Safetica > Resources > Lei de Proteção de Dados de Connecticut: Âmbito, Objetivo e Conformidade

Lei de Proteção de Dados de Connecticut: Âmbito, Objetivo e Conformidade

jul 27, 2023

Nos Estados Unidos, não há uma única lei federal abrangente de proteção de dados, como o GDPR da UE. Em vez disso, alguns estados têm suas próprias regulamentações de privacidade com disposições exclusivas. Uma parte significativa da legislação é a Lei de Privacidade de Dados de Connecticut (CTDPA), que entrou em vigor em 1º de julho de 2023.

Semelhante à Lei de Privacidade do Consumidor da Califórnia , à Lei de Privacidade de Dados do Consumidor da Virgínia (VCDPA) e à Lei de Privacidade do Colorado (CPA) , a CTDPA se concentra na proteção dos dados pessoais dos consumidores, dando a eles mais controle sobre como são coletados, usados e compartilhados.

Neste artigo, examinaremos mais de perto a Lei de Privacidade de Dados de Connecticut, explorando seu objetivo, escopo e o que sua empresa deve fazer para estar em conformidade.

O que é a CTDPA?

A CTDPA é uma lei que concede aos consumidores controle sobre suas informações pessoais que estão sendo coletadas e processadas por empresas e organizações. Para permitir isso, ela estabelece responsabilidades e padrões de proteção de privacidade para empresas e organizações em Connecticut (mais sobre o escopo abaixo).

These are the rights that are being granted to consumers under CTDPA:

  1. Access: Consumers have the right to confirm whether a business is processing their personal data and to access the specific personal data being processed.
  2. Correction: Consumers can request corrections to inaccuracies in their collected personal data so that their information remains up-to-date.
  3. Deletion: Consumers have the right to request the deletion of personal data provided by or about them.
  4. Data portability: Consumers can obtain a portable copy of their personal data, allowing them to transfer it to another service provider in a simple manner.
  5. Opt-out: Consumers have the right to choose not to let companies use their personal information for targeted ads, selling it to others, or profiling.

A CTDPA define "dados pessoais" como qualquer informação vinculada ou razoavelmente vinculável a um indivíduo identificável, como

  • endereço
  • números de carteira de motorista ou de identidade
  • informações de passaporte
  • números de contas
  • informações de cartões de pagamento
  • credenciais de login

Há também um subconjunto de dados pessoais, chamado de "dados confidenciais", que pode parecer a mesma coisa, mas não é. Dados confidenciais são informações pessoais adicionais que recebem proteção aprimorada de acordo com a CTDPA e seu processamento requer consentimento explícito do indivíduo. Eles incluem informações como

  • origem racial ou étnica
  • crenças religiosas
  • condição e diagnóstico de saúde
  • dados genéticos ou biométricos
  • orientação sexual
  • dados precisos de geolocalização
  • quaisquer dados pessoais de crianças menores de 13 anos

64b7a1e6eca4c08237149544

Qual é o objetivo da CTDPA?

A CTDPA tem como objetivo equilibrar a proteção da privacidade do consumidor e permitir que as empresas tratem os dados pessoais de forma responsável. Ela dá aos indivíduos mais controle sobre suas informações, respeitando suas preferências de privacidade e capacitando-os a fazer escolhas informadas.

A lei também responsabiliza as organizações ao delinear obrigações de processamento de dados, práticas de segurança e procedimentos de consentimento transparentes, incentivando práticas de dados justas e éticas na comunidade empresarial.

Um aspecto crucial da CTDPA é sua abordagem para lidar com violações de dados. Ela exige que as empresas informem rapidamente os indivíduos afetados e as autoridades relevantes caso ocorra uma violação.

Por fim, ao implementar essa lei abrangente de proteção de dados, Connecticut se alinha às tendências nacionais e globais na regulamentação da privacidade de dados, demonstrando sua dedicação em abordar as preocupações com a proteção de dados.

Escopo da CTDPA: A quem ela se aplica?

Antes de mais nada, vamos distinguir os dois tipos de entidades sobre os quais a CTDPA fala: controladores e processadores de dados. Um "controlador" é uma organização ou empresa que determina as finalidades e os meios de processamento de dados pessoais. Por outro lado, um "processador" processa dados pessoais conforme instruído pelo controlador, mas não tem autoridade para tomar decisões sobre os dados pessoais.

The CTDPA applies to businesses operating within Connecticut or offering products and services to Connecticut residents, provided they either:

1. controlled or processed personal data of 100,000 or more consumers in the previous year (data processed solely for completing a payment transaction is exempt),

or

2. controlled or processed personal data of 25,000 or more consumers during the preceding year and derived over 25% of their gross revenue from selling personal data.

Assim como a Lei de Privacidade do Colorado , a CTDPA não inclui um limite de receita, o que pode abranger uma gama mais ampla de empresas em seu escopo. Portanto, mesmo que você possua ou gerencie uma empresa menor, mas ainda assim lide com muitos dados pessoais, a CTDPA pode se aplicar a você.

Implicações e responsabilidades da CTDPA para as empresas

Agora que já falamos sobre o que a CTDPA faz pelos consumidores, é hora de entender as implicações práticas para as empresas. Como as empresas devem garantir que os dados pessoais dos consumidores sejam protegidos de forma a estar em conformidade com a nova lei de privacidade de dados de Connecticut?

Controllers' obligations

  • Transparency: Controllers must be transparent about their data processing practices, informing consumers about the purpose and extent of data collection, as well as information about how the consumer can exercise their rights.
  • Data minimization: Controllers can only collect and process the minimum amount of personal data necessary for the specified purposes.
  • Avoiding secondary use: Personal data should not be processed for reasons unrelated to the original purpose without explicit consent.
  • Security: Controllers have to implement security measures to safeguard personal data from unauthorized access or breaches. Not only enforcing internal policies but also having a good data loss protection solution in place is a smart way to comply with this responsibility.
  • Consent: Obtaining valid consent from consumers before processing their personal data is crucial. More about consent is below.

Processors' obligations

  • Compliance with controller instructions: Processors must strictly adhere to the instructions provided by the controllers regarding data processing activities.
  • Assisting with consumer rights requests: Processors should assist controllers in responding to consumer rights requests, such as access, correction, deletion, or data portability.

Contratos de processamento de dados

Os controladores e processadores devem assinar contratos de processamento de dados claros e abrangentes que descrevam as responsabilidades de cada parte.

Avaliações de proteção de dados

A CTDPA exige que as empresas realizem uma avaliação de proteção de dados (DPA) para atividades que envolvam dados pessoais que possam causar danos aos consumidores. O objetivo da DPA é analisar cuidadosamente os riscos e benefícios dessas atividades de processamento de dados para os consumidores, a empresa que realiza o processamento e o público em geral.

Se solicitado pelo Procurador Geral de Connecticut, as empresas devem fornecer essa avaliação para investigação. Ela se aplica às atividades de processamento de dados que ocorrerem após 1º de julho de 2023 e não se aplica retroativamente.

Opting out and consumer consent

  • Controllers must provide consumers with a clear and easily accessible option to opt out of targeted advertising, sale of personal data, or profiling.
  • Starting in January 2025, the CTDPA will mandate businesses to respect a universal opt-out preference signal that is unambiguous, consumer-friendly, and easy to use.
  • Consumers have the right to revoke their consent for data processing at any time, and controllers must promptly respect and implement the revocation.

Conformidade com a CTDPA

É fundamental que as empresas estejam cientes dessas novas obrigações para que possam implementar processos que garantam a conformidade com a CTDPA. Elas não apenas manterão a confiança do consumidor, mas também evitarão ser penalizadas.

A aplicação da CTDPA está sob a autoridade exclusiva do Procurador Geral de Connecticut, que pode tomar medidas contra violações.

Há um período de "Notificação e Cura" em vigor até 31 de dezembro de 2024, o que significa que o Procurador Geral notificará as empresas sobre violações da CTDPA e dará a elas a oportunidade de corrigir qualquer problema de não conformidade em 60 dias. A partir de 2025, a chance de uma empresa corrigir ou não as violações antes de ser penalizada ficará a critério do Procurador-Geral.

As penalidades por não conformidade podem incluir multas de até US$ 5.000 por violação.

Software DLP da Safetica: Uma solução para a conformidade com a CTDPA

Quando se trata de cumprir com a CTDPA, o software de proteção contra perda de dados (DLP) da Safetica oferece uma solução valiosa para as empresas. Com seus recursos fáceis de usar, a Safetica pode ajudar as organizações a navegar pelas complexidades da CTDPA e garantir que os dados dos consumidores sejam tratados com responsabilidade.

Um dos aspectos essenciais da conformidade com a CTDPA é a realização de avaliações de proteção de dados. O software DLP da Safetica simplifica esse processo, permitindo que as empresas identifiquem e avaliem os riscos potenciais associados às atividades de processamento de dados.

Safetica's DLP products provide an award-winning interface and robust security features. For example:

  1. Data classification: Easily identify and classify personal data within your organization, ensuring proper handling and protection.
  2. Data monitoring and auditing: Monitor data usage in real-time, track sensitive data transfers, and generate detailed audit logs for compliance reporting and analysis.
  3. Access controls: Implement access controls to ensure that only authorized personnel can access sensitive data, reducing the risk of data breaches.
  4. Incident response: Safetica's software enables you to respond quickly to potential data breaches, allowing you to investigate incidents, contain the impact, and mitigate risks.

Em parceria com a Safetica, você pode enfrentar proativamente os desafios da privacidade e da conformidade de dados. Nós o ajudaremos a navegar pelas complexidades da proteção de dados, mantendo a produtividade e a eficiência.

Saiba como estar em conformidade com a CTDPA

Similar posts