Prepare-se para o CDPA: East Coast Meets West Coast, Virginia Assina Lei de Privacidade
Publicados: 2021-04-22
O estado da Virgínia votou recentemente para se tornar o primeiro estado da Costa Leste a promulgar uma lei que rege como as empresas protegem os dados pessoais dos consumidores. A nova lei ocorre quando os gigantes da tecnologia enfrentam resistência de legisladores e consumidores sobre o manuseio de informações pessoais.
O projeto de lei da Lei de Proteção de Dados do Consumidor da Virgínia (CDPA) foi assinado em 2 de março de 2021 e entrará em vigor em 2023.
Semelhante à Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA), à Lei de Direitos de Privacidade da Califórnia de 2020 (CPRA) e até mesmo ao GDPR da Europa, o CDPA é o mais recente desenvolvimento no que foi um ano decisivo para a legislação de privacidade nos Estados Unidos.
Mas as empresas que trabalharam em conformidade com as outras leis não devem descansar sobre os louros. Eles ainda precisam se preparar para o CDPA, que tem disposições diferentes das do CCPA ou do CPRA.
Neste artigo, analisamos essas disposições distintas da Lei da Virgínia e as comparamos com a CCPA (conforme alterada pela CPRA) e o GDPR.
| Disposições Chave | CDPA da Virgínia | Califórnia CCPA + CPRA | Europa GDPR | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Capacidade de Processar | |||||||||||||||||||||||
| Minimização de dados | Sim | Não | Sim | ||||||||||||||||||||
| Finalidade permitida | Sim | Não | Sim | ||||||||||||||||||||
| Direitos individuais | |||||||||||||||||||||||
| Direito de receber aviso de atividades de processamento | Sim | Sim | Sim | ||||||||||||||||||||
| Direito de acesso aos dados pessoais | Sim | Sim | Sim | ||||||||||||||||||||
| Direito à portabilidade dos dados (ou seja, os dados devem ser fornecidos em um formato facilmente utilizável, para que possam ser transferidos de uma entidade/plataforma para outra) | Sim | Sim | Sim | ||||||||||||||||||||
| Direito de corrigir erros nos dados pessoais | Sim | Não | Sim | ||||||||||||||||||||
| Direito de excluir dados pessoais | Sim | Sim | Sim | ||||||||||||||||||||
| Direito de optar por não receber publicidade comportamental | Sim | Não | Sim | ||||||||||||||||||||
| Direito de se opor a perfis automatizados e tomada de decisão | Sim | Não | Sim | ||||||||||||||||||||
| Direito à não discriminação para o exercício desses direitos | Sim | Sim | Sim | ||||||||||||||||||||
| Direito de recusar a venda de informações pessoais | Sim | Sim | Não | ||||||||||||||||||||
| Ativar ou desativar o processamento de informações confidenciais | Aceitar | Excluir | Aceitar | ||||||||||||||||||||
| Direito de apelar negação de pedidos | Sim | Não | Não | ||||||||||||||||||||
| Responsabilidade/Governança | |||||||||||||||||||||||
| Avaliações de proteção de dados | Sim | Não | Sim | ||||||||||||||||||||
| Segurança | |||||||||||||||||||||||
| Segurança de dados apropriada para proteger as informações | Sim | Sim | Sim | ||||||||||||||||||||
| Notificação de violação | Sim | Sim | Sim | ||||||||||||||||||||
| Transferências de dados fora do EEE | |||||||||||||||||||||||
| Medidas adicionais para transferências internacionais | Não | Não | Sim | ||||||||||||||||||||
| Transferências para Terceiros | |||||||||||||||||||||||
| Requisitos Contratuais em Contratos de Prestadores de Serviços | Sim | Sim | Sim | ||||||||||||||||||||
| Marketing | |||||||||||||||||||||||
| Consentimento para cookies Adtech | Sim | Sim | Sim | ||||||||||||||||||||
| Consentimento obtido antes do marketing direto | Não | Não | Sim | ||||||||||||||||||||
| Agências de Execução | |||||||||||||||||||||||
| Procurador-Geral | Procurador-Geral da CPPA | DPA | |||||||||||||||||||||
| Data de operação | |||||||||||||||||||||||
| 1 de janeiro de 2023 | 1 de janeiro de 2020 / 1 de janeiro de 2023 | 25 de maio de 2018 | |||||||||||||||||||||
As empresas que trabalharam para alcançar a conformidade com a CCPA ou GDPR descobrirão que essas leis têm muito palavreado e terminologia semelhantes; no entanto, é um erro supor que a lei da Virgínia tem requisitos idênticos.
Embora existam semelhanças com o CCPA e o GDPR, o CDPA contém nuances que provavelmente serão exclusivas de cada organização.
Se você está ficando sobrecarregado lendo isso, confira as instruções passo a passo que apresentamos abaixo para ajudar a lidar com a conformidade com a nova lei de privacidade.
Primeiro, faça com que os advogados, profissionais de TI e especialistas em privacidade de sua organização avaliem a aplicação da lei ao seu negócio. Em seguida, identifique quaisquer lacunas e desenvolva um plano de conformidade que inclua soluções para esses problemas.
Vamos entrar em mais detalhes, certo?
Para alcançar a conformidade com o CDPA, você precisa:
- Crie e mantenha um inventário de dados abrangente, fornecendo informações sobre os tipos de dados envolvidos e a natureza das atividades de processamento.
- Garanta que os dados confidenciais sejam segregados e gerenciados sem riscos desnecessários.
- Implemente uma estrutura para conduzir Avaliações de Impacto de Proteção de Dados (DPIA).
- Avalie as políticas, práticas e controles de segurança cibernética em vigor para garantir que sejam consistentes com os padrões reconhecidos pelo setor.
- Permitir que os consumidores desativem a venda de suas informações pessoais (quando aplicável).
- Atualize as políticas de privacidade voltadas para o público para, entre outras mudanças, comprometer-se a não reidentificar dados pessoais não identificados e fornecer detalhes sobre suas atividades de processamento de dados.
- Desenvolver mecanismos para aceitar, rastrear, verificar e honrar as solicitações do consumidor para acessar, corrigir, excluir e excluir dados pessoais sob o CDPA.
- Garanta que seus funcionários de atendimento ao cliente tenham conhecimento preciso das regulamentações para atender às solicitações dos consumidores de maneira eficiente e previsível.
Por fim, embora 2023 possa parecer um futuro distante, não adie a construção de seu plano de conformidade.
Se outras leis de privacidade recentes nos ensinaram alguma coisa, é que essas iniciativas exigem grandes esforços e tempo para planejar cuidadosamente, identificar lacunas em seus mecanismos de privacidade e implementar novas políticas, processos e esforços de remediação.
Não é cedo demais para iniciar os esforços de conformidade com o CDPA, já que mais estados, como Nova York e Washington, começam a promulgar leis de proteção à privacidade do consumidor.
À medida que mais legislaturas estaduais se tornam ativas na aprovação de projetos ou leis de proteção à privacidade do consumidor, uma coisa fica clara: garantir a privacidade do cliente não pode mais ser uma reflexão tardia. Ele deve ser incorporado ao seu modelo de negócios.
