Um olhar sobre a Lei de Privacidade do Colorado: Previsões sobre o futuro da proteção de dados do usuário
Publicados: 2021-09-16
Em julho passado, o Colorado aprovou a Lei de Privacidade do Colorado (CPA), tornando-se o quarto estado a promulgar uma legislação abrangente de privacidade nos EUA, depois da Califórnia, Nevada e Virgínia.
Embora a CPA e leis semelhantes estejam sujeitas a alterações com o passar do tempo, a questão permanece: as empresas devem começar a trabalhar para cumprir cada nova lei individual ou devem estabelecer algum tipo de plano através do qual os direitos dos usuários permaneçam protegidos, não importa o que acontece em termos de mudanças de política?
Com os regulamentos de privacidade exclusivos de cada estado, está se tornando cada vez mais difícil para as empresas acompanhar essas mudanças, garantir a conformidade e evitar penalidades.
Para facilitar esse processo, compararemos alguns exemplos recentes de diferentes estados e forneceremos informações sobre como eles podem afetar as práticas de negócios, bem como as tendências futuras na proteção de dados do usuário.
Nesta postagem do blog, analisamos a Lei de Privacidade do Colorado e como ela se compara a outras leis de privacidade, como o SB20 de Nevada, o CDPA da Virgínia, o CPPA da Califórnia e o CPRA mais recente e o GDPR europeu.
Primeiro, aqui está um resumo de todas as principais disposições dessas leis:
| Disposições Chave | Colorado CPA | Nevada SB220 | CDPA da Virgínia | Califórnia CDPA + CPRA | Europa GDPR | ||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Capacidade de Processar | |||||||||||||||||||||||||||||||||||
| Minimização de dados | Sim | Sim | Não | Sim | |||||||||||||||||||||||||||||||
| Finalidade permitida | Sim | Sim | Não | Sim | |||||||||||||||||||||||||||||||
| Direitos individuais | |||||||||||||||||||||||||||||||||||
| Direito de receber aviso de atividades de processamento | Sim | Sim | Sim | Sim | Sim | ||||||||||||||||||||||||||||||
| Direito de acesso aos dados pessoais | Sim | Sim | Sim | Sim | |||||||||||||||||||||||||||||||
| Direito à portabilidade dos dados (ou seja, os dados devem ser fornecidos em um formato facilmente utilizável, para que possam ser transferidos de uma entidade/plataforma para outra) | Sim | Sim | Sim | Sim | |||||||||||||||||||||||||||||||
| Direito de corrigir erros nos dados pessoais | Sim | Sim | Não | Sim | |||||||||||||||||||||||||||||||
| Direito de excluir dados pessoais | Sim | Sim | Sim | Sim | |||||||||||||||||||||||||||||||
| Direito de optar por não receber publicidade comportamental | Não | Sim | Não | Sim | |||||||||||||||||||||||||||||||
| Direito de se opor a perfis automatizados e tomada de decisão | Não | Sim | Não | Sim | |||||||||||||||||||||||||||||||
| Direito à não discriminação para o exercício desses direitos | Sim | Sim | Sim | Sim | |||||||||||||||||||||||||||||||
| Direito de recusar a venda de informações pessoais | Sim | Sim | Sim | Sim | Não | ||||||||||||||||||||||||||||||
| Ativar ou desativar o processamento de informações confidenciais | Aceitar | Aceitar | Excluir | Aceitar | |||||||||||||||||||||||||||||||
| Direito de apelar negação de pedidos | Não | Sim | Não | Não | |||||||||||||||||||||||||||||||
| Responsabilidade/Governança | |||||||||||||||||||||||||||||||||||
| Avaliações de proteção de dados | Sim | Sim | Não | Sim | |||||||||||||||||||||||||||||||
| Segurança | |||||||||||||||||||||||||||||||||||
| Segurança de dados apropriada para proteger as informações | Sim | Sim | Sim | Sim | |||||||||||||||||||||||||||||||
| Notificação de violação | Sim | Sim | Sim | Sim | |||||||||||||||||||||||||||||||
| Transferências de dados fora do EEE | |||||||||||||||||||||||||||||||||||
| Medidas adicionais para transferências internacionais | Sim | Não | Não | Sim | |||||||||||||||||||||||||||||||
| Transferências para Terceiros | |||||||||||||||||||||||||||||||||||
| Requisitos Contratuais em Contratos de Prestadores de Serviços | Sim | Sim | Sim | Sim | |||||||||||||||||||||||||||||||
| Marketing | |||||||||||||||||||||||||||||||||||
| Consentimento para cookies Adtech | Não | Sim | Sim | Sim | |||||||||||||||||||||||||||||||
| Consentimento obtido antes do marketing direto | Sim | Não | Não | Sim | |||||||||||||||||||||||||||||||
| Agências de Execução | |||||||||||||||||||||||||||||||||||
| Procurador-Geral | Procurador-Geral | Procurador-Geral da CPPA | DPA | ||||||||||||||||||||||||||||||||
| Data de operação | |||||||||||||||||||||||||||||||||||
| 1 de julho de 2023 | 1 de outubro de 2019 | 1 de janeiro de 2023 | 1 de janeiro de 2020 / 1 de janeiro de 2023 | 25 de maio de 2018 | |||||||||||||||||||||||||||||||
O que todas essas leis de privacidade têm em comum?
O CPA é semelhante a outras leis de privacidade, como GDPR, lei da Califórnia e da Virgínia. No entanto, não se compara com Nevada, pois este último apenas promulgou uma lei muito mais limitada em relação à venda de determinados dados coletados on-line, portanto, está excluído da comparação abaixo.
- Contrato de Processamento de Dados — Isso é comum entre todas as leis de privacidade. Simplificando, significa que uma organização precisa elaborar um modelo legal onde descreva as atividades de processamento de dados pessoais que ocorrem ao usar um serviço ou produto. Em suma, fala sobre como o processamento de dados acontecerá, quem será responsável pelo quê e quais medidas de segurança serão tomadas. Preparamos nosso modelo em 2018 para GDPR, disponível aqui. A cada nova lei, atualizamos as cláusulas do modelo para se adaptar a todos os novos termos legais.
- Uma segunda semelhança entre as leis de privacidade é que todas elas exigem que as organizações tomem medidas técnicas e organizacionais apropriadas para responder rápida e adequadamente quando os consumidores exercem seus direitos. Quais são esses direitos difere de lei para lei, como visto na tabela acima, mas as medidas permanecem as mesmas.
- A notificação de violação de dados pessoais é outro termo comum presente nas leis. Uma violação de segurança de dados pessoais é qualquer evento que tenha o potencial de afetar a confidencialidade, integridade ou disponibilidade de dados pessoais mantidos por uma organização em qualquer formato.
As violações de segurança de dados pessoais podem acontecer por vários motivos, incluindo:- a divulgação de dados confidenciais a indivíduos não autorizados;
- perda ou roubo de dados ou equipamentos nos quais os dados são armazenados;
- controles de acesso inadequados que permitem o uso não autorizado de informações;
- tentativas de obter acesso não autorizado a sistemas de computador, por exemplo, hacking; registros alterados ou apagados sem autorização do “proprietário” dos dados;
- vírus ou outros ataques de segurança em sistemas ou redes de equipamentos de TI;
- deixar o equipamento de TI desacompanhado quando conectado a uma conta de usuário sem bloquear a tela para impedir que outras pessoas acessem as informações;
- e-mails contendo informações pessoais ou confidenciais enviadas por engano para o destinatário errado.
- Outro requisito comum no GDPR, CCPA, VCDPA e CPA é o processo de realização de Avaliações de Impacto de Processamento de Dados (DPIAs) para quaisquer novos projetos de processamento de alto risco. Um DPIA é o processo de considerar sistematicamente o impacto potencial que um projeto ou iniciativa pode ter na privacidade dos indivíduos. Ele permite que as organizações identifiquem possíveis problemas de privacidade antes que eles surjam e encontrem uma maneira de mitigá-los. O GDPR introduziu pela primeira vez DPIAs obrigatórios para as organizações envolvidas no processamento de alto risco; por exemplo, onde uma nova tecnologia está sendo implantada, onde uma operação de criação de perfil provavelmente afetará significativamente os indivíduos ou onde houver monitoramento em larga escala de uma área acessível ao público.
Por exemplo, para exercer seu direito de acessar seus dados pessoais que a Convert está usando, você deve enviar uma solicitação por escrito para [email protected]. Na solicitação, mencione que sua solicitação está sendo feita no exercício de seu direito de acesso sob a lei de privacidade específica na qual você está interessado. O DPO é obrigado a responder à sua solicitação por escrito. Esteja preparado para fornecer provas de sua identidade, o que o DPO deve exigir de você para garantir que as informações pessoais não sejam fornecidas à pessoa errada. O processo acima é específico para GDPR, CCPA, CPA e já está documentado em nossa página de Privacidade.
Da mesma forma, se você quiser encerrar sua conta do Convert, sair do serviço e desejar um backup de todos os seus dados do Convert, poderá exercer seu direito à portabilidade de dados. Você pode escrever um e-mail para o mesmo endereço de e-mail acima, se a opção de baixar os dados não estiver disponível imediatamente, e solicitar ao DPO um backup dos dados usados em todo o serviço. O DPO deve agir de acordo com sua solicitação por escrito.
Em seu projeto GDPR, a Convert desenvolveu orientações para a equipe e um modelo a ser usado para realizar DPIAs. Você pode encontrar o modelo com as perguntas de triagem pré-preenchidas aqui. Este modelo foi adaptado às novas leis de privacidade dos EUA.
Mas existem algumas diferenças importantes!
O GDPR protege os dados pessoais. As leis dos EUA protegem principalmente os consumidores que optam por proteger seus dados pessoais.
- O debate sobre proteção de dados versus proteção do consumidor está no centro de todas essas iniciativas de privacidade. É também um ponto-chave que diferencia o GDPR de todas as outras leis de privacidade. Com o GDPR, os dados pessoais são protegidos ao longo das várias fases, desde a coleta, processamento, armazenamento, transferência para terceiros. As leis dos EUA garantem que o consumidor esteja protegido enquanto estiver online e usando serviços, navegando ou testando produtos. É por isso que a Política de Privacidade de uma empresa não pode permanecer a mesma quando uma nova lei entra em vigor. Novas seções precisam ser adicionadas, para refletir os novos termos e disposições legais. Sempre consulte seus advogados para saber exatamente o que adicionar para estar em conformidade com cada lei.
- As leis também diferem no âmbito do regime de opt-in / opt-out . O GDPR opera sob um regime opt-in, o que significa que os países membros da União Europeia não coletam nenhum dado pessoal do visitante até que consintam explicitamente, marcando uma caixa de seleção no banner de consentimento que aparece no site em que estão navegando. O oposto está acontecendo em sites de editores baseados nos EUA. Os dados podem ser coletados até que um visitante decida cancelar o processamento de dados. A Califórnia opera apenas sob um regime híbrido de opt-out/opt-in. A CCPA permite que uma organização colete os dados dos consumidores por padrão, mas também exige que os coletores de dados forneçam avisos de privacidade aos consumidores antes da coleta de dados. A CPA, VCDPA estão sob um regime claro de opt-out.
Na Convert, operamos sob um regime opt-in, pois valorizamos a transparência e as escolhas dos visitantes e adaptamos nossa experiência do usuário para atender às suas necessidades. - As diferenças também podem ser observadas nas regras de transferências internacionais de dados . O GDPR é novamente muito rigoroso com essas transferências e as permite apenas quando o país destinatário possui regulamentos de privacidade semelhantes. Caso contrário, exige que as organizações usem cláusulas contratuais padrão ou o consentimento dos usuários. Por outro lado, CCPA e VCDPA permitem transferências internacionais de dados em todo o mundo até que ocorra um incidente. Em seguida, a organização é responsabilizada e multas aplicadas. A CPA é um tanto branda, exigindo que as organizações informem os usuários/visitantes quando ocorrerem transferências internacionais de dados, mas sem restringi-las.
Na Convert, aderimos ao GDPR e fornecemos as ferramentas de transferência necessárias quando solicitadas (as cláusulas contratuais padrão fazem parte do contrato que nossos usuários estão assinando). - Por fim, as leis têm prazos de resposta diferentes para violações de privacidade . O GDPR e o VCDPA dão aos controladores ou processadores 30 dias para reagir a violações de privacidade. O CPPA é permitido, mas não obrigado, a oferecer um período para sanar as violações do CPRA. O CPA deve oferecer um período de resposta de 60 dias.
Como o Convert não fez parte de nenhuma violação de privacidade, isso não foi fácil de ser testado, mas simulamos essas solicitações internamente e descobrimos que podemos responder dentro de 7 a 10 dias. Bastante impressionante dado o fato de que muitas pessoas e ferramentas podem estar envolvidas.
Sua empresa está preparada para o CPA?
Muitas dessas leis têm palavreado semelhante, portanto, identificar as diferenças é bastante difícil. No entanto, tentamos deixar mais claro para você com esta comparação acima. Para alcançar a conformidade com essas leis de privacidade, esteja preparado para gastar muito tempo revisando-as e consultando especialistas jurídicos.
Felizmente, algumas medidas se aplicam universalmente a todos eles. Nós os listamos em um de nossos artigos anteriores, mas aqui estão eles novamente para refrescar sua memória:
- Crie e mantenha um inventário de dados abrangente, fornecendo informações sobre os tipos de dados envolvidos e a natureza das atividades de processamento.
- Garanta que os dados confidenciais sejam segregados e gerenciados sem riscos desnecessários.
- Implemente uma estrutura para conduzir Avaliações de Impacto de Proteção de Dados (DPIA).
- Avalie as políticas, práticas e controles de segurança cibernética em vigor para garantir que sejam consistentes com os padrões reconhecidos pelo setor.
- Permitir que os consumidores desativem a venda de suas informações pessoais (quando aplicável).
- Atualize as políticas de privacidade voltadas para o público para, entre outras mudanças, comprometer-se a não reidentificar dados pessoais não identificados e fornecer detalhes sobre suas atividades de processamento de dados.
- Desenvolver mecanismos para aceitar, rastrear, verificar e honrar as solicitações do consumidor para acessar, corrigir, excluir e excluir dados pessoais sob o CPA.
- Garanta que seus funcionários de atendimento ao cliente tenham conhecimento preciso das regulamentações para atender às solicitações dos consumidores de maneira eficiente e previsível.
Como será o cenário de privacidade na próxima década?
A privacidade de dados está emergindo como uma questão definidora desta década. Este será um mundo cada vez mais sensível à privacidade, onde empresas e indivíduos estão se tornando cada vez mais conscientes de que não existe mais "privado".
As recentes leis de privacidade nos ensinaram que essas iniciativas exigem grandes esforços e tempo para planejar cuidadosamente, identificar lacunas nos mecanismos de privacidade e implementar novas políticas, processos e esforços de remediação. Portanto, o cenário de privacidade de dados não mudará rapidamente.
Embora o futuro da privacidade ainda não tenha sido escrito, várias tendências já o estão moldando de várias maneiras. As organizações que melhor navegarem por essas tendências nos próximos dez anos serão mais competitivas do que aquelas que continuarem apenas cumprindo as novas leis.
Vamos ver o que eles são.
- A maioria dos consumidores estará protegendo proativamente seus dados pessoais. Veremos melhores ferramentas de proteção de privacidade (da mesma forma que agora temos ferramentas de invasão de privacidade). As organizações que não aderirem a essas proteções correrão o risco de perder seus clientes.
- As transferências de dados transfronteiriças ficarão mais simples. Não teremos que construir reinos de dados locais que não possam ser acessados por estrangeiros.
- Jornadas de experiência do cliente de privacidade : serão desenvolvidos novos projetos que se alinham às expectativas culturais e legais das leis de privacidade, bem como à postura de cada empresa em relação à ética de dados e tecnologia.
- Cultura de privacidade dos funcionários: os recursos humanos usarão programas de privacidade dos funcionários alinhados com os valores de dados e tecnologia da empresa para desenvolver uma cultura de privacidade completa. Esse programa pode incluir um conselho de funcionários que revise e comunique avaliações de privacidade e impacto ético para novas tecnologias e usos de dados no local de trabalho.
Muito pode mudar em 10 anos, mas, novamente, pouco pode mudar também. Aqui na Convert, respeitamos a privacidade de nossos visitantes e usuários como parte de nossa cultura. Onde estaremos em 2030? Até 2030, veremos empresas que respeitam a privacidade dos usuários ao lado dos reguladores, todos trabalhando juntos sem comprometer as liberdades individuais. Essa visão é o que mais importa para nossa equipe na Convert company e onde esperamos que você também se junte a nós!
