Safetica > Resources > Regulamentação global de proteção de dados e principais tendências (atualizado para 2024/25)

Regulamentação global de proteção de dados e principais tendências (atualizado para 2024/25)

nov 15, 2024

As leis de proteção de dados estão a mudar rapidamente. Com novas regulamentações a surgir em todo o mundo, as empresas precisam de se manter a par dos requisitos de conformidade para proteger os seus dados, evitar sanções e construir confiança junto dos clientes.

Só em 2023 e 2024 vimos novas leis e atualizações significativas que impactam o tratamento de dados e os padrões de privacidade. Algumas destas regulamentações só entram em vigor em 2025, dando às organizações tempo para se prepararem — mas, quanto mais cedo começar, melhor.


Índice

  1. Regulamentação de proteção de dados dos EUA
    1.1 California Privacy Rights Act (CPRA)
    1.2 Virginia Consumer Data Protection Act (VCDPA)
    1.3 Texas Data Privacy and Security Act (TDPSA)
  2. Outras regulamentações de proteção de dados dos EUA em 2023/2024
  3. Novas regulamentações globais de proteção de dados em 2023/2024
    3.1 EU Artificial Intelligence Act (AI Act)
    3.2 Digital Operational Resilience Act (DORA) da UE
    3.3 European Data Act
    3.4 Suíça: Federal Act on Data Protection (FADP)
    3.5 Israel: alterações significativas na Privacy Protection Law (PPL)
    3.6 Arábia Saudita: Personal Data Protection Law
  4. Boas práticas para se manter em conformidade com as regulamentações de proteção de dados em evolução
  5. Como a Safetica pode reforçar os seus esforços de conformidade regulamentar

safetica-article-law-02

Este artigo é o seu guia rápido para a regulamentação global mais recente em proteção de dados, destacando informação essencial sobre novas regras e atualizações importantes em todo o mundo. Iremos atualizar regularmente este recurso, para que possa consultá-lo sempre que precisar de garantir que a sua organização está preparada para o que aí vem na segurança de dados.

 


Nota sobre as datas:
Para as leis de proteção de dados, verá frequentemente uma data de promulgação e uma data de entrada em vigor. A data de promulgação é quando a regulamentação é oficialmente aprovada e promulgada, enquanto a data de entrada em vigor é quando os requisitos da lei se aplicam oficialmente, ou seja, quando as empresas devem estar em conformidade.

Em alguns casos existe ainda uma data de aplicação efetiva, em que as autoridades começam a aplicar ativamente a lei e podem começar a sancionar o incumprimento. Geralmente, a data de entrada em vigor e a de aplicação efetiva coincidem, mas, ocasionalmente, há um período de carência após a entrada em vigor para dar mais tempo às empresas para se ajustarem.

  • Data de promulgação: quando uma regulamentação ou lei é oficialmente aprovada e promulgada pelo órgão competente.
  • Data de entrada em vigor: quando as disposições da lei devem aplicar-se, exigindo conformidade.
  • Data de aplicação efetiva: quando as autoridades iniciam ações de aplicação, por vezes permitindo um período adicional de preparação.

safetica-article-law-number-01Regulamentação de proteção de dados dos EUA

1.1 California Privacy Rights Act (CPRA)

  • Data de promulgação: 3 de novembro de 2020
  • Data de entrada em vigor: 1 de janeiro de 2023
  • Data de aplicação efetiva: 1 de julho de 2023
  • Aplica-se a: empresas a operar na Califórnia com receitas brutas anuais superiores a 25 milhões de dólares, que comprem, vendam ou partilhem informação pessoal de 100 000 ou mais residentes ou agregados familiares da Califórnia anualmente, ou que obtenham 50 % ou mais da receita anual com a venda ou partilha de informação pessoal de residentes na Califórnia.
  • Foco principal: reforço dos direitos dos consumidores sobre os dados, minimização de dados e restrições à utilização de dados sensíveis

A California Privacy Rights Act (CPRA) baseia-se na anterior regulamentação CCPA do estado, conferindo mais poder aos consumidores sobre os seus dados. Exige que as empresas implementem práticas mais sólidas de proteção de dados e atribui novos direitos aos indivíduos, como corrigir informação inexata e restringir a utilização de dados sensíveis.

Ao abrigo da CPRA, as empresas precisam de:

  • Atualizar as políticas de privacidade para refletir os direitos reforçados dos consumidores.
  • Implementar princípios de minimização de dados, limitando a recolha e a retenção ao necessário.
  • Proteger "dados sensíveis", como números da segurança social e geolocalização, com proteção adicional e opções para os consumidores limitarem a sua utilização.


1.2 Virginia Consumer Data Protection Act (VCDPA)

  • Data de promulgação: 2 de março de 2021
  • Data de entrada em vigor: 1 de janeiro de 2023
  • Aplica-se a: empresas que façam negócio na Virginia ou visem residentes da Virginia, que processem dados de pelo menos 100 000 residentes anualmente, ou que processem dados de 25 000 residentes e obtenham mais de 50 % das suas receitas com a venda de dados.
  • Foco principal: direitos dos consumidores sobre os dados, avaliações de proteção de dados e opções de opt-out para publicidade direcionada
  • Para mais detalhes, consulte o nosso artigo completo: Virginia Consumer Data Protection Act (VCDPA): âmbito, finalidade e como cumprir

A VCDPA atribui aos virginianos vários novos direitos, semelhantes aos da CPRA. Exige que as empresas ofereçam aos indivíduos direitos para aceder, corrigir, eliminar e optar por não permitir a recolha de dados, sobretudo para fins como publicidade direcionada.

Os principais requisitos ao abrigo da VCDPA incluem:

  • Realizar avaliações de proteção de dados para atividades como publicidade direcionada ou processamento de dados sensíveis.
  • Configurar sistemas que permitam aos utilizadores exercer os seus direitos, como optar por não permitir a recolha de dados para fins de marketing.
  • Atualizar as políticas de privacidade de dados para garantir que cobrem estes novos direitos dos consumidores.

 

1.3 Texas Data Privacy and Security Act (TDPSA)

  • Data de promulgação: 18 de junho de 2023
  • Data de entrada em vigor: 1 de julho de 2024 (algumas disposições a 1 de janeiro de 2025)
  • Aplica-se a: empresas que façam negócio no Texas ou que ofereçam produtos ou serviços consumidos por residentes do Texas, excluindo entidades classificadas como "pequenas empresas" pela U.S. Small Business Administration.
  • Foco principal: transparência dos dados, direitos dos consumidores e medidas de segurança para dados sensíveis

A Texas Data Privacy and Security Act (TDPSA) é outra regulamentação crítica que afeta as empresas em todos os EUA. Foca-se na transparência e exige que as empresas divulguem aos consumidores as suas práticas de recolha e processamento de dados. A TDPSA impõe também obrigações específicas em torno da proteção de dados sensíveis.

Os destaques da TDPSA incluem:

  • Requisito de políticas de privacidade claras e acessíveis que expliquem que dados são recolhidos, porquê e como são utilizados.
  • Medidas de segurança obrigatórias, sobretudo para dados pessoais sensíveis.
  • Ênfase em dar aos consumidores controlo sobre os seus dados, incluindo direitos de acesso, correção e eliminação de informação pessoal.


safetica-article-law-number-02Outras regulamentações de proteção de dados dos EUA em 2023/2024

As seguintes regulamentações ao nível estadual entraram em vigor nos EUA em 2023 e 2024, acrescentando novos padrões de privacidade de dados e direitos dos consumidores. Eis uma visão rápida de cada uma, listadas por ordem alfabética para fácil referência, incluindo datas importantes a ter em conta.


Connecticut Data Privacy Act (CTDPA)

 

Colorado Privacy Act (CPA)

 

Delaware Personal Data Privacy Act (DPDPA)

  • Promulgação: 11 de setembro de 2023
  • Data de entrada em vigor: 1 de janeiro de 2025

 

Indiana Consumer Data Protection Act (INCDPA)

  • Promulgação: 1 de maio de 2023
  • Data de entrada em vigor: 1 de janeiro de 2026


Iowa Consumer Data Protection Act (ICDPA)

  • Promulgação: 29 de março de 2023
  • Data de entrada em vigor: 1 de janeiro de 2025


Kentucky Consumer Data Protection Act (KCDPA)

  • Promulgação: 28 de junho de 2023
  • Data de entrada em vigor: 1 de janeiro de 2025


Maryland Online Data Privacy Act (MODPA)

  • Promulgação: 19 de maio de 2023
  • Data de entrada em vigor: 1 de janeiro de 2025


Minnesota Consumer Data Privacy Act (MCDPA)

  • Promulgação: 15 de julho de 2023
  • Data de entrada em vigor: 1 de julho de 2025


Montana Consumer Data Privacy Act (MTCDPA)

  • Promulgação: 19 de maio de 2023
  • Data de entrada em vigor: 1 de outubro de 2024


New Hampshire Privacy Act (NHPA)

  • Promulgação: 30 de junho de 2023
  • Data de entrada em vigor: 1 de janeiro de 2025


New Jersey Data Privacy Act (NJDPA)

  • Promulgação: 8 de agosto de 2023
  • Data de entrada em vigor: 1 de fevereiro de 2025


Oregon Consumer Privacy Act (OCPA)

  • Promulgação: 27 de julho de 2023
  • Data de entrada em vigor: 1 de julho de 2024


Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA)

  • Promulgação: 15 de setembro de 2023
  • Data de entrada em vigor: 1 de janeiro de 2025


Tennessee Information Protection Act (TIPA)

  • Promulgação: 11 de maio de 2023
  • Data de entrada em vigor: 1 de julho de 2024


Utah Consumer Privacy Act (UCPA)


safetica-article-law-number-03Novas regulamentações globais de proteção de dados em 2023/2024

3.1 EU Artificial Intelligence Act (AI Act)

  • Data de promulgação: 12 de julho de 2024
  • Data de entrada em vigor: 1 de agosto de 2024
  • Algumas disposições, como proibições de sistemas de IA específicos, aplicam-se a partir de 2 de fevereiro de 2025.
  • Regras adicionais, incluindo as referentes a sistemas de IA de alto risco, tornam-se aplicáveis a 2 de agosto de 2025.
  • As restantes disposições deverão aplicar-se a partir de 2 de agosto de 2026.
  • Aplica-se a: entidades que desenvolvam, implementem ou utilizem sistemas de IA na UE e empresas fora da UE que ofereçam sistemas de IA a clientes da UE.
  • Foco principal: garantir a segurança, transparência e alinhamento da IA com os valores da UE, com uma abordagem baseada no risco para classificar e regular os sistemas de IA.
  • Para mais detalhes, consulte o nosso artigo completo: EU AI Act: âmbito, finalidade e como cumprir

O EU AI Act estabelece um quadro regulamentar abrangente para a inteligência artificial na União Europeia, com o objetivo de garantir que os sistemas de IA são seguros, transparentes e respeitam os direitos fundamentais. Introduz uma abordagem baseada no risco, categorizando os sistemas de IA em diferentes níveis de risco e impondo obrigações correspondentes.

Destaques de conformidade:

  • Classificar os sistemas de IA em categorias de risco — inaceitável, alto, limitado e mínimo — com base no seu impacto potencial.
  • Garantir que os utilizadores são informados quando interagem com sistemas de IA, sobretudo aplicações de alto risco.
  • Implementar mecanismos de supervisão humana e de responsabilização em sistemas de IA de alto risco.
  • Realizar auditorias regulares para confirmar a conformidade com as normas da UE.


3.2 Digital Operational Resilience Act (DORA) da UE

  • Data de promulgação: 16 de dezembro de 2022
  • Data de entrada em vigor: 16 de janeiro de 2025
  • Data de aplicação efetiva: 17 de janeiro de 2025
  • Aplica-se a: instituições financeiras na UE, incluindo bancos, seguradoras, sociedades de investimento e fornecedores de serviços ICT
  • Foco principal: reforçar a cibersegurança e a resiliência operacional no setor financeiro, garantindo continuidade e proteção contra ciberameaças.
  • Para mais detalhes, consulte o nosso artigo completo: DORA: âmbito, finalidade e como cumprir

A DORA pretende reforçar a resiliência operacional digital do setor financeiro contra ciberameaças e outras perturbações operacionais. Estabelece um quadro abrangente sobre resiliência operacional digital para as entidades financeiras da UE.

Destaques de conformidade:

  • Implementar uma framework robusta de gestão de risco ICT para responder a potenciais vulnerabilidades.
  • Estabelecer procedimentos para reportar incidentes ICT significativos às autoridades regulamentares.
  • Realizar testes regulares das estratégias de resiliência operacional, incluindo testes de intrusão e outras avaliações de segurança.
  • Garantir uma análise e monitorização rigorosas dos fornecedores de serviços ICT terceiros para minimizar os riscos externos.


3.3 European Data Act

  • Data de promulgação: 11 de janeiro de 2024
  • Data de entrada em vigor: 12 de setembro de 2025
  • Aplica-se a: organizações que tratam dados não pessoais gerados na UE, incluindo fabricantes IoT, fornecedores de serviços de dados e empresas de cloud computing
  • Foco principal: promover a acessibilidade e a partilha de dados, prevenindo o lock-in de fornecedores e permitindo uma economia de dados justa e competitiva na UE.
  • Para mais detalhes, consulte o nosso artigo completo: European Data Act: âmbito, finalidade e como cumprir

O European Data Act pretende disponibilizar mais dados para utilização na economia e na sociedade, mantendo as empresas e os indivíduos que geram esses dados no controlo. Responde à necessidade de aproveitar os vastos repositórios de dados industriais não utilizados, criando oportunidades de inovação e crescimento.

Destaques de conformidade:

  • Implementar mecanismos que permitam aos clientes aceder e partilhar os seus dados não pessoais entre diferentes fornecedores de serviços.
  • Conceber sistemas que facilitem a mudança de clientes entre fornecedores de serviços sem restrições relacionadas com dados.
  • Cumprir normas que assegurem a interoperabilidade entre plataformas e serviços de dados na UE.


3.4 Suíça: Federal Act on Data Protection (FADP)

  • Data de promulgação: 25 de setembro de 2020
  • Data de entrada em vigor: 1 de setembro de 2023
  • Aplica-se a: empresas suíças e quaisquer entidades internacionais que processem dados de residentes na Suíça
  • Foco principal: reforço dos direitos individuais, transparência dos dados e maior responsabilização
  • Para mais detalhes, consulte o nosso artigo completo: FADP da Suíça: âmbito, finalidade e como cumprir

A revisão da Federal Act on Data Protection (FADP) suíça alinha-se com as normas do GDPR da UE, focando-se na transparência e nos direitos dos titulares dos dados. A FADP atribui aos residentes na Suíça maior controlo sobre os seus dados, incluindo o direito de aceder, corrigir e eliminar informação pessoal. Determina também uma comunicação clara sobre como os dados pessoais são utilizados.

Pontos-chave de conformidade para as empresas:

  • Garantir transparência no processamento de dados e fornecer informação aos indivíduos sobre como os seus dados são usados.
  • Implementar medidas de segurança para proteger dados sensíveis, com responsabilização por quaisquer violações de dados.
  • Manter registos das atividades de processamento e realizar avaliações de risco regulares.


3.5 Israel: alterações significativas na Privacy Protection Law (PPL)

  • Data de promulgação: 5 de agosto de 2024
  • Data de entrada em vigor: agosto de 2025
  • Aplica-se a: todas as organizações que processem dados pessoais em Israel, incluindo empresas internacionais que tratem dados de residentes israelitas

A 5 de agosto de 2024, o Knesset israelita promulgou a Emenda n.º 13 à Privacy Protection Law, marcando uma reformulação significativa do quadro nacional de proteção de dados. Esta alteração introduz mudanças abrangentes destinadas a alinhar a regulamentação israelita de privacidade com normas globais, em particular o GDPR da UE.

Principais destaques da emenda:

  • Definições alargadas: a alteração amplia o âmbito de "dados pessoais" para incluir um conjunto mais vasto de informação, incluindo dados biométricos e genéticos.
  • Direitos dos titulares dos dados: os indivíduos passam a ter direitos reforçados, como a capacidade de aceder, retificar e eliminar os seus dados pessoais.
  • Encarregados de proteção de dados (DPOs) obrigatórios: determinadas organizações são agora obrigadas a designar DPOs para supervisionar a conformidade e garantir o cumprimento das obrigações de proteção de dados.
  • Reforço dos poderes de aplicação: a Privacy Protection Authority (PPA) passa a dispor de maiores capacidades de aplicação, incluindo o poder de impor coimas administrativas por incumprimento.


3.6 Arábia Saudita: Personal Data Protection Law

  • Data de promulgação: setembro de 2021
  • Data de entrada em vigor: 14 de setembro de 2023
  • Aplica-se a: todas as entidades que processem dados pessoais na Arábia Saudita, bem como entidades fora do Reino que processem dados pessoais relacionados com pessoas residentes na Arábia Saudita
  • Foco principal: direitos dos titulares dos dados, localização de dados e sanções rigorosas para incumprimento

A Personal Data Protection Law da Arábia Saudita aplica controlos rigorosos ao tratamento de dados, exigindo que os dados pessoais permaneçam dentro do país, salvo autorização expressa para transferências internacionais. A lei atribui aos indivíduos o direito de aceder, corrigir e eliminar dados pessoais e impõe coimas significativas por divulgações não autorizadas ou incumprimento.

Destaques de conformidade:

  • Manter os dados pessoais dentro das fronteiras sauditas, salvo autorização específica para transferências transfronteiriças.
  • Estabelecer procedimentos para o tratamento dos direitos dos titulares dos dados, incluindo acesso, correção e eliminação de dados.
  • Implementar medidas de segurança robustas para proteger dados sensíveis e evitar sanções.


safetica-article-law-number-04Boas práticas para se manter em conformidade com as regulamentações de proteção de dados em evolução

Com as mudanças rápidas nas leis de proteção de dados em todo o mundo, as empresas precisam de uma abordagem proativa para garantir a conformidade. Eis algumas boas práticas para manter as suas políticas de DLP atualizadas:

  • Crie uma task force de conformidade
    Forme uma equipa ou task force dedicada, responsável por monitorizar alterações regulamentares, rever políticas internas e coordenar os esforços de conformidade em toda a empresa. Esta equipa pode manter-se informada sobre atualizações e fazer os ajustes necessários à medida que novas regulamentações são promulgadas.
  • Implemente auditorias regulares
    Realize auditorias rotineiras para avaliar as suas políticas e práticas atuais de DLP. Auditorias regulares ajudam a identificar lacunas na conformidade e oferecem uma visão clara de onde são necessárias atualizações, permitindo ajustes atempados.
  • Atualize políticas e forme os colaboradores
    Garanta que as suas políticas de DLP são regularmente atualizadas para refletir a regulamentação mais recente. Realize sessões de formação para educar os colaboradores sobre segurança de dados e sobre quaisquer novos requisitos de conformidade, e para reforçar as boas práticas de proteção de dados, sobretudo no tratamento de dados sensíveis.
  • Tire partido da tecnologia para a conformidade
    Utilize ferramentas avançadas de DLP e de gestão de conformidade para monitorizar e proteger informação sensível. As ferramentas automatizadas podem ajudar a detetar acessos não autorizados, gerir fluxos de dados e fornecer alertas para potenciais violações, reduzindo o risco de incumprimento.

Para orientações mais detalhadas sobre a criação de uma política de DLP, consulte o nosso artigo Como criar uma política de DLP na sua organização.

 


safetica-article-law-number-05Como a Safetica pode reforçar os seus esforços de conformidade regulamentar

A Safetica disponibiliza uma solução abrangente para a conformidade regulamentar, oferecendo ferramentas que apoiam a privacidade e a segurança de dados em várias regulamentações. Eis como a Safetica pode ajudar a sua organização a cumprir requisitos de conformidade em evolução:

  • Descoberta e classificação de dados: a Safetica permite às empresas identificar e classificar dados sensíveis, garantindo que todos os dados regulados são adequadamente geridos e protegidos.
  • Monitorização e auditoria contínuas: a monitorização em tempo real e os trilhos de auditoria proporcionam às organizações visibilidade total sobre o acesso e a utilização dos dados, fundamental para demonstrar conformidade durante auditorias e avaliações.
  • Análise comportamental e deteção de anomalias: com análise comportamental avançada, a Safetica deteta atividades suspeitas, fornecendo alertas precoces para potenciais violações de segurança.
  • Controlos de segurança como prova: os controlos de segurança robustos da Safetica e as suas práticas de documentação servem como prova sólida de conformidade durante auditorias regulamentares, ajudando as empresas a demonstrar a aderência às normas de proteção de dados.

Similar posts