Apresentamos o Colorado Privacy Act (CPA), que entrou em vigor a 1 de julho de 2023, e que tornou o Colorado o terceiro estado dos EUA a ter a sua própria lei abrangente de privacidade de dados quando foi promulgado em julho de 2021. Mas segure-se bem porque o CPA não está apenas a seguir os passos dos seus homólogos da Califórnia e da Virgínia — está pronto para abrir o seu próprio caminho, definindo padrões mais rigorosos de privacidade de dados (e sanções mais elevadas, também).
A quem se aplica o CPA, e o que significa para o seu negócio?
No essencial, o CPA visa proteger os direitos de privacidade dos residentes no Colorado e reforçar as medidas de segurança de dados. Define orientações para a forma como as empresas tratam dados sensíveis e o que podem e não podem fazer com eles. Os consumidores, por seu lado, ganham novos direitos e mais controlo sobre os seus dados.
Para as empresas, isso significa que são obrigadas a obter consentimento antes de se envolverem em várias atividades de tratamento de dados.
Essencialmente, o CPA garante que as empresas respeitam as preferências de privacidade das pessoas e limita o tratamento desnecessário de dados.
Noutro movimento revigorante, o CPA coloca uma forte ênfase na minimização dos dados. Encoraja as empresas a reterem apenas os dados pessoais necessários, adequados e relevantes para os fins de tratamento especificados. Isto significa rever periodicamente as práticas de armazenamento de dados e garantir que informação como identificadores biométricos, fotografias ou gravações de voz é armazenada com um propósito e não apenas pelo gosto de a guardar.
O CPA visa encontrar um equilíbrio entre capacitar os consumidores com controlo sobre os seus dados e ajudar as empresas a navegar no panorama em evolução da privacidade dos dados.
O CPA segue a filosofia do "vai com tudo ou vai para casa" e lança a sua rede ao longe, abrangendo um amplo conjunto de organizações.
Para ser mais específico, isso significa todas as entidades que fazem negócios no Colorado, produzem ou entregam produtos ou serviços comerciais intencionalmente direcionados a residentes no Colorado e cumprem limiares específicos definidos no CPA.
Para determinar a aplicabilidade, o CPA tem em conta tanto limiares de consumidores como receita. Ao contrário do California Consumer Privacy Act (CCPA) , o CPA não tem um limiar monetário para aplicabilidade. Em vez disso, foca-se no volume de tratamento de dados, com duas variantes possíveis. Se um negócio:
E há uma reviravolta interessante — as organizações sem fins lucrativos não estão excluídas do âmbito do CPA (outra diferença entre o CPA e as leis da Califórnia e da Virgínia).
Claro, nenhuma lei estaria completa sem algumas isenções. Por exemplo, instituições financeiras sujeitas ao Gramm-Leach-Bliley Act, certos dados relacionados com cuidados de saúde e dados regidos pelo FERPA (Family Educational Rights and Privacy Act) não precisam de se preocupar com o CPA. As empresas já sujeitas a leis federais de privacidade devem rever cuidadosamente as isenções do CPA para determinar a sua aplicabilidade.
Agora que sabemos o que é e a quem se aplica, vejamos mais de perto as forças motrizes que levaram à criação do novo regulamento de privacidade de dados do Colorado.
A principal motivação para o CPA é salvaguardar os direitos de privacidade das pessoas no panorama digital em constante evolução. Com a crescente dependência da tecnologia, há uma necessidade urgente de garantir que os consumidores têm controlo sobre como a sua informação é tratada.
Outro objetivo crucial do CPA é proteger dados sensíveis de violações de dados e acessos não autorizados por cibercriminosos.
O CPA visa encontrar um equilíbrio entre dar às pessoas controlo sobre a sua informação pessoal e incentivar o tratamento responsável dos dados pelas empresas. O seu objetivo é criar um ambiente transparente e focado na privacidade onde os consumidores se sintam confiantes a partilhar os seus dados.
Cumprir o Colorado Privacy Act (CPA) pode parecer uma tarefa intimidante, mas não tema! Estamos aqui para o ajudar a navegar pelo percurso de conformidade e garantir que o seu negócio está no bom caminho. Vamos a alguns pontos-chave a considerar.
Para impulsionar os seus esforços de conformidade, eis alguns passos práticos a considerar:
As avaliações regulares são um requisito fundamental do CPA. As avaliações devem cobrir todos os aspetos do tratamento de dados: a natureza, finalidade, âmbito e potenciais riscos envolvidos. É importante avaliar todo o ciclo de vida dos dados pessoais, desde a recolha ao armazenamento, utilização, partilha e eventual eliminação.
O CPA enfatiza o envolvimento dos principais interessados de toda a sua estrutura organizacional para garantir uma avaliação holística.
Ao realizar uma avaliação, considere riscos internos e externos, como vulnerabilidades nos seus sistemas, relações com terceiros e ciberameaças. Uma vez identificados os riscos, tem de introduzir medidas para os mitigar eficazmente. Isto pode envolver a implementação de salvaguardas, tais como:
O Colorado Attorney General tem autoridade para solicitar avaliações de proteção de dados às empresas. O CPA não especifica explicitamente a frequência exigida das avaliações, mas tem de estar pronto para apresentar a sua avaliação no prazo de 30 dias após o pedido.
Uma boa prática é reavaliar regularmente, e especialmente quando houver alterações nas atividades de tratamento existentes ou em situações em que o nível de risco de segurança dos dados possa estar aumentado.
Lembre-se de que dados pessoais ao abrigo do CPA são qualquer informação ligada ou razoavelmente associável a uma pessoa identificada ou identificável. Isto inclui não apenas identificadores óbvios como datas de nascimento e contactos, mas também identificadores indiretos como endereços IP, informação de localização, histórico de transações ou mesmo padrões comportamentais.
O CPA encoraja-o a minimizar os dados que recolhe e processa. Recolha apenas o necessário para a finalidade especificada e evite tratar dados para finalidades não relacionadas com a intenção original.
Ao tratar informação dos consumidores, especialmente dados sensíveis como aqueles que revelam origem racial, orientação sexual ou condições de saúde, obter consentimento explícito e informado é obrigatório. Vale a pena notar que aceitar simplesmente termos e condições gerais não chega para obter consentimento.
Especificamente, o consentimento tem de:
Os residentes no Colorado também podem optar por recusar a publicidade direcionada e a venda dos seus dados pessoais.
Cada empresa que colabora com os chamados processadores — entidades terceiras que tratam dados que essa empresa recolhe — exige um acordo de tratamento de dados (DPA) assinado por ambas as partes.
Os DPA estabelecem um enquadramento para o tratamento lícito de dados. Garanta que o seu DPA inclui elementos como a natureza e finalidade do tratamento, o tipo de dados pessoais envolvidos, requisitos de confidencialidade, medidas de segurança, disposições para a devolução ou eliminação de dados, direitos de auditoria, bem como a exigência de que os processadores tenham os seus próprios acordos com subprocessadores.
As entidades que obtiveram o consentimento do consumidor para tratamento de dados antes de 1 de julho podem continuar a tratar dados pessoais dos consumidores, incluindo informação sensível. Mas há um "mas" — este consentimento prévio só permanecerá válido se também tiver respeitado os requisitos de consentimento válido do CPA na altura. Por isso, se tinha o consentimento adequado em vigor antes da implementação do CPA, pode continuar a tratar dados pessoais. Caso contrário, precisa de atualizar os seus procedimentos.
O Colorado Attorney General e os district attorneys têm autoridade para tomar medidas contra entidades em incumprimento. Têm o poder de investigar violações, emitir notificações de violação e aplicar sanções pecuniárias.
Por fim, o CPA também impõe sanções mais rigorosas e elevadas em comparação com o CCPA e com o Virginia Consumer Data Protection Act. As entidades em incumprimento podem enfrentar sanções pecuniárias entre 2 000 e 20 000 USD por violação. E as sanções acumulam-se! Se uma empresa for considerada com múltiplas instâncias de incumprimento de diferentes disposições do CPA, cada violação pode resultar numa sanção separada, e podem somar-se rapidamente.
Toda esta conversa sobre conformidade e potenciais sanções pode deixá-lo a sentir-se um pouco esmagado. Mas a Safetica está aqui para o ajudar a navegar pelo complexo panorama da privacidade e proteção de dados.
Na Safetica, compreendemos a importância de salvaguardar dados sensíveis e de cumprir requisitos regulamentares. Sabemos também que não quer gastar tempo ou recursos desnecessários numa solução de DLP.
Os produtos de DLP da Safetica fornecem uma interface fácil de utilizar e funcionalidades robustas de segurança que apoiam os seus esforços de conformidade e proteção de dados. Por exemplo:
Ao estabelecer parceria com a Safetica, pode abordar proativamente os desafios da privacidade e conformidade dos dados. Ajudaremos a navegar pelas complexidades da proteção de dados, mantendo a produtividade e a eficiência.
Vamos falar sobre a conformidade regulamentar da sua organização