Complete Guide to Privacy Laws in the US

Contrary to conventional wisdom, the US does indeed have data privacy laws. É verdade que não existe uma lei de privacidade de nível federal central, como o GDPR da UE. Em vez disso, existem várias leis de Privacidade federais voltadas verticalmente, bem como uma nova geração de leis de Privacidade orientadas para o consumidor provenientes dos Estados.vamos dar uma volta pelas leis de privacidade dos EUA e conhecer a paisagem., Se você quiser aprender ainda mais sobre o cenário legal dos EUA, baixe nosso incrível guia essencial para a conformidade e regulamentos de proteção de dados dos EUA.

Get the free Essential Guide to US Data Protection Compliance and Regulations

  • Como é tratada a privacidade na Internet?
    • EU vs., NÓS, as Leis de Privacidade
  • Novo Estado, Leis de Privacidade de Dados
    • Califórnia
    • Massachusettes
    • Nova Iorque
    • Havaí
    • Maryland
    • Dakota do Norte
  • de Estado dos EUA, a Lei de Privacidade de Comparação
  • NÓS, a Lei de Privacidade FAQ

Verticalmente Focada NOS Leis de Privacidade de Dados

US Privacy Act de 1974

de Volta, no século passado, quando os bancos de dados foram a altura da tecnologia de computador, o Congresso e os outros foram (com razão) preocupados com o potencial uso indevido dos dados pessoais mantidos pelo governo., O Congresso aprovou a lei de privacidade dos EUA de 1974, que continha direitos e restrições importantes sobre os dados detidos pelas agências governamentais dos EUA, e deve parecer muito familiar para os profissionais de dados no ano de 2019. Vou listá-los aqui porque eles são as primeiras referências que eu sei sobre tudo o que se seguiu:

  • Direito dos cidadãos americanos de acessar quaisquer dados detidos por agências governamentais. E o direito de copiar esses dados.,o direito dos cidadãos de corrigirem quaisquer erros de informação as agências devem seguir os princípios de minimização dos dados quando recolhem a menor informação “relevante e necessária” para cumprir os seus objectivos.o acesso aos dados é restringido com base na necessidade de saber – por exemplo, os trabalhadores que precisam dos registos para o seu papel no trabalho.,a partilha de informações entre outras agências federais (e não federais) é restringida e só é permitida sob certas condições se tiver notado a privacidade por princípios de Design incorporados na inovadora lei de privacidade da era dos anos 70!aprovada em 1996, a lei da portabilidade e responsabilidade do seguro de saúde (HIPAA) foi uma lei fundamental para regular o seguro de saúde. É uma lei muito complexa, com muitas partes móveis, mas incluiu tanto a privacidade dos dados e seções de segurança. A parte de proteção de dados do HIPAA é encontrada na regra de segurança., A HIPAA também estabeleceu requisitos de confidencialidade de dados que podem ser encontrados em, espere por ele, a regra de Privacidade.se alguma vez preencheu um formulário no consultório do seu médico que permite aos cônjuges e outros membros da sua família rever ou consultar as suas informações de saúde — a que HIPAA se refere como informação de saúde protegida (PHI) — tem estado a ver a regra de Privacidade em acção.

    A regra de Privacidade contém uma lista complicada de regras sobre quem pode ver PHI., Mas, em suma, um prestador de cuidados de saúde ou “entidade coberta” mais ou menos tem permissão para usar dados do paciente se estiver relacionado com “tratamento, pagamento e operações de cuidados de saúde.”No entanto, a utilização dos dados para fins de comercialização ou venda do PHI requer autorização explícita.o requisito mínimo necessário de HIPAA é um bom exemplo de princípios PbD aplicados à partilha de PHI. Diz que entidades Cobertas que compartilham dados para fins de marketing que não os mencionados acima devem limitar quem pode vê-lo., As organizações de saúde devem avaliar os seus dados e práticas, e colocar em prática salvaguardas para limitar o acesso “desnecessário ou inadequado” à PHI. Com efeito, acesso baseado no papel para PHI.no início da Internet, por volta de 2000, a Children’s Online Privacy Protection Act (COPPA) deu um primeiro passo para regular as informações pessoais coletadas de menores. A lei proíbe especificamente as empresas online de pedirem PII a crianças de 12 anos a menos que haja consentimento parental verificável.,

    atualizações às regras regulatórias da COPPA há alguns anos efetivamente expandiu o alcance da lei e ampliou o tipo de informações pessoais a serem protegidas, incluindo nomes de tela, endereços de E-mail, nomes de bate-papo de vídeo, bem como fotografias, arquivos de áudio, e coordenadas geográficas de rua.estas atualizações também estendem a privacidade e a cobertura de segurança a terceiros que utilizam os dados das crianças. O operador do site de origem deve tomar ” medidas razoáveis para divulgar as informações pessoais das crianças apenas para empresas que sejam capazes de mantê-las seguras e confidenciais.,”

    GLBA

    outra legislação do final dos anos 90, a lei Gramm-Leach-Bliley (GLBA) é uma enorme laje de leis bancárias e financeiras que tem enterrado nela importantes requisitos de Privacidade e segurança de dados. Suas proteções de informações pessoais são uma grande melhoria em relação às leis anteriores de dados financeiros ao consumidor — ver a Fair Credit Reporting Act (FCRA).,

    em Geral, Gramm – Leach-Bliley Act protege informações pessoais confidenciais (NPI), que é definido como qualquer “informação recolhida sobre uma pessoa em conexão com o fornecimento de um produto financeiro ou serviço, a menos que essa informação é contrário à disposição do público” — essencialmente PII com uma exceção para qualquer amplamente disponíveis informações financeiras — por exemplo, registros de propriedade ou de certos obter informações de hipoteca.,

    Você pode ter notado que os bancos enviam periodicamente notificações de privacidade de dados, explicando as categorias de NPI que estão sendo coletadas e compartilhadas juntamente com instruções especiais de opt-out. Isso é devido à proteção de Privacidade limitada da GLBA. Os consumidores podem optar por não participar se não desejarem que essa informação seja enviada a um terceiro “não filiado”.no entanto, para empresas terceiras afiliadas ao banco ou companhia de seguros — parte da, tosse, “família corporativa” — os consumidores não têm nenhum controle legal de Privacidade sob a GLBA para restringir a partilha do NPI., Isso é uma grande lacuna, e GLBA não é de forma alguma um modelo para uma lei de privacidade da era da Internet.como é tratada A Privacidade na Internet?

    a resposta curta é que não é! Fora das leis federais norte-americanas centradas na indústria acima descritas, a Internet é um território desregulamentado onde empresas de tecnologia e mídia social, em particular, têm praticado uma filosofia de tudo-vai. Os Estados Unidos, porém, estão finalmente entrando (ver abaixo) com suas próprias leis de privacidade de dados, com a Califórnia tomando a liderança.,você pode estar se perguntando sob que estatutos, se não existem leis gerais de Privacidade (e segurança) do consumidor, o governo dos EUA foi capaz de emitir multas enormes contra Facebook, Uber e PayPal?grande pergunta!

    E a resposta leva – nos a, tambores por favor, a Comissão Federal de comércio ou FTC. Em resumo, sob a lei FTC de 1914, que trouxe esta agência do governo à existência, as empresas são proibidas de se envolver em “atos ou práticas desleais ou enganosas” sob seus poderes da Seção 5., Era uma vez na América de meados do século, a FTC começou a assumir — e isso pode vir como um choque para alguns — audaciosamente falsa ou enganosa publicidade por algumas das principais marcas de consumidores da América.

    é um pequeno passo de lá para a FTC olhando para “representações” enganosas feitas por empresas líderes de tecnologia e mídia social sobre a privacidade dos dados de consumo que coleta. Como, por exemplo, o Facebook, e a forma muito ousada como ele disse aos usuários em seus aplicativos e avisos de Privacidade que ele não vai vender seus dados ou que os usuários poderiam restringir o acesso aos dados se eles clicar em certas caixas.,

    Na verdade, o oposto foi o caso e a FTC apresentou uma queixa de oito contagens em 2012 contra o Facebook, que concordou em resolver. Esta queixa foi seguida pela mais recente e mais divulgada queixa FTC — para algumas das mesmas violações-em que o Facebook concordou com um acordo de US $5 bilhões. Não podes inventar isto.

    Facebook não violou uma lei específica de Privacidade na Internet, uma vez que … não há nenhuma!, Em vez disso, caiu em desgraça com a legislação do início do século XX destinada a impedir as empresas de venderem produtos à base de banha de cobra. A história não é fixe?

    O alerta leitor pode ter percebido que, se uma empresa não menciona nada sobre a privacidade dos dados em seu site, nos seus produtos, ou, na sua publicidade, em seguida, a FTC não pode fazer nada, pelo menos sob ele “práticas enganosas ou de atos de” poderes. E isso seria correcto!,esta é outra forma de dizer que uma Lei Geral de Privacidade federal, como o que está sendo considerado aqui, forçaria as empresas a ter políticas de Privacidade e cumpri-las, em vez de passar pelo mecanismo indireto (e imperfeito) de aplicação da privacidade da FTC.

    EU vs. US Privacy Laws

    como lembrete, OS EUA não têm (ainda) uma lei de privacidade de dados de nível federal, quanto mais uma lei de segurança de dados. A UE, com o seu Regulamento Geral de protecção de dados (GDPR), tem ambos! Não podemos comparar os dois.,

    no entanto, o Californian Consumer Privacy Act (CCPA), aproxima-se de abordar a privacidade de dados do consumidor pelo menos para os residentes da Califórnia e é um grande exercício para comparar e contrastar com o GDPR, como o que fazemos abaixo.

    in brief, both the CCPA and GDPR give consumers the right to access, the right to delete, and the right to opt-out of processing at any time. Eles diferem na medida em que o GDPR concede aos consumidores o direito de corrigir ou corrigir dados pessoais incorretos, enquanto a CCPA não o faz., O GDPR também exige consentimento explícito-ver o artigo 7.o da “condição de consentimento” do GDPR — no momento em que os consumidores entregam os seus dados. Em contrapartida, a CCPA apenas solicita a disponibilização de um aviso de privacidade no sítio Web informando os consumidores de que têm o direito de não participar em determinadas recolhas de dados.

    Se o acima faz cócegas na sua águia legal interior, então, por todos os meios, consulte este abrangente gráfico de comparação GDPR vs. CCPA montado pelo escritório de advocacia BakerHostetler. Ou ver o nosso próprio passeio através das diferenças, como visto pela incrível Sarah Hospelhorn de Varonis!,

    New US State Data Privacy Laws

    With the lack of direction in Washington, it’s not surprising that other states have taken a cue from California and drafted their own privacy laws. Antes de olharmos para as leis individuais da CCPA “copiadoras” de Nova York, Massachusetts, e outros estados, vamos primeiro rever a Lei de privacidade da Califórnia, que é a inveja da nação.

    California Consumer Privacy Act

    In 2018, The California Consumer Privacy Act (CCPA) was signed into law. O seu objectivo é alargar a protecção da privacidade dos consumidores à internet., Não é exagero dizer que a CCPA é a mais abrangente legislação de privacidade de dados focada na internet nos EUA, e sem equivalente a nível federal.no âmbito do CCPA, os consumidores têm o direito de aceder, através de um pedido de acesso das pessoas a dados (DSAR), às categorias e às informações pessoais específicas detidas pelas empresas abrangidas. As empresas não podem vender as informações pessoais dos consumidores sem fornecer um aviso na web (“um link limpo e conspícuo”) e dar-lhes a oportunidade de se opt-out.,

    tal como o GDPR, existe também um “direito de excluir” — com algumas isenções — informações pessoais do consumidor a pedido. A CCPA também dá aos consumidores um direito limitado de ação para processar se eles são vítimas de uma violação de dados. Há uma capacidade mais geral para o Procurador-Geral processar em nome dos residentes. A legislação está em vias de alargar o direito de acção dos consumidores por outros motivos.,

    outra inovação notável dentro do CCPA é a sua definição muito ampla de informação pessoal: “informação que identifica, relaciona-se, descreve, é capaz de estar associada, ou poderia razoavelmente estar ligada, direta ou indiretamente, a um determinado consumidor ou agregado familiar.”Que abrange muito terreno e é semelhante à própria visão expansiva do GDPR de dados pessoais.,

    para trazê-lo de volta à “Lei da carta negra”, O CCPA também contém uma longa lista de identificadores que considera informações pessoais, incluindo biométricos, geolocalização, e-mail, histórico de navegação, dados de funcionários, e muito mais.

    A CCPA também introduz “identificadores probabilísticos”. Os advogados estarão discutindo o que isso significa, mas parece que os dados que dão mais de 50% de chance de identificar alguém serão tratados da mesma forma que um identificador determinístico. Talvez uma combinação de, digamos, dados de visualização do Netflix e geolocalização pode ser suficiente para inclinar as escalas., A propósito, outros estados pegaram o termo probabilístico em suas leis (abaixo).

    California goes “meta” with its probabilistic identifiers.

    embora o foco — e com razão —tenha sido em extensos novos direitos de privacidade para os consumidores, há também um componente de segurança de dados para o CCPA. A lei exige que as empresas “implementem e mantenham procedimentos de segurança razoáveis”. O que significa?, Ninguém tem a certeza, apesar de haver fortes indícios de que o governo da Califórnia está olhando para o centro dos 20 controles top da segurança da Internet e a estrutura de segurança da infra-estrutura crítica do NIST (CIS) como linhas de base.com nenhuma resposta federal ao GDPR no horizonte, vários outros estados estão tomando uma página do Livro da Califórnia, elaborando seus próprios regulamentos para dar aos cidadãos um maior controle sobre seus dados pessoais. Embora a maioria destas facturas use a CCPA como um quadro, existem diferenças. Até montámos uma cábula no final para comparar as diferentes leis do estado propostas., Vamos primeiro olhar para duas propostas duras de Privacidade que saem de Nova York e Massachusetts

    Lei de Privacidade de dados de Massachusetts

    a lei proposta de Privacidade de Dados (s-120) compartilha muito da linguagem CCPA. Acesso dos consumidores às informações pessoais? Verificar. Direito de apagar? Verificar. Notificação explícita dos direitos de Privacidade e a possibilidade de optar pela Não comercialização de dados por terceiros? Verificar. Uma definição ampla de informações pessoais, incluindo identificadores probabilísticos? Verificar.,

    existem algumas divergências importantes da CCPA, que incluem o direito de os consumidores processarem por qualquer violação da lei de Massachusetts proposta. Os consumidores “não precisam sofrer uma perda de dinheiro ou de propriedade como resultado da violação” para intentar uma ação.os advogados ressaltam que há uma enorme exposição potencial de Empresas de Massachusetts a processos judiciais de ação coletiva: os queixosos podem recuperar até US $750 por consumidor. Por exemplo, em 2017, quase 400.000 massa., os moradores foram afetados por violações de dados, levando a uma possível exposição, se a lei estivesse em vigor, de quase US $300 milhões para aquele ano.

    New York Privacy Act

    New York’s proposed S5642 (currently on hold) contains some of the hallmarks of CCPA. Há o direito de apagar e solicitar informações pessoais. A definição de informação pessoal — “qualquer informação relacionada com uma pessoa identificada ou identificável” – inclui uma lista muito extensa de identificadores: biométricos, endereços de E-mail, informações de rede e muito mais.,ao contrário da Califórnia e de Massachusetts, A Lei de Nova Iorque tem um direito privado de ação por qualquer violação da lei! E a lei aplica-se a todos os negócios sem qualquer limiar de receita, que difere da Califórnia e de outros estados. Isto torna a lei NY proposta bastante rigorosa.a lei NY, porém, apenas exige que as empresas divulguem aos consumidores as amplas categorias de informação compartilhada a terceiros. Em algumas circunstâncias, os consumidores teriam o direito de solicitar cópias de informações específicas partilhadas.,outra diferença fundamental é que a lei NY proposta impõe o papel de fiduciário de dados”, forçando todas as empresas NYS a serem legalmente responsáveis pelos dados de consumo que possuem. O NY lei é muito ampla vista: “o exercício do dever de diligência, lealdade e confidencialidade esperado de um agente fiduciário com relação à proteção de dados pessoais de um consumidor contra um risco de privacidade; e deve agir no melhor interesse do consumidor, sem levar em conta os interesses da entidade, controlador ou corretor de dados”. Resumindo: os dados são propriedade dos consumidores.,

    O NY act também dá aos consumidores a capacidade de corrigir informações inexactas, tornando-as mais próximas do Espírito da GPDR da UE. Nenhum dos outros clones, incluindo a Califórnia, vai tão longe!

    Hawaii Consumer Privacy Protection Act

    Hawaii’S S SB 418 is similar to the CCPA, offering all of the same major rights and protections (potentially more, based on the current wording of the bill). Enquanto a CCPA se aplica explicitamente a sites que realizam negócios no estado da Califórnia, O projeto de lei SB 418 do Havaí não tem cláusula semelhante., Em teoria, sites baseados em qualquer lugar do mundo poderiam violar a lei se eles não oferecem proteção adequada, como delineado no projeto de lei. No entanto, é provável que o projeto de lei seja alterado em um rascunho posterior para se concentrar apenas em sites havaianos.

    Maryland Online Consumer Protection Act

    Maryland SB 613 é outro projeto de lei com o potencial de expandir o escopo da CCPA em algumas áreas. As empresas terão obrigações semelhantes de divulgar o uso da informação, porém, em menor grau do que no âmbito da CCPA., E como Califórnia e Massachusetts, há também o uso de um” identificador probabilístico ” para se referir a um certo tipo de informação pessoal. Força, Maryland!

    no entanto, este projeto de lei vai além do âmbito da CCPA quando se trata de divulgar o envolvimento de terceiros. Nos termos da CCPA, as empresas só têm de divulgar se a informação do consumidor estiver a ser vendida a um terceiro, mas de acordo com o SB 613 de Maryland, as empresas teriam de divulgar qualquer informação que seja transmitida a terceiros, mesmo que esses dados sejam transferidos gratuitamente., Este projeto de lei também proíbe sites de divulgar conscientemente quaisquer informações pessoais coletadas sobre crianças.

    Dakota do Norte

    Dakota do Norte HB 1485, que atualmente está na Câmara dos Representantes do Estado, é o projeto de lei mais leve da lista. A única cláusula significativa do HB 1485 restringiria completamente os websites de transmitir qualquer informação a terceiros sem o consentimento dos utilizadores. Não existe o direito de retirar ou eliminar informações após a concessão do consentimento.,

    US State Privacy Law Comparison

    State Right to Delete? Right to Access? Right to Correct? Private Right of Private Action? Broad Definition of PII?,4f”>

    Revenues over $25 million

    In effect : 1/1/2020
    New York Yes Yes Yes $750/consumer Yes All Pending
    Maryland Yes Yes No No., (Apenas através de AG.,div id=”e783018f4f”>

    All

    Pending
    North Dakota No Yes No Limited No Over $25 million Pending

    Micro Data Privacy FAQ and Cheat Sheet

    The most cocktail-worthy privacy chitchat from this post compressed into four questions!,

    Q: os EUA têm uma única lei de privacidade do consumidor ao estilo do GDPR?

    A: No. Em vez disso, os EUA focaram verticalmente as leis federais de privacidade de dados para finanças (GLBA), saúde (GLBA), dados de crianças (COPPA), bem como uma nova onda de leis de privacidade do estado com Califórnia Consumer Privacy Act (CCPA) sendo o mais significativo.

    As razões para esta manta de retalhos estão enraizadas em decisões políticas dos EUA para promover a inovação – “quebrá — la e ver o que acontece” – na tecnologia em relação a outras considerações., Mas em “nossos laboratórios da democracia”, as leis estaduais estão finalmente alcançando a realidade e, em última análise, vai abanar o cão federal.que estados têm leis de Privacidade?

    A: muito poucos-três no total! Claro, todos os 50 estados agora têm uma regra de notificação de violação de dados geralmente também exigindo uma segurança de dados razoável. Mas a partir desta escrita, apenas a Califórnia, Nevada e Maine têm leis de Privacidade em vigor. Vários estados (ver acima) têm leis de Privacidade trabalhando seu caminho através das legislaturas., Para uma foto atual do status destas leis estaduais propostas, a Associação Internacional de profissionais de Privacidade (IAPP) está mantendo um scorecard atualizado.

    Q: O que é protegido pela Lei da privacidade de 1974?

    A: muitas pessoas assumem que, quando a Lei de Privacidade foi aprovada nos anos 70, ela protege os dados do consumidor nos EUA. Nada pode estar mais longe da verdade! Enquanto a Lei de privacidade dos EUA foi uma legislação inovadora, incorporando ideias como minimização de dados, direito de acesso e direito de corrigir — está limitada aos dados coletados pelo governo dos EUA de seus cidadãos., Não tem qualquer impacto na indústria privada ou, em particular, nos dados recolhidos na Internet pelas empresas.

    Q: as leis federais e estaduais de privacidade dos EUA impactam empresas estrangeiras?

    A: na medida em que empresas estrangeiras incorporam subsidiárias nos EUA, elas estariam sob todas as leis dos EUA, incluindo, claro, nossas leis de segurança de dados e Privacidade. A verdadeira questão é se os EUA têm um aspecto extraterritorial nas suas leis de segurança e privacidade, como o GDPR da UE, que iria chegar a organizações fora das suas fronteiras. E a resposta a isso é não.,fechando os pensamentos de Privacidade e o futuro das leis de Privacidade de dados com os Estados tomando a iniciativa de inovar nesta área, talvez seja apenas uma questão de tempo até que uma lei federal seja introduzida para criar condições de igualdade.

    entretanto, há três lições a tirar das experiências do estado:

    • PII será definido para ir além dos identificadores ordinários para abranger identificadores probabilísticos (ou quase-PII) que podem ser usados para identificar indiretamente os consumidores.
    • o direito de excluir se tornará uma parte essencial das leis de Privacidade., Se isso se estenderá a um “direito a ser esquecido” mais amplo é menos provável
    • existe agora um entendimento entre os reguladores que os consumidores querem saber todas as informações que as empresas têm sobre eles, apoiado com o direito de ver e possivelmente corrigir esses dados.
    Proposta de legislação de privacidade de Congressista Eschoo.

    Onde está toda esta posição?, Se eu fosse prognosticar, diria algo próximo dos actos de Privacidade recentemente propostos pela congressista Eschoo ou o senador Cantwell tornar-se-á a lei da terra.

    E isto é, uma futura lei de privacidade dos EUA irá refletir algumas das ideias-chave da CCPA. Mas como vimos na Califórnia, provavelmente haverá isenções e amolecimento de requisitos envolvendo direitos de privacidade dos funcionários, pedidos de acesso e exclusão, e, finalmente, sanções e multas.intrigado, preocupado, ou completamente em pânico com o que vem pela estrada da privacidade?, Peça uma demonstração de nossa privacidade de dados e soluções de segurança para aprender como podemos ajudar!

Author: admin

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *