Lei americana de privacidade e proteção de dados: o que as marcas precisam saber
Publicados: 2022-09-13Um grande projeto de lei que protege os direitos de privacidade dos consumidores em todos os 50 estados saiu de um comitê da Câmara dos Deputados dos EUA, marcando a primeira vez que um projeto de lei tão abrangente avançou tão longe.
A Lei Americana de Proteção de Dados e Privacidade (ADPPA) tem um longo caminho a percorrer antes de se tornar lei, mas as marcas devem estar cientes de suas disposições e seu potencial impacto nos negócios.
Tendências de privacidade de dados do cliente: construindo confiança, pós-pandemia
Saiba mais sobre as três principais tendências de dados de clientes à medida que as empresas se recuperam após a pandemia e por que um CDP é tão importante para criar confiança.
O que é a Lei Americana de Privacidade e Proteção de Dados?
A ADPPA estabelece requisitos sobre como empresas e organizações, incluindo organizações sem fins lucrativos, devem lidar com dados pessoais, incluindo informações que identifiquem uma pessoa ou possam ser razoavelmente vinculadas a um indivíduo.
A conta afetaria a maioria das entidades de coleta de dados. Também se aplica a entidades que processam os chamados “dados cobertos” e estão sujeitas ao Federal Trade Commission Act (FTC Act). Qualquer empresa ou organização sem fins lucrativos que colete, processe ou transfira dados que possam ser razoavelmente vinculados a indivíduos, é provável que estejam sujeitos à lei. Não se aplicaria a entidades governamentais.
A ADPPA limita o uso comercial de dados de identificação pessoal. Ele proíbe amplamente as organizações de coletar, processar ou transferir dados pessoais além do que é razoavelmente necessário para fornecer um serviço solicitado pelo indivíduo.
No entanto, o projeto de lei inclui 17 exceções permitidas, abrangendo atividades como a necessidade de autenticar usuários e evitar fraudes.
Os corretores de dados enfrentariam mais obrigações sob a ADPPA, incluindo o registro na FTC, que estabeleceria e manteria um registro on-line pesquisável contendo os nomes dessas entidades. Também haveria um registro “Do Not Collect” que permitiria aos usuários solicitar que os data brokers excluíssem suas informações dentro de 30 dias.
Qual é o futuro da privacidade dos dados do consumidor?
As marcas precisam encontrar maneiras de ficar à frente da onda de legislação em andamento, novas regras e requisitos de conformidade. Isso inclui esses três movimentos:
Proteção da privacidade do consumidor e segurança de dados
Os defensores da privacidade há muito procuram dar aos consumidores mais visibilidade e controle sobre suas informações pessoais. De acordo com a Lei Americana de Privacidade e Proteção de Dados proposta, as empresas devem permitir que os usuários acessem, corrijam e excluam seus dados pessoais.
As empresas precisariam ter mecanismos para responder a todas as solicitações dos usuários para ver e ajustar quaisquer dados que as organizações tenham sobre elas.
Com a ADPPA, os legisladores pretendem reduzir o número de violações de dados tornando a segurança de dados obrigatória. Apenas no primeiro semestre deste ano, houve quase 2.000 violações de dados, muitas envolvendo informações de identificação pessoal, ou PII.
As empresas que não puderem demonstrar que fizeram o máximo para proteger os dados dos clientes podem enfrentar multas e penalidades severas, embora a aplicação ainda não tenha sido completamente resolvida (o projeto de lei inclui uma cláusula dizendo que a FTC precisará estabelecer um departamento de privacidade para lidar com isso).
Empresas com mais de 15 funcionários também precisariam ter um responsável pela privacidade e um responsável pela segurança de dados.
Conformidade de dados: um guia definitivo para consentimento, privacidade e práticas recomendadas
A conformidade de dados abrange os padrões e regulamentos em vigor para garantir que os dados sejam seguros, protegidos contra roubo, uso indevido e perda de dados. Aqui está uma cartilha sobre como começar.
Disposições adicionais da ADPPA
Conforme elaborado, o projeto de lei de privacidade de dados exigiria que as empresas fossem transparentes no que fazem com os dados do consumidor e como os protegem. Eles precisariam divulgar publicamente suas políticas de privacidade “de maneira clara, visível, não enganosa e prontamente acessível.
As políticas precisariam detalhar os tipos de dados que uma organização coleta, bem como como e quando os coleta, processa e transfere.
A ADPPA limita ou proíbe muitas formas de publicidade direcionada, especialmente para menores . Alguns dizem que isso imporia as restrições mais rígidas nos Estados Unidos e, talvez, no mundo.
As empresas precisariam ser extremamente cuidadosas para evitar pressionar os menores a divulgar quaisquer dados pessoais desnecessários ou a direcionar marketing ou publicidade diretamente a eles.
Os consumidores podem processar empresas por supostas violações de privacidade. A partir de dois anos após a aprovação da ADPPA, os usuários podem processar por medidas cautelares, danos compensatórios e honorários advocatícios razoáveis se acreditarem que uma organização administrou incorretamente seus dados privados.
Multas do GDPR disparam à medida que reguladores reprimem violações de privacidade
As multas do GDPR dispararam no terceiro trimestre, destacando o risco crescente que as empresas enfrentam à medida que os reguladores europeus examinam as práticas de privacidade de dados.
Lei federal de privacidade de dados: nenhuma aposta certa
Apesar de um desejo bipartidário de fazer algo sobre privacidade de dados e apoio ao consumidor para as provisões do projeto de lei, permanecem obstáculos consideráveis para a aprovação do projeto.
Por exemplo, legisladores de estados com regras de privacidade existentes, incluindo Connecticut, Colorado, Utah, Vermont e Califórnia, expressaram preocupações de que a ADPPA possa superar as proteções que já promulgaram para seus cidadãos. Os legisladores da Califórnia, em particular, se preocupam com o fato de isso prejudicar sua histórica Lei de Privacidade do Consumidor da Califórnia (CCPA) de 2018, bem como outra iniciativa que entrará em vigor no próximo ano.
Após uma varredura de fiscalização de negócios on-line, o procurador-geral da Califórnia, Rob Bonta, anunciou um acordo de US$ 1,2 milhão com a Sephora em agosto por supostamente não informar aos consumidores que estava vendendo seus dados, por não processar solicitações de usuários para optar por não participar de tais práticas e por falhando em resolver suas violações com rapidez suficiente. Outros varejistas receberam avisos de que devem remediar suas violações da CCPA.
Embora uma emenda à ADPPA tente apaziguar os legisladores da Califórnia com uma linguagem especificamente chamando a CCPA como permanecendo em vigor, alguns ainda veem a lei estadual como ameaçada e se opõem à legislação federal.
O que é CPRA? Lei de Direitos de Privacidade da Califórnia: Noções básicas e visão geral
À medida que o CPRA e a privacidade em primeiro lugar continuam a ganhar força, as organizações precisam se adaptar. Os clientes exigem transparência sobre a coleta e uso de suas informações pessoais. O planejamento agora evita multas e dores de cabeça no futuro.
Não surpreendentemente, os corretores de dados se opõem a isso, e a Câmara de Comércio dos EUA o chamou de “impraticável”.
Independentemente dessas batalhas, há uma sensação de otimismo no Capitólio de que a ADPPA encontrará apoio suficiente para a aprovação. Após intensa negociação, o projeto de lei saiu relativamente ileso do Comitê de Energia e Comércio da Câmara. No entanto, com as eleições de meio de mandato chegando em novembro, é possível que os legisladores prefiram deixar o próximo Congresso decidir o futuro da ADPPA.
Mesmo que não seja ratificado, o impulso por trás da ADPPA sugere que haverá uma lei federal de privacidade de dados, e as empresas devem estar prontas e capazes de responder.