Lei de privacidade de dados de Connecticut: como garantimos que a conversão permaneça em conformidade
Publicados: 2022-07-13
Com a introdução do Connecticut SB 6, comumente referido como Connecticut Data Privacy Act ou “CTDPA” , Connecticut se juntou às fileiras de estados dos EUA como Califórnia, Virgínia, Colorado, Nevada e Utah que aprovaram leis de privacidade abrangentes para proteger os informação pessoal.
Apesar dos regulamentos de privacidade e segurança de dados existentes nos Estados Unidos há décadas, esses regulamentos anteriormente se aplicavam apenas a negócios, áreas e tipos de dados específicos.
Essas novas regulamentações estaduais, em vez de restringir estritamente certas formas de processamento de dados, reforçam uma tendência crescente de proteção mais ampla dos direitos de privacidade dos indivíduos.
Mais e mais estados dos EUA estão promulgando leis que regem o manuseio de informações online. Confira nossas avaliações das leis de privacidade em
- Utá,
- Califórnia,
- Virgínia,
- Nevada,
- Colorado
A diferença entre Connecticut SB 6 e outras leis de privacidade
Abaixo está um detalhamento das disposições do Connecticut SB 6 em comparação com as de
- A Lei de Privacidade do Consumidor de Utah (UCPA)
- A Lei de Privacidade do Colorado (CPA)
- A Lei de Privacidade do Estado de Nevada (SB200)
- O VCDPA da Virgínia
- CCPA (conforme alterado pela Lei de Direitos de Privacidade da Califórnia (CPRA))
- O Regulamento Geral Europeu de Proteção de Dados (GDPR)
| Disposições Chave | Connecticut SB6 | Utá UCPA | Colorado CPA | Nevada SB220 | CDPA da Virgínia | Califórnia CCPA + CPRA | Europa GDPR | ||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Capacidade de Processar | |||||||||||||||||||||||||||||||||||||||||||||||
| Minimização de dados | Sim | Sim | Sim | – | Sim | Não | Sim | ||||||||||||||||||||||||||||||||||||||||
| Finalidade permitida | Sim | Sim | Sim | – | Sim | Não | Sim | ||||||||||||||||||||||||||||||||||||||||
| Direitos individuais | |||||||||||||||||||||||||||||||||||||||||||||||
| Direito de receber aviso de atividades de processamento | Sim | Sim | Sim | Sim | Sim | Sim | Sim | ||||||||||||||||||||||||||||||||||||||||
| Direito de acesso aos dados pessoais | Sim | Sim | Sim | – | Sim | Sim | Sim | ||||||||||||||||||||||||||||||||||||||||
| Direito à portabilidade dos dados. Os dados devem estar disponíveis em um formato facilmente utilizável para transferência de uma entidade/plataforma para outra. | Sim | Sim | Sim | . | Sim | Sim | Sim | ||||||||||||||||||||||||||||||||||||||||
| Direito de corrigir erros nos dados pessoais | Sim | Não | Sim | – | Sim | Não | Sim | ||||||||||||||||||||||||||||||||||||||||
| Direito de excluir dados pessoais | Sim | Sim | Sim | – | Sim | Sim | Sim | ||||||||||||||||||||||||||||||||||||||||
| Direito de optar por não receber publicidade comportamental | Sim | Sim | Não | – | Sim | Não | Sim | ||||||||||||||||||||||||||||||||||||||||
| Direito de se opor a perfis automatizados e tomada de decisões | Sim | Sim | Não | – | Sim | Não | Sim | ||||||||||||||||||||||||||||||||||||||||
| Direito à não discriminação para o exercício desses direitos | Sim | Sim | Sim | – | Sim | Sim | Sim | ||||||||||||||||||||||||||||||||||||||||
| Direito de recusar a venda de informações pessoais | Sim | Sim | Sim | Sim | Sim | Sim | Não | ||||||||||||||||||||||||||||||||||||||||
| Ativar ou desativar o processamento de informações confidenciais | Excluir | Excluir | Aceitar | – | Aceitar | Excluir | Aceitar | ||||||||||||||||||||||||||||||||||||||||
| Direito de apelar negação de pedidos | Sim | Não | Não | – | Sim | Não | Não | ||||||||||||||||||||||||||||||||||||||||
| Responsabilidade/Governança | |||||||||||||||||||||||||||||||||||||||||||||||
| Avaliações de proteção de dados | Sim | Não | Sim | – | Sim | Não | Sim | ||||||||||||||||||||||||||||||||||||||||
| Segurança | |||||||||||||||||||||||||||||||||||||||||||||||
| Segurança de dados adequada para proteger as informações | Sim | Não | Sim | – | Sim | Sim | Sim | ||||||||||||||||||||||||||||||||||||||||
| Notificação de violação | Sim | Sim | Sim | – | Sim | Sim | Sim | ||||||||||||||||||||||||||||||||||||||||
| Transferências de dados fora do Espaço Econômico Europeu (EEE) | |||||||||||||||||||||||||||||||||||||||||||||||
| Medidas adicionais para transferências internacionais | Sim | Sim | Sim | – | Não | Não | Sim | ||||||||||||||||||||||||||||||||||||||||
| Transferências para Terceiros | |||||||||||||||||||||||||||||||||||||||||||||||
| Requisitos Contratuais em Contratos de Prestadores de Serviços | Sim | Não | Sim | – | Sim | Sim | Sim | ||||||||||||||||||||||||||||||||||||||||
| Marketing | |||||||||||||||||||||||||||||||||||||||||||||||
| Consentimento para cookies Adtech | Sim | Não | Não | – | Sim | Sim | Sim | ||||||||||||||||||||||||||||||||||||||||
| Consentimento obtido antes do marketing direto | Sim | Não | Sim | – | Não | Não | Sim | ||||||||||||||||||||||||||||||||||||||||
| Agências de Execução | |||||||||||||||||||||||||||||||||||||||||||||||
| Procurador-Geral | Departamento de Comércio de Utah | Procurador-Geral | – | Procurador-Geral | Procurador-Geral da CPPA | DPA | |||||||||||||||||||||||||||||||||||||||||
| Data de operação | |||||||||||||||||||||||||||||||||||||||||||||||
| 1 de julho de 2023 | 31 de dezembro de 2023 | 1 de julho de 2023 | 1 de outubro de 2019 | 1 de janeiro de 2023 | 1 de janeiro de 2020 / 1 de janeiro de 2023 | 25 de maio de 2018 | |||||||||||||||||||||||||||||||||||||||||
Um padrão parece estar surgindo na forma como as legislaturas estaduais abordam as amplas leis de proteção à privacidade, conforme ilustrado na tabela acima.
O Connecticut SB 6 adota seções substanciais dos estatutos do Colorado e da Virgínia praticamente literalmente, incluindo como definir dados pessoais, como lidar com informações pessoais confidenciais e quando realizar avaliações de impacto de proteção de dados.
Quais são as principais disposições do SB 6 de Connecticut?
A seguir estão algumas das disposições mais significativas do Connecticut SB 6:
1. Mesmos direitos de privacidade que outras leis estaduais
A Lei de Privacidade de Dados de Connecticut estabelece um conjunto de direitos de privacidade individuais semelhantes aos encontrados na Utah UCPA, Colorado CPA, Virginia VCDPA e Califórnia CCPA/CPRA.
Esses direitos incluem visualizar, corrigir, copiar e excluir informações pessoais.
Os consumidores também podem optar por não processar seus dados pessoais para publicidade, vendas de dados e criação de perfil.
O SB 6, como as outras leis estaduais de privacidade, inclui um sistema opt-in para o tipo de processamento de dados envolvendo crianças de 13 a 16 anos.
2. Solicitações de privacidade sem aprovação técnica
Quando se trata da forma como as solicitações de direitos de privacidade são enviadas e tratadas, a nova lei de Connecticut se assemelha mais à CPA do Colorado do que à lei da Virgínia.
Connecticut está se juntando à Califórnia e Colorado ao exigir que as empresas ofereçam aos clientes a opção de optar por não receber publicidade ou vendas direcionadas por meio de algum tipo de mecanismo técnico. Em contraste com a Califórnia e Colorado, porém, Connecticut SB 6 não exige a aprovação dos requisitos do mecanismo técnico pelo regulador estadual.
3. Definição Ampla de Venda de Dados Pessoais
Sob Connecticut SB 6, “venda de dados pessoais” significa trocar dados pessoais por dinheiro ou outra consideração valiosa com terceiros.
Ao adotar a “contraprestação valiosa” juntamente com a contraprestação monetária, o SB 6 fornece uma definição mais abrangente de venda, semelhante às definições do CCPA da Califórnia e do CPA do Colorado.
Existem várias exceções à definição de venda de dados pessoais, incluindo a divulgação de dados pessoais a pedido do consumidor, divulgações dentro de uma empresa e divulgação ou transferência de dados pessoais a terceiros que ocorram no contexto de uma aquisição, falência, ou algum outro tipo de transação.
4. Execução Apenas pelo Procurador-Geral
Connecticut SB 6 segue o padrão de apenas permitir que o Procurador-Geral processe delitos.
O procurador-geral de Connecticut, como o do Colorado, é obrigado a oferecer um aviso de 60 dias e a oportunidade de retificar infrações.
As violações do SB 6 são consideradas práticas comerciais enganosas sob o estatuto de práticas e atos injustos e enganosos do Estado e podem resultar em multas civis de até US$ 5.000, além de danos reais e punitivos, bem como honorários advocatícios e custos.
5. Segurança aprimorada para informações confidenciais
O Connecticut SB 6, como várias outras leis de privacidade, oferece proteções aprimoradas para tipos específicos de informações.
Esses “dados confidenciais” incluem informações sobre raça, etnia, crenças religiosas, condição ou diagnóstico de saúde mental ou física de uma pessoa, vida sexual, orientação sexual, status de cidadania ou status de imigração; dados genéticos e biométricos que podem ser usados para identificação; informações coletadas de crianças; e informações de geolocalização.
O processamento de dados sensíveis requer o consentimento do consumidor e, inevitavelmente, aumenta o potencial de dano ao consumidor, razão pela qual é necessária uma Avaliação de Impacto de Privacidade de Dados (DPIA).
6. Divulgações da Política de Privacidade
Connecticut SB 6 exige que as organizações atualizem suas Políticas de Privacidade para incluir as seguintes divulgações:
- Os tipos de dados pessoais que a empresa trata;
- Por que a empresa processa dados pessoais;
- Uma ou mais formas seguras e confiáveis para os consumidores exercerem seus direitos de privacidade, incluindo a capacidade de recorrer de uma decisão sobre uma solicitação de direitos de privacidade;
- As categorias de dados pessoais trocados com terceiros, se houver;
- Os tipos de terceiros com quem os dados pessoais são trocados, se houver;
- Um endereço de e-mail ativo onde um cliente pode entrar em contato com a empresa;
- Se uma empresa vende ou processa dados pessoais para publicidade direcionada, a Política de Privacidade deve indicar isso, bem como como os clientes podem optar por não participar.
Plano de Conformidade de Privacidade da Convert
À medida que mais leis de privacidade são introduzidas, podemos esperar que o cenário mude ainda mais, com legislação ainda mais inovadora sobre privacidade de dados, bem como mais rodadas de comentários e revisões.
Todos esses fatores podem afetar a conformidade do seu software e a redação da sua Política de Privacidade.
Então, como o Convert acompanha todos esses dados e garante que não deixemos nada passar despercebido?
1. Criação de alertas de palavras-chave relevantes para a privacidade
Começamos configurando os Alertas do Google para os termos apropriados. Nosso sistema nos alertará sempre que uma nova legislação for aprovada, um novo projeto de lei for apresentado ou um caso for decidido que contenha qualquer um dos nossos termos de pesquisa. A captura de tela abaixo ilustra alguns desses alertas.
Os resultados da pesquisa podem não ser todos relevantes, por isso temos que analisar os alertas para garantir que estamos avaliando apenas dados relevantes.
Todo bom pesquisador sabe que você não deve confiar em uma fonte para todas as suas informações. É por isso que o Convert é membro de vários fóruns de privacidade. Também verificamos os materiais fornecidos pela Associação Internacional de Profissionais de Privacidade, semanalmente.
O IAPP, por exemplo, publica um gráfico de comparação de leis de privacidade (veja abaixo) que contém informações úteis sobre todas as leis de privacidade que foram introduzidas.
2. Verificando os sites das autoridades de proteção de dados (DPAs)
Embora seja crucial acompanhar novos projetos de lei, leis e estatutos, é igualmente importante seguir as autoridades de proteção de dados e suas interpretações. Entidades como essas podem fornecer informações cruciais sobre o que será aplicado e como.
Em um artigo recente, descrevemos como a Autoridade Austríaca de Proteção de Dados tornou ilegal o uso do Google Analytics.
3. Lendo artigos de privacidade
Lemos artigos de opinião e histórias sobre privacidade e tecnologia, bem como perspectivas do setor sobre privacidade e informações sobre o que o público em geral pensa sobre as atuais proteções de privacidade.
Saber como o setor e o público em geral se sentem em relação à privacidade e à tecnologia nos ajuda a avaliar os padrões de aplicação e ação legislativa, bem como para onde nosso setor está indo no futuro.
4. Políticas de Atualização e Informações Relevantes
É importante observar que o Convert cuida de todos os itens acima não apenas para Políticas de Privacidade, mas também para Termos e Condições, Contratos de Licença de Usuário Final, Isenções de Responsabilidade, Contratos e os scripts de rastreamento A/B reais.
Depois de reunir todas as informações, determinamos se fazemos ou não revisões nas políticas e as atualizamos.
5. Informando os visitantes do site
À medida que mais consumidores verificam se um site tem uma Política de Privacidade e quais práticas de privacidade são declaradas em tais políticas, o próximo passo é notificar os visitantes do nosso site e os usuários do Convert sobre as alterações que estamos fazendo. Todas as novas leis exigem que as Políticas de Privacidade indiquem sua data de vigência ou data de revisão mais recente. Se sua Política de Privacidade incluir essa divulgação, os usuários do site poderão determinar facilmente se a política foi alterada simplesmente observando sua data.
Plano da Convert para Connecticut SB 6
Se você já possui uma conta Convert, não há nada com que se preocupar! Acompanharemos esta nova lei, bem como quaisquer revisões ou regulamentos, para você. Se a lei se aplicar a você, suas políticas serão revisadas para incluir as divulgações acima antes que a lei entre em vigor.
Monitoramos de perto a legislação estadual de privacidade e segurança cibernética na Convert. Para obter mais informações sobre “como se preparar para o SB 6” e outras novas leis de privacidade dos EUA, visite nosso roteiro GDPR .
