A longa espera para ver se algum estado se juntaria à Califórnia para aprovar uma lei de privacidade abrangente está finalmente chegando ao fim, pois o Senado da Virgínia aprovou a Lei de Proteção de Dados do Consumidor da Virgínia (CDPA) em 3 de fevereiro. Uma versão idêntica do projeto de lei já havia sido aprovada na Casa dos Delegados da Virgínia em 29 de janeiro, o que significa que reconciliar as duas versões do projeto de lei antes do prazo de 11 de fevereiro será provavelmente uma mera formalidade. O projeto de lei será então enviado ao governador da Virgínia para sua assinatura. Caso seja assinado em lei, a CDPA da Virgínia entrará em vigor em 1º de janeiro de 2023, no mesmo dia da Lei de Direitos de Privacidade da Califórnia (CPRA).
A CDPA adota os princípios da CPRA, a Lei de Privacidade do Consumidor da Califórnia (CCPA) e o Regulamento Geral de Proteção de Dados (GDPR), mas também difere de todos os três em aspectos chave. A seguir resumimos as principais disposições da CDPA. Continuaremos a fornecer atualizações à medida que o projeto de lei passar pela legislatura da Virgínia.
1. Aplicabilidade. A CDPA toma emprestado da CCPA em termos de utilização dos requisitos de limiar para determinar a aplicabilidade. A lei se aplica a “pessoas que realizam negócios na [Virgínia] ou que produzem produtos ou serviços que são direcionados aos residentes da [Virgínia] e que: 1) durante um ano civil, controle ou processe dados pessoais de pelo menos 100.000 residentes da [Virgínia] ou 2) controle ou processe dados pessoais de pelo menos 25.000 residentes da [Virgínia] e obtenha mais de 50% da receita bruta da venda de dados pessoais”.
2. Isenções. Apesar de ser rotulada como uma lei de privacidade “abrangente”, a CDPA tem uma série de isenções (muito parecidas com a CCPA e CPRA). Algumas dessas isenções são semelhantes às da CCPA e da CPRA, mas em alguns casos são mais amplas do que as das outras duas leis. Por exemplo, ao invés de apenas isentar informações que estão sujeitas à Lei Gramm-Leach-Bliley (GLBA) ou informações de saúde protegidas pela Health Information Portability and Accountability Act (HIPAA), a CDPA não se aplica a “instituições financeiras . . sujeitas à [GLBA]” ou a qualquer “entidade ou associado comercial coberto regido pela [HIPAA]”. A lei também isenta informações sujeitas à maioria das outras leis federais, tais como as informações reguladas pela Lei de Educação e Privacidade da Família, a Lei de Informação de Crédito Justo, a Lei de Crédito Agrícola, a Lei de Proteção de Privacidade Online de Crianças (COPPA), e a Lei de Proteção de Privacidade do Motorista.
Cookie Consent Manager | Faça um teste grátis por 2 semanas
Faça um teste gratuito de 2 semanas para os nossos planos pagos ou crie uma conta grátis …
3. Distinção entre Controlador/processador. Como a GDPR (e ao contrário da CCPA, que distingue entre “empresas” e “prestadores de serviços”), a CDPA usa uma dicotomia controlador/processador para distinguir entre as entidades responsáveis por determinar as finalidades e meios de processamento de dados pessoais e as entidades que processam informações pessoais em seu nome. Assim como a GDPR, a CDPA cria obrigações específicas tanto para controladores quanto para processadores (e ambos podem ser responsabilizados nos termos da lei).
4. Definição ampla de dados pessoais. Semelhante às outras três leis de privacidade discutidas, a CDPA tem uma definição ampla de “dados pessoais”. Ela define o termo como “qualquer informação que seja vinculada ou razoavelmente vinculável a uma pessoa física identificada ou identificável”. A definição de dados pessoais exclui explicitamente informações disponíveis publicamente e dados desidentificados (e a lei tem normas específicas de como as empresas devem tratar dados desidentificados).
5. Inclusão da categoria de dados sensíveis. A CDPA tem uma categoria separada rotulada “dados sensíveis” que é definida como 1) dados pessoais revelando origem racial ou étnica, crenças religiosas, diagnóstico de saúde mental ou física, orientação sexual, ou cidadania ou situação imigratória; 2) dados genéticos ou biométricos (usados para fins de identificação de uma pessoa física); 3) dados pessoais coletados de uma criança; ou 4) dados precisos de geolocalização. Os controladores só podem processar dados sensíveis com o consentimento do consumidor (ou com o consentimento dos pais de acordo com a COPPA, no caso de dados de crianças).
Você é uma agência, webdesigner ou outro revendedor?
Ganhe 30% de comissão, veja o nosso modelo de revendedor ou contacte-nos para números superiores a 500 clientes
6. Direitos individuais. Como todas as três leis discutidas anteriormente, a CDPA cria direitos individuais para os residentes da Virgínia que são protegidos pela lei. Estes incluem 1) o direito de acesso; 2) o direito de alterar; 3) o direito de apagar; 4) o direito à portabilidade dos dados; e 5) o direito de optar por não processar os dados pessoais para fins de publicidade dirigida, venda e perfil em favor de decisões que produzam efeitos legais ou similares significativos em relação ao consumidor.
7. Avaliações de proteção de dados. Como a GDPR e a CPRA, a CDPA exige que as entidades realizem avaliações de proteção de dados ao processar dados em determinados contextos. Especificamente, a CDPA exige uma avaliação de proteção de dados quando um controlador estiver 1) processando dados pessoais para fins de publicidade dirigida; 2) vendendo dados pessoais; 3) processando dados pessoais para fins de perfilagem (em certos contextos); 4) processando dados sensíveis; e 5) conduzindo qualquer atividade de processamento que apresente um risco elevado de danos aos consumidores.
8. Aplicação da lei. Assim como a CCPA, a CDPA é executável através de ações civis movidas pelo procurador geral e também inclui uma provisão de cura de 30 dias. As penalidades sob a CDPA para controladores e processadores podem chegar a US$ 7.500 por violação. Ao contrário da CCPA, a CDPA não tem qualquer direito de ação privada, mesmo por incidentes de segurança.