Lei de Privacidade do Consumidor de Utah: Âmbito e Conformidade

Um dos mais recentes avanços na proteção de dados nos Estados Unidos vem de Utah, que promulgou a Lei de Privacidade do Consumidor de Utah (UCPA). A UCPA foi projetada para criar um equilíbrio entre a proteção de dados e os interesses comerciais. Com a UCPA pronta para entrar em vigor em 31 de dezembro de 2023, é hora de mergulhar nos detalhes dessa abrangente lei de privacidade para garantir que você não só esteja cumprindo a lei, mas também protegendo os direitos de privacidade dos indivíduos da melhor forma possível.

Neste artigo, vamos esclarecer os recursos exclusivos da UCPA, sua relevância no mundo digital de hoje e como as empresas podem atender às suas demandas.

O que é a UCPA?

A UCPA, promulgada em 24 de março de 2022, é como um guardião digital, pronto para proteger os dados pessoais dos residentes de Utah. Suas asas estarão totalmente abertas em 31 de dezembro de 2023, e entender seu núcleo é essencial para navegar no cenário em evolução da privacidade de dados.

Essa lei visa a proteger os dados gerados por interações e transações on-line. Com a UCPA em vigor, as empresas que lidam com dados pessoais são obrigadas a cumprir altos padrões de responsabilidade e transparência. O objetivo é garantir que as informações dos consumidores não sejam usadas de forma indevida, maltratadas ou exploradas.

O negócio é o seguinte: as empresas ainda podem coletar e processar dados pessoais por padrão sem buscar explicitamente o consentimento do consumidor (se tiverem uma política de privacidade adequada). Mas, devido aos requisitos da UCPA, é como dar aos consumidores um controle remoto de privacidade, dando-lhes a autoridade para definir os limites do que é compartilhado e do que não é.

A UCPA em comparação com outras leis de privacidade

Vamos parar um pouco para fazer algumas comparações. Talvez você esteja familiarizado com leis de privacidade como a California Consumer Privacy Act (CCPA), a Colorado Privacy Act (CPA) e a Virginia Consumer Data Protection Act (VCDPA). Essas são as pioneiras, definindo o cenário para a proteção da privacidade. A UCPA segue seu próprio caminho, inspirando-se nesses pioneiros, mas está sendo considerada mais favorável às empresas do que suas contrapartes em outros estados. Falaremos sobre algumas das principais diferenças entre a UCPA e outras leis de proteção de dados dos EUA um pouco mais adiante neste artigo.

Qual é o objetivo da UCPA?

A UCPA entra nesse campo com intenções bem definidas: Seu principal objetivo é fortalecer os direitos de privacidade dos residentes de Utah. De acordo com a UCPA, os consumidores têm o direito de saber como suas informações estão sendo usadas e compartilhadas pelas empresas. Eles podem solicitar a exclusão de seus dados ou optar por não permitir que eles sejam vendidos ou usados para publicidade direcionada.

Sabemos o que você está pensando: Vivemos em uma era em que os dados são a força vital do crescimento dos negócios. Como isso afetará minha empresa? Felizmente, a inovação nos negócios e a privacidade do cliente não precisam estar em desacordo. A UCPA reconhece a necessidade de equilíbrio. De fato, ela foi projetada para ser pragmática e favorável aos negócios. A UCPA reconhece que a inovação orientada por dados é essencial para o sucesso dos negócios.

Escopo da UCPA: A quem ela se aplica?

Se você é uma organização que realiza negócios em Utah ou faz marketing para os residentes do estado com uma receita anual de US$ 25 milhões ou mais, a UCPA se aplica a você. Além disso, se você processa dados pessoais para mais de 100.000 consumidores ou gera mais da metade de sua receita com a venda de dados pessoais enquanto processa informações para pelo menos 25.000 consumidores, parabéns, você também está sujeito às disposições da UCPA!

No entanto, há exceções. Elas incluem instituições educacionais, organizações sem fins lucrativos, órgãos governamentais, tribos indígenas e algumas outras. Se sua empresa já adere a outras leis de privacidade, como HIPAA ou a Lei Gramm-Leach-Blileya conformidade com a UCPA talvez não seja exigida de você.

Embora os critérios da UCPA possam parecer um pouco complexos, vê-los como peças individuais de um quebra-cabeça pode ajudar a esclarecer o quadro geral. Atender a esses critérios não se trata de um único fator; trata-se de como vários fatores se interconectam. Sua receita, as interações com os dados do consumidor e as práticas de processamento de dados determinam coletivamente se sua empresa se enquadra na UCPA.

Principais definições da UCPA

Bem-vindo aos bastidores da conformidade com a UCPA! Para entender melhor as disposições da UCPA, vamos falar sobre algumas definições importantes.

Controlador vs. processador

• Controlador: Um controlador toma as decisões em termos de processamento de dados pessoais. Ele decide por que e como os dados são processados.
• Processador: Os processadores tratam os dados em nome dos controladores. Sua função é a execução e não a tomada de decisões. Eles seguem as instruções dos controladores sobre o processamento de dados.

Compreender essas funções é essencial, pois as responsabilidades e as medidas de conformidade da UCPA diferem de acordo com o fato de você ser um controlador ou um processador.

Dados pessoais versus dados confidenciais

A UCPA faz distinção entre dados pessoais e confidenciais. Veja como:

• Dados pessoais = informações de identificação. De acordo com a UCPA, as informações pessoais podem ser vinculadas ou razoavelmente conectadas a um indivíduo identificável. Isso inclui coisas como nomes e endereços de e-mail, mas também pode se estender a detalhes menos óbvios, como endereços IP.
• Dados confidenciais = informações delicadas. Os dados sensíveis dentro da UCPA envolvem detalhes particularmente delicados, como origem racial ou étnica, crenças religiosas, histórico médico, dados genéticos e biométricos e orientação sexual. Essa categoria reconhece o potencial elevado de danos ou uso indevido desse tipo de informação se ela cair em mãos erradas.

Notavelmente, a UCPA não exige consentimento explícito para o processamento de dados confidenciais. O que ela faz é exigir uma notificação clara aos consumidores e a opção de não participar antes de coletar ou processar esses dados.

Informações publicamente disponíveis, desidentificadas ou anonimizadas não são consideradas informações pessoais.

Sem dinheiro, não há venda

No contexto da UCPA, uma venda refere-se à troca de dados pessoais por uma compensação monetária de um controlador para um terceiro. Esse elemento monetário direto define o cenário para o que constitui uma venda sob as lentes da UCPA.

Entretanto, nem todo compartilhamento de dados é considerado uma venda de acordo com a UCPA. Sem dinheiro = sem venda. Se não houver transação monetária envolvida, a UCPA não a classifica como uma venda. Essa distinção reconhece a diversidade das transações de dados.

Conformidade medidas e implementação da UCPA

Veja a seguir um detalhamento simplificado das etapas para orientar sua empresa a cumprir os requisitos da UCPA:

1. Entenda a aplicabilidade: Determine se sua empresa se enquadra no escopo da UCPA com base na receita, nos dados do consumidor e na conexão com Utah.
2. Mapeamento de dados: Identifique os tipos de dados pessoais e confidenciais que sua empresa processa, incluindo uma categorização precisa.
3. Transparência: Desenvolva uma política de privacidade abrangente que esclareça as práticas de processamento de dados, dados compartilhados, finalidades e envolvimento de terceiros.
4. Mecanismo de exclusão: implemente um mecanismo de exclusão claro e fácil de usar, dando aos consumidores a opção de limitar o uso ou a venda de seus dados.
5. Segurança de dados: Estabeleça práticas sólidas de segurança em sua empresa. Dê uma olhada nanorma internacional ISO 27001. Ela abrange 14 domínios do sistema de segurança de informações de uma empresa e sugere medidas que você pode colocar em prática para protegê-los.
6. Direitos do consumidor: Estabeleça processos para responder prontamente às solicitações dos consumidores, concedendo acesso, exclusão ou portabilidade de dados.
7. Atualizações regulares: Acompanhe as atualizações e os desenvolvimentos da UCPA para manter a conformidade à medida que as normas evoluem.

Aplicação e penalidades de acordo com a UCPA

A aplicação da UCPA está estritamente dentro da autoridade do procurador-geral, o que significa que a UCPA não permite que pessoas físicas tomem medidas legais contra os infratores.

As violações da UCPA podem ter consequências graves. E caras também: As violações podem resultar em multas de até US$ 7.500 por ocorrência, dependendo da gravidade da violação da privacidade dos dados. As empresas também podem ser responsáveis pela recuperação de quaisquer danos sofridos pelos consumidores devido ao problema de não conformidade.

Violações contínuas ou repetidas podem até mesmo levar a batalhas legais, o que, por sua vez, coloca outro enorme ônus financeiro (e, às vezes, até operacional) sobre a empresa. Sem mencionar o impacto que a não conformidade pode ter sobre a reputação e a confiança do cliente.

Comparação com outras leis de privacidade nos EUA

Os EUA não têm uma lei federal de proteção de dados, e cada estado deve criar a sua própria lei (embora apenas 12 o tenham feito até o momento). Isso faz com que muitas empresas e organizações que fazem negócios em todos os estados tenham que se submeter ao processo excruciante de descobrir as diferenças entre as regulamentações individuais.

Aqui estão algumas das diferenças entre a UCPA e outras leis de privacidade importantes nos EUA:

Modelo de consentimento de exclusão. Ao contrário da Lei de Privacidade do Consumidor da Califórnia (CCPA), a Lei de Privacidade do Colorado (CPA)e da Connecticut Data Privacy Act (CTDPA), que exigem consentimento explícito para a coleta de dados, a UCPA usa um modelo de consentimento opt-out. Isso significa que, por padrão, os dados pessoais podem ser coletados, processados e até mesmo usados para publicidade direcionada sem o consentimento explícito dos consumidores, e que os consumidores têm o direito de recusar se preferirem que seus dados não sejam usados para esses fins.

Um escopo mais restrito. A UCPA usa um limite de receita como uma das maneiras de determinar quais empresas precisam estar em conformidade com suas normas. Além disso, a UCPA permite algumas isenções. Outros estados lançaram uma rede mais ampla, com alguns, como a Lei de Privacidade de Dados de Connecticut (CTDPA)não consideram a receita de forma alguma. Isso pode resultar na aplicação de outras leis de privacidade estaduais a uma gama maior de empresas, talvez criando ambientes mais seguros para seus cidadãos.

Definição de venda de dados. A UCPA define uma venda como a troca de dados pessoais por consideração monetária a um terceiro. Ao contrário da CCPA, ela não considera transações não monetárias como vendas.

Tratamento de dados confidenciais: A UCPA não exige consentimento explícito para o processamento de dados confidenciais, exigindo notificações claras e opções de exclusão, o que a diferencia de muitas outras leis de privacidade.

Em geral, a UCPA é a mais favorável às empresas, permitindo que elas adotem uma abordagem mais passiva em relação ao consumidor.

Comoa Safetica pode ser sua parceira na conformidade com a UCPA

Navegar pelas complexidades de regulamentações como a Utah Consumer Privacy Act exige soluções robustas de proteção de dados, e a Safetica está aqui para ajudar sua organização a atingir esse objetivo. E de uma maneira fácil de usar!

Para explorar toda a gama de recursos e benefícios, dê o próximo passo com a Safetica hoje mesmo.