Utah: Un alt stat care a adoptat o lege privind confidențialitatea datelor, UCPA
Publicat: 2022-05-31
În martie 2022, guvernatorul Utah Spencer J. Cox a semnat în lege Senatul Bill (SB) 227, cunoscut și sub numele de Utah Consumer Privacy Act (UCPA) .
UCPA este o lege de confidențialitate intersectorială care oferă consumatorilor din Utah drepturi semnificative de confidențialitate asupra informațiilor lor personale. Orice date conectate la o persoană identificată sau identificabilă sunt cunoscute ca date personale . Cerințe suplimentare de conformitate se aplică categoriilor de „date sensibile” definite mai precis. Legea va intra în vigoare la 31 decembrie 2023.
UCPA este similară, dar nu identică cu statutele privind confidențialitatea consumatorilor din California, Virginia, Nevada și Colorado. Este puternic inspirat din Virginia Consumer Data Protection Act (VCDPA), iar unele elemente asemănătoare VCDPA pot fi găsite și în Colorado Privacy Act.
La prima vedere, anumite caracteristici ale UCPA par similare cu California Consumer Privacy Act (CCPA). În practică, totuși, este o abordare mai blândă și mai favorabilă pentru afaceri a vieții private a consumatorilor decât predecesorii săi .
Cum este UCPA diferită de alte legi de stat privind confidențialitatea
Iată o comparație la nivel înalt a prevederilor UCPA cu cele ale
- Legea privind confidențialitatea din Colorado (CPA)
- Legea privind confidențialitatea statului Nevada (SB200)
- VCDPA
- CCPA (așa cum a fost modificat prin Legea privind drepturile de confidențialitate din California (CPRA))
- Regulamentul general privind protecția datelor (GDPR)
| Dispoziții cheie | Utah UCPA | Colorado CPA | Nevada SB220 | Virginia CDPA | California CCPA + CPRA | GDPR Europa | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Abilitatea de a Procesa | |||||||||||||||||||||||||||||||||||||||||
| Minimizarea datelor | da | da | – | da | Nu | da | |||||||||||||||||||||||||||||||||||
| Scopul permis | da | da | – | da | Nu | da | |||||||||||||||||||||||||||||||||||
| Drepturi individuale | |||||||||||||||||||||||||||||||||||||||||
| Dreptul de a primi notificare cu privire la activitățile de prelucrare | da | da | da | da | da | da | |||||||||||||||||||||||||||||||||||
| Dreptul de acces la datele personale | da | da | – | da | da | da | |||||||||||||||||||||||||||||||||||
| Dreptul la portabilitatea datelor. Datele ar trebui să fie disponibile într-un format ușor de utilizat pentru transfer de la o entitate/platformă la alta. | da | da | . | da | da | da | |||||||||||||||||||||||||||||||||||
| Dreptul la corectarea erorilor din datele personale | Nu | da | – | da | Nu | da | |||||||||||||||||||||||||||||||||||
| Dreptul la ștergerea datelor cu caracter personal | da | da | – | da | da | da | |||||||||||||||||||||||||||||||||||
| Dreptul de a renunța la publicitatea comportamentală | da | Nu | – | da | Nu | da | |||||||||||||||||||||||||||||||||||
| Dreptul de a vă opune profilării automate și luării deciziilor | da | Nu | – | da | Nu | da | |||||||||||||||||||||||||||||||||||
| Dreptul la nediscriminare pentru exercitarea acestor drepturi | da | da | – | da | da | da | |||||||||||||||||||||||||||||||||||
| Dreptul de a renunța la vânzarea de informații personale | da | da | da | da | da | Nu | |||||||||||||||||||||||||||||||||||
| Înscrieți-vă sau renunțați la procesarea informațiilor sensibile | A renunța | Înscrieți-vă | – | Înscrieți-vă | A renunța | Înscrieți-vă | |||||||||||||||||||||||||||||||||||
| Dreptul de a face apel la respingerea cererilor | Nu | Nu | – | da | Nu | Nu | |||||||||||||||||||||||||||||||||||
| Responsabilitate/Guvernare | |||||||||||||||||||||||||||||||||||||||||
| Evaluări privind protecția datelor | Nu | da | – | da | Nu | da | |||||||||||||||||||||||||||||||||||
| Securitate | |||||||||||||||||||||||||||||||||||||||||
| Securitate adecvată a datelor pentru a proteja informațiile | Nu | da | – | da | da | da | |||||||||||||||||||||||||||||||||||
| Notificare de încălcare | da | da | – | da | da | da | |||||||||||||||||||||||||||||||||||
| Transferuri de date în afara Spațiului Economic European (SEE) | |||||||||||||||||||||||||||||||||||||||||
| Măsuri suplimentare pentru transferurile internaționale | da | da | – | Nu | Nu | da | |||||||||||||||||||||||||||||||||||
| Transferuri către terți | |||||||||||||||||||||||||||||||||||||||||
| Cerințe contractuale în acordurile cu furnizorii de servicii | Nu | da | – | da | da | da | |||||||||||||||||||||||||||||||||||
| Marketing | |||||||||||||||||||||||||||||||||||||||||
| Consimțământ pentru cookie-urile Adtech | Nu | Nu | – | da | da | da | |||||||||||||||||||||||||||||||||||
| Consimțământul obținut înainte de marketingul direct | Nu | da | – | Nu | Nu | da | |||||||||||||||||||||||||||||||||||
| Agenții de executare | |||||||||||||||||||||||||||||||||||||||||
| Departamentul de Comerț din Utah | procuror general | – | procuror general | procuror general, CPPA | DPA | ||||||||||||||||||||||||||||||||||||
| Data operativă | |||||||||||||||||||||||||||||||||||||||||
| 31 decembrie 2023 | 1 iulie 2023 | 1 octombrie 2019 | 1 ianuarie 2023 | 1 ianuarie 2020/ 1 ianuarie 2023 | 25 mai 2018 | ||||||||||||||||||||||||||||||||||||
După cum este evident din tabelul de mai sus, companiile care respectă CCPA, CPRA, VCDPA și CPA probabil nu vor avea probleme în îndeplinirea criteriilor UCPA.
UCPA folosește nomenclatura „controller” și „procesor” a GDPR și nu oferă consumatorilor un drept privat de acțiune pentru presupuse încălcări. La fel ca toate celelalte reglementări guvernamentale, le pune consumatorilor controlul asupra informațiilor lor personale .
Cu toate acestea, face și anumite distincții vitale.
De exemplu, UCPA nu oferă consumatorilor dreptul de a corecta erorile din datele lor cu caracter personal și nici nu impune operatorilor să efectueze evaluări de impact privind protecția datelor (DPIA) ale operațiunilor de prelucrare specifice.
UCPA impune companiilor acoperite să ofere consumatorilor notificări și o oportunitate de a renunța înainte de a procesa datele lor sensibile.
Acest lucru contrastează cu VCDPA și CPA, care necesită permisiunea de înscriere pentru a colecta și procesa date sensibile. În plus, în loc să meargă direct la Procurorul General (AG), plângerile consumatorilor sunt direcționate prin Departamentul de Comerț din Utah, care poate trimite preocupări către AG.
Dispoziții cheie ale UCPA
Iată câteva prevederi cheie ale UCPA.
Definiție largă a datelor cu caracter personal și a datelor sensibile
Potrivit UCPA, datele cu caracter personal sunt orice informație care se referă la, sau poate fi legată în mod rezonabil de o persoană identificată sau identificabilă. Clasifică anumite tipuri de date drept „date sensibile”, care fac obiectul unor standarde și limitări suplimentare care nu se aplică altor tipuri de date cu caracter personal.
Mai puține drepturi ale persoanelor vizate
Consumatorii au patru drepturi de bază conform UCPA:
- Dreptul de acces: dreptul de a ști dacă un operator prelucrează sau nu datele personale ale consumatorului și de a avea acces la acele date.
- Dreptul la ștergere: dreptul consumatorului de a primi datele cu caracter personal date operatorului să fie șterse.
- Dreptul la portabilitate: Dreptul de a obține o copie a datelor cu caracter personal ale consumatorului furnizate anterior operatorului într-un format portabil și ușor accesibil, permițând consumatorilor să transmită datele altui operator fără restricții.
- Dreptul de a renunța: Dreptul de a refuza prelucrarea datelor cu caracter personal pentru „reclamă direcționată” și „vânzare”.
În ciuda tuturor acestor drepturi importante, UCPA, spre deosebire de alte legi de stat, nu oferă consumatorilor posibilitatea de a avea informații personale inexacte corectate.
Notificări de confidențialitate accesibile și clare
UCPA cere, de asemenea, controlorilor să furnizeze consumatorilor o notificare care ar trebui să conțină cel puțin următoarele informații:
- Tipurile de date personale pe care operatorul le prelucrează
- Scopurile pentru care sunt prelucrate diferitele categorii de date
- Cum își pot exercita clienții drepturile
- Tipurile de date cu caracter personal pe care operatorul, dacă există, le împărtășește cu terți
- Terții cu care operatorul face schimb de date cu caracter personal , dacă este cazul
Acorduri mai ușoare de prelucrare a datelor (DPA)
UCPA include acorduri mai ușoare de prelucrare a datelor și impune unui operator să se conecteze cu un procesator. Acest operator gestionează și prelucrează datele cu caracter personal pentru operator.
Termenii pe care operatorul și persoana împuternicită de operator trebuie să precizeze:
- Natura și scopul acordului
- Durata procesării
- Tipul persoanei vizate
- Drepturile și obligațiile fiecărei părți
Procesatorii ar trebui, de asemenea, să oblige orice subcontractanți să păstreze confidențialitatea și să-i comandă numai printr-un contract documentat . Acest contract consideră că subcontractantul este un procesator dacă are grijă de datele în numele unui procesator.
Spre deosebire de alte legi privind confidențialitatea, UCPA nu impune termeni de prelucrare a datelor pentru a audita procesatorii și nu permite controlorilor să renunțe la subcontractarea unui procesor.
Cerințe de securitate familiare
UCPA are o secțiune privind securitatea. Acesta specifică faptul că operatorii folosesc practici administrative, tehnice și fizice adecvate de securitate a datelor pentru a securiza datele cu caracter personal și pentru a elimina riscurile previzibile de vătămare a consumatorilor în funcție de dimensiunea, domeniul de aplicare, volumul și natura prelucrării.
Lista de verificare a conformității UCPA a lui Convert
Organizațiile care operează în Utah ar trebui să ia în considerare UCPA în același mod ca și alte legi de stat. Cu toate acestea, poate fi dificil să bifezi fiecare casetă atunci când vine vorba de conformitate.
Pentru a ajuta organizațiile să navigheze în complexitățile UCPA, am compilat această listă de verificare a conformității la îndemână.
Iată ce trebuie să rețineți:
- Asigurați-vă că afacerea dvs. este acoperită de UCPA . Organizațiile trebuie să evalueze dacă îndeplinesc pragul jurisdicțional al UCPA, inclusiv pragul financiar și al volumului de date.
- Reconsiderați politica dvs. de confidențialitate. Revizuiește-ți politica de confidențialitate pentru a reflecta prelucrarea datelor cu caracter personal, comunicând drepturi suplimentare ale consumatorilor și identificând mijloace pentru ca consumatorii să își exercite aceste drepturi.
- Utilizați practici rezonabile de securitate a datelor pentru a vă proteja datele. Examinați politicile, practicile și controalele dvs. de securitate cibernetică pentru a vă asigura că respectă standardele din industrie.
- Permiteți vizitatorilor să renunțe la prelucrarea datelor lor personale (dacă este cazul). Oferiți o modalitate pentru rezidenții din Utah de a-și exercita dreptul de a renunța dacă o companie își vinde sau folosește informațiile personale pentru publicitate direcționată.
- Implementați un mecanism de colectare a datelor sensibile. Companiile nu trebuie să colecteze date sensibile fără a oferi consumatorilor un avertisment și posibilitatea de a renunța. Pentru a respecta această obligație, companiile ar trebui să implementeze sisteme de renunțare adecvate.
- Primiți și răspundeți prompt la întrebările consumatorilor. Dezvoltați proceduri pentru acceptarea, urmărirea, recunoașterea și îndeplinirea cererilor consumatorilor de a-și exercita drepturile de acces și ștergere UCPA.
Convert respectă toate legile privind confidențialitatea (UE + SUA)
Conformitatea cu legile din Utah ar trebui să fie tratată în același mod ca și alte legi de stat, cu modificări minore de limbă pentru claritate, care se aplică numai rezidenților din Utah. UCPA poate solicita o direcționare geografică diferită a mesajelor de renunțare, care trebuie menționate în mod explicit.
Convert urmărește îndeaproape legislația privind confidențialitatea și securitatea cibernetică a statului. Pentru mai multe informații despre „cum să vă pregătiți pentru UCPA” și alte legi noi privind confidențialitatea din SUA, consultați foaia noastră de parcurs GDPR .
