigor, penalidades, como obter conformidade e por que os estados tomaram as medidas antes do governo federal para proteger o pessoal do consumidor dados.
A Lei de Privacidade do Consumidor da Califórnia
Como uma das primeiras leis de privacidade aprovadas após o GDPR, o CCPA está atuando como o modelo para outras contas nos EUA. A partir de 1º de janeiro de 2020, o CCPA se aplica a uma empresa que coleta / processa dados pessoais de residentes da Califórnia ou faz negócios na Califórnia. Essas empresas estão sujeitas à CCPA se:
- Exceder uma receita bruta de $ 25 milhões
- Compre, receba, venda ou compartilhe (total combinado) informações pessoais de 50.000 ou mais famílias de consumidores ou dispositivos
- Ganhe 50% ou mais da receita anual com a venda de informações pessoais do consumidor
A CCPA concede direitos aos consumidores semelhantes ao GDPR, incluindo a divulgação de informações pessoais e solicitações de dados pessoais. As empresas são obrigadas a responder às solicitações verificáveis dos consumidores com informações, como categorias e dados de informações pessoais, terceiros e categorias de terceiros com os quais os dados são compartilhados, e mais.
A seção, conhecida como Data Subject Requests (DSR), concede aos usuários acesso às opções de exclusão de suas informações pessoais. Além disso, a CCPA exige que as empresas exibam um link “Não venda minhas informações pessoais” em sua página inicial. A CCPA será executada pelo Procurador-Geral e inclui multas de até US $ 7.500 para cada violação individual.
Lei de privacidade de Nevada
A lei de privacidade de Nevada foi assinada em 29 de maio de 2019 e aplicada em 1º de outubro de 2019, três meses antes da mais conhecida CCPA. As leis são muito semelhantes, mas têm uma grande diferença na definição de “venda”. A lei de Nevada é mais restrita, não cobrindo todos os provedores de serviços e sendo mais tolerante com as instituições financeiras. De acordo com o InfoLawGroup, a CCPA e a lei de Nevada são semelhantes, pois ambas exigem que "as empresas apresentem um processo para verificar a legitimidade de uma solicitação de exclusão do consumidor e exigem que as empresas respondam à solicitação dentro de 60 dias. ” Semelhante à Califórnia, a aplicação de Nevada está com o Procurador-Geral e inclui multas de até US $ 5.000 por violação.
Lei de Privacidade de Nova York
Em maio de 2019, o senador do estado de Nova York Kevin Thomas apresentou um dos projetos mais revolucionários em privacidade de dados. Os requisitos eram padronizados e incluíam a capacidade dos residentes de acessar, corrigir, excluir e manter seus dados pessoais de terceiros.
No entanto, disposições mais abrangentes foram adicionadas, como obrigações para com os fiduciários de dados e o direito dos residentes de entrar com uma ação judicial contra as empresas se forem feridos em razão de uma violação. Este direito privado de ação é um dos maiores pontos de separação de outras regulamentações e pode incentivar os consumidores a perseguir empresas que não cumprem. A lei também é mais ampla do que a CCPA, cobrindo qualquer empresa que detenha os “dados confidenciais de residentes de Nova York”, sem exigência de receita para entidades cobertas.
Com leis aprovadas em dois estados, projetos de lei propostos em outros e nove estados aprovando novas leis de notificação de violação de dados, estamos testemunhando o início de uma grande mudança em direção à proteção de dados do consumidor e responsabilidade para empresas que controlam e processe.
Para manter a conformidade, as empresas devem estar cientes das leis atuais, das regulamentações futuras em andamento e do potencial para diferentes padrões nos Estados Unidos. A criação de processos para manipulação de dados, portabilidade e mapeamento de dados e controles de aceitação do usuário são algumas das práticas necessárias para empresas que coletam dados pessoais.