Um dos mais recentes avanços na proteção de dados nos Estados Unidos vem de Utah, que promulgou a Lei de Privacidade do Consumidor de Utah (UCPA). A UCPA foi projetada para criar um equilíbrio entre a proteção de dados e os interesses comerciais. Com a UCPA pronta para entrar em vigor em 31 de dezembro de 2023, é hora de mergulhar nos detalhes dessa abrangente lei de privacidade para garantir que você não só esteja cumprindo a lei, mas também protegendo os direitos de privacidade dos indivíduos da melhor forma possível.
Neste artigo, vamos esclarecer os recursos exclusivos da UCPA, sua relevância no mundo digital de hoje e como as empresas podem atender às suas demandas.
A UCPA, promulgada em 24 de março de 2022, é como um guardião digital, pronto para proteger os dados pessoais dos residentes de Utah. Suas asas estarão totalmente abertas em 31 de dezembro de 2023, e entender seu núcleo é essencial para navegar no cenário em evolução da privacidade de dados.
Essa lei visa a proteger os dados gerados por interações e transações on-line. Com a UCPA em vigor, as empresas que lidam com dados pessoais são obrigadas a cumprir altos padrões de responsabilidade e transparência. O objetivo é garantir que as informações dos consumidores não sejam usadas de forma indevida, maltratadas ou exploradas.
De acordo com a UCPA, os consumidores têm o direito de
O negócio é o seguinte: as empresas ainda podem coletar e processar dados pessoais por padrão sem buscar explicitamente o consentimento do consumidor (se tiverem uma política de privacidade adequada). Mas, devido aos requisitos da UCPA, é como dar aos consumidores um controle remoto de privacidade, dando-lhes a autoridade para definir os limites do que é compartilhado e do que não é.
Vamos parar um pouco para fazer algumas comparações. Talvez você esteja familiarizado com leis de privacidade como a California Consumer Privacy Act (CCPA), a Colorado Privacy Act (CPA) e a Virginia Consumer Data Protection Act (VCDPA). Essas são as pioneiras, definindo o cenário para a proteção da privacidade. A UCPA segue seu próprio caminho, inspirando-se nesses pioneiros, mas está sendo considerada mais favorável às empresas do que suas contrapartes em outros estados. Falaremos sobre algumas das principais diferenças entre a UCPA e outras leis de proteção de dados dos EUA um pouco mais adiante neste artigo.
A UCPA entra nesse campo com intenções bem definidas: Seu principal objetivo é fortalecer os direitos de privacidade dos residentes de Utah. De acordo com a UCPA, os consumidores têm o direito de saber como suas informações estão sendo usadas e compartilhadas pelas empresas. Eles podem solicitar a exclusão de seus dados ou optar por não permitir que eles sejam vendidos ou usados para publicidade direcionada.
Sabemos o que você está pensando: Vivemos em uma era em que os dados são a força vital do crescimento dos negócios. Como isso afetará minha empresa? Felizmente, a inovação nos negócios e a privacidade do cliente não precisam estar em desacordo. A UCPA reconhece a necessidade de equilíbrio. De fato, ela foi projetada para ser pragmática e favorável aos negócios. A UCPA reconhece que a inovação orientada por dados é essencial para o sucesso dos negócios.
Se você é uma organização que realiza negócios em Utah ou faz marketing para os residentes do estado com uma receita anual de US$ 25 milhões ou mais, a UCPA se aplica a você. Além disso, se você processa dados pessoais para mais de 100.000 consumidores ou gera mais da metade de sua receita com a venda de dados pessoais enquanto processa informações para pelo menos 25.000 consumidores, parabéns, você também está sujeito às disposições da UCPA!
No entanto, há exceções. Elas incluem instituições educacionais, organizações sem fins lucrativos, órgãos governamentais, tribos indígenas e algumas outras. Se sua empresa já adere a outras leis de privacidade, como HIPAA ou a Lei Gramm-Leach-Blileya conformidade com a UCPA talvez não seja exigida de você.
Embora os critérios da UCPA possam parecer um pouco complexos, vê-los como peças individuais de um quebra-cabeça pode ajudar a esclarecer o quadro geral. Atender a esses critérios não se trata de um único fator; trata-se de como vários fatores se interconectam. Sua receita, as interações com os dados do consumidor e as práticas de processamento de dados determinam coletivamente se sua empresa se enquadra na UCPA.
Bem-vindo aos bastidores da conformidade com a UCPA! Para entender melhor as disposições da UCPA, vamos falar sobre algumas definições importantes.
Compreender essas funções é essencial, pois as responsabilidades e as medidas de conformidade da UCPA diferem de acordo com o fato de você ser um controlador ou um processador.
A UCPA faz distinção entre dados pessoais e confidenciais. Veja como:
Notavelmente, a UCPA não exige consentimento explícito para o processamento de dados confidenciais. O que ela faz é exigir uma notificação clara aos consumidores e a opção de não participar antes de coletar ou processar esses dados.
Informações publicamente disponíveis, desidentificadas ou anonimizadas não são consideradas informações pessoais.
No contexto da UCPA, uma venda refere-se à troca de dados pessoais por uma compensação monetária de um controlador para um terceiro. Esse elemento monetário direto define o cenário para o que constitui uma venda sob as lentes da UCPA.
Entretanto, nem todo compartilhamento de dados é considerado uma venda de acordo com a UCPA. Sem dinheiro = sem venda. Se não houver transação monetária envolvida, a UCPA não a classifica como uma venda. Essa distinção reconhece a diversidade das transações de dados.
Veja a seguir um detalhamento simplificado das etapas para orientar sua empresa a cumprir os requisitos da UCPA:
A aplicação da UCPA está estritamente dentro da autoridade do procurador-geral, o que significa que a UCPA não permite que pessoas físicas tomem medidas legais contra os infratores.
Quando surgem violações, ocorre o seguinte:
As violações da UCPA podem ter consequências graves. E caras também: As violações podem resultar em multas de até US$ 7.500 por ocorrência, dependendo da gravidade da violação da privacidade dos dados. As empresas também podem ser responsáveis pela recuperação de quaisquer danos sofridos pelos consumidores devido ao problema de não conformidade.
Violações contínuas ou repetidas podem até mesmo levar a batalhas legais, o que, por sua vez, coloca outro enorme ônus financeiro (e, às vezes, até operacional) sobre a empresa. Sem mencionar o impacto que a não conformidade pode ter sobre a reputação e a confiança do cliente.
Os EUA não têm uma lei federal de proteção de dados, e cada estado deve criar a sua própria lei (embora apenas 12 o tenham feito até o momento). Isso faz com que muitas empresas e organizações que fazem negócios em todos os estados tenham que se submeter ao processo excruciante de descobrir as diferenças entre as regulamentações individuais.
Aqui estão algumas das diferenças entre a UCPA e outras leis de privacidade importantes nos EUA:
Modelo de consentimento de exclusão. Ao contrário da Lei de Privacidade do Consumidor da Califórnia (CCPA), a Lei de Privacidade do Colorado (CPA)e da Connecticut Data Privacy Act (CTDPA), que exigem consentimento explícito para a coleta de dados, a UCPA usa um modelo de consentimento opt-out. Isso significa que, por padrão, os dados pessoais podem ser coletados, processados e até mesmo usados para publicidade direcionada sem o consentimento explícito dos consumidores, e que os consumidores têm o direito de recusar se preferirem que seus dados não sejam usados para esses fins.
Um escopo mais restrito. A UCPA usa um limite de receita como uma das maneiras de determinar quais empresas precisam estar em conformidade com suas normas. Além disso, a UCPA permite algumas isenções. Outros estados lançaram uma rede mais ampla, com alguns, como a Lei de Privacidade de Dados de Connecticut (CTDPA)não consideram a receita de forma alguma. Isso pode resultar na aplicação de outras leis de privacidade estaduais a uma gama maior de empresas, talvez criando ambientes mais seguros para seus cidadãos.
Definição de venda de dados. A UCPA define uma venda como a troca de dados pessoais por consideração monetária a um terceiro. Ao contrário da CCPA, ela não considera transações não monetárias como vendas.
Tratamento de dados confidenciais: A UCPA não exige consentimento explícito para o processamento de dados confidenciais, exigindo notificações claras e opções de exclusão, o que a diferencia de muitas outras leis de privacidade.
Em geral, a UCPA é a mais favorável às empresas, permitindo que elas adotem uma abordagem mais passiva em relação ao consumidor.
Navegar pelas complexidades de regulamentações como a Utah Consumer Privacy Act exige soluções robustas de proteção de dados, e a Safetica está aqui para ajudar sua organização a atingir esse objetivo. E de uma maneira fácil de usar!
Nossas soluções de prevenção contra perda de dados (DLP) oferecem um kit de ferramentas que facilitará a conformidade com a UCPA:
Para explorar toda a gama de recursos e benefícios, dê o próximo passo com a Safetica hoje mesmo.