O GDPR é importante nos EUA

Manter a conformidade com o GDPR não é apenas nos melhores interesses de seus clientes, mas no melhor interesse da sua empresa. Histórias de horror de não conformidade e violações de dados podem ser acompanhadas por multas pesadas. Dependendo do tamanho da sua empresa, as multas podem variar entre US $ 11 e US $ 21 milhões ou 2 – 4% do seu faturamento global anual.

GDPR nos EUA? Nova legislação estadual está chegando mais perto da realidade

O regulamento geral de proteção de dados da União Europeia (“GDPR”) é bem conhecido como a lei de privacidade e segurança mais difícil do mundo, pois tem um amplo alcance e impõe pesadas multas contra aqueles que violam seus padrões de privacidade e segurança (que são bastante amplos). O impacto do GDPR já foi sentido nos Estados Unidos desde que entrou em vigor em 2018, e agora você.S. Os legisladores em vários estados estão se movendo para promulgar legislações semelhantes. A Lei de Proteção ao Consumidor da Califórnia (“CCPA”) foi a primeira instância do impacto do GDPR nos Estados Unidos, pois a Califórnia implementou um estatuto e regulamentos que espelhavam o GDPR em vários aspectos. Agora, a Virgínia acionou o que poderia ser uma série de estados de um ano, promulgando legislação semelhante. Em particular, Washington e Nova York propuseram legislação após a estrutura do CCPA. Este artigo comparará o CCPA com as leis de privacidade recém -promulgadas e propostas nos Estados Unidos.

Atos de privacidade recentemente promulgados e propostos:

Lei Virginia recém -promulgada

Em 2 de março de 2021, a Virginia aprovou sua Lei de Proteção de Dados de Consumidores (“CDPA”), a segunda lei abrangente de privacidade de dados do consumidor nos Estados Unidos. O CDPA entrará em vigor em 1º de janeiro de 2023. O CDPA se aplica a pessoas ou entidades que conduzem negócios na Virgínia ou produzem produtos ou serviços oferecidos aos residentes da Virgínia e que “controlam ou processam” dados pessoais. A Lei se aplica a empresas que (1) controlam ou processam informações pessoais de pelo menos 100.000 consumidores, ou (2) controlam ou processam os dados de pelo menos 25.000 residentes da Virgínia que também derivam 50% ou mais de sua receita bruta da venda de dados pessoais.

O CDPA segue de perto a estrutura do CCPA; No entanto, existem algumas diferenças importantes:

• O CDPA não contém direito de ação privado. Em vez disso, todas as ações devem ser levadas pelo procurador -geral da Virgínia.
• O CDPA, como o CCPA, isenta dados que já são regulados por certas leis federais listadas, como HIPAA, GLBA, FCRA, FERPA e Coppa. No entanto, sob o CDPA, a isenção do GLBA é mais ampla, pois isenta totalmente as instituições financeiras, não apenas os titulares de dados. Além disso, existem isenções baseadas em dados para a Lei de Relatórios de Crédito Justo, a Lei de Proteção à Privacidade do Motor.
• O CDPA contém um requisito de opção para processar dados pessoais sensíveis, a menos que isento.
• O CDPA define “consumidor” mais estreitamente do que o CCPA. O CDPA exclui aqueles que atuam em um contexto comercial ou de emprego.
• Sob o CDPA, a “venda de informações pessoais” exige que a consideração seja monetária para se qualificar como uma venda de dados. Pelo contrário, o CCPA permite monetário ou “outra consideração valiosa.”

Lei de Washington proposta

A Lei de Privacidade de Washington, Lei 6281 do Senado (“WPA”), é uma legislação proposta que reflete o CCPA. Como o GDPR e o CCPA, o WPA aumenta os direitos dos consumidores em relação aos seus dados pessoais e garante que as empresas sejam transparentes sobre a coleta e o processamento de dados do consumidor. Além disso, o WPA permite que os consumidores optem pela venda de seus dados pessoais. O WPA se aplicaria a empresas cujos produtos ou serviços são direcionados aos consumidores de Washington se o negócio: (1) controlar ou processar dados de mais de 100.000 consumidores, ou (2) deriva pelo menos 50% na receita da venda de dados pessoais e processa ou controla dados pessoais de mais de 25.000 consumidores.

O WPA e o CCPA têm semelhanças importantes, como: (1) um período de cura de 30 dias; (2) os negócios devem excluir os dados pessoais de um consumidor a seu pedido; e (3) responsabilidade do negócio de ser proativo ao dizer ao consumidor quais tipos específicos de informações pessoais a empresa coleta e como esses dados são usados. No entanto, existem diferenças importantes entre eles:

• O WPA limita a definição de “dados pessoais” a informações sobre uma pessoa natural “identificada ou identificável”, enquanto a definição do CCPA permanece ampla e se aplica a informações vinculadas a um “consumidor ou família específico.”
• O WPA antecede explicitamente as leis, ordenanças e regulamentos locais em relação ao processamento de dados pessoais por controladores ou processadores. O CCPA não.
• O WPA, diferentemente do CCPA, não inclui um requisito de limite de receita.
• O WPA, diferentemente do CCPA, abrange uma disposição de “discriminação” que impede as empresas de tomar decisões automatizadas finais.
• O WPA limita como a tecnologia de reconhecimento facial pode ser utilizada onde o CCPA não tem disposição semelhante. (As novas obrigações de reconhecimento facial sobre empresas que usam reconhecimento facial, se promulgadas, excediam as obrigações atuais que as empresas enfrentam sob a lei de privacidade biométrica de Washington (RCW 19.375).)

Lei proposta de Nova York

De toda a legislação de privacidade proposta, a Lei de Privacidade de Nova York (S5642) (“NYPA”) é provavelmente a mais esperada porque sua linguagem é muito bo

O GDPR é importante nos EUA

Manter a conformidade com o GDPR não é apenas em seus clientes’ melhores interesses, mas no seu negócio’é o melhor interesse. Histórias de horror de não conformidade e violações de dados podem ser acompanhadas por multas pesadas. Dependendo do tamanho da sua empresa, as multas podem variar entre US $ 11 e US $ 21 milhões ou 2 – 4% do seu faturamento global anual.

GDPR nos EUA? Nova legislação estadual está chegando mais perto da realidade

A União Europeia’s Regulamento geral de proteção de dados (“GDPR”) é conhecido como a lei de privacidade e segurança mais difícil do mundo, pois tem um amplo alcance e impõe pesadas multas contra aqueles que violam seus padrões de privacidade e segurança (que são bastante amplos). O impacto do GDPR já foi sentido nos Estados Unidos desde que entrou em vigor em 2018, e agora você.S. Os legisladores em vários estados estão se movendo para promulgar legislações semelhantes. A Lei de Proteção ao Consumidor da Califórnia (“CCPA”) foi a primeira instância do GDPR’O impacto nos Estados Unidos, como a Califórnia implementou um estatuto e regulamentos que espelhavam o THEGDPR em vários aspectos. Agora, a Virgínia acionou o que poderia ser uma série de estados de um ano, promulgando legislação semelhante. Em particular, Washington e Nova York propuseram legislação após a estrutura do CCPA. Este artigo comparará o CCPA com as leis de privacidade recém -promulgadas e propostas nos Estados Unidos.

Atos de privacidade recentemente promulgados e propostos:

Lei Virginia recém -promulgada

Em 2 de março de 2021, a Virgínia aprovou sua Lei de Proteção de Dados de Consumidores (“CDPA”), a segunda lei abrangente de privacidade de dados do consumidor nos Estados Unidos. O CDPA entrará em vigor em 1º de janeiro de 2023. O CDPA se aplica a pessoas ou entidades que conduzem negócios na Virgínia ou produzem produtos ou serviços oferecidos aos residentes da Virgínia e que “controle ou processo” dados pessoais. A Lei se aplica a empresas que (1) controlam ou processam informações pessoais de pelo menos 100.000 consumidores, ou (2) controlam ou processam os dados de pelo menos 25.000 residentes da Virgínia que também derivam 50% ou mais de sua receita bruta da venda de dados pessoais.

O CDPA segue de perto a estrutura do CCPA; No entanto, existem algumas diferenças importantes:

• O CDPA não contém direito de ação privado. Em vez disso, todas as ações devem ser levadas pelo procurador -geral da Virgínia.
• O CDPA, como o CCPA, isenta dados que já são regulados por certas leis federais listadas, como HIPAA, GLBA, FCRA, FERPA e Coppa. No entanto, sob o CDPA, a isenção do GLBA é mais ampla, pois isenta totalmente as instituições financeiras, não apenas os titulares de dados. Além disso, existem isenções baseadas em dados para a Lei de Relatórios de Crédito Fair, o motorista’S Lei de Proteção à Privacidade, e a Lei de Direitos e Privacidade da Educação Federal e organizações sem fins lucrativos.
• O CDPA contém um requisito de opção para processar dados pessoais sensíveis, a menos que isento.
• O CDPA define “consumidor” mais estreitamente do que o CCPA. O CDPA exclui aqueles que atuam em um contexto comercial ou de emprego.
• Sob o CDPA, o “venda de informações pessoais” exige que a consideração seja monetária para se qualificar como uma venda de dados. Pelo contrário, o CCPA permite monetário ou “outra consideração valiosa.”

Lei de Washington proposta

A Lei de Privacidade de Washington, Lei 6281 do Senado (“WPA”), é uma legislação proposta que reflete o CCPA. Como o GDPR e o CCPA, o WPA aumenta os consumidores’ Direitos em relação aos seus dados pessoais e garantem que as empresas sejam transparentes sobre a coleta e o processamento de dados do consumidor. Além disso, o WPA permite que os consumidores optem pela venda de seus dados pessoais. O WPA se aplicaria a empresas cujos produtos ou serviços são direcionados aos consumidores de Washington se o negócio: (1) controlar ou processar dados de mais de 100.000 consumidores, ou (2) deriva pelo menos 50% na receita da venda de dados pessoais e processa ou controla dados pessoais de mais de 25.000 consumidores.

O WPA e o CCPA têm semelhanças importantes, como: (1) um período de cura de 30 dias; (2) os negócios devem excluir um consumidor’Dados pessoais a seu pedido; e (3) responsabilidade do negócio de ser proativo ao dizer ao consumidor quais tipos específicos de informações pessoais a empresa coleta e como esses dados são usados. No entanto, existem diferenças importantes entre eles:

• O WPA limita o “dados pessoais” definição para informações sobre um “pessoa natural identificada ou identificável,” enquanto a definição da CCPA permanece ampla e se aplica a informações vinculadas a um “consumidor ou família particular.”
• O WPA antecede explicitamente as leis, ordenanças e regulamentos locais em relação ao processamento de dados pessoais por controladores ou processadores. O CCPA não.
• O WPA, diferentemente do CCPA, não inclui um requisito de limite de receita.
• O WPA, diferentemente do CCPA, abrange um “discriminação” Provisão que impede as empresas de tomar decisões automatizadas finais.
• O WPA limita como a tecnologia de reconhecimento facial pode ser utilizada onde o CCPA não tem disposição semelhante. (As novas obrigações de reconhecimento facial sobre empresas que usam reconhecimento facial, se promulgadas, excediam as obrigações atuais que as empresas enfrentam sob Washington’s Lei de Privacidade Biométrica (RCW 19.375).)

Lei proposta de Nova York

De toda a legislação de privacidade proposta, a Lei de Privacidade de Nova York (S5642) (“NYPA”) é provavelmente o mais esperado porque seu idioma é muito mais ousado que o CCPA. A NYPA se aplica amplamente a “Entidades legais que conduzem negócios em Nova York ou produzem produtos ou serviços que são intencionalmente direcionados para os residentes de Nova York.” Com uma linguagem tão ampla, a NYPA parece adaptada para alcançar o maior número possível de empresas ao omitir a linguagem do limite de receita, como visto no CCPA.

Embora a NYPA possa mudar antes de ser promulgada, seu idioma atual parte do CCPA de duas maneiras:

• A maior mudança é que as empresas seriam obrigadas a agir como “fiduciários de dados.” A lei proposta afirma que “Qualquer entidade que coleta, vende ou licencie informações pessoais dos consumidores deve exercer o dever de atendimento, lealdade e confidencialidade esperado de um fiduciário com relação a garantir os dados pessoais de um consumidor contra o risco de privacidade.” Esta obrigação faria “substituir qualquer dever devido a proprietários ou acionistas” de uma entidade.
• A NYPA não reconhece o consentimento implícito. Ao contrário do CCPA, que reconhece o consentimento implícito, a NYPA exigiria.

Takeaway principal

O GDPR’A influência dos Estados Unidos está aqui, e parece aqui ficar à medida que mais estados seguem o exemplo. Com duas grandes leis de privacidade em cada costa e variações espalhadas no meio, não está claro se o Congresso acabará por aprovar uma lei federal para criar alguma uniformidade. Até então, à medida que a nova legislação é implementada, empresas e empresas devem permanecer atualizadas para se proteger de possíveis ações e ações regulatórias possíveis.

O GDPR é importante nos EUA?

Indivíduos e empresas de ambos os lados do Atlântico podem sentir que, como o regulamento geral de proteção de dados é uma legislação da UE, isso se aplica apenas aos países da UE. No entanto, essa interpretação é falha.

A verdade é que o GDPR’S APLICAÇÃO É MAIS SOBRE Quem você está segmentando ao invés de onde Sua empresa é baseada. Então, se você’Re um negócio baseado nos EUA com clientes da UE, você’precisarei prestar atenção a – e cumprir – o GDPR. Algumas empresas dos EUA ainda precisam estar convencidas neste ponto.

Reino Unido contra as leis de privacidade de dados dos EUA

O GDPR se aplica a quase todo mundo que lida com dados pessoais na União Europeia, ou que lida com os dados pessoais de pessoas na União Europeia.

Por outro lado, os EUA não têm uma lei de privacidade de dados única com uma aplicação igualmente ampla. Encontramos uma variedade de leis federais e estaduais que uniram para formar um regime de proteção de dados fragmentados, com setores específicos (como saúde) sendo o foco principal. Essa abordagem pode dificultar a conformidade, pois os padrões de proteção de dados necessários variam de estado para estado.

Talvez sem surpresa, descobrimos que o padrão exigido pelo GDPR geralmente era suficiente para satisfazer os padrões exigidos pelas leis relevantes dos EUA também.

O que’é diferente?

O GDPR fornece uma definição universal de “Dados pessoais”; O termo equivalente nos EUA é “Informação pessoalmente identificável”, e o que constitui PII varia de acordo com a lei estadual. Por exemplo, dados financeiros e números de seguros nacionais no Reino Unido não são vistos como “confidencial” Em termos de definição legal estrita, mas dados financeiros e número de segurança social são frequentemente considerados sensíveis na legislação de privacidade dos EUA.

O GDPR é baseado na ideia de que os dados pessoais devem ser protegidos e os indivíduos devem ter controle sobre como seus dados são usados. Esses direitos incluem o direito de apagar, portabilidade de dados, retirar o consentimento, retificar dados imprecisos, acesso, restrição e objeção.

Data Titses’ Os direitos nos EUA são muito mais limitados. Embora a lei dos EUA deixa claro que certas informações devem ser fornecidas aos titulares de dados no momento em que seus dados pessoais são coletados, geralmente não há mais direitos de acesso a disciplinas de dados ou o direito de apagar. Os direitos de titular de dados limitados que estão em vigor estão relacionados a crianças’s dados, como as crianças’s Lei de Proteção à Privacidade Online, que permite que os pais visualizem as informações pessoais coletadas por um site sobre o filho e excluam e corriem essas informações.

A nova Lei de Privacidade do Consumidor da Califórnia apresenta vários direitos aos residentes californianos – permitindo que eles entendam como seus dados são usados, apagá -los e optar por não ser capaz de vender suas informações.

Sob o GDPR, as transferências de dados pessoais fora do EEE são restritas – principalmente para garantir que os direitos de dados disponíveis para indivíduos não sejam’t minou porque um provedor internacional está sendo usado. Isso geralmente significa que as transferências internacionais de dados pessoais estarão sujeitas ao Escudo de Privacidade da UE-EUA, ao modelo cláusulas contratuais ou regras corporativas vinculativas.

Por outro lado, existem poucos limites para a transferência de dados pessoais fora dos EUA impostos pela lei dos EUA. Enquanto as leis e regulamentos dos EUA continuam se aplicando aos dados depois de deixar os EUA, eles se concentram principalmente em garantir que as entidades dos EUA permaneçam responsáveis ​​pelos dados.

O GDPR estendeu as penalidades máximas por violações de proteção de dados para € 20 milhões ou 4% da rotatividade global anual, o que for o mais alto. Por outro lado, a FTC (Federal Trade Commission) permite multas de até US $ 16.000 por ofensa.

O que’não é tão diferente?

Deveria’T apenas conseguimos consentimento para tudo?

A coleta de consentimento é frequentemente vista como uma maneira simples de evitar considerar as práticas de dados em detalhes. Deixar’está apenas obtendo o titular dos dados’s consentimento para tudo, certo? Errado.

O consentimento é uma das seis maneiras pelas quais você pode legitimar o manuseio de dados pessoais, mas não é o único e geralmente é usado demais. Tanto o GDPR quanto as leis de proteção de dados dos EUA se alinham aqui – você não’Não preciso de consentimento para tudo.

Na UE, os controladores de dados devem notificar sua autoridade de supervisão nacional se houver uma violação de segurança de dados e, em algumas situações, os controladores de dados também precisarão notificar o titular dos dados. As notificações de violação de dados também são necessárias nos EUA, onde 48 dos 50 estados agora promulgaram leis de notificação de violação de segurança.

GDPR US equivalente: como os EUA e a UE se comparam nas leis de privacidade de dados

Se você’Visitei um site ou verifiquei seu e -mail nos últimos anos, você’estou sem dúvida familiarizado com o GDPR. Empresas que informam sobre as atualizações e sites de políticas de privacidade que o levou a gerenciar suas preferências de cookies são apenas algumas maneiras pelas quais experimentamos o impacto da lei de privacidade de dados marcantes.

Apesar de ter sido redigido e adotado pela União Europeia, o GDPR tem implicações globais. Além do impacto sobre como sua empresa gerencia os dados em potencial e os dados do cliente, políticas abrangentes passaram a influenciar as leis de privacidade de dados em todo o mundo – inclusive nos Estados Unidos. Embora não haja equivalente ao GDPR nos níveis federais, estados individuais, como a Califórnia, implementaram políticas semelhantes.

Ficar no topo dos requisitos regulatórios locais, federais e internacionais é essencial para a sua empresa que permanece em conformidade e evitando multas pesadas.

Uma breve visão geral do GDPR

O Regulamento Geral de Proteção de Dados (GDPR), promulgado pela União Europeia (UE) em 2016, é um regulamento abrangente que define os padrões para adquirir, gerenciar e processar os dados pessoais dos cidadãos da UE e de seus residentes. Dentro do escopo do GDPR, os dados pessoais estão qualquer informação que se vincule a uma pessoa natural identificável ou “Dados titular.”

O elemento mais importante do GDPR é que o regulamento determina que nenhuma organização pode coletar, armazenar ou usar dados pessoais sem o consentimento explícito do titular dos dados.

O amplo espectro de informações pessoalmente identificáveis ​​(PII)

Diferentemente das leis semelhantes de proteção de dados dos EUA, que limitam os dados regulamentados a informações financeiras ou de saúde, o GDPR protege e regula vários setores de informações que podem estar vinculadas a titulares de dados, incluindo informações de localização, endereços IP e dados de cookie. Tudo sob o guarda -chuva de informações pessoalmente identificáveis, se sua empresa coletar ou processar essas informações, como por meio de formulários de captura de leads ou pixels de publicidade, você’é responsável por cumprir com o GDPR.

O impacto da não conformidade

Manter a conformidade com o GDPR não é apenas em seus clientes’ melhores interesses, mas no seu negócio’é o melhor interesse. Histórias de horror de não conformidade e violações de dados podem ser acompanhadas por multas pesadas. Dependendo do tamanho da sua empresa, as multas podem variar entre US $ 11 e US $ 21 milhões ou 2 – 4% do seu faturamento global anual.

O que o GDPR significa para as empresas nos EUA?

Sabemos que o GDPR tem impactos de longo alcance, inclusive nas empresas nos Estados Unidos. Embora possa ser fácil desconsiderar os requisitos do GDPR se você não estiver’T uma empresa multinacional, você teria cuidado para não. Mesmo se você não’T pretendo coletar dados ou vender para os residentes da UE, se suas propriedades digitais, incluindo sites, atrair visitantes da UE ou da área econômica européia (EEA), então o GDPR se aplica.

Digamos que um visitante de um estado membro da UE chegue ao seu site e assine seu blog ou faça o download de um artigo de pesquisa. Seus esforços de redirecionamento através do Google ou publicidade do LinkedIn podem soltar um pixel de rastreamento em seu navegador. Esse usuário agora é um time de dados e você’começou a processar seus dados.

Com a riqueza de cenários disponíveis para coleta de dados sensível, permanecer no topo das melhores práticas para a conformidade com o GDPR é vital para as empresas dos EUA. Mas além dos requisitos regulatórios, o GDPR tem um impacto adicional na legislação de privacidade em todo o mundo, inclusive nos Estados Unidos.

RECOMENDADO PARA VOCÊ

O que são dados pessoalmente identificáveis?

Entender o que define dados de identificação pessoal ajudará você a avaliar se o GDPR se aplica à sua empresa.

Os EUA têm leis semelhantes de proteção de dados?

Embora a lei federal ainda não tenha lidado. Em 2022, cinco estados, incluindo Utah, Colorado, Virgínia, Connecticut e Califórnia, apresentam algum tipo de lei de privacidade do consumidor. Enquanto isso, mais de 15 estados estão considerando uma legislação semelhante de sua própria.

Protegendo os dados dos residentes da Califórnia

A Lei de Privacidade do Consumidor da Califórnia (CCPA), aprovada em 2018, foi a primeira nos EUA como resposta ao GDPR e violações de privacidade de dados no estado. Possui regulamentos semelhantes de proteção de dados, embora reconhecidamente em uma escala finita.

• Informações pessoais vs. dados pessoais: Embora frequentemente usado de forma intercambiável, o CCPA aborda e protege especificamente informações pessoais que pode razoavelmente estar ligado a um consumidor Em califórnia
• Consumidores vs. Data Totes: Embora o GDPR proteja todos os titulares de dados que vivem na UE (incluindo cidadãos dos EUA), o escopo do CCPA é limitado às informações dos residentes da Califórnia e, mais especificamente, dos consumidores
• Negócios com fins lucrativos vs. Processadores de dados: A CCPA regula empresas específicas com fins lucrativos que lidam com os dados dos consumidores da Califórnia, enquanto o GDPR fornece diretrizes regulatórias para qualquer Organização dentro e fora dos estados membros da UE que processam dados, incluindo empresas multinacionais
• Supervisão necessária: Embora o GDPR exija a contratação de um Oficial de Proteção de Dados (DPO) para supervisionar a conformidade e atuar como uma ligação para fins de auditoria, a CCPA não tem esse requisito para supervisão

Em janeiro de 2023, a Lei de Direitos de Privacidade da Califórnia (CRPA), uma emenda ao CCPA, entrou em vigor. Isso proporcionou novos requisitos, direitos e mecanismos de aplicação para dentro da CCPA, incluindo definição clara sobre quem é impactado pela legislação e proteções para “Informações pessoais sensíveis.” Especificamente:

• Expandindo o limiar de empresas daqueles que compram, vendem ou compartilham as informações pessoais de 50.000 residentes para 100.000 ou mais
• Define uma nova categoria de informações pessoais sensíveis como incluindo identificadores emitidos pelo governo, informações financeiras, dados de geolocalização, bem como dados demográficos como raça, religião e muito mais

Em um nível alto, ambas as políticas oferecem aos indivíduos mais clareza e controle sobre seus dados pessoais e o processamento de tais dados. Em relação ao GDPR, os dados de saúde e financeiros se enquadram no guarda -chuva maior de informações de identificação pessoal. Nos Estados Unidos, dados semelhantes são regulados extensivamente através de várias leis federais.

Proteger dados de saúde do paciente

A Lei de Portabilidade e Portabilidade do Seguro de Saúde (HIPAA), aprovada em 1996, regula as informações de saúde protegidas (PHI). Organizações que lidam com PHI, incluindo “entidades cobertas” Como os profissionais de saúde ou parceiros de negócios, como cobrança ou empresas de EHR, são responsáveis ​​por cumprir os regulamentos da HIPAA. Se sua empresa aproveitar ou processar registros do paciente, informações de pagamento, dados biométricos ou informações do plano de saúde, você’provavelmente está sujeito à conformidade da HIPAA.

Regulamentando pagamentos e transações com cartão de crédito

Enquanto isso, a Lei Gramm-Lixeira-Bliley (GLBA), promulgada em 1999, exige que as instituições financeiras concedam aos indivíduos maior acesso e transparência ao uso de seus dados pessoais. A manutenção da conformidade do GLBA inclui a comunicação de como dados sensíveis como um cliente’N Nome, endereço, número de telefone ou conta e números de previdência social são tratados e compartilhados. Semelhante ao CCPA e CPRA e GDPR, as instituições precisam oferecer a oportunidade de optar por não ser compartilhado com terceiros com terceiros.

Semelhante ao CCPA e ao GDPR, a não conformidade com HIPAA e GLBA pode afetar significativamente uma instituição, com multas por ofensa mais de US $ 100.000 para GLBA ou US $ 50.000 para HIPAA. As ofensas repetidas da HIPAA podem escalar multas até US $ 250.000, proporcionando um incentivo claro para manter a conformidade.

Estabelecendo direitos com agências governamentais dos EUA

Como o CCPA regula organizações com fins lucrativos, ele’s limitado principalmente a dados alavancados para fins comerciais. A Lei de Privacidade de 1974 regula como o setor público gerencia seus dados.

Reduzido em resposta ao início de bancos de dados e computadores que agora poderiam armazenar uma riqueza de informações, a Lei de Privacidade orienta as agências federais sobre proteção de dados, manutenção e disseminação. A lei oferece quatro direitos que os cidadãos dos EUA têm sobre seus dados pessoais:

1. As agências devem compartilhar registros mantidos em um indivíduo quando solicitado
2. As agências devem seguir “Práticas de informação justa,” que definem o escopo e a qualidade das agências de dados podem coletar e gerenciar razoavelmente.
3. As agências devem aderir a diretrizes restritivas para compartilhar dados pessoais entre agências ou com outros indivíduos.
4. As agências podem ser processadas por violar qualquer um dos direitos acima.

Isto’é importante observar que a Lei de Privacidade não é abrangente. As agências governamentais responsáveis ​​pela aplicação da lei, como o Federal Bureau of Investigation (FBI) e a Agência Central de Inteligência (CIA), estão isentas da legislação. Além disso, o ato proporciona “uso rotineiro” e outras isenções, como para uso no censo dos EUA.

O que o futuro vale para as leis de proteção de dados nos Estados Unidos?

Em relação ao equivalente ao GDPR nos Estados Unidos, a proteção de dados é mais uma soma de suas partes do que uma abordagem abrangente. Legislação como a Lei de Privacidade do Consumidor da Califórnia ou a Lei de Proteção de Dados de Consumidores da Virgínia atende necessidades semelhantes de leis de privacidade dentro das fronteiras de estados individuais.

A existência de transferências de dados transfronteiriças e uma economia global impulsiona a necessidade de mais empresas americanas para alcançar a conformidade com o GDPR, mas isso’não é um requisito universal.

Os EUA’ A abordagem da Política de Proteção de Dados e Transparência tem sido retalhos nos últimos anos. No entanto, 2022 viu multas significativas cobradas pela Comissão Federal de Comércio por meio de violações de privacidade e esforços renovados do Congresso para criar uma política nacional coesa sobre privacidade de dados.

Comissão Federal de Comércio que interrompeu a violação da conformidade

Especificamente, a FTC ordenou que a Epic Games pagasse mais de US $ 500 milhões em multas por violar as crianças’s Lei de Proteção à Privacidade Online (COPPA) através de design de interface de usuário enganoso ou “padrões escuros” Isso levou a milhares de compras não intencionais e decisões de privacidade tomadas por crianças e adolescentes.

Além disso, uma coalizão de mais de 40 advogados -gerais chegou a um acordo histórico com o Google ao norte de US $ 350 milhões em seu processamento de dados de localização. As decisões marcam um momento de bacia hidrográfico na regulamentação de segurança da informação dos EUA e como as empresas podem ser responsabilizadas financeiramente por violar leis específicas de privacidade.

Lei abrangente de privacidade de dados potencialmente para debate

O impacto da legislação existente revigorou as conversas para um equivalente abrangente ao GDPR nos Estados Unidos. Em 2022, a Lei Americana de Privacidade e Proteção de Dados (ADPPA) passou pelo Comitê do Congresso com apoio bipartidário. Mas nunca foi levado a votação no chão da Câmara dos Deputados. O projeto de lei impediria a Lei de Privacidade do Consumidor da Califórnia e continua sendo uma opção de debate e decisão em 2023.

Como explicar as leis de privacidade de dados díspares

O impacto da não conformidade é’T limitado a multas e penalidades criminais. O impacto do cliente das violações de dados pairam grandes, e a manutenção de sua confiança pode frequentemente depender de sua empresa’a capacidade de salvaguardar suas informações.

Com tantas diretrizes legais, protocolos e regulamentos a seguir, como seus negócios podem ficar à frente da curva de segurança de dados?

Fazendo as contratações certas para sua equipe

Em alguns casos, o caminho para a frente é bastante claro. Dependendo do seu negócio, o GDPR pode exigir a contratação de um oficial de proteção de dados ou DPO. As responsabilidades de um DPO incluem educar os funcionários sobre conformidade e dados e realizar auditorias regulares de segurança. O DPO também serve como ponto principal de contato para acessar dados da empresa para auditoria ou de outra forma.

Oficiais de proteção de dados e outras contratações de segurança e conformidade são essenciais para garantir que sua empresa possa monitorar o cenário em constante mudança da lei de segurança da informação. Com visibilidade clara em seu negócio’ Práticas de dados e segurança da informação, essas funções podem monitorar, aconselhar e manter sua postura de conformidade com mais perfeição.

Trabalhando com um parceiro

Ao contratar membros da equipe para monitorar e determinar o impacto comercial dessas tendências, pode não estar em sua startup’s Roteiro, você deve avaliar continuamente como abordar a segurança para o seu estágio específico. Isso significa estar atento à sua base de segurança, ferramentas e práticas de dados para entender como as mudanças na conformidade regulatória podem afetar suas operações comerciais.

Não sabe por onde começar? Comece conversando com um de nossos especialistas.

Explore mais conteúdo

Sua empresa lida com dados de identificação pessoal?

Saiba mais sobre o escopo do GDPR no que se refere a dados pessoalmente identificáveis ​​e o que isso pode significar para o seu negócio.

Compartilhe esta postagem com sua rede:

Vai o u.S. Adote uma lei de privacidade de dados em todo o país semelhante ao GDPR?

Você já ouviu a pergunta, “A América é uma caldeira ou uma tigela de salada?” Deixar’s Aplicar esse conceito às leis de privacidade de dados. Hoje, no u.S. Não há lei de privacidade de dados nacionais e consistentes. Em vez disso, as empresas estão tentando entender um ‘salada mista’ de diferentes regulamentos e leis aplicadas por estados individuais e órgãos regulatórios baseados na indústria.

A necessidade de leis de privacidade de dados em todo o país

À medida que a tecnologia continua a evoluir e efetuar tantas facetas de nossas vidas, o ambiente digital realmente exige uma estrutura abrangente para garantir e aplicar a privacidade de dados.

Eliminar confusão e ineficiência

Os negócios hoje não operam dentro das fronteiras. Fornecedores, fornecedores, clientes e parceiros de negócios trabalham para alongar operações nas fronteiras estaduais e internacionais. Muitas vezes, eles também operam ou confiam nos negócios em vários setores. Ter que navegar por vários regulamentos federais, estaduais e relacionados à indústria cria confusão e ineficiências para entidades, avaliadores e órgãos regulatórios.

Evite um ônus excessivo de conformidade

Da mesma forma, com vários padrões em vigor, o processo de relatório e conformidade requer mais tempo, esforço e dinheiro das entidades.

Como o GDPR veio em primeiro lugar (em vigor desde maio de 2018), muitas empresas americanas e multinacionais já fizeram um esforço para alcançar a conformidade com o GDPR e continuar negócios com seus clientes europeus. Para evitar mais uma carga de conformidade, você.S. A legislação de privacidade de dados deve tentar ficar perto do padrão já definido pelo GDPR.

Impedir que os regulamentos se tornem obsoletos

você.S. Leis para privacidade de dados que estão atualmente nos livros foram escritas no passado e projetadas para regular um ambiente diferente. Agora, precisamos de regulamentos flexíveis o suficiente para abordar a tecnologia em desenvolvimento e ainda ser aplicáveis ​​no futuro.

Fortalecer as proteções de privacidade

Lacunas e sobreposições são um resultado natural de múltiplos regulamentos. Em alguns casos, eles estão em conflito um com o outro. No entanto, em uma época em que os dados pessoais são cada vez mais vulneráveis, proteger a privacidade é mais crítica do que nunca. Os regulamentos devem ser abrangentes e claros – cobrindo todos os tipos de informações pessoais em todas as formas – para fornecer o nível mais forte de proteção possível.

você.S. Leis de privacidade de dados

Não há lei federal de privacidade de dados como o GDPR nos Estados Unidos. Existem algumas leis nacionais que foram implementadas para regular o uso de dados em determinadas indústrias.

• 1974 – O você.S. Lei de Privacidadeque descreve os direitos e restrições em relação aos dados mantidos pelas agências governamentais dos EUA.
• 1996 – Lei de Portabilidade e Portabilidade do Seguro de Saúde (HIPAA), que regula a privacidade e a segurança no setor de saúde.
• 1999 – Ato de bripamento de bripamento (GLBA), que governa como os consumidores’ Informações não públicas de privacidade são coletadas e usadas no setor financeiro.
• 2000 – Crianças’s Lei de Proteção à Privacidade Online (Coppa) deu um primeiro passo para regulamentar as informações pessoais coletadas de menores. A lei proíbe especificamente as empresas on-line de solicitar PII de crianças de 12 anos e menos, a menos que haja’s consentimento parental verificável.

Agora nos encontramos no ano 2020. E agora houve um progresso significativo em direção a uma estrutura unificada – entre estados e indústrias – de práticas recomendadas de privacidade de dados em 20 anos. A FTC tem sido a única força orientadora na penalização dos conglomerados de tecnologia e mídia social que enganaram os usuários sobre como seus dados são coletados e vendidos para terceiros.

Mas multas não são uma forma eficaz de regulamentação e não’T ajuda as empresas a entender e implementar as melhores práticas. O que’S necessário é uma estrutura que orienta as entidades no desenvolvimento de políticas e práticas eficazes de privacidade de dados – desde o início. Não apenas violações punindo – de cima para baixo. Porque a verdade é que podemos aqui sobre os casos que envolvem o Facebook e o zoom, mas quantos outros casos de segurança ineficaz estão passando despercebidos?

Diferença entre u.S. e leis de privacidade de dados da UE

Pudermos’t Faça uma comparação justa porque não há’t (ainda) um u.S. equivalente ao GDPR. Essencialmente, a UE respeita a privacidade como um direito fundamental dos cidadãos. O GDPR é uma estrutura abrangente de proteção de dados pessoal projetada para proteger esses direitos. Ele governa as empresas que operam nos Estados -Membros da UE e em entidades internacionais interagindo com os residentes da UE.

Alguns regulamentos propostos incluem a American Data Dissemination Act, a Lei de Proteção de Dados do Consumidor e a Lei de Assistência aos Dados. Neste ponto, no entanto, nenhuma proposta ganhou apoio suficiente no Congresso para se tornar uma nova lei.

A lei nacional mais próxima em vigor seria sem dúvida a HIPAA, que foi projetada para proteger as informações de privacidade e saúde do paciente. No entanto, não temos regulamentos que cobrem a privacidade do consumidor e a segurança de dados em todos os setores.

Os estados não unidos de privacidade de dados

Nos últimos anos, nós’Vi os estados introduzirem seus próprios regulamentos de privacidade de dados do consumidor. A Lei da Privacidade do Consumidor da Califórnia (CCPA) e a Lei de Proteção de Dados de Massachusetts são dois exemplos fortes. Outros estados já promulgaram suas próprias leis de proteção de dados que se aplicam a todas as empresas. Esses estados incluem:

• Arkansas
• Colorado
• Connecticut
• Flórida
• Indiana
• Kansas
• Maryland
• Minnesota
• Nevada
• Novo México
• Oregon
• Rhode Island
• Texas
• Utah

Cada um desses estados desenvolveu e adotou suas próprias leis de proteção de dados que exigem empresas que mantêm informações pessoais do consumidor de residentes estaduais para proteger essas informações. Assim, o ‘tigela de salada’ dilema. Sem uma fusão das forças de governo, cada estado é deixado para agir sozinho, e a conformidade se torna confusa e inconsistente.

Por que as multinacionais precisam se preocupar com a conformidade com o GDPR?

As afiliadas que não são da UE associadas a um negócio multinacional precisam se preocupar com o GDPR porque, provavelmente, têm clientes residentes em um país da UE. Se os dados do consumidor da UE que as multinacionais coletam durante as transações estiverem acessíveis de um sistema central para afiliados em todo o mundo, é imperativo que essas empresas entendam como os dados fluem para garantir que os transferências transfronteiriços em relação aos requisitos do GDPR.

Outro motivo altamente importante para tornar a conformidade com o GDPR uma prioridade é que a não conformidade deixa multinacionais sujeitas a multas administrativas substanciais que as autoridades de proteção de dados designadas (DPAs) têm autoridade para impor se encontrarem causa. As penalidades por não conformidade com GDPR são quatro por cento da empresa’s Receita anual bruta mundial ou € 20 milhões. Tais penalidades são aplicáveis, mesmo que a entidade responsável seja apenas uma subsidiária com apenas alguns funcionários, tornando essencial que as multinacionais garantem que quaisquer subsidiárias estejam a bordo também.

Além disso, os DPAs mantêm o poder de barrar ou proibir transferências de dados da UE para o U.S. Corporação dos pais se eles descobrirem um problema de não conformidade.

Você está confuso sobre a conformidade com privacidade de dados?

Fale com i.S. Partners, LLC. Podemos ajudar sua organização a determinar quais regulamentos se aplicarem às suas atividades e criar uma estratégia para alcançar a conformidade total.