Utah: outro estado para aprovar uma lei de privacidade de dados, a UCPA
Publicados: 2022-05-31
Em março de 2022, o governador de Utah, Spencer J. Cox, sancionou o Projeto de Lei do Senado (SB) 227, também conhecido como Lei de Privacidade do Consumidor de Utah (UCPA) .
A UCPA é uma lei de privacidade intersetorial que dá aos consumidores de Utah direitos significativos de privacidade sobre suas informações pessoais. Quaisquer dados ligados a um indivíduo identificado ou identificável são conhecidos como dados pessoais . Requisitos de conformidade adicionais se aplicam a categorias de “dados confidenciais” definidas com mais precisão. A lei entrará em vigor em 31 de dezembro de 2023.
A UCPA é semelhante, mas não idêntica, aos estatutos de privacidade do consumidor da Califórnia, Virgínia, Nevada e Colorado. É fortemente inspirado na Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA), e alguns elementos semelhantes a VCDPA também podem ser encontrados na Lei de Privacidade do Colorado.
À primeira vista, certos recursos da UCPA parecem semelhantes à Lei de Privacidade do Consumidor da Califórnia (CCPA). Na prática, no entanto, é uma abordagem mais suave e favorável aos negócios para a privacidade do consumidor do que seus antecessores .
Como a UCPA é diferente das leis de privacidade de outros estados
Aqui está uma comparação de alto nível das disposições da UCPA com as de
- A Lei de Privacidade do Colorado (CPA)
- A Lei de Privacidade do Estado de Nevada (SB200)
- VCDPA
- CCPA (conforme alterado pela Lei de Direitos de Privacidade da Califórnia (CPRA))
- O Regulamento Geral de Proteção de Dados (GDPR)
| Disposições Chave | Utah UCPA | Colorado CPA | Nevada SB220 | CDPA da Virgínia | Califórnia CCPA + CPRA | Europa GDPR | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Capacidade de Processar | |||||||||||||||||||||||||||||||||||||||||
| Minimização de dados | Sim | Sim | – | Sim | Não | Sim | |||||||||||||||||||||||||||||||||||
| Finalidade permitida | Sim | Sim | – | Sim | Não | Sim | |||||||||||||||||||||||||||||||||||
| Direitos individuais | |||||||||||||||||||||||||||||||||||||||||
| Direito de receber aviso de atividades de processamento | Sim | Sim | Sim | Sim | Sim | Sim | |||||||||||||||||||||||||||||||||||
| Direito de acesso aos dados pessoais | Sim | Sim | – | Sim | Sim | Sim | |||||||||||||||||||||||||||||||||||
| Direito à portabilidade dos dados. Os dados devem estar disponíveis em um formato facilmente utilizável para transferência de uma entidade/plataforma para outra. | Sim | Sim | . | Sim | Sim | Sim | |||||||||||||||||||||||||||||||||||
| Direito de corrigir erros nos dados pessoais | Não | Sim | – | Sim | Não | Sim | |||||||||||||||||||||||||||||||||||
| Direito de excluir dados pessoais | Sim | Sim | – | Sim | Sim | Sim | |||||||||||||||||||||||||||||||||||
| Direito de optar por não receber publicidade comportamental | Sim | Não | – | Sim | Não | Sim | |||||||||||||||||||||||||||||||||||
| Direito de se opor a perfis automatizados e tomada de decisão | Sim | Não | – | Sim | Não | Sim | |||||||||||||||||||||||||||||||||||
| Direito à não discriminação para o exercício desses direitos | Sim | Sim | – | Sim | Sim | Sim | |||||||||||||||||||||||||||||||||||
| Direito de recusar a venda de informações pessoais | Sim | Sim | Sim | Sim | Sim | Não | |||||||||||||||||||||||||||||||||||
| Ativar ou desativar o processamento de informações confidenciais | Excluir | Aceitar | – | Aceitar | Excluir | Aceitar | |||||||||||||||||||||||||||||||||||
| Direito de apelar negação de pedidos | Não | Não | – | Sim | Não | Não | |||||||||||||||||||||||||||||||||||
| Responsabilidade/Governança | |||||||||||||||||||||||||||||||||||||||||
| Avaliações de proteção de dados | Não | Sim | – | Sim | Não | Sim | |||||||||||||||||||||||||||||||||||
| Segurança | |||||||||||||||||||||||||||||||||||||||||
| Segurança de dados adequada para proteger as informações | Não | Sim | – | Sim | Sim | Sim | |||||||||||||||||||||||||||||||||||
| Notificação de violação | Sim | Sim | – | Sim | Sim | Sim | |||||||||||||||||||||||||||||||||||
| Transferências de dados fora do Espaço Econômico Europeu (EEE) | |||||||||||||||||||||||||||||||||||||||||
| Medidas adicionais para transferências internacionais | Sim | Sim | – | Não | Não | Sim | |||||||||||||||||||||||||||||||||||
| Transferências para Terceiros | |||||||||||||||||||||||||||||||||||||||||
| Requisitos Contratuais em Contratos de Prestadores de Serviços | Não | Sim | – | Sim | Sim | Sim | |||||||||||||||||||||||||||||||||||
| Marketing | |||||||||||||||||||||||||||||||||||||||||
| Consentimento para cookies Adtech | Não | Não | – | Sim | Sim | Sim | |||||||||||||||||||||||||||||||||||
| Consentimento obtido antes do marketing direto | Não | Sim | – | Não | Não | Sim | |||||||||||||||||||||||||||||||||||
| Agências de Execução | |||||||||||||||||||||||||||||||||||||||||
| Departamento de Comércio de Utah | Procurador-Geral | – | Procurador-Geral | Procurador-Geral da CPPA | DPA | ||||||||||||||||||||||||||||||||||||
| Data de operação | |||||||||||||||||||||||||||||||||||||||||
| 31 de dezembro de 2023 | 1 de julho de 2023 | 1 de outubro de 2019 | 1 de janeiro de 2023 | 1 de janeiro de 2020 / 1 de janeiro de 2023 | 25 de maio de 2018 | ||||||||||||||||||||||||||||||||||||
Como fica evidente na tabela acima, as empresas que cumprem o CCPA, CPRA, VCDPA e CPA provavelmente não terão problemas em atender aos critérios da UCPA.
A UCPA usa a nomenclatura “controlador” e “processador” do GDPR e não oferece aos consumidores um direito privado de ação por supostas violações. Como todas as outras regulamentações governamentais, ela coloca os consumidores no controle de suas informações pessoais .
No entanto, também faz certas distinções vitais.
Por exemplo, a UCPA não dá aos consumidores o direito de corrigir erros em seus dados pessoais , nem exige que os controladores realizem avaliações de impacto na proteção de dados (DPIAs) de operações de processamento específicas.
A UCPA obriga as empresas cobertas a fornecer aos consumidores avisos e a oportunidade de optar por não participar antes de processar seus dados confidenciais.
Isso contrasta com o VCDPA e o CPA, que exigem permissão de aceitação para coletar e processar dados confidenciais. Além disso, em vez de ir diretamente ao Procurador-Geral (AG), as reclamações dos consumidores são encaminhadas ao Departamento de Comércio de Utah, que pode enviar preocupações ao AG.
Principais Disposições da UCPA
Aqui estão algumas das principais disposições da UCPA.
Definição ampla de dados pessoais e dados confidenciais
De acordo com a UCPA, dados pessoais são quaisquer informações que se relacionem ou possam ser razoavelmente vinculadas a um indivíduo identificado ou identificável. Ele classifica tipos específicos de dados como “dados confidenciais”, que estão sujeitos a padrões e limitações adicionais não aplicáveis a outros tipos de dados pessoais.
Menos direitos do titular dos dados
Os consumidores têm quatro direitos básicos sob a UCPA:
- Direito de acesso: O direito de saber se um controlador está ou não processando os dados pessoais do consumidor e ter acesso a esses dados.
- Direito à exclusão: O direito do consumidor de ter os dados pessoais fornecidos ao controlador excluídos.
- Direito à portabilidade: O direito de obter uma cópia dos dados pessoais do consumidor previamente fornecidos ao controlador em um formato portátil e de fácil acesso, permitindo que o consumidor transmita os dados para outro controlador sem restrições.
- Direito de exclusão: O direito de recusar o processamento de dados pessoais para “publicidade direcionada” e “venda”.
Apesar de todos esses direitos importantes, a UCPA, ao contrário de outras leis estaduais, não oferece aos consumidores a capacidade de corrigir informações pessoais imprecisas.
Avisos de privacidade acessíveis e claros
A UCPA também exige que os controladores forneçam aos consumidores um aviso que deve conter pelo menos as seguintes informações:
- Os tipos de dados pessoais que o controlador processa
- As finalidades para as quais as diferentes categorias de dados são tratadas
- Como os clientes podem exercer seus direitos
- Os tipos de dados pessoais que o controlador, se houver, compartilha com terceiros
- Terceiros com quem o controlador troca dados pessoais , se aplicável
Contratos de processamento de dados mais leves (DPAs)
O UCPA inclui Contratos de processamento de dados mais leves e exige que um controlador se associe a um processador. Este processador gerencia e processa dados pessoais para o controlador.
Os termos que o controlador e o processador celebram devem especificar:
- Natureza e finalidade do contrato
- Duração do processamento
- O tipo de titular dos dados
- Direitos e obrigações de cada parte
Os processadores também devem obrigar quaisquer subcontratados a manter a confidencialidade e comissioná-los apenas por meio de um contrato documentado . Este contrato considera o subcontratante um subcontratante se tratar dos dados em nome de um subcontratante.
Ao contrário de outras leis de privacidade, a UCPA não exige termos de processamento de dados para auditar os processadores ou permitir que os controladores optem por não subcontratar um processador.
Requisitos de segurança conhecidos
A UCPA tem uma seção sobre segurança. Especifica que os controladores empregam práticas administrativas, técnicas e de segurança de dados físicos apropriadas para proteger dados pessoais e eliminar riscos previsíveis de danos aos consumidores com base no tamanho, escopo, volume e natureza do processamento.
Lista de Verificação de Conformidade UCPA da Convert
As organizações que operam em Utah devem considerar a UCPA da mesma maneira que outras leis estaduais. No entanto, pode ser um desafio verificar todas as caixas quando se trata de conformidade.
Para ajudar as organizações a navegar pelos meandros da UCPA, compilamos esta útil lista de verificação de conformidade.
Aqui está o que você precisa ter em mente:
- Certifique-se de que sua empresa esteja coberta pela UCPA . As organizações devem avaliar se atendem ao limite jurisdicional da UCPA, incluindo o limite financeiro e de volume de dados.
- Reconsidere sua política de privacidade. Revise sua política de privacidade para refletir o processamento de dados pessoais, comunicando direitos adicionais do consumidor e identificando meios para que os consumidores exerçam esses direitos.
- Use práticas de segurança de dados razoáveis para proteger seus dados. Examine suas políticas, práticas e controles de segurança cibernética para garantir que eles atendam aos padrões do setor.
- Permitir que os visitantes desativem o processamento de seus dados pessoais (se aplicável). Fornecer uma maneira para os residentes de Utah exercerem seu direito de optar por não participar se uma empresa vender ou usar suas informações pessoais para publicidade direcionada.
- Implemente um mecanismo de coleta de dados confidenciais. As empresas não devem coletar dados confidenciais sem avisar os consumidores e a oportunidade de optar por não participar. Para cumprir esta obrigação, as empresas devem implementar sistemas de opt-out adequados.
- Receber e responder prontamente às perguntas dos consumidores. Desenvolva procedimentos para aceitar, rastrear, reconhecer e atender às solicitações do consumidor para exercer seus direitos de acesso e exclusão da UCPA.
Converter respeita todas as leis de privacidade (UE + EUA)
A conformidade com as leis de Utah deve ser tratada da mesma forma que outras leis estaduais, com pequenas alterações de idioma para maior clareza que se aplicam apenas a residentes de Utah. A UCPA pode exigir uma segmentação geográfica diferente das mensagens de exclusão, que devem ser explicitamente declaradas.
A Convert fica de olho na legislação estadual de privacidade e segurança cibernética. Para obter mais informações sobre “como se preparar para a UCPA” e outras novas leis de privacidade dos EUA, consulte nosso roteiro do GDPR .
