Acha que a privacidade é apenas para a Europa? Pense de novo.

O GDPR está feito. E, de qualquer forma, afetou apenas as empresas que operam na UE. Certo?

Na verdade, não.

1. A privacidade nunca é “feita”. A conformidade é um requisito sempre presente e as empresas devem monitorar constantemente seus pontos de contato, suas práticas de coleta de dados, sua lógica de processamento de dados e o mesmo conjunto de considerações para seus fornecedores, de forma contínua.
2. O GDPR impactou todas as empresas que processavam os dados de cidadãos da UE – não apenas as localizadas na Europa.
3. O GDPR foi a ponta do iceberg. O mundo está se conscientizando das ameaças de coleta e processamento de dados insensíveis com impunidade. Sim, a Europa acordou primeiro. Mas isso não significa que os EUA e o resto do mundo continuarão dormindo.

Na verdade, os EUA já começaram o caminho para regulamentos revolucionários de privacidade. Com as leis aprovadas na Califórnia, Nevada e Maine e projetos de lei planejados em muitos outros estados, as empresas devem esperar ser impactadas nos próximos meses.

Este artigo detalha as partes cruciais da lei/projeto de lei de regulamentação de privacidade de cada estado - incluindo quem eles cobrem, quando entram em vigor, penalidades, como obter conformidade, por que os estados tomaram as rédeas antes do governo federal para proteger os dados pessoais do consumidor, bem como como a adoção da conformidade com a privacidade pode beneficiar seus negócios.

Regulamento Federal dos EUA?

Em uma carta aos líderes do Congresso em 10 de setembro, os CEOs da Business Roundtable de todos os setores instaram os formuladores de políticas a aprovar, o mais rápido possível, uma lei nacional abrangente de privacidade de dados que fortaleça as proteções para os consumidores americanos e estabeleça uma estrutura para permitir inovação e crescimento contínuos no economia digital.

A carta, assinada por 51 CEOs, foi enviada à liderança da Câmara e do Senado e aos líderes dos comitês de Energia e Comércio da Câmara e Comércio, Ciência e Transportes do Senado.

Do ponto de vista comercial dos EUA, nunca houve um momento melhor para a introdução de uma lei federal de proteção de dados.

O GDPR estipula que qualquer empresa que coleta dados sobre indivíduos residentes na UE deve cumprir a legislação - seja essa empresa sediada na UE ou não. Isso significa que muitas empresas dos EUA já estão em conformidade com o GDPR para operar internacionalmente e têm a estrutura para expandir essa conformidade para o mercado dos EUA.

É diferente para as empresas nacionais dos EUA. A conformidade com a proteção de dados está se tornando um pesadelo, com (potencialmente) até 50 leis estaduais diferentes com especificações e requisitos diferentes. Uma lei federal simplificaria isso, fornecendo uma legislação unificadora em todos os estados.

Leis Estaduais dos EUA

Em resposta, os estados tomaram medidas muito mais cedo.

Com leis aprovadas em três estados, projetos de lei propostos em outros e vários estados aprovando novas leis de notificação de violação de dados, estamos testemunhando o início de uma grande mudança em direção à proteção dos dados do consumidor e à responsabilidade pelas empresas que os controlam e processam.

O IAPP Westin Research Center compilou a lista abaixo de projetos de lei de privacidade abrangentes propostos e promulgados de todo o país para ajudar os esforços de negócios a se manterem a par da mudança do cenário de privacidade do estado.

Embora muitos dos projetos de lei incluídos no mapa não se tornem lei, comparar as principais disposições de cada projeto pode ser útil para entender como a privacidade está se desenvolvendo nos Estados Unidos.

Califórnia

Como uma das primeiras leis de privacidade aprovadas após o GDPR, a CCPA está atuando como modelo para outras leis nos EUA. A partir de 1º de janeiro de 2020, a CCPA se aplica a uma empresa que coleta/processa dados pessoais de residentes da Califórnia ou faz negócios na Califórnia.

Essas empresas estão sujeitas à CCPA se:

• Exceder uma receita bruta de US$ 25 milhões
• Compre, receba, venda ou compartilhe (total combinado) informações pessoais de 50.000 ou mais residências ou dispositivos de consumidores
• Ganhe 50% ou mais da receita anual com a venda de informações pessoais do consumidor

A CCPA concede direitos aos consumidores semelhantes ao GDPR, incluindo a divulgação de informações pessoais e solicitações de dados pessoais. As empresas são obrigadas a responder às solicitações verificáveis ​​do consumidor com informações, como categorias e dados de informações pessoais, terceiros e categorias de terceiros com os quais os dados são compartilhados e muito mais.

Esta seção, conhecida como solicitações de titulares de dados (DSR), concede aos usuários acesso e opções de exclusão para suas informações pessoais. Além disso, a CCPA exige que as empresas exibam um link “Não venda minhas informações pessoais” em sua página inicial.

A CCPA será aplicada pelo Procurador-Geral e inclui multas de até US$ 7.500 para cada violação individual.

Nevada

A lei de privacidade de Nevada foi assinada em 29 de maio de 2019, mas entrou em vigor em 1º de outubro de 2019, três meses antes da mais conhecida CCPA. As leis são muito semelhantes, mas têm uma grande diferença em como “venda” é definida. A lei de Nevada é mais restrita, não abrangendo todos os provedores de serviços e sendo mais branda com as instituições financeiras.

De acordo com o InfoLawGroup, a CCPA e a lei de Nevada são semelhantes, pois ambas exigem que “as empresas criem um processo para verificar a legitimidade de uma solicitação de desativação do consumidor e exigem que as empresas respondam à solicitação dentro de 60 dias”.

Semelhante à Califórnia, a execução de Nevada fica com o Procurador-Geral e inclui multas de até US$ 5.000 por violação.

Maine

A lei de privacidade do Maine foi assinada em 6 de junho de 2019, mas entrará em vigor em 1º de julho de 2020. Essa lei impede que provedores de serviços de Internet (ISPs) vendam, compartilhem ou concedam a terceiros acesso aos dados de seus clientes, a menos que explicitamente fornecido aprovação desses clientes. Com as mudanças,

Os moradores do Maine agora têm uma camada extra de proteção para e-mails, bate-papos online, histórico de navegadores, endereços IP e dados de geolocalização que são comumente coletados e armazenados por empresas do setor de telecomunicações e tecnologia.

Portanto, embora a CCPA dê aos clientes o direito de optar por não participar, essa nova lei proíbe os ISPs de utilizar os dados do cliente, a menos que o cliente aceite. Esse requisito vai além da CCPA ou da lei de Nevada e é relativamente único entre as leis de privacidade dos EUA, que geralmente favorecer o consentimento de exclusão.

Não espere—Prepare-se agora:

De acordo com uma pesquisa da PwC de 2018, 64% das empresas ainda não haviam começado a se preparar para os regulamentos da CCPA.

Você adiou o início de sua jornada de conformidade? Você começou o processo, mas se vê desafiado pelos prazos que se aproximam rapidamente?

A seguir, uma lista de ações conscientes que você pode tomar como empresa para seguir o caminho da conformidade com a maioria das leis existentes e as que serão aplicadas em um futuro próximo.

Etapa 1: atualizar avisos e políticas de privacidade

Com todos os e-mails “Atualizamos nossa Política de Privacidade” (conformidade com GDPR) recebidos em maio de 2018, provavelmente é razoável esperar outra onda, desta vez compatível com CCPA ou Nevada ou Maine, no terceiro trimestre de 2019.

Essas leis exigirão que as empresas cobertas “no ou antes do ponto de coleta” notifiquem os consumidores informando-os sobre as categorias de informações pessoais que a empresa coleta e para qual finalidade as informações são usadas pela empresa.

O aviso também deve definir explicitamente as categorias de informações pessoais que são coletadas, divulgadas ou vendidas, e os consumidores têm um novo direito de optar por não ter suas informações vendidas.

As empresas também precisarão atualizar suas políticas de privacidade para incluir uma descrição dos outros novos direitos do consumidor.

Como muitas empresas tiveram que determinar quando se tornarem compatíveis com o GDPR, antes de fazer as atualizações de política exigidas por lei, as empresas precisarão determinar se manterão um aviso de privacidade para cada residente do estado ou terão uma política universal.

Etapa 2: atualizar inventários de dados, processos de negócios e estratégias de dados

As empresas também terão que manter um inventário de dados, que é essencialmente um banco de dados para rastrear suas atividades de processamento de dados, incluindo processos de negócios, terceiros, produtos, dispositivos e aplicativos que processam dados pessoais do consumidor.

As empresas que tiveram que se tornar compatíveis com o GDPR terão que adicionar algumas colunas aos seus inventários de dados, incluindo uma coluna:

• identificar se o uso de dados inclui a “venda” de informações;
• identificar quais categorias de informações pessoais são transferidas para terceiros;
• identificando se os dados foram coletados há mais de 12 meses e, portanto, potencialmente isentos.
• O banco de dados também terá que ser mantido atualizado e ser capaz de rastrear todas as solicitações de direitos do consumidor, como rastrear uma solicitação de informações verificada.

Etapa 3: Implementar protocolos para garantir os direitos do consumidor

Essas leis garantem uma série de direitos do consumidor que as empresas precisarão tomar medidas para garantir.

• Direito de Notificação – Embora não seja exatamente um direito concedido, no momento ou antes de uma empresa coletar informações pessoais de um consumidor, o consumidor deve ser devidamente notificado sobre quais categorias de informações estão sendo coletadas e os propósitos para os quais as informações estão sendo usadas.

• Direito de Acesso / Direito de Solicitação – Mediante solicitação verificável, a empresa deve tomar providências para divulgar e entregar, gratuitamente ao consumidor, as informações pessoais, que podem ser entregues por correio ou eletronicamente. Se fornecido eletronicamente, deve ser fornecido em um formato portátil e, na medida do tecnicamente viável, em um formato facilmente utilizável que permita ao consumidor transmitir as informações pessoais para outra entidade sem problemas. Uma empresa pode fornecer informações pessoais a um consumidor a qualquer momento, mas não precisa fornecê-las a um consumidor mais de duas vezes em um período de 12 meses.

• Direito de saber – O consumidor tem o direito de solicitar que uma empresa que coleta informações pessoais divulgue o seguinte: (1) as categorias de informações pessoais coletadas; (2) as fontes das quais as informações foram coletadas; (3) o objetivo comercial ou comercial para coletar ou vender as informações; (4) categorias de terceiros com quem a empresa compartilha as informações; (5) as informações pessoais específicas que a empresa coletou sobre o consumidor.

• Direito de exclusão – O consumidor tem o direito de solicitar, mediante solicitação verificável, que uma empresa exclua qualquer informação pessoal sobre o consumidor que a empresa coletou. Após o recebimento de tal solicitação, a empresa deve excluir as informações e instruir quaisquer provedores de serviços a excluir as informações de seus registros também, a menos que a empresa ou provedor de serviços precise das informações para: (1) computar a transação para a qual as informações pessoais foram coletadas , fornecer um bem ou serviço solicitado pelo consumidor, ou razoavelmente antecipado no contexto do relacionamento comercial contínuo de uma empresa com o consumidor, ou de outra forma realizar um contrato entre a empresa e o consumidor; (2) detectar incidentes de segurança; proteger contra atividades maliciosas, enganosas, fraudulentas ou ilegais; ou processar os responsáveis ​​por essa atividade; (3) depurar para identificar e reparar erros existentes na funcionalidade pretendida; (4) exercer a liberdade de expressão, assegurar o direito de outro consumidor de exercer seu direito de liberdade de expressão, ou exercer outro direito previsto em lei; (5) envolver-se em pesquisas científicas, históricas ou estatísticas públicas ou recebidas por pares de interesse público; (6) permitir apenas usos internos que estejam razoavelmente alinhados com as expectativas do consumidor com base na relação do consumidor com o negócio; (7) cumprir uma obrigação legal; (8) de outra forma usar as informações pessoais do consumidor, internamente, de maneira legal e compatível com o contexto em que o consumidor forneceu as informações.

• Direito de recusar – O consumidor tem o direito de recusar a venda de informações pessoais por uma empresa. As empresas devem disponibilizar, de forma razoavelmente acessível aos consumidores, um link claro e visível para a página inicial, intitulado “Não venda minhas informações pessoais”, que permita ao consumidor optar por não vender suas informações pessoais. A empresa deve esperar pelo menos 12 meses antes de solicitar a venda das informações pessoais de qualquer consumidor que tenha optado por não participar.

Etapa 4: fazer atualizações de segurança

Essas leis também exigem que as empresas cobertas protejam os dados pessoais com segurança “razoável”. Na prática, esse padrão levou as empresas a adotar uma abordagem baseada em risco para lidar com ameaças à confidencialidade, integridade e disponibilidade de dados pessoais. Eles avaliam as ameaças aos dados, classificam os riscos das vulnerabilidades detectadas e abordam primeiro as lacunas de alto risco.

Etapa 5: atualizar os contratos de processador de terceiros

Para cumprir as Leis de Privacidade dos EUA, as empresas que têm outras empresas processando seus dados precisarão atualizar seus contratos de terceiros, incluindo a inserção de linguagem de cláusula contratual padrão; exigir inventários de dados do fornecedor; usando questionários de due diligence; fornecimento de registros de processamento; exigindo a sincronização dos processos de resposta do consumidor; exigindo avaliação e auditoria no local; e exigindo o mapeamento dos elementos de dados específicos compartilhados com cada terceiro, incluindo a designação daquelas transferências que se qualificam como “venda”.

Para os terceiros que pagaram por informações, eles precisarão projetar processos adicionais para acomodar solicitações de consumidores para optar por não vender e providenciar a exclusão desses dados.

Etapa 6: Treinamento

Finalmente, essas leis exigem que os funcionários que lidam com consultas de consumidores sejam informados de todos os seus requisitos. Devido às penalidades envolvidas, este treinamento deve ser o mínimo e o treinamento adicional dos funcionários é recomendado.

Acho que é muito para implementar? As empresas se beneficiarão da conformidade:

Houve algumas críticas às leis de privacidade e alegações de que essas leis são ruins para as empresas.

Os programas de conformidade custam dinheiro, mas as empresas não podem esperar ganhar dinheiro com um ativo, como dados, e não gastar dinheiro para garantir que suas ações estejam em conformidade.

No entanto, os principais requisitos das leis de privacidade, conforme mencionado acima, estão principalmente alinhados ao senso comum, portanto, um programa de conformidade nunca deve ser um poço sem fundo.

Além disso, mesmo que a pressão legal não estivesse começando a aumentar, a pressão ética e de conscientização aumentaria.

Os consumidores querem fazer negócios com empresas que protegem Ativamente a privacidade de seus dados.

Sim, há um custo de conformidade, mas isso deve ser visto como parte do custo de fazer negócios com dados e construir e preservar a reputação de uma marca. Como uma organização em conformidade, você poderá comercializar sua adesão, o que, por sua vez, pode ajudar a aumentar as vendas e a fidelidade do cliente.

Quase todas as organizações em todo o mundo estão reconhecendo agora que o investimento em privacidade está se traduzindo em benefícios comerciais. As organizações que investiram para se preparar para o GDPR estão enfrentando menos violações de dados e menos dispendiosas , estão vendo menos atritos nas vendas devido a preocupações com a privacidade dos clientes, menos registros de dados são afetados , o tempo de inatividade do sistema foi menor .

Estas são algumas das descobertas do recém-lançado Cisco 2019 Data Privacy Benchmark Study, que se baseia em dados de uma pesquisa duplo-cega com mais de 3.200 profissionais de segurança e privacidade em 18 países. O estudo é o primeiro de uma série que explora os principais problemas que as organizações enfrentam atualmente em privacidade e segurança cibernética.

De acordo com o estudo da Cisco, 97% das empresas dizem que estão recebendo mais benefícios de seus investimentos em privacidade, além de apenas cumprir as leis de privacidade. Esses benefícios incluem vantagem competitiva , atratividade para investidores , eficiência operacional e maior capacidade de flexibilidade e inovação .

Três quartos de todos os entrevistados disseram que estavam recebendo dois ou mais desses benefícios. Além disso, a maioria das empresas agora diz que uma forte privacidade de dados é um diferencial competitivo em seus mercados.

Esses resultados destacam a necessidade de as empresas passarem por mudanças não apenas para cumprir as leis de privacidade, mas também para maximizar os benefícios comerciais de seus investimentos em privacidade.

Melhorar o gerenciamento de dados, aumentar a confiança do cliente e enfrentar atrasos de vendas mais curtos e violações de dados menos dispendiosas podem ser significativos para sua organização e oferecer a vantagem competitiva que sua empresa precisa para prosperar.

A escrita é grande e em negrito na parede. A privacidade não é apenas para a Europa… é a necessidade do momento para empresas de todo o mundo. A mudança é turbulenta. Mas é um que era inevitável.

Os humanos inventaram fechaduras para proteger seus bens tangíveis. Agora que os dados intangíveis são igualmente preciosos (se não mais), a acumulação imprudente e o processamento dos mesmos serão desaprovados, desaprovados e, em última análise, vistos como uma violação.

As práticas de conformidade de privacidade simplificam as operações. E eles aumentam a reputação reduzindo o risco de violações. Na minha opinião, não se trata do esforço envolvido no compliance, trata-se de acordar cedo para o fato de que o compliance pode muito bem ser SUA próxima grande vantagem competitiva.

A Convert já estabeleceu uma base sólida. E você?