Iubenda logo
Crie Agora

Conformidade com a lei de privacidade dos EUA para seu site, aplicativo e empresa

As leis estaduais estão impondo novos requisitos às empresas e, como resultado, também novas responsabilidades legais e técnicas. A conformidade pode ser complicada. Nossas soluções eliminam as suposições sobre conformidade, fazendo o levantamento técnico e jurídico detalhado para que você possa se concentrar no crescimento dos seus negócios.

Saiba mais sobre os requisitos legais aqui

Criar aviso para CCPA

Quais leis se aplicam a mim?

Em geral, as leis de privacidade dos estados dos EUA, como CPRA (anteriormente CCPA) e a VCDPA, podem se aplicar a você se você segmentar usuários baseados nesses estados e atender simultaneamente a qualquer um dos requisitos descritos abaixo.

CPRA

A Lei de Direitos de Privacidade da Califórnia (CPRA) se baseia nas disposições existentes da CCPA, enriquece os direitos do consumidor e adiciona novos requisitos para empresas que processam dados pessoais de residentes da Califórnia.
Aplica-se a pessoas jurídicas que fazem negócios na Califórnia com fins lucrativos, que processam informações pessoais dos consumidores e que atendem a um ou mais dos seguintes requisitos:

  • receitas brutas anuais superiores a US$ 25 milhões;
  • compra, vende ou compartilha anualmente as informações pessoais de 100.000 ou mais consumidores ou famílias; ou
  • obtém 50% ou mais de suas receitas anuais com a venda ou compartilhamento* de informações pessoais dos consumidores.

* Pode incluir integrações de terceiros em seu site.

Não tem certeza se a CPRA se aplica a você? → Faça esse teste de apenas 1 minuto

VCDPA

A Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA) foi assinada em março de 2021, e a Virgínia se tornou o segundo estado nos Estados Unidos a publicar uma lei abrangente de privacidade de dados depois da Califórnia. A VCDPA entra em vigor em 1º de janeiro de 2023.

Aplica-se a pessoas que realizam negócios na Virgínia ou que forneçam produtos ou realizem serviços direcionados aos residentes da Virgínia e que:

  • durante um ano, controlar ou processar dados pessoais de pelo menos 100.000 consumidores; ou
  • controla ou processa dados pessoais de pelo menos 25.000 consumidores e obtém mais de 50% da receita bruta com a venda de dados pessoais.

CPA

A Lei de Privacidade do Colorado (CPA) foi projetada para proteger os direitos de privacidade dos residentes do Colorado, regulando como as empresas coletam, tratam e armazenam dados pessoais.

Ela se aplica a controladores que celebram negócios no Colorado ou direcionam intencionalmente produtos ou serviços comerciais aos residentes do Colorado, e:

  • controlam ou tratam dados pessoais de 100.000 consumidores ou mais durante um ano civil; ou
  • obtém receita da venda de dados pessoais e tratam ou controlam dados pessoais de 25.000 consumidores ou mais.

CTDPA

A Lei de Privacidade de Dados de Connecticut (CTDPA) exige que você forneça aos consumidores avisos de privacidade claros e significativos que incluam informações sobre tratamento de dados pessoais, finalidades, direitos do consumidor e compartilhamento com terceiros, entre outros requisitos.

Ela se aplica a pessoas que realizam negócios em Connecticut ou produzem produtos ou serviços direcionados aos residentes de Connecticut e que durante o ano civil anterior:

  1. Controlaram ou trataram dados pessoais de pelo menos 100.000 consumidores (exceto dados pessoais controlados ou tratados exclusivamente para finalizar uma transação de pagamento); ou
  2. Controlaram ou trataram dados pessoais de pelo menos 25.000 consumidores e obtiveram mais de 25% de sua receita bruta com a venda de dados pessoais.

UCPA

A Lei de Privacidade do Consumidor de Utah (UCPA) é uma nova lei de privacidade do consumidor em Utah que entrará em vigor em 31 de dezembro de 2023. A UCPA adota uma abordagem favorável às empresas em relação à privacidade do consumidor. A UCPA destina-se a fornecer um padrão viável para empresas e, ao mesmo tempo, proteger os direitos garantidos dos consumidores de Utah.

Aplica-se a qualquer organização que:

  1. Celebre negócios em Utah; ou
  2. Produza um produto ou serviço direcionado a consumidores residentes em Utah;
  3. Tenha receita anual de USD 25.000.000 ou mais; e
  4. Atenda a um ou mais dos seguintes parâmetros:
  5. Durante um ano civil, controla ou trata dados pessoais de 100.000 ou mais consumidores; ou
  6. Obtém mais de 50% da receita bruta da entidade com a venda de dados pessoais e controla ou trata dados pessoais de 25.000 ou mais consumidores.

Linha do tempo das leis estaduais dos EUA

O que é necessário para cumprir as leis nos EUA?

Como os regulamentos diferem ligeiramente de estado para estado, acompanhar todos os cenários pode ser um trabalho cansativo. As soluções da iubenda aplicam os padrões mais robustos para ajudá-lo a cumprir com o mínimo de esforço. Basta selecionar Leis Estaduais dos EUA em seu gerador para cumprir as principais regulamentações dos EUA

CCPA world

Divulgações detalhadas por meio da Política de Privacidade

Requisitos dos EUA

Empresas devem incluir informações específicas em suas políticas de privacidade. Estas informações incluem descrições dos direitos do consumidor, parceiros operadores, finalidades, fontes, etc. Esta informação deve ser completa, atualizada e facilmente acessível por meio do seu website ou aplicativo.

As políticas são inválidas se faltarem as informações certas

Para se manter em conformidade, a sua política de privacidade deve conter, pelo menos:

Invalid document icon
  • Inclua as categorias de informações pessoais que sua empresa vendeu ou compartilhou com terceiros nos últimos 12 meses, uma lista de terceiros relevantes e sua finalidade comercial. Você também precisa informar se vendeu ou compartilhou informações pessoais dos usuários nos últimos 12 meses.
  • Adicione uma declaração informando se sua empresa conscientemente vende ou compartilha as informações pessoais de usuários menores de 16 anos.
  • Inclua as categorias de informações pessoais que sua empresa divulgou (para fins empresariais) a terceiros nos últimos 12 meses, uma lista de terceiros relevantes e a finalidade do seu negócio. Você também deve informar se divulgou informações pessoais dos consumidores nos últimos 12 meses.
  • Informe se sua empresa usa ou divulga informações pessoais sensíveis para outras finalidades que não as especificadas na lei.
  • Forneça links para formulários de solicitação on-line ou portais para que seus usuários possam fazer solicitações relacionadas à coleta, divulgação ou venda de suas informações pessoais.

Veja aqui a lista de verificação completa de informações que devem ser incluídas em sua política de privacidade de acordo com os requisitos da CPRA.

  • Inclua as categorias de dados pessoais tratados ​​pela sua empresa.
  • Inclua a finalidade da sua empresa para tratar dados pessoais.
  • Informe seus usuários sobre como eles podem exercer seus direitos (veja abaixo), incluindo como podem recorrer de uma decisão sobre suas solicitações. Você deve fornecer uma ou mais formas de os usuários enviarem uma solicitação.
  • Inclua as categorias de dados pessoais que sua empresa compartilha com terceiros, se houver.
  • Inclua as categorias de terceiros, se houver, com quem sua empresa compartilha dados pessoais.

Especificamente, a CPA exige que você forneça um aviso de privacidade que inclua as seguintes informações:

  1. Categorias de dados pessoais coletados ou tratados.
  2. Finalidades para as quais são tratadas as categorias de dados pessoais.
  3. Como e onde os consumidores podem exercer seus direitos, incluindo as informações de contato e como recorrer da ação de um controlador em relação à solicitação de um consumidor.
  4. Categorias de dados pessoais compartilhados com terceiros, se houver;
  5. Categorias de terceiros com quem os dados pessoais são compartilhados, se houver.

Mais detalhes aqui →

A nova lei de privacidade de Connecticut exige que você forneça aos consumidores um aviso de privacidade claro e significativo que seja razoavelmente acessível. Veja aqui uma lista de verificação do que precisa ser incluído em sua política de privacidade para estar em conformidade com a nova lei:

  • Categorias de Dados Pessoais: Sua política de privacidade deve incluir uma lista das categorias de dados pessoais que você trata.
  • Finalidades do tratamento: Sua política de privacidade deve indicar claramente as finalidades do tratamento de dados pessoais. Isso inclui qualquer motivo pelo qual você coleta e usa dados pessoais, como para cumprir um contrato ou fornecer um serviço.
  • Direitos do consumidor: Sua política de privacidade deve explicar como os consumidores podem exercer seus direitos de acordo com a lei. Isso inclui como o consumidor pode acessar, corrigir, excluir ou restringir o tratamento de seus dados pessoais. Você também deve incluir informações sobre como o consumidor pode recorrer de uma decisão relacionada à sua solicitação.
  • Compartilhamento com terceiros: Se você compartilhar dados pessoais com terceiros, sua política de privacidade deve especificar as categorias de dados pessoais que você compartilha.
  • Categorias de terceiros: Sua política de privacidade também deve especificar as categorias de terceiros com os quais você compartilha dados pessoais.
  • Informações de contato: Sua política de privacidade deve fornecer um endereço de correio eletrônico ativo ou outro mecanismo on-line que os consumidores possam usar para entrar em contato com você em caso de dúvidas sobre seus dados pessoais.
  • Venda ou publicidade direcionada: Se você tratar dados pessoais para finalidades de venda ou publicidade direcionada, sua política de privacidade deve divulgar esse fato de forma clara e visível. Você também deve fornecer informações sobre como os consumidores podem exercer seu direito de cancelar esse tratamento.

Mais detalhes aqui →

Se você estiver sujeito à Lei de Privacidade do Consumidor de Utah (UCPA), deverá fornecer uma política de privacidade razoavelmente acessível e clara para os consumidores. Sua política de privacidade deve incluir o seguinte:

  1. Categorias de Dados Pessoais tratados: Identifique os tipos de dados pessoais que sua empresa coleta e trata, como nomes, endereços de e-mail e informações de pagamento.
  2. Finalidades do tratamento de Dados Pessoais: Descreva os motivos pelos quais sua empresa coleta e trata dados pessoais, tais como atender pedidos, fornecer suporte ao cliente ou melhorar produtos ou serviços.
  3. Direitos do consumidor: Explique como os consumidores podem exercer seus direitos, por exemplo, o direito de acessar e excluir seus dados pessoais. Observe que a UCPA não concede aos consumidores o direito de solicitar a correção de dados pessoais imprecisos.
  4. Compartilhamento de Dados Pessoais: Informe as categorias de dados pessoais que sua empresa compartilha com terceiros, se houver. Por exemplo, você pode compartilhar informações de pagamento com um processador de pagamento ou endereços de correspondência com um provedor de remessa.
  5. Terceiros: Identifique as categorias de terceiros com quem sua empresa compartilha dados pessoais, se houver. Isso pode incluir fornecedores, provedores de serviços ou parceiros de marketing.

Mais detalhes aqui →

Solução
Privacy and Cookie Policy icon

Gerador de Política de Privacidade e Cookies

Crie sua política de privacidade e cookies em minutos.

Customizável com mais de 2000 cláusulas, e disponível em 14 idiomas, automaticamente atualizado em caso de alterações na lei. Nosso gerador permite que você crie documentos legais em minutos e integre-os facilmente em seu site ou aplicativo.
Saiba mais

Exibir aviso e permitir cancelamento (opt-out)

Desktop cookie banner icon

A CPRA (alteração da CCPA) exige que você exiba um aviso antes ou no momento da coleta informando aos consumidores quais categorias de informações pessoais serão coletadas e as finalidades da coleta. Os consumidores também devem ser autorizados a optar por não participar desse tratamento. Como empresa, você é responsável por informar os consumidores sobre essa opção e fornecer os meios de opt-out.

Sobretudo, você deve:

  • Detectar se um consumidor é ou não residente na Califórnia e se ele já visitou seu site antes
  • Facilitar solicitações de opt-out por meio de um link DNSMPI
  • Instruir terceiros relevantes a interromper o tratamento das informações do consumidor quando uma solicitação de opt-out for recebida.
  • Fornecer-lhes um aviso na primeira visita ao site contendo as informações necessárias

Informamos que, nos termos da VCDPA, não há indicações de que sejam necessários links de opt-out que permitam aos usuários cancelar o tratamento de dados pessoais para determinadas finalidades .

As disposições da VCDPA, de fato, tratam os direitos de opt-out dos usuários da mesma maneira que quaisquer outros direitos de usuários concedidos pela Lei.

Sua empresa precisa atender às solicitações dos usuários da seguinte forma:

  • Você precisa atender à solicitação no prazo de 45 dias. O período de resposta pode ser prorrogado uma vez por mais 45 dias, quando razoavelmente necessário, desde que você informe o usuário sobre qualquer prorrogação dentro do período inicial de resposta de 45 dias, juntamente com o motivo da prorrogação;
  • Caso você se recuse a tomar providências em relação à solicitação de seus usuários, informe o usuário sobre essa recusa no prazo de 45 dias, indicando a respetiva justificativa e instruções sobre como recorrer da decisão;
  • Se você não conseguir validar uma solicitação usando esforços comercialmente razoáveis, você não será obrigado a atender à solicitação e poderá requerer informações adicionais que sejam razoavelmente necessárias para validar o usuário e sua solicitação.

Informamos que, de acordo com a CPA, não há indicações de que sejam necessários links de opt-out que permitam aos consumidores cancelar o tratamento de dados pessoais para determinadas finalidades. No entanto, se você estiver tratando dados pessoais para publicidade direcionada ou venda, deverá disponibilizar de forma clara e visível um método para que os consumidores exerçam seu direito de optar por não participar.

Esse método deve ser descrito de forma clara e visível no aviso de privacidade e deve ser facilmente acessível fora do aviso de privacidade.

Você também deve permitir que os consumidores desativem o tratamento de seus dados pessoais para publicidade direcionada ou venda por meio de um sinal de preferência de opt-out enviado por uma plataforma, tecnologia ou mecanismo, com o consentimento do consumidor.
Esse mecanismo deve:

  • não prejudicar injustamente outros controladores,
  • exigir uma escolha afirmativa e inequívoca do consumidor,
  • ser fácil de usar,
  • ser o mais consistente possível com outros mecanismos semelhantes exigidos por leis ou regulamentos federais ou estaduais, e
  • permitir que o controlador determine se o consumidor é residente de Connecticut e se fez uma solicitação legítima de opt-out.

De acordo com a Lei de Privacidade do Consumidor de Utah (UCPA), os consumidores têm o direito de cancelar o tratamento de seus dados pessoais para finalidades de publicidade direcionada ou para a venda de seus dados pessoais a terceiros. No entanto, a lei não fornece diretrizes específicas sobre como você deve permitir que os consumidores exerçam esse direito.

Para cumprir a UCPA, você deve:

  • fornecer aos consumidores um meio de enviar solicitações de opt-out; e
  • especificar o direito que pretendem exercer.

É importante observar que, de acordo com a UCPA, os links de opt-out são levados em consideração apenas em relação ao direito do consumidor de cancelar o tratamento de dados sensíveis.

Solução
Cookie solution icon

Privacy Controls and Cookie Solution para a CCPA

Notifique consumidores e gerencie os cancelamentos (opt-out). CCPA Compliance Framework do IAB integrado

Nossa solução permite:

Display banner icon

Exibir um aviso de cobrança para informar os usuários

Profiling cookie icon

Exibir um link "Não vender minhas informações pessoais" (DNSMPI) no aviso e em outro lugar do seu site/aplicativo, apoiando assim a desativação da venda

Detect location icon

Detectar e aplicar automaticamente os padrões corretos (incluindo múltiplos padrões) baseados em localização. Nossa solução permite aplicar os padrões da CPRA (anteriormente CCPA) e do GDPR aos mesmos usuários sempre que exigido por lei

Opt out icon

Registrar e passar automaticamente as preferências dos usuários como cancelamento, para anunciantes que concordam com a CCPA Compliance Framework do IAB (como Google e AdRoll)

Opt out preferences icon

A Privacy Controls and Cookie Solution da iubenda oferece suporte à preferência de exclusão (opt-out) Sinais como o GPC e GPP conforme exigido pela CPRA

Saiba mais
Pointed world icon

Mantenha arquivos atualizados para o cancelamento manual

Requisitos dos EUA

Como mencionado acima, semelhante à CPRA (anteriormente CCPA), a maioria dessas leis estaduais concede aos usuários o direito de cancelar. Nos casos em que o tratamento é manual (i.e.: não relacionado aos scripts como no caso de direct e-mail marketing) empresas podem ter que implementar manualmente a solicitação de cancelamento (opt-out).

Além disso, leis como a CPRA determinam que os usuários não podem ser contatados por um período mínimo de 12 meses após a solicitação. Por esse motivo, é prudente manter registros de detalhes de exclusão, como o usuário específico, a data e os subcontratados a serem notificados no caso de solicitações.

Solução
Consent Solution icon

Consent Database

O Consent Database se integra em seu formulário da web para permitir que você passe automaticamente as preferências como opt-ou via API para gerenciar de forma central em um dashboard visual. Você pode registrar todos os detalhes relevantes, incluindo data e hora do cancelamento, versão da política de privacidade disponível para o usuário no momento do cancelamento, identificação do usuário, e-mail e até endereço de IP para ajudar na verificação da solicitação.
Saiba mais
Internal Privacy Management icon

Registro das atividades de processamento de dados

Nosso Registro das atividades de processamento de dados Solution permite registrar todos os detalhes necessários para cumprir com as solicitações de consumidores com precisão.

A solução arquiva:

  • detalhes de segurança como os membros da sua organização que podem acessar os dados dos usuários;
  • operadores terceiros registrados para tratar dados a seu favor;
  • finalidades adicionadas manualmente para tratamento;
  • métodos de coleta de dados e muito mais.
Saiba mais

Penalidades e multas por descumprimento

California icon

Multa civil de
US$ 2.500 por violação ou;
US$ 7.500 por violação se for intencional ou envolver informações pessoais de uma criança.

Virginia icon

Multa civil de até US$ 7.500 para cada violação.

Embora essas multas possam não parecer tão altas quando comparadas a outras leis de privacidade, considere que elas se aplicam por violação individual e por consumidor. Para uma empresa com apenas alguns clientes, essas multas podem chegar a uma quantia bastante considerável.

No geral, quais são as principais exigências para os proprietários de sites e aplicativos?

Display banner icon

Compartilhamento e perfilamento

Se você tiver usuários dos EUA, pode ser necessário cumprir leis como a CPRA e a VCDPA quando se trata de perfilamento ou compartilhamento de informações do usuário. Isso significa que você deve informar aos usuários que está processando seus dados dessa maneira e permitir que eles interrompam o compartilhamento (opt-out).

Store consent proof icon

Registros de Consentimento

Algumas regiões como a Europa e o Brasil exigem que você mantenha as provas de consentimento (também conhecidas como registros de consentimento). Em muitos casos, sem esses registros, os consentimentos que você coleta podem ser considerados inválidos - te colocando em violação da lei.

Cross-region icon

Requisitos cross-region (entre regiões)

Se você tiver usuários de várias regiões (por exemplo, Europa e EUA), talvez seja necessário cumprir simultaneamente as leis de várias regiões, como a lei da Califórnia [CPRA] ou o GDPR da Europa. Isso significa ter divulgações específicas da região disponíveis em seus documentos de privacidade, e muito mais.

Utilizado por +130.000 clientes em mais de 100 países

Copa Energia logo
Armani hotel Milano logo
Peuterey logo
Mitsubishi logo
Save the Children logo
Lamborghini logo
Ryanair logo
Last Minute logo
MaxMara logo
Criteo logo
Etro logo
Honda logo
Sony Music logo
Siemens logo
Treedom logo
WWF logo
Unicef logo
Mailboxes logo
Virgin logo
Victorias Secret logo
Capterra rating

"Se você, assim como eu, é parte de um time inteligente e detesta ficar atualizando sua política de privacidade sempre que adiciona algum código ao seu serviço, então a iubenda é a solução para você. É super acessível e fácil de usar".

Criar aviso para CCPA

TESTE ANTES DE COMPRAR ou MANTENHA A OPÇÃO GRATUITA

3013137 documentos já gerados

Perguntas frequentes

Como se preparar para a CPRA?

A CPRA torna-se lei em 1º de janeiro de 2023 e entrará em vigor em 1º de julho de 2023.

Nós da iubenda, como sempre, estamos atentos às atualizações mais recentes e garantimos que todos os nossos documentos e produtos sejam ajustados a tempo para ajudá-lo a manter a conformidade.

Se você já possui procedimentos da CCPA em vigor, pode ser uma boa ideia começar a revisar seus processos e observar algumas coisas:

Mais sobre a CCPA 2.0
e como isso afeta você

O que você precisa fazer para se preparar para a VCDPA

Os Estados Unidos obtêm outro regulamento de privacidade de dados por meio da Lei de Proteção de Dados da Virgínia (VCDPA).

A VCDPA entra em vigor em 1º de janeiro de 2023.

Se a sua organização se enquadra no escopo da VCDPA, você deve começar a procurar soluções de conformidade que sejam confiáveis e elaboradas por advogados.

Então, se você ainda não tem um, comece a configurar tudo o que precisa hoje mesmo, que avisaremos quando as cláusulas estiverem disponíveis!

Mais sobre a Lei de Proteção de Dados do Consumidor (VCDPA)

Todos os nossos produtos estão em conformidade com o nível AAA da WCAG

Level AAA conformance, W3C WAI Web Content Accessibility Guidelines 2.1

Uma solução 360° para deixar seus sites e aplicativos em conformidade com a lei

Conformidade com a lei para sites e apps

Privacy and Cookie Policy icon

Gerador de Política de Privacidade e Cookies

Crie sua política de privacidade e cookies em minutos.

Customizável com mais de 2000 cláusulas, e disponível em 14 idiomas, automaticamente atualizado em caso de alterações na lei. Nosso gerador permite que você crie documentos legais em minutos e integre-os facilmente em seu site ou aplicativo.

Saiba mais
Cookie Solution icon

Privacy Controls and Cookie Solution

Gerencie as preferências de consentimento conforme a Diretiva ePrivacy, o GDPR, a CPRA (anteriormente CCPA) e a LGPD. Integrado com a IAB TCF e com a CCPA Compliance Framework

Nossa solução permite que você exiba um banner de cookies/banner de consentimento totalmente personalizável, colete o consentimento de cookies, implemente o bloqueio prévio (inclusive o bloqueio automático), defina preferências de publicidade e muito mais.

Saiba mais

Conformidade para sua organização

Consent Solution icon

Consent Database

Colete consentimento sob a LGPD e o GDPR, documente inscrições (opt-ins) e cancelamentos (opt-outs ) para CCPA por meio dos seus formulários da web.

Nossa solução se integra facilmente com seus formulários de coleta de consentimento e sincroniza com seus documentos legais, e inclui um dashboard intuitivo para revisão dos registros de consentimento de suas atividades.

Saiba mais
Internal Privacy Management icon

Registro das atividades de processamento de dados

Documente todas as atividades de tratamento de dados que ocorrem dentro da sua organização.

Para cumprir com as leis de privacidade, e particularmente com o GDPR, as empresas devem manter registros sobre como armazenam e utilizam os dados coletados dos usuários. A solução da iubenda auxilia na documentação de todas as atividades de tratamento de dados que acontecem dentro da sua organização.

Saiba mais