Colorado Privacy Act: Saiba mais sobre a CPA, Lei de Privacidade de Dados do Colorado

cpa colorado

No último dia 7 de julho de 2021, o governador do Colorado, Jared Polis, sancionou a Lei de Privacidade do Colorado (CPA). O CPA está previsto para entrar em vigor em 1º de julho de 2023.

Com esse ato, o estado americano do Colorado se torna o terceiro estado dos EUA a implementar uma lei de privacidade e proteção de dados, depois da Califórnia com a Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act – CCPA) e da Virgínia com a Lei de Proteção de Dados do Consumidor da Virgínia (Virginia Consumer Data Protection Act – VCDPA). Embora o CPA seja semelhante ao CCPA e ao VCDPA em muitos aspectos, ele tem um escopo e obrigações diferentes. As empresas afetadas pela lei devem conduzir uma análise de escopo separada e, se estiverem sujeitas ao CPA, precisarão definir regras de negócios específicas para conformidade com a lei.

A CPA atinge diretamente negócios estabelecidos no estado, produzindo produtos ou serviços que tem como alvo os residentes do Colorado e que (1) controlam ou processam dados pessoais de pelo menos 100.000 residentes do Colorado durante um ano civil, ou (2) obtenha receita proveniente de venda de dados pessoais ou conceda desconto no preço de bens ou serviços com o processamento de dados pessoais de pelo menos 25.000 residentes do Colorado. 

A lei oferece proteções especiais para o tratamento de dados pessoais sensíveis, que incluem informações pessoais que revelam origem racial ou étnica, crenças religiosas, condição ou diagnóstico de saúde mental ou física, vida ou orientação sexual, cidadania ou estatuto de cidadania e dados pessoais de uma criança conhecida.

CPA: Direitos do Consumidor

O Colorado Privacy Act – CPA fornece aos consumidores uma série de direitos relacionados aos seus dados pessoais. De acordo com o CPA, os consumidores têm o direito de:

  • confirmar se um responsável pelo tratamento (a pessoa que determina a finalidade e o meio de processamento de dados pessoais) está processando dados pessoais;
  • acessar seus dados pessoais;
  • corrigir seus dados pessoais, tendo em conta a natureza dos dados pessoais e as finalidades do tratamento dos dados pessoais;
  • deletar seus dados pessoais;
  • obter uma cópia portátil dos dados pessoais;
  • opt out do processamento de dados pessoais para (1) publicidade direcionada, (2) a venda de dados pessoais, ou (3) criação de perfis na promoção de decisões que produzam efeitos jurídicos ou similarmente significativos em relação ao consumidor; e
  • apelar da recusa de tomar medidas em relação a um pedido de exercício de um direito coberto pela do CPA.

Além disso, ficou estipulado que até 1º de julho de 2024 os controladores adotem e ofereçam mecanismo de opt-out universal para permitir que os consumidores optem pela venda de dados pessoais e pelo processamento de dados pessoais para fins de publicidade direcionada sob técnicas especificações a serem estabelecidas pelo procurador-geral do Colorado.

CPA: Obrigações do Controlador e do Processador

Foram impostas obrigações diferentes dependendo se a empresa é um controlador ou um processador (a entidade que processa dados pessoais em nome do controlador). Portanto, uma empresa precisará analisar se está atuando como controlador ou processador ao se envolver em qualquer processamento de dados pessoais.

Sob o CPA, os controladores devem, entre outras coisas:

  • fornecer um Aviso de Privacidade contendo divulgações específicas, incluindo 
    1. categorias de dados pessoais coletados, processados ​​e compartilhados, 
    2. finalidades para as quais os dados pessoais são coletados e processados, 
    3. categorias de terceiros com os quais o controlador compartilha dados pessoais 
    4. uma divulgação clara e visível da venda ou processamento e como um consumidor pode optar por sair, para casos de venda de dados pessoais dados ou processamento de dados pessoais para publicidade direcionada;
  • limitar o processamento de dados pessoais ao que seja adequado, relevante, necessário, razoável e proporcional em relação aos fins especificados para os quais esses dados pessoais são processados;
  • não processar dados pessoais para fins que não sejam razoavelmente necessários ou compatíveis com os fins especificados, a menos que o controlador obtenha o consentimento do consumidor;
  • tomar medidas razoáveis ​​para proteger os dados pessoais durante o armazenamento e uso contra aquisição não autorizada;
  • não processar dados pessoais em violação das leis de discriminação; e
  • não processar dados confidenciais sem consentimento.

Foi estabelecido que os controladores conduzam e documentem avaliações de risco para proteção de dados ao conduzir o processamento de dados que apresenta um risco elevado de danos ao consumidor. O processamento que apresenta um risco elevado de danos ao consumidor inclui o envolvimento nas seguintes atividades:

  1. o processamento de dados pessoais para fins de publicidade direcionada;
  2. a venda de dados pessoais;
  3. o tratamento de dados pessoais para efeitos de definição de perfis, sempre que essa definição apresente um risco razoavelmente previsível de certos tipos de danos para os consumidores; e
  4. o processamento de dados sensíveis.

Um processador deve seguir as instruções de um controlador e deve auxiliar o controlador em:

  • responder aos direitos do consumidor;
  • cumprir as obrigações de segurança de dados e notificação de violação; e
  • fornecer informações para permitir que o controlador conduza e documente avaliações de proteção de dados.

Também existem requisitos para contratos entre controladores e processadores, bem como requisitos para contratação de subcontratados.

Multas e Sanções previstas pela CPA de Colorado

O procurador-geral e os procuradores distritais do Colorado têm autoridade exclusiva para fazer cumprir o CPA. As penalidades civis podem chegar até USD 20.000,00 para cada violação do CPA, além de medidas cautelares. 

O atributo alt desta imagem está vazio. O nome do arquivo é Agendar-Reuniao-Bl-Consultoria.png
Fale com um Advogado Online para que possamos tirar suas dúvidas com relação à Adequação à Leis de Proteção de Dados.

Fonte: JDSUPRA e Governo de Colorado

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Time BL Consultoria
Time BL Consultoria
Time BL Consultoria Digital - Direito Digital e Análise Regulatória
Time BL Consultoria
Time BL Consultoria
Time BL Consultoria Digital - Direito Digital e Análise Regulatória

Posts Relacionados

Fale Conosco

Categorias

Assine nossa Newsletter

Confira Mais Conteúdos