Nevada First State For Privacy Opt-Out Laws: Quão bem o Convert está preparado?

Publicados: 2019-06-13
Nevada First State For Privacy Opt-Out Laws: Quão bem o Convert está preparado?

Em 29 de maio de 2019, o governador de Nevada assinou a lei SB 220.

Esta lei altera a lei de segurança e privacidade existente de Nevada para exigir que um operador de um site ou serviço online para fins comerciais permita que os consumidores desativem a venda de qualquer informação de identificação pessoal coberta que o operador coletou ou coletará sobre o consumidor .

A lei entra em vigor em 1º de outubro de 2019 , vários meses antes da data efetiva da Lei de Privacidade do Consumidor da Califórnia (CCPA) de 1º de janeiro de 2020 e, portanto, deve se tornar a primeira do tipo a ser implementada nos EUA, seguindo o GDPR em a UE.

O SB 220 é uma emenda substancial à lei de privacidade existente em Nevada e apresenta um novo desafio para a indústria em geral. À primeira vista, a lei é mais restrita em escopo do que a CCPA e inclui definições mais restritas de “consumidor” e “venda”, juntamente com exceções para instituições financeiras cobertas pela Lei Gramm-Leach-Bliley (“GLBA”) e entidades abrangidas pela Lei de Portabilidade e Responsabilidade de Seguros de Saúde (“HIPPA”).

No entanto, as empresas que se concentram na conformidade com a CCPA devem agora transferir recursos para se tornarem compatíveis com o SB 220.

O seguinte fornece uma comparação de alto nível da CCPA com a lei de privacidade online revisada de Nevada:

Lei de Privacidade de Nevada
Fonte da imagem: https://www.bclplaw.com

Requisitos SB 220

O SB 220 tem quatro requisitos principais, mas várias definições e exclusões importantes regem a aplicação da lei:

  1. Um “operador” deve estabelecer um “endereço de solicitação designado” por meio do qual um consumidor pode enviar um “pedido verificado” orientando o operador a não fazer nenhuma venda de “informações cobertas” coletadas sobre o consumidor.
  2. O consumidor pode enviar uma solicitação verificada através do endereço de solicitação designado, a qualquer momento, orientando um operador a não fazer nenhuma venda de informações cobertas que o operador coletou sobre o consumidor.
  3. Um operador que receba uma solicitação verificada está proibido de fazer qualquer venda de qualquer informação coberta que o operador tenha coletado ou venha a coletar sobre o consumidor.
  4. Um operador deve responder ao pedido verificado de um consumidor no prazo de 60 dias. O operador pode estender o período de resposta não mais de 30 dias se (a) o operador determinar que tal extensão é razoavelmente necessária; e (b) um operador que prorrogue o prazo de resposta notifique o consumidor de tal prorrogação.

Então, vamos ver o que a Convert está fazendo para cumprir a Lei de Privacidade de Nevada e seus requisitos?

Os consumidores de Nevada terão o direito de recusar a venda de informações pessoais

Como é o caso da CCPA, os consumidores de Nevada poderão desativar a venda de “informações cobertas”, que incluem qualquer um dos seguintes itens coletados por meio de um site ou serviço online:

  • Um nome e sobrenome.
  • Um endereço residencial ou outro endereço físico que inclua o nome de uma rua e o nome de uma cidade ou vila.
  • Um endereço de correio eletrônico (e-mail).
  • Um número de telefone.
  • Um número de segurança social.
  • Um identificador que permite que uma pessoa específica seja contatada fisicamente ou online.
  • Qualquer outra informação relativa a uma pessoa coletada da pessoa através do site da Internet ou serviço online do operador e mantida pelo operador em combinação com um identificador em um formulário que torne a informação pessoalmente identificável.

Muitas organizações têm pouca visibilidade sobre quais informações vendem e onde elas existem.

Na Convert, estamos preparados para isso através do princípio de minimização de dados GDPR. Nós anonimizamos os IDs dos visitantes em nosso rastreamento, agrupando centenas de visitantes do site em grupos de visitantes que contam apenas a presença do visitante.

Visitantes individuais não são armazenados no Convert Experiences. Não é possível reconectar contagens de grupos a visitantes individuais de forma alguma.

O GDPR nos deu a oportunidade de dar uma olhada no que estávamos armazenando no Convert e qual era o caso de uso para mantê-lo em um ambiente cada vez mais centrado na privacidade.

As organizações devem estabelecer um endereço de solicitação designado

A nova lei de Nevada afirma que as organizações dentro do escopo da lei “ deverão estabelecer um endereço de solicitação designado por meio do qual um consumidor possa enviar uma solicitação verificada”.

Na Convert, usamos o endereço [email protected] para receber e verificar solicitações de desativação, e isso está em vigor desde o GDPR. Essas solicitações são canalizadas para uma fila central e nosso Diretor de Proteção de Dados responde a elas em tempo hábil, seguindo os requisitos do GDPR e outras leis de privacidade que estão sendo aplicadas.

As solicitações verificadas devem ser respondidas em até 60 dias

O GDPR concede às organizações 30 dias para responder às solicitações do consumidor, enquanto a CCPA é mais branda em 45 dias.

A lei de Nevada estende esse prazo para mais 60 dias, ao mesmo tempo em que dá às organizações o direito a uma extensão de 30 dias, se razoavelmente necessário. As três leis têm regimes de extensão diferentes e exigem que as operadoras informem os consumidores em diferentes janelas de tempo.

A Convert está preparada para a resposta de 30 dias do GDPR e, até agora, atendemos com sucesso a todas as nossas solicitações, facilitando a resposta às solicitações de Nevada dentro do período obrigatório de 60 dias.

A solicitação deve ser verificada antes de responder

Como é o caso do GDPR e da CCPA, as organizações devem verificar a identidade do consumidor antes de responder a uma solicitação.

O Convert também facilita essa verificação quando um consumidor envia uma solicitação de desativação, enviando um ID por meio de um anexo seguro que somente o consumidor conheceria.

Convert leva a sério todas as leis de privacidade (UE + EUA)

Embora as legislações de privacidade tenham parado ou falhado em outros estados, a aprovação do SB-220 em Nevada serve como um lembrete de que manter a conformidade com as obrigações legais e regulatórias em um mundo digital continuará sendo um desafio no futuro próximo.

Estamos observando vários outros estados onde alguma forma de legislação inspirada na CCPA ainda está sendo considerada (Oregon, Texas, Maine, Utah) e estará preparada para operar em um cenário em que todas sejam funcionais.

A Convert tem um bom controle sobre todas as nossas operações de processamento de dados e os terceiros para os quais os dados são transferidos.

Para obter mais informações sobre como se preparar para a CCPA e outras possíveis novas leis de privacidade dos EUA, consulte nosso roteiro do GDPR.

Lista de fornecedores de privacidade
Lista de fornecedores de privacidade