Navegando pelas novas regulamentações de privacidade de dados dos EUA

Jul 21, 2023

Imagem via Unsplash

Numa era marcada por rápidos avanços tecnológicos e por uma dependência cada vez maior de plataformas digitais, a privacidade dos dados surgiu como uma preocupação crítica. Para responder a estas preocupações, vários estados dos EUA implementaram regulamentações rigorosas de proteção de dados. A partir de julho de 2023, Virgínia, Connecticut, Colorado e Utah aplicarão multas pelo não cumprimento dessas regulamentações, responsabilizando as empresas pelo uso indevido de informações confidenciais.

Atualmente, nove estados (Califórnia, Virgínia, Connecticut, Colorado, Utah, Iowa, Indiana, Tennessee e Montana) possuem leis abrangentes de privacidade de dados. Além disso, cerca de 16 estados introduziram projetos de lei sobre privacidade durante o ciclo legislativo de 2022-23, abrangendo várias questões, como identificadores biométricos e dados de saúde. Projetos de lei propostos em outros estados (por exemplo, Illinois, Massachusetts, Minnesota, Nova York, Pensilvânia) oferecem direitos semelhantes, mas podem diferir na implementação e execução.

À medida que novas regulamentações entram em vigor, é crucial que os indivíduos e as empresas compreendam plenamente as suas implicações. Compreender o escopo desses regulamentos e seus requisitos específicos é essencial para a conformidade. Vamos entender o que essas regulamentações implicam, a quem se aplicam e o que as empresas precisam fazer para evitar penalidades e danos à reputação.

As próximas regulamentações de privacidade de dados em VA, CT, CO e UT inspiram-se no GDPR, que é considerado uma referência global para proteção de privacidade de dados e compartilha semelhanças com a Lei de Privacidade do Consumidor da Califórnia (CCPA), uma das leis de privacidade de dados mais abrangentes em os Estados Unidos. Compreender o escopo dessas regulamentações é fundamental para criar uma estratégia eficaz de segurança e conformidade. Aqui está o que os líderes de segurança precisam saber:

Isto inclui informações futuras sobre tomada de decisão automatizada, auditorias de segurança cibernética e avaliações de risco de processamento de dados. Contatos pessoais e B2B serão tratados como consumidores de acordo com a CCPA. Os consumidores podem limitar a recolha e utilização de dados, incluindo dados de geolocalização num raio de 550 metros. As empresas devem divulgar políticas de retenção de dados e evitar a retenção excessiva. O compartilhamento de dados para publicidade comportamental em vários contextos pode ser evitado pelos consumidores. O período de “cura” de 30 dias para ações coercivas foi eliminado. As penalidades pelo uso indevido de informações de crianças triplicaram para US$ 7.500 por incidente, aumentando as repercussões do não cumprimento.

Para evitar o não cumprimento, as empresas precisam tomar medidas proativas para se manterem à frente de ameaças e violações. Aqui estão alguns pontos essenciais com os quais as empresas devem se familiarizar como passo inicial para garantir a conformidade.

Ter um conhecimento detalhado das mudanças nas regulamentações permite uma implementação eficaz para empresas que navegam pela privacidade de dados. Além disso, é crucial estar ciente das oportunidades de reparação em caso de violações não intencionais. Ao abordar prontamente as práticas não conformes dentro de prazos especificados, as empresas podem minimizar possíveis penalidades e manter a conformidade estrita com os regulamentos.

Avalie o impacto potencial dessas regulamentações em suas operações comerciais. Identifique as áreas onde os dados pessoais são coletados, armazenados ou compartilhados e avalie se as práticas atuais estão alinhadas com os novos requisitos. A identificação de lacunas facilitará a implementação das mudanças necessárias.

Para cumprir as regulamentações de privacidade de dados em vários estados, as empresas devem estar cientes das implicações em diferentes jurisdições. Por exemplo, se uma empresa na Flórida atende clientes da Virgínia, ela também deve atender aos requisitos de privacidade de dados da Virgínia. Com regulamentações de privacidade em 22 estados dos EUA, as empresas devem realizar uma análise minuciosa da localização dos seus clientes para rastrear e aderir às leis de privacidade relevantes em cada estado operacional.

Para cumprir os regulamentos de privacidade de dados, as empresas devem atualizar as políticas de privacidade, obter consentimento explícito, garantir uma segurança robusta dos dados e fornecer canais acessíveis para os consumidores exercerem os seus direitos de privacidade. O monitoramento e a automação contínuos são vitais para rastrear e relatar atividades de privacidade de dados. Além disso, as atualizações regulares de aplicações e sistemas são cruciais para a evolução dos requisitos de privacidade, apesar dos custos associados (codificação, atualização de processos de aplicações, etc.). Priorizar um ambiente seguro e consciente da privacidade é essencial para a confiança do usuário.