Leis de privacidade de dados nos EUA

Problemas de privacidade de dados e regulamentações correspondentes são alguns dos maiores desafios que as empresas enfrentam hoje. Embora as empresas afetadas pelo GDPR tenham sentido a onda inicial de multas, requisitos e padrões, a privacidade agora é uma questão internacional.

Os EUA já começaram a se mover em direção a uma regulamentação revolucionária de privacidade. Com as leis aprovadas na Califórnia e em Nevada e projetos de lei planejados em muitos outros estados, as empresas devem esperar o impacto nos próximos meses.

Este artigo analisa as partes cruciais da lei / projeto de lei de regulamentação de privacidade de cada estado - incluindo quem eles cobrem, quando entram em vigor, penalidades, como obter conformidade e por que os estados tomaram medidas antes do governo federal para proteger os dados pessoais do consumidor.

A Lei de Privacidade do Consumidor da Califórnia

Como uma das primeiras leis de privacidade aprovadas após o GDPR, o CCPA está atuando como o modelo para outros projetos de lei nos Estados Unidos. A partir de 1º de janeiro de 2020, o CCPA se aplica a uma empresa que coleta / processa dados pessoais de residentes da Califórnia ou faz negócios na Califórnia. Essas empresas estão sujeitas à CCPA se:

Exceder uma receita bruta de $ 25 milhões

Compre, receba, venda ou compartilhe (total combinado) informações pessoais de 50.000 ou mais famílias de consumidores ou dispositivos

Ganhe 50% ou mais da receita anual com a venda de informações pessoais do consumidor

A CCPA concede direitos aos consumidores semelhantes ao GDPR, incluindo a divulgação de informações pessoais e solicitações de dados pessoais. As empresas são obrigadas a responder às solicitações verificáveis ​​dos consumidores com informações, como categorias e dados de informações pessoais, terceiros e categorias de terceiros com os quais os dados são compartilhados e muito mais.

A seção, conhecida como Data Subject Requests (DSR), concede aos usuários acesso às opções de exclusão de suas informações pessoais. Além disso, a CCPA exige que as empresas exibam um link “Não venda minhas informações pessoais” em sua página inicial. A CCPA será executada pelo Procurador-Geral e inclui multas de até US $ 7.500 para cada violação individual.

Lei de privacidade de Nevada

A lei de privacidade de Nevada foi assinada em 29 de maio de 2019 e efetivada em 1º de outubro de 2019, três meses antes da mais conhecida CCPA. As leis são muito semelhantes, mas têm uma grande diferença na definição de “venda”. A lei de Nevada é mais restrita, não cobrindo todos os provedores de serviços e sendo mais tolerante com as instituições financeiras. De acordo com o InfoLawGroup, a CCPA e a lei de Nevada são semelhantes, pois ambas exigem "que as empresas apresentem um processo para verificar a legitimidade de uma solicitação de exclusão do consumidor e exigem que as empresas respondam à solicitação em 60 dias". Semelhante à Califórnia, a aplicação de Nevada está com o Procurador-Geral e inclui multas de até US $ 5.000 por violação.

Lei de Privacidade de Nova York

Em maio de 2019, o senador do estado de Nova York Kevin Thomas apresentou um dos projetos mais revolucionários em privacidade de dados. Os requisitos eram padrão e incluíam a capacidade dos residentes de acessar, corrigir, excluir e manter seus dados pessoais de terceiros.

No entanto, disposições mais amplas foram adicionadas, como obrigações para com os fiduciários de dados e o direito dos residentes de entrar com uma ação judicial contra as empresas se forem lesados ​​em razão de uma violação. Este direito privado de ação é um dos maiores pontos de separação de outras regulamentações e pode incentivar os consumidores a perseguir empresas que não cumprem. A lei também é mais ampla do que a CCPA, cobrindo qualquer empresa que detenha os “dados confidenciais de residentes de Nova York”, sem exigência de receita para entidades cobertas.

Com leis aprovadas em dois estados, projetos de lei propostos em outros e nove estados aprovando novas leis de notificação de violação de dados, estamos testemunhando o início de uma grande mudança em direção à proteção de dados do consumidor e responsabilidade para as empresas que os controlam e processam.

Para manter a conformidade, as empresas devem estar cientes das leis atuais, das regulamentações futuras em andamento e do potencial para diferentes padrões nos Estados Unidos. A criação de processos para manipulação de dados, portabilidade e mapeamento de dados e controles de aceitação do usuário são algumas das práticas necessárias para empresas que coletam dados pessoais.