Conformidade com a lei de privacidade dos EUA para seu site, aplicativo e empresa
As leis estaduais estão impondo novos requisitos às empresas e, como resultado, também novas responsabilidades legais e técnicas. A conformidade pode ser complicada. Nossas soluções eliminam as suposições sobre conformidade, fazendo o levantamento técnico e jurídico detalhado para que você possa se concentrar no crescimento dos seus negócios.
Quais leis se aplicam a mim?
CPRA
A Lei de Direitos de Privacidade da Califórnia (CPRA) se baseia nas disposições existentes da CCPA, enriquece os direitos do consumidor e adiciona novos requisitos para empresas que processam dados pessoais de residentes da Califórnia.
Aplica-se a pessoas jurídicas que fazem negócios na Califórnia com fins lucrativos, que processam informações pessoais dos consumidores e que atendem a um ou mais dos seguintes requisitos:
- receitas brutas anuais superiores a US$ 25 milhões;
- compra, vende ou compartilha anualmente as informações pessoais de 100.000 ou mais consumidores ou famílias; ou
- obtém 50% ou mais de suas receitas anuais com a venda ou compartilhamento* de informações pessoais dos consumidores.
* Pode incluir integrações de terceiros em seu site.
Não tem certeza se a CPRA se aplica a você? → Faça esse teste de apenas 1 minuto
VCDPA
A Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA) foi sancionada em março de 2021, e a Virgínia se tornou o segundo estado nos Estados Unidos a promulgar uma lei abrangente de privacidade de dados, depois da Califórnia. A VCDPA entrou em vigor em 1º de janeiro de 2023.
Ela se aplica a pessoas que realizam negócios na Virgínia ou que fornecem produtos ou serviços direcionados aos residentes da Virgínia e que:
- durante um ano civil, controlam ou tratam dados pessoais de pelo menos 100.000 consumidores; ou
- controlam ou tratam dados pessoais de pelo menos 25.000 consumidores e obtêm mais de 50% da receita bruta com a venda de dados pessoais.
CPA
A Lei de Privacidade do Colorado (CPA) entrou em vigor no dia 1º de julho de 2023 e foi criada para proteger os direitos de privacidade dos residentes do Colorado, regulamentando a forma como as empresas coletam, tratam e armazenam dados pessoais.
Ela se aplica aos controladores que realizam negócios no Colorado ou que direcionam intencionalmente produtos ou serviços comerciais aos residentes do Colorado, e:
- controlam ou tratam dados pessoais de 100.000 consumidores ou mais durante um ano civil; ou
- obtém receita da venda de dados pessoais e tratam ou controlam dados pessoais de 25.000 consumidores ou mais.
CTDPA
A Lei de Privacidade de Dados de Connecticut (CTDPA) entrou em vigor no dia 1º de julho de 2023 e exige que você forneça aos consumidores avisos de privacidade claros e relevantes que incluam informações sobre tratamento de dados pessoais, finalidades, direitos do consumidor e compartilhamento com terceiros, entre outros requisitos.
Ela se aplica a pessoas que realizam negócios em Connecticut ou produzem produtos ou serviços direcionados aos residentes de Connecticut e que durante o ano civil anterior:
- controlaram ou trataram dados pessoais de pelo menos 100.000 consumidores (exceto dados pessoais controlados ou tratados exclusivamente para finalizar uma transação de pagamento); ou
- controlaram ou trataram dados pessoais de pelo menos 25.000 consumidores e obtiveram mais de 25% de sua receita bruta com a venda de dados pessoais.
UCPA
A Lei de Privacidade do Consumidor de Utah (UCPA) é uma nova lei de privacidade do consumidor em Utah que entrou em vigor em 31 de dezembro de 2023. A UCPA adota uma abordagem favorável às empresas em relação à privacidade do consumidor. A UCPA destina-se a fornecer um padrão viável para empresas e, ao mesmo tempo, proteger os direitos garantidos dos consumidores de Utah.
Ela se aplica a qualquer organização que:
- celebre negócios em Utah; ou
- produza um produto ou serviço direcionado a consumidores residentes em Utah;
- tenha receita anual de USD 25.000.000 ou mais; e
- atenda a um ou mais dos seguintes parâmetros:
- durante um ano civil, controla ou trata dados pessoais de 100.000 ou mais consumidores; ou
- obtém mais de 50% da receita bruta da entidade com a venda de dados pessoais e controla ou trata dados pessoais de 25.000 ou mais consumidores.
TDPSA
A Lei de Privacidade e Segurança de Dados do Texas (TDPSA), também conhecida como HB 4, foi sancionada em 18 de junho pelo governador Greg Abbott e entrou em vigor em 1º de julho de 2024.
A Lei se aplica a:
- empresas que realizam operações no Texas;
- produzem produtos ou serviços para residentes do Texas;
- tratam ou vender dados pessoais; e
- não se qualificam como pequenas empresas nos termos da legislação dos EUA. Diretrizes da Administração de Pequenas Empresas.
MTCDPA
A Lei de Privacidade e Segurança de Dados do Texas (TDPSA), também conhecida como HB 4, foi sancionada em 18 de junho pelo governador Greg Abbott e entrou em vigor em 1º de julho de 2024.
A Lei se aplica a:
- empresas que realizam operações no Texas;
- produzem produtos ou serviços para residentes do Texas;
- tratam ou vender dados pessoais; e
- não se qualificam como pequenas empresas nos termos da legislação dos EUA. Diretrizes da Administração de Pequenas Empresas.
Linha do tempo das leis estaduais dos EUA
-
A Lei de Privacidade do Consumidor da Califórnia (CCPA) entra em vigor com um período de carência de 6 meses.
A conformidade com a CCPA agora é ativamente monitorada e fiscalizada pela Procuradoria Geral da República, que emite avisos de descumprimento e multas, caso as violações persistam após o período de remediação de 30 dias.
-
A CPRA inicia sua retrospectiva de 12 meses. As empresas agora devem levar em consideração as informações pessoais coletadas e processadas durante um período de 12 meses anteriores à solicitação do consumidor.
-
A Lei de Direitos de Privacidade da Califórnia (CPRA) altera a CCPA e entra em vigor. O período de remediação de 30 dias não se aplica mais.
Para estar em conformidade com a CPRA, você precisa seguir os seguintes passos:
É importante observar que as etapas que você precisa seguir para estar em conformidade dependerão da natureza do seu negócio e do tipo de informação pessoal que você coleta e processa. Veja se sua empresa se qualifica para este teste de 1 minuto
Para informações específicas sobre como cumprir com o acima exposto, acesse aqui: Como a iubenda pode ajudá-lo a cumprir com a CPRA?A Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA) entra em vigor e é aplicada.
Para estar em conformidade com a VCDPA, você precisa seguir os seguintes passos:
É importante observar que as etapas específicas que você precisa seguir para estar em conformidade dependerão da natureza do seu negócio, do tipo de informação pessoal que você coleta e processa e de outros fatores.
Para informações específicas sobre como cumprir os requisitos acima, acesse: Como a iubenda pode ajudá-lo a cumprir com a VCDPA?A Lei de Direitos de Privacidade da Califórnia (CPRA) é aplicada.
A CPRA agora é ativamente monitorada e aplicada pela Agência de Proteção de Privacidade da Califórnia (CPPA), que aplica multas ou penalidades por descumprimento.
Informamos que, após a decisão do Tribunal Superior do Condado de Sacramento, a aplicação dos regulamentos finais emitidos pela Agência de Proteção à Privacidade da Califórnia foi adiada para 29 de março de 2024. A decisão, no entanto, não afeta as disposições estatutárias da CPRA, que estão em vigor desde 1º de julho de 2023.A Lei de Privacidade do Colorado (CPA) entra em vigor.
Para estar em conformidade com a CPA, você precisa seguir os seguintes passos:
Para informações específicas sobre como cumprir com o acima exposto, acesse aqui: Como a iubenda pode ajudá-lo a cumprir com a CPA?
A Lei de Privacidade de Dados de Connecticut (CTDPA) entra em vigor.
Para estar em conformidade com a CTDPA, você precisa seguir os seguintes passos:
Para mais informações sobre como cumprir os requisitos acima, clique aqui.
A Lei de Privacidade do Consumidor de Utah (UCPA) entra em vigor.
Para estar em conformidade com a UCPA, você precisa seguir os seguintes passos:
Para mais informações sobre como cumprir os requisitos acima, clique aqui.
-
A exigência da Lei de Privacidade do Colorado para honrar as solicitações de exclusão dos consumidores feitas por meio de um universal opt-out mechanism is now effective.
A Lei de Privacidade do Consumidor do Oregon (OCPA) agora está em vigor
Observe que as empresas sem fins lucrativos têm mais um ano, até 1 de julho de 2025, para cumprir esta lei.
A Lei de Privacidade e Segurança de Dados do Texas (TDPSA) agora está em vigor.
A Lei de Privacidade de Dados do Consumidor de Montana (MTCDPA) agora está em vigor.
Observe que organizações sem fins lucrativos e algumas outras entidades não estão sujeitas a esta lei.
-
A Lei de Privacidade de Dados do Consumidor de Montana agora exige que as empresas reconheçam e respeitem os sinais de opt-out universais de consumidores que optam por não vender seus dados pessoais ou não receber publicidade direcionada.
-
A Lei de Privacidade do Consumidor do Oregon agora exige que as empresas reconheçam os sinais de “Controle de privacidade global” de navegadores como o Chrome, que permitem que os usuários optem por não receber vendas de dados ou anúncios direcionados.
O que é necessário para cumprir as leis nos EUA?
Como os regulamentos diferem ligeiramente de estado para estado, acompanhar todos os cenários pode ser um trabalho cansativo. As soluções da iubenda aplicam os padrões mais robustos para ajudá-lo a cumprir com o mínimo de esforço. Basta selecionar Leis Estaduais dos EUA em seu gerador para cumprir as principais regulamentações dos EUA
Divulgações detalhadas por meio da Política de Privacidade
Requisitos dos EUAEmpresas devem incluir informações específicas em suas políticas de privacidade. Estas informações incluem descrições dos direitos do consumidor, parceiros operadores, finalidades, fontes, etc. Esta informação deve ser completa, atualizada e facilmente acessível por meio do seu website ou aplicativo.
As políticas são inválidas se faltarem as informações certas
Para se manter em conformidade, a sua política de privacidade deve conter, pelo menos:
- Inclua as categorias de informações pessoais que sua empresa vendeu ou compartilhou com terceiros nos últimos 12 meses, uma lista de terceiros relevantes e sua finalidade comercial. Você também precisa informar se vendeu ou compartilhou informações pessoais dos usuários nos últimos 12 meses.
- Adicione uma declaração informando se sua empresa conscientemente vende ou compartilha as informações pessoais de usuários menores de 16 anos.
- Inclua as categorias de informações pessoais que sua empresa divulgou (para fins empresariais) a terceiros nos últimos 12 meses, uma lista de terceiros relevantes e a finalidade do seu negócio. Você também deve informar se divulgou informações pessoais dos consumidores nos últimos 12 meses.
- Informe se sua empresa usa ou divulga informações pessoais sensíveis para outras finalidades que não as especificadas na lei.
- Forneça links para formulários de solicitação on-line ou portais para que seus usuários possam fazer solicitações relacionadas à coleta, divulgação ou venda de suas informações pessoais.
Veja aqui a lista de verificação completa de informações que devem ser incluídas em sua política de privacidade de acordo com os requisitos da CPRA.
- Inclua as categorias de dados pessoais tratados pela sua empresa.
- Inclua a finalidade da sua empresa para tratar dados pessoais.
- Informe seus usuários sobre como eles podem exercer seus direitos (veja abaixo), incluindo como podem recorrer de uma decisão sobre suas solicitações. Você deve fornecer uma ou mais formas de os usuários enviarem uma solicitação.
- Inclua as categorias de dados pessoais que sua empresa compartilha com terceiros, se houver.
- Inclua as categorias de terceiros, se houver, com quem sua empresa compartilha dados pessoais.
Especificamente, a CPA exige que você forneça um aviso de privacidade que inclua as seguintes informações:
- Categorias de dados pessoais coletados ou tratados.
- Finalidades para as quais são tratadas as categorias de dados pessoais.
- Como e onde os consumidores podem exercer seus direitos, incluindo as informações de contato e como recorrer da ação de um controlador em relação à solicitação de um consumidor.
- Categorias de dados pessoais compartilhados com terceiros, se houver;
- Categorias de terceiros com quem os dados pessoais são compartilhados, se houver.
Mais detalhes aqui →
A nova lei de privacidade de Connecticut exige que você forneça aos consumidores um aviso de privacidade claro e significativo que seja razoavelmente acessível. Veja aqui uma lista de verificação do que precisa ser incluído em sua política de privacidade para estar em conformidade com a nova lei:
- Categorias de Dados Pessoais: Sua política de privacidade deve incluir uma lista das categorias de dados pessoais que você trata.
- Finalidades do tratamento: Sua política de privacidade deve indicar claramente as finalidades do tratamento de dados pessoais. Isso inclui qualquer motivo pelo qual você coleta e usa dados pessoais, como para cumprir um contrato ou fornecer um serviço.
- Direitos do consumidor: Sua política de privacidade deve explicar como os consumidores podem exercer seus direitos de acordo com a lei. Isso inclui como o consumidor pode acessar, corrigir, excluir ou restringir o tratamento de seus dados pessoais. Você também deve incluir informações sobre como o consumidor pode recorrer de uma decisão relacionada à sua solicitação.
- Compartilhamento com terceiros: Se você compartilhar dados pessoais com terceiros, sua política de privacidade deve especificar as categorias de dados pessoais que você compartilha.
- Categorias de terceiros: Sua política de privacidade também deve especificar as categorias de terceiros com os quais você compartilha dados pessoais.
- Informações de contato: Sua política de privacidade deve fornecer um endereço de correio eletrônico ativo ou outro mecanismo on-line que os consumidores possam usar para entrar em contato com você em caso de dúvidas sobre seus dados pessoais.
- Venda ou publicidade direcionada: Se você tratar dados pessoais para finalidades de venda ou publicidade direcionada, sua política de privacidade deve divulgar esse fato de forma clara e visível. Você também deve fornecer informações sobre como os consumidores podem exercer seu direito de cancelar esse tratamento.
Mais detalhes aqui →
Se você estiver sujeito à Lei de Privacidade do Consumidor de Utah (UCPA), deverá fornecer uma política de privacidade razoavelmente acessível e clara para os consumidores. Sua política de privacidade deve incluir o seguinte:
- Categorias de Dados Pessoais tratados: Identifique os tipos de dados pessoais que sua empresa coleta e trata, como nomes, endereços de e-mail e informações de pagamento.
- Finalidades do tratamento de Dados Pessoais: Descreva os motivos pelos quais sua empresa coleta e trata dados pessoais, tais como atender pedidos, fornecer suporte ao cliente ou melhorar produtos ou serviços.
- Direitos do consumidor: Explique como os consumidores podem exercer seus direitos, por exemplo, o direito de acessar e excluir seus dados pessoais. Observe que a UCPA não concede aos consumidores o direito de solicitar a correção de dados pessoais imprecisos.
- Compartilhamento de Dados Pessoais: Informe as categorias de dados pessoais que sua empresa compartilha com terceiros, se houver. Por exemplo, você pode compartilhar informações de pagamento com um processador de pagamento ou endereços de correspondência com um provedor de remessa.
- Terceiros: Identifique as categorias de terceiros com quem sua empresa compartilha dados pessoais, se houver. Isso pode incluir fornecedores, provedores de serviços ou parceiros de marketing.
Mais detalhes aqui →
A Lei de Privacidade e Segurança de Dados do Texas exige que os controladores forneçam um aviso de privacidade razoavelmente acessível e claro aos consumidores, descrevendo, por exemplo:
- as categorias de dados pessoais, incluindo dados sensíveis, se aplicável, que estão sendo tratados e as finalidades do tratamento;
- como os consumidores podem exercer seus direitos; e
- as categorias de dados pessoais compartilhados com terceiros e as categorias de terceiros com os quais as informações são compartilhadas.
Se os controladores realizarem a venda de dados sensíveis, eles serão obrigados a divulgar tal informação de forma apropriada aos consumidores. Para determinados tipos de tratamento de dados, os controladores de dados devem concluir avaliações de proteção de dados.
Forneça um aviso de privacidade claro, detalhando:
- as categorias de dados pessoais tratados;
- finalidades de tratamento;
- práticas de compartilhamento;
- informações de contato; e
- como exercer os direitos dos consumidores.
A OCDPA exige que os controladores ofereçam aos consumidores um aviso de privacidade claro, acessível e relevante. Este aviso deve incluir:
- As categorias de dados pessoais (incluindo dados sensíveis) tratados pelo controlador e as finalidades do tratamento.
- As categorias de dados pessoais compartilhados com terceiros e as identidades desses terceiros.
- Informações sobre quaisquer atividades de tratamento relacionadas à publicidade direcionada.
- Instruções sobre como os consumidores podem entrar em contato com o controlador e exercer seus direitos de privacidade, incluindo o processo de apelação.
Gerador de Política de Privacidade e Cookies
Customizável com mais de 2000 cláusulas, e disponível em 14 idiomas, automaticamente atualizado em caso de alterações na lei. Nosso gerador permite que você crie documentos legais em minutos e integre-os facilmente em seu site ou aplicativo.
Exibir aviso e permitir cancelamento (opt-out)
A CPRA (alteração da CCPA) exige que você exiba um aviso antes ou no momento da coleta informando aos consumidores quais categorias de informações pessoais serão coletadas e as finalidades da coleta. Os consumidores também devem ser autorizados a optar por não participar desse tratamento. Como empresa, você é responsável por informar os consumidores sobre essa opção e fornecer os meios de opt-out.
Sobretudo, você deve:
- Detectar se um consumidor é ou não residente na Califórnia e se ele já visitou seu site antes
- Facilitar solicitações de opt-out por meio de um link DNSMPI
- Instruir terceiros relevantes a interromper o tratamento das informações do consumidor quando uma solicitação de opt-out for recebida.
- Fornecer-lhes um aviso na primeira visita ao site contendo as informações necessárias
Informamos que, nos termos da VCDPA, não há indicações de que sejam necessários links de opt-out que permitam aos usuários cancelar o tratamento de dados pessoais para determinadas finalidades .
As disposições da VCDPA, de fato, tratam os direitos de opt-out dos usuários da mesma maneira que quaisquer outros direitos de usuários concedidos pela Lei.
Sua empresa precisa atender às solicitações dos usuários da seguinte forma:
- Você precisa atender à solicitação no prazo de 45 dias. O período de resposta pode ser prorrogado uma vez por mais 45 dias, quando razoavelmente necessário, desde que você informe o usuário sobre qualquer prorrogação dentro do período inicial de resposta de 45 dias, juntamente com o motivo da prorrogação;
- Caso você se recuse a tomar providências em relação à solicitação de seus usuários, informe o usuário sobre essa recusa no prazo de 45 dias, indicando a respetiva justificativa e instruções sobre como recorrer da decisão;
- Se você não conseguir validar uma solicitação usando esforços comercialmente razoáveis, você não será obrigado a atender à solicitação e poderá requerer informações adicionais que sejam razoavelmente necessárias para validar o usuário e sua solicitação.
Informamos que, de acordo com a CPA, não há indicações de que sejam necessários links de opt-out que permitam aos consumidores cancelar o tratamento de dados pessoais para determinadas finalidades. No entanto, se você estiver tratando dados pessoais para publicidade direcionada ou venda, deverá disponibilizar de forma clara e visível um método para que os consumidores exerçam seu direito de optar por não participar.
Esse método deve ser descrito de forma clara e visível no aviso de privacidade e deve ser facilmente acessível fora do aviso de privacidade.
Você também deve permitir que os consumidores desativem o tratamento de seus dados pessoais para publicidade direcionada ou venda por meio de um sinal de preferência de opt-out enviado por uma plataforma, tecnologia ou mecanismo, com o consentimento do consumidor.
Esse mecanismo deve:
- não prejudicar injustamente outros controladores,
- exigir uma escolha afirmativa e inequívoca do consumidor,
- ser fácil de usar,
- ser o mais consistente possível com outros mecanismos semelhantes exigidos por leis ou regulamentos federais ou estaduais, e
- permitir que o controlador determine se o consumidor é residente de Connecticut e se fez uma solicitação legítima de opt-out.
De acordo com a Lei de Privacidade do Consumidor de Utah (UCPA), os consumidores têm o direito de cancelar o tratamento de seus dados pessoais para finalidades de publicidade direcionada ou para a venda de seus dados pessoais a terceiros. No entanto, a lei não fornece diretrizes específicas sobre como você deve permitir que os consumidores exerçam esse direito.
Para cumprir a UCPA, você deve:
- fornecer aos consumidores um meio de enviar solicitações de opt-out; e
- especificar o direito que pretendem exercer.
É importante observar que, de acordo com a UCPA, os links de opt-out são levados em consideração apenas em relação ao direito do consumidor de cancelar o tratamento de dados sensíveis.
A TDPSA exige o consentimento do usuário nos seguintes cenários:
- Consentimento Opt-in para Tratamento de Dados Sensíveis: Os controladores não podem tratar dados sensíveis sem o consentimento explícito do usuário. Ao tratar dados pessoais sensíveis de menores, os controladores também devem cumprir a Lei de Proteção à Privacidade On-line das Crianças, de 1998.
- Consentimento Opt-in para Tratamento de Dados de Crianças: Para as finalidades desta lei, crianças são definidas como menores de 13 anos.
As empresas geralmente podem tratar dados dos consumidores sem seu consentimento se as finalidades do tratamento forem as mesmas divulgadas inicialmente. Para finalidades que não sejam razoavelmente necessárias e compatíveis com aquelas originalmente especificadas na política de privacidade, é necessário obter o consentimento do usuário.
As empresas devem obter o consentimento do consumidor para as seguintes finalidades:
- Tratamento de dados sensíveis.
- Tratamento de dados pessoais de menores de 13 a 16 anos para venda e publicidade direcionada, se a empresa tiver conhecimento da idade delas.
Forneça aos consumidores um método fácil para retirar seu consentimento. Após o consumidor revogar o consentimento, interrompa o tratamento relevante de seus dados pessoais no prazo de 45 dias.
Mecanismos de opt-out
- Informar se os dados pessoais serão vendidos ou usados para publicidade direcionada.
- Fornecer métodos para que os consumidores optem por não participar de vendas de dados, publicidade direcionada e perfilamento.
- Reconhecer sinais verificáveis de opt-out de agentes autorizados, incluindo mecanismos globais de opt-out.
Até 1º de janeiro de 2025, as empresas devem permitir que os consumidores optem por não receber publicidade direcionada e por não vender seus dados pessoais usando sinais de opt-out.
Para tratar dados pessoais além do que é razoavelmente necessários para as finalidades originalmente divulgadas aos consumidores, as entidades devem obter o consentimento ativo e opcional dos consumidores. As mesmas diretrizes de consentimento se aplicam à coleta e ao tratamento de qualquer informação sensível.
A OCPA descreve requisitos claros de consentimento:
- Os consumidores devem fornecer ações afirmativas claras.
- O consentimento deve ser inequívoco e consciente.
- O mecanismo de consentimento não pode obscurecer, subverter ou prejudicar a tomada de decisão dos consumidores.
- Deve haver uma maneira fácil e semelhante para os consumidores retirarem seu consentimento a qualquer momento.
- A inércia do consumidor não constitui consentimento.
Além disso, é necessário o consentimento ativo de um responsável legal para tratar dados de crianças menores de treze anos, inclusive para publicidade direcionada ou venda de informações.
Privacy Controls and Cookie Solution para a CCPA
Notifique consumidores e gerencie os cancelamentos (opt-out). CCPA Compliance Framework do IAB integrado
Nossa solução permite:
Exibir um link "Não vender minhas informações pessoais" (DNSMPI) no aviso e em outro lugar do seu site/aplicativo, apoiando assim a desativação da venda
Detectar e aplicar automaticamente os padrões corretos (incluindo múltiplos padrões) baseados em localização. Nossa solução permite aplicar os padrões da CPRA (anteriormente CCPA) e do GDPR aos mesmos usuários sempre que exigido por lei
Registrar e passar automaticamente as preferências dos usuários como cancelamento, para anunciantes que concordam com a CCPA Compliance Framework do IAB (como Google e AdRoll)
Mantenha arquivos atualizados para o cancelamento manual
Requisitos dos EUAComo mencionado acima, semelhante à CPRA (anteriormente CCPA), a maioria dessas leis estaduais concede aos usuários o direito de cancelar. Nos casos em que o tratamento é manual (i.e.: não relacionado aos scripts como no caso de direct e-mail marketing) empresas podem ter que implementar manualmente a solicitação de cancelamento (opt-out).
Além disso, leis como a CPRA determinam que os usuários não podem ser contatados por um período mínimo de 12 meses após a solicitação. Por esse motivo, é prudente manter registros de detalhes de exclusão, como o usuário específico, a data e os subcontratados a serem notificados no caso de solicitações.
Consent Database
Registro das atividades de processamento de dados
Nosso Registro das atividades de processamento de dados Solution permite registrar todos os detalhes necessários para cumprir com as solicitações de consumidores com precisão.
A solução arquiva:
- detalhes de segurança como os membros da sua organização que podem acessar os dados dos usuários;
- operadores terceiros registrados para tratar dados a seu favor;
- finalidades adicionadas manualmente para tratamento;
- métodos de coleta de dados e muito mais.
Penalidades e multas por descumprimento
Multa civil de
US$ 2.500 por violação ou;
US$ 7.500 por violação se for intencional ou envolver informações pessoais de uma criança.
Multa civil de até US$ 7.500 para cada violação.
Embora essas multas possam não parecer tão altas quando comparadas a outras leis de privacidade, considere que elas se aplicam por violação individual e por consumidor. Para uma empresa com apenas alguns clientes, essas multas podem chegar a uma quantia bastante considerável.
No geral, quais são as principais exigências para os proprietários de sites e aplicativos?
Compartilhamento e perfilamento
Se você tiver usuários dos EUA, pode ser necessário cumprir leis como a CPRA e a VCDPA quando se trata de perfilamento ou compartilhamento de informações do usuário. Isso significa que você deve informar aos usuários que está processando seus dados dessa maneira e permitir que eles interrompam o compartilhamento (opt-out).
Registros de Consentimento
Algumas regiões como a Europa e o Brasil exigem que você mantenha as provas de consentimento (também conhecidas como registros de consentimento). Em muitos casos, sem esses registros, os consentimentos que você coleta podem ser considerados inválidos - te colocando em violação da lei.
Requisitos cross-region (entre regiões)
Se você tiver usuários de várias regiões (por exemplo, Europa e EUA), talvez seja necessário cumprir simultaneamente as leis de várias regiões, como a lei da Califórnia [CPRA] ou o GDPR da Europa. Isso significa ter divulgações específicas da região disponíveis em seus documentos de privacidade, e muito mais.
Utilizado por +130.000 clientes em mais de 100 países
TESTE ANTES DE COMPRAR ou MANTENHA A OPÇÃO GRATUITA
3024131 documentos já gerados
Perguntas frequentes
Como se preparar para a CPRA?
A CPRA torna-se lei em 1º de janeiro de 2023 e entrará em vigor em 1º de julho de 2023.
Nós da iubenda, como sempre, estamos atentos às atualizações mais recentes e garantimos que todos os nossos documentos e produtos sejam ajustados a tempo para ajudá-lo a manter a conformidade.
Se você já possui procedimentos da CCPA em vigor, pode ser uma boa ideia começar a revisar seus processos e observar algumas coisas:
O que você precisa fazer para se preparar para a VCDPA
Os Estados Unidos obtêm outro regulamento de privacidade de dados por meio da Lei de Proteção de Dados da Virgínia (VCDPA).
A VCDPA entra em vigor em 1º de janeiro de 2023.
Se a sua organização se enquadra no escopo da VCDPA, você deve começar a procurar soluções de conformidade que sejam confiáveis e elaboradas por advogados.
Então, se você ainda não tem um, comece a configurar tudo o que precisa hoje mesmo, que avisaremos quando as cláusulas estiverem disponíveis!
Documentação e guias
Não tem certeza do que precisa?
Leia nosso Guia de introdução
Converse conosco por chat ou contate nosso suporte
Participe também do nosso próximo webinar para obter uma visão geral dos requisitos legais e enviar suas dúvidas em tempo real
Uma solução 360° para deixar seus sites e aplicativos em conformidade com a lei
Conformidade com a lei para sites e apps
Gerador de Política de Privacidade e Cookies
Crie sua política de privacidade e cookies em minutos.
Customizável com mais de 2000 cláusulas, e disponível em 14 idiomas, automaticamente atualizado em caso de alterações na lei. Nosso gerador permite que você crie documentos legais em minutos e integre-os facilmente em seu site ou aplicativo.
Privacy Controls and Cookie Solution
Gerencie as preferências de consentimento conforme a Diretiva ePrivacy, o GDPR, a CPRA (anteriormente CCPA) e a LGPD. Integrado com a IAB TCF e com a CCPA Compliance Framework
Nossa solução permite que você exiba um banner de cookies/banner de consentimento totalmente personalizável, colete o consentimento de cookies, implemente o bloqueio prévio (inclusive o bloqueio automático), defina preferências de publicidade e muito mais.
Conformidade para sua organização
Consent Database
Colete consentimento sob a LGPD e o GDPR, documente inscrições (opt-ins) e cancelamentos (opt-outs ) para CCPA por meio dos seus formulários da web.
Nossa solução se integra facilmente com seus formulários de coleta de consentimento e sincroniza com seus documentos legais, e inclui um dashboard intuitivo para revisão dos registros de consentimento de suas atividades.
Registro das atividades de processamento de dados
Documente todas as atividades de tratamento de dados que ocorrem dentro da sua organização.
Para cumprir com as leis de privacidade, e particularmente com o GDPR, as empresas devem manter registros sobre como armazenam e utilizam os dados coletados dos usuários. A solução da iubenda auxilia na documentação de todas as atividades de tratamento de dados que acontecem dentro da sua organização.