Virginia Consumer Data Protection Act (VCDPA): o âmbito, o propósito e como cumprir

A Virginia Consumer Data Protection Act (VCDPA), que entrou em vigor a 1 de janeiro de 2023, concede aos consumidores direitos significativos sobre os seus dados pessoais. Este regulamento representa um marco significativo na legislação de privacidade de dados dos Estados Unidos e, se o seu negócio ou organização cair no seu âmbito, terá de compreender bem a VCDPA para se manter em conformidade.

Este artigo é o seu guia para entender a VCDPA e as suas implicações para as empresas. Vamos analisar os princípios e o âmbito centrais, decompor o jargão e clarificar os requisitos, oferecendo perspetivas práticas para o ajudar a tomar medidas para se tornar e manter em conformidade.

A Virginia Consumer Data Protection Act em poucas palavras

Como os EUA não têm uma lei federal de privacidade, a VCDPA é uma lei estadual que estabelece as regras para a proteção de dados quando se trata de tratar a informação pessoal e sensível dos residentes da Virgínia.

Eis o que as empresas precisam de saber sobre a VCDPA:

O controlo é o rei: os consumidores podem decidir quem tem acesso aos seus dados pessoais e sensíveis e o que pode fazer com eles.
Trata-se sobretudo de transparência: a VCDPA espera que seja claro sobre que dados está a recolher, como os está a utilizar e com quem os está a partilhar. Se quer estar em conformidade, é altura de pôr as cartas na mesa.
Aplicam-se as regras da Virgínia: se faz negócios na Virgínia ou se se dirige a residentes da Virgínia, a VCDPA deve estar no seu radar. Quer seja um herói local ou um player global, se cumprir os requisitos, tem de jogar pelas regras de privacidade de dados da Virgínia. Mais sobre o âmbito da VCDPA abaixo.
Não é necessário consentimento, exceto...: não precisa de pedir o consentimento do consumidor sempre que trata dados pessoais. Mas os dados sensíveis são uma história diferente. Esses exigem um aceno explícito do consumidor. Por isso, vá pelo seguro e obtenha permissão quando lidar com a informação mais delicada.
O grande irmão está a observar! O Procurador-Geral da Virgínia é o executor da VCDPA. Se estiver em violação das regras da VCDPA, terá notícias dele. Felizmente, há geralmente um período de carência de 30 dias para corrigir os deslizes. Mais sobre as sanções da VCDPA abaixo.

Vamos agora olhar para a VCDPA um pouco mais de perto.

lvpf

Compreender o propósito da VCDPA

No seu cerne, a VCDPA visa dar aos consumidores mais controlo sobre o que acontece com os seus dados pessoais, protegendo o seu direito à privacidade. Estabelece regras claras para as empresas sobre como recolhem, utilizam e partilham estes dados preciosos.

A VCDPA pretende capacitar os indivíduos e fomentar a confiança entre as empresas e os seus clientes na era digital, em que os hackers proliferam e a privacidade de dados se tornou primordial para a tranquilidade de todos.

Em poucas palavras, o propósito da VCDPA é criar um panorama digital mais seguro e transparente para todos os envolvidos.

Âmbito: a quem se aplica a VCDPA?

A seguir, vamos descobrir se a sua organização cai sob o chapéu-de-chuva da VCDPA, fazendo com que as suas regras se lhe apliquem.

Tudo o que precisa de fazer é responder a estas duas perguntas:

O seu negócio opera na Virgínia ou dirige-se a quem aí reside com os seus produtos ou serviços?

Trata também de dados pessoais de pelo menos 100 000 consumidores durante um ano civil ou recolhe dados de 25 000 ou mais consumidores e mais de 50 % das suas receitas vêm da venda destes dados pessoais?

Se respondeu SIM a ambas, parabéns, está abrangido!

Mas espere, nem toda a gente entra neste rodeio da privacidade de dados. As instituições financeiras abrangidas pelo Gramm-Leach-Bliley Act, as organizações de saúde que cumprem a HIPAA, organizações sem fins lucrativos e instituições de ensino superior estão todas isentas.

Definições da VCDPA: descodificar o jargão dos dados

Vamos analisar alguns dos termos chave que vai encontrar na VCDPA. Estes podem não ser definidos da mesma forma noutras leis de privacidade estaduais, por isso é importante prestar muita atenção.

Dados pessoais: este é o protagonista óbvio do espetáculo da VCDPA. É basicamente qualquer informação ligada a uma pessoa viva. Pense em nomes, e-mails, moradas — os suspeitos do costume. Dados desidentificados e informação publicamente disponível não são considerados dados pessoais.
Dados sensíveis: se os dados pessoais são o protagonista do espetáculo, os dados sensíveis são como a zona VIP. Incluem dados sobre crianças com menos de 13 anos, informação de saúde e biométrica, dados de geolocalização e detalhes pessoais como raça, religião ou orientação sexual. Tratar destes dados exige cuidado adicional ao abrigo da VCDPA.
Venda: segundo a VCDPA, uma “venda” é quando troca dados pessoais por contrapartida monetária com um terceiro.
Tratamento: este é um termo amplo que abrange qualquer ação realizada com dados pessoais dos consumidores — recolher, utilizar, armazenar, partilhar e até eliminar.
Limiares: lembre-se: não se trata apenas de ter dados; trata-se de quantos tem. A VCDPA estabelece limiares específicos para determinar se o regulamento se aplica a uma organização ou não. Por isso, saber com quantos dados está a lidar é crucial para entender se está abrangido pelo âmbito da VCDPA ou não.

Direitos do consumidor ao abrigo da VCDPA

Eis os direitos que estão a ser concedidos aos consumidores ao abrigo da VCDPA:

Confirmação e acesso: os seus utilizadores têm o direito de saber se o Senhor tem os seus dados pessoais em ficheiro e quais são esses dados. Pode tratar-se de coisas básicas como o nome e o e-mail, mas também talvez do histórico de compras e outras especificidades. Por isso, se o “Bob” pedir, tem de revelar tudo.

Correção: se o Bob detetar uma gralha ou algo que não bate certo nos seus dados, pode pedir-lhe para corrigir. Por isso, se o nome dele estiver mal escrito como “Bbo”, é melhor corrigir.

Eliminação: o Bob também pode pedir-lhe que elimine os dados que ele lhe forneceu ou que recolheu sobre ele.

Portabilidade: se o Bob decidir mudar para outro serviço, pode pedir-lhe os dados num formato que seja fácil de levar.

Não à segmentação: os seus utilizadores, como o Bob, podem dizer “Não” a anúncios segmentados e à criação de perfis de dados. Imagine que o Bob anda a navegar à procura de botas de caminhada no seu website e, de repente, vê anúncios de caminhadas em todo o lado online. Pois bem, ele pode optar por sair deste rastreamento e impedir que esses anúncios o sigam.

Não à venda: se o seu consumidor não quiser que venda os seus dados, tem o direito de optar por não participar. Lembre-se de lhe dar essa opção.

Dados sensíveis: lembra-se dos dados sensíveis de que falámos antes? Para esse tipo de informação, como registos de saúde ou a localização exata do consumidor, não pode obtê-la ou tratá-la sem o seu consentimento explícito e inequívoco.

Conformidade com a VCDPA: a sua lista de tarefas

A VCDPA estabelece algumas regras básicas para proteger os dados dos seus consumidores e o Senhor vai querer segui-las à risca. Eis uma checklist que o pode ajudar a iniciar o seu percurso para a conformidade:

Avisos de privacidade: para começar, precisa de ter um aviso de privacidade claro que seja facilmente acessível no seu website. Esta é a sua forma de dizer aos seus utilizadores que dados está a recolher, porque os está a recolher e com quem os está a partilhar.

Proteção de dados: estabeleça práticas de segurança robustas dentro da sua empresa para garantir que os dados que recolhe e controla não caiem nas mãos erradas. Pode avaliar o seu sistema de gestão da segurança da informação face a orientações como a norma internacional ISO 27001 para ter uma ideia das áreas em que poderá precisar de trabalhar.

Pedidos dos consumidores: estabeleça um processo para que os consumidores possam submeter pedidos para exercer os seus direitos. Responda a estes pedidos no prazo de 45 dias e dê aos consumidores uma forma de recorrer se não estiverem satisfeitos com a sua resposta.

Contratos com responsáveis pelo tratamento: certifique-se de que tem um contrato com qualquer terceiro que trate os dados que a sua empresa recolhe. O contrato tem de incluir instruções para o tratamento dos dados, a finalidade do tratamento dos dados e os pormenores do tratamento.

Avaliações de segurança de dados: uma avaliação de proteção de dados ao abrigo da VCDPA é uma análise conduzida para avaliar os potenciais benefícios para o negócio e os riscos para os consumidores associados ao tratamento de dados de consumidor. As salvaguardas para reduzir estes riscos devem fazer parte da avaliação. Tem de realizar avaliações se for um responsável pelo tratamento e:

vender dados pessoais,
tratar dados pessoais para fins de publicidade segmentada ou criação de perfis, ou
tratar dados sensíveis.

As avaliações de proteção de dados não se destinam apenas a uso interno. O Procurador-Geral da Virgínia pode pedir que uma empresa ou organização divulgue as avaliações de proteção de dados relevantes como parte de uma investigação.

Para que a sua organização esteja a par dos regulamentos a que está sujeita, é também boa ideia tomar algumas medidas adicionais para proteger os dados de consumidor que recolhe ou trata.

Por exemplo:

Formação: eduque os seus colaboradores sobre segurança de dados em geral e os requisitos da VCDPA em particular. Conhecimento é poder e ajuda toda a gente a estar na mesma página. O erro humano é muito comum, por isso vai querer minimizar quaisquer descuidos.
Auditorias regulares: a proteção contra a perda de dados não é coisa de uma só vez. Vai querer auditar as suas práticas de segurança de dados periodicamente, conduzir análises de lacunas e atualizar processos que se mostrem insuficientes.
Mantenha-se atualizado: esteja atento a atualizações e alterações à VCDPA. O panorama da privacidade de dados pode mudar e o Senhor vai querer estar à frente.

Lembre-se: a conformidade não é apenas uma obrigação legal; é uma forma de construir confiança com os seus utilizadores, por isso a sua atenção à segurança de dados deve ser 100 % afiada.

Aplicação da VCDPA: consequências e coimas

A Virgínia não brinca em serviço quando se trata de privacidade de dados, por isso eis o resumo da aplicação:

O Procurador-Geral da Virgínia é a única entidade responsável por garantir que todos seguem os regulamentos da VCDPA. Se considerarem que o seu negócio não está em conformidade, pode enfrentar coimas até uns pesados 7500 USD por violação. Mas há uma luz ao fundo do túnel — o Procurador-Geral dará primeiro um aviso por escrito a especificar as disposições que estão a ser violadas e o Senhor tem um período de correção de 30 dias para corrigir as coisas.

Como a Safetica o pode ajudar a cumprir a VCDPA

Agora que mergulhou nas profundezas da VCDPA, está bem ciente da importância da proteção de dados e da conformidade. Não se trata apenas de seguir as regras; trata-se de ganhar confiança e proteger o futuro do seu negócio.

O software de Data Loss Prevention (DLP) da Safetica pode ser o seu fiel companheiro nesta busca pela conformidade e segurança de dados. Com a Safetica, pode:

Monitorizar dados: manter um olhar atento sobre como os dados se movem dentro da sua organização, identificando potenciais riscos antes que se tornem violações.
Receber avisos: receber alertas em tempo real que ajudam a detetar potenciais violações de dados e a responder prontamente a incidentes.
Prevenir fugas de dados: proteger eficazmente informação sensível com encriptação de dados e controlos de acesso.
Analisar riscos: as avaliações de impacto na privacidade podem ser conduzidas eficientemente com as capacidades de monitorização e análise de dados da Safetica.
Ameaças internas: as funcionalidades de deteção de ameaças internas ajudam a identificar e a prevenir potenciais riscos internos.

É altura de fortificar as suas defesas e manter os seus dados em segurança. Explore o software DLP da Safetica hoje. Vamos tornar a sua segurança de dados sólida como uma rocha!

Vamos discutir a sua conformidade com a VCDPA