Conformidade com a lei de privacidade dos EUA para seu site, aplicativo e empresa
As leis estaduais estão impondo novos requisitos às empresas e, como resultado, também novas responsabilidades legais e técnicas. A conformidade pode ser complicada. Nossas soluções eliminam as suposições sobre conformidade, fazendo o levantamento técnico e jurídico detalhado para que você possa se concentrar no crescimento dos seus negócios.
Quais leis se aplicam a mim?
CPRA
VCDPA
CPA
CTDPA
UCPA
CPRA
A Lei de Direitos de Privacidade da Califórnia (CPRA) se baseia nas disposições existentes da CCPA, enriquece os direitos do consumidor e adiciona novos requisitos para empresas que processam dados pessoais de residentes da Califórnia.
Aplica-se a pessoas jurídicas que fazem negócios na Califórnia com fins lucrativos, que processam informações pessoais dos consumidores e que atendem a um ou mais dos seguintes requisitos:
- receitas brutas anuais superiores a US$ 25 milhões;
- compra, vende ou compartilha anualmente as informações pessoais de 100.000 ou mais consumidores ou famílias; ou
- obtém 50% ou mais de suas receitas anuais com a venda ou compartilhamento* de informações pessoais dos consumidores.
* Pode incluir integrações de terceiros em seu site.
Não tem certeza se a CPRA se aplica a você? → Faça esse teste de apenas 1 minuto
VCDPA
A Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA) foi assinada em março de 2021, e a Virgínia se tornou o segundo estado nos Estados Unidos a publicar uma lei abrangente de privacidade de dados depois da Califórnia. A VCDPA entra em vigor em 1º de janeiro de 2023.
Aplica-se a pessoas que realizam negócios na Virgínia ou que forneçam produtos ou realizem serviços direcionados aos residentes da Virgínia e que:
- durante um ano, controlar ou processar dados pessoais de pelo menos 100.000 consumidores; ou
- controla ou processa dados pessoais de pelo menos 25.000 consumidores e obtém mais de 50% da receita bruta com a venda de dados pessoais.
CPA
A Lei de Privacidade do Colorado (CPA) foi projetada para proteger os direitos de privacidade dos residentes do Colorado, regulando como as empresas coletam, tratam e armazenam dados pessoais.
Ela se aplica a controladores que celebram negócios no Colorado ou direcionam intencionalmente produtos ou serviços comerciais aos residentes do Colorado, e:
- controlam ou tratam dados pessoais de 100.000 consumidores ou mais durante um ano civil; ou
- obtém receita da venda de dados pessoais e tratam ou controlam dados pessoais de 25.000 consumidores ou mais.
CTDPA
A Lei de Privacidade de Dados de Connecticut (CTDPA) exige que você forneça aos consumidores avisos de privacidade claros e significativos que incluam informações sobre tratamento de dados pessoais, finalidades, direitos do consumidor e compartilhamento com terceiros, entre outros requisitos.
Ela se aplica a pessoas que realizam negócios em Connecticut ou produzem produtos ou serviços direcionados aos residentes de Connecticut e que durante o ano civil anterior:
- Controlaram ou trataram dados pessoais de pelo menos 100.000 consumidores (exceto dados pessoais controlados ou tratados exclusivamente para finalizar uma transação de pagamento); ou
- Controlaram ou trataram dados pessoais de pelo menos 25.000 consumidores e obtiveram mais de 25% de sua receita bruta com a venda de dados pessoais.
UCPA
A Lei de Privacidade do Consumidor de Utah (UCPA) é uma nova lei de privacidade do consumidor em Utah que entrará em vigor em 31 de dezembro de 2023. A UCPA adota uma abordagem favorável às empresas em relação à privacidade do consumidor. A UCPA destina-se a fornecer um padrão viável para empresas e, ao mesmo tempo, proteger os direitos garantidos dos consumidores de Utah.
Aplica-se a qualquer organização que:
- Celebre negócios em Utah; ou
- Produza um produto ou serviço direcionado a consumidores residentes em Utah;
- Tenha receita anual de USD 25.000.000 ou mais; e
- Atenda a um ou mais dos seguintes parâmetros:
- Durante um ano civil, controla ou trata dados pessoais de 100.000 ou mais consumidores; ou
- Obtém mais de 50% da receita bruta da entidade com a venda de dados pessoais e controla ou trata dados pessoais de 25.000 ou mais consumidores.
Linha do tempo das leis estaduais dos EUA
-
A Lei de Privacidade do Consumidor da Califórnia (CCPA) entra em vigor com um período de carência de 6 meses.
A conformidade com a CCPA agora é ativamente monitorada e fiscalizada pela Procuradoria Geral da República, que emite avisos de descumprimento e multas, caso as violações persistam após o período de remediação de 30 dias.
-
A CPRA inicia sua retrospectiva de 12 meses. As empresas agora devem levar em consideração as informações pessoais coletadas e processadas durante um período de 12 meses anteriores à solicitação do consumidor.
-
A Lei de Direitos de Privacidade da Califórnia (CPRA) altera a CCPA e entra em vigor. O período de remediação de 30 dias não se aplica mais.
Para estar em conformidade com a CPRA, você precisa seguir os seguintes passos:
É importante observar que as etapas que você precisa seguir para estar em conformidade dependerão da natureza do seu negócio e do tipo de informação pessoal que você coleta e processa. Veja se sua empresa se qualifica para este teste de 1 minuto
Para informações específicas sobre como cumprir com o acima exposto, acesse aqui: Como a iubenda pode ajudá-lo a cumprir com a CPRA?A Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA) entra em vigor e é aplicada.
Para estar em conformidade com a VCDPA, você precisa seguir os seguintes passos:
É importante observar que as etapas específicas que você precisa seguir para estar em conformidade dependerão da natureza do seu negócio, do tipo de informação pessoal que você coleta e processa e de outros fatores.
Para informações específicas sobre como cumprir os requisitos acima, acesse: Como a iubenda pode ajudá-lo a cumprir com a VCDPA?A Lei de Direitos de Privacidade da Califórnia (CPRA) é aplicada.
A CPRA agora é ativamente monitorada e aplicada pela Agência de Proteção de Privacidade da Califórnia (CPPA), que aplica multas ou penalidades por descumprimento.
Informamos que, após a decisão do Tribunal Superior do Condado de Sacramento, a aplicação dos regulamentos finais emitidos pela Agência de Proteção à Privacidade da Califórnia foi adiada para 29 de março de 2024. A decisão, no entanto, não afeta as disposições estatutárias da CPRA, que estão em vigor desde 1º de julho de 2023.A Lei de Privacidade do Colorado (CPA) entra em vigor.
Para estar em conformidade com a CPA, você precisa seguir os seguintes passos:
Para informações específicas sobre como cumprir com o acima exposto, acesse aqui: Como a iubenda pode ajudá-lo a cumprir com a CPA?
A Lei de Privacidade de Dados de Connecticut (CTDPA) entra em vigor.
Para estar em conformidade com a CTDPA, você precisa seguir os seguintes passos:
Para mais informações sobre como cumprir os requisitos acima, clique aqui.
A Lei de Privacidade do Consumidor de Utah (UCPA) entra em vigor.
Para estar em conformidade com a UCPA, você precisa seguir os seguintes passos:
Para mais informações sobre como cumprir os requisitos acima, clique aqui.
-
A exigência da Lei de Privacidade do Colorado para honrar as solicitações de exclusão dos consumidores feitas por meio de um universal opt-out mechanism is now effective.
O que é necessário para cumprir as leis nos EUA?
Como os regulamentos diferem ligeiramente de estado para estado, acompanhar todos os cenários pode ser um trabalho cansativo. As soluções da iubenda aplicam os padrões mais robustos para ajudá-lo a cumprir com o mínimo de esforço. Basta selecionar Leis Estaduais dos EUA em seu gerador para cumprir as principais regulamentações dos EUA
Divulgações detalhadas por meio da Política de Privacidade
Requisitos dos EUAEmpresas devem incluir informações específicas em suas políticas de privacidade. Estas informações incluem descrições dos direitos do consumidor, parceiros operadores, finalidades, fontes, etc. Esta informação deve ser completa, atualizada e facilmente acessível por meio do seu website ou aplicativo.
As políticas são inválidas se faltarem as informações certas
Para se manter em conformidade, a sua política de privacidade deve conter, pelo menos:
- Inclua as categorias de informações pessoais que sua empresa vendeu ou compartilhou com terceiros nos últimos 12 meses, uma lista de terceiros relevantes e sua finalidade comercial. Você também precisa informar se vendeu ou compartilhou informações pessoais dos usuários nos últimos 12 meses.
- Adicione uma declaração informando se sua empresa conscientemente vende ou compartilha as informações pessoais de usuários menores de 16 anos.
- Inclua as categorias de informações pessoais que sua empresa divulgou (para fins empresariais) a terceiros nos últimos 12 meses, uma lista de terceiros relevantes e a finalidade do seu negócio. Você também deve informar se divulgou informações pessoais dos consumidores nos últimos 12 meses.
- Informe se sua empresa usa ou divulga informações pessoais sensíveis para outras finalidades que não as especificadas na lei.
- Forneça links para formulários de solicitação on-line ou portais para que seus usuários possam fazer solicitações relacionadas à coleta, divulgação ou venda de suas informações pessoais.
Veja aqui a lista de verificação completa de informações que devem ser incluídas em sua política de privacidade de acordo com os requisitos da CPRA.
- Inclua as categorias de dados pessoais tratados pela sua empresa.
- Inclua a finalidade da sua empresa para tratar dados pessoais.
- Informe seus usuários sobre como eles podem exercer seus direitos (veja abaixo), incluindo como podem recorrer de uma decisão sobre suas solicitações. Você deve fornecer uma ou mais formas de os usuários enviarem uma solicitação.
- Inclua as categorias de dados pessoais que sua empresa compartilha com terceiros, se houver.
- Inclua as categorias de terceiros, se houver, com quem sua empresa compartilha dados pessoais.
Especificamente, a CPA exige que você forneça um aviso de privacidade que inclua as seguintes informações:
- Categorias de dados pessoais coletados ou tratados.
- Finalidades para as quais são tratadas as categorias de dados pessoais.
- Como e onde os consumidores podem exercer seus direitos, incluindo as informações de contato e como recorrer da ação de um controlador em relação à solicitação de um consumidor.
- Categorias de dados pessoais compartilhados com terceiros, se houver;
- Categorias de terceiros com quem os dados pessoais são compartilhados, se houver.
Mais detalhes aqui →
A nova lei de privacidade de Connecticut exige que você forneça aos consumidores um aviso de privacidade claro e significativo que seja razoavelmente acessível. Veja aqui uma lista de verificação do que precisa ser incluído em sua política de privacidade para estar em conformidade com a nova lei:
- Categorias de Dados Pessoais: Sua política de privacidade deve incluir uma lista das categorias de dados pessoais que você trata.
- Finalidades do tratamento: Sua política de privacidade deve indicar claramente as finalidades do tratamento de dados pessoais. Isso inclui qualquer motivo pelo qual você coleta e usa dados pessoais, como para cumprir um contrato ou fornecer um serviço.
- Direitos do consumidor: Sua política de privacidade deve explicar como os consumidores podem exercer seus direitos de acordo com a lei. Isso inclui como o consumidor pode acessar, corrigir, excluir ou restringir o tratamento de seus dados pessoais. Você também deve incluir informações sobre como o consumidor pode recorrer de uma decisão relacionada à sua solicitação.
- Compartilhamento com terceiros: Se você compartilhar dados pessoais com terceiros, sua política de privacidade deve especificar as categorias de dados pessoais que você compartilha.
- Categorias de terceiros: Sua política de privacidade também deve especificar as categorias de terceiros com os quais você compartilha dados pessoais.
- Informações de contato: Sua política de privacidade deve fornecer um endereço de correio eletrônico ativo ou outro mecanismo on-line que os consumidores possam usar para entrar em contato com você em caso de dúvidas sobre seus dados pessoais.
- Venda ou publicidade direcionada: Se você tratar dados pessoais para finalidades de venda ou publicidade direcionada, sua política de privacidade deve divulgar esse fato de forma clara e visível. Você também deve fornecer informações sobre como os consumidores podem exercer seu direito de cancelar esse tratamento.
Mais detalhes aqui →
Se você estiver sujeito à Lei de Privacidade do Consumidor de Utah (UCPA), deverá fornecer uma política de privacidade razoavelmente acessível e clara para os consumidores. Sua política de privacidade deve incluir o seguinte:
- Categorias de Dados Pessoais tratados: Identifique os tipos de dados pessoais que sua empresa coleta e trata, como nomes, endereços de e-mail e informações de pagamento.
- Finalidades do tratamento de Dados Pessoais: Descreva os motivos pelos quais sua empresa coleta e trata dados pessoais, tais como atender pedidos, fornecer suporte ao cliente ou melhorar produtos ou serviços.
- Direitos do consumidor: Explique como os consumidores podem exercer seus direitos, por exemplo, o direito de acessar e excluir seus dados pessoais. Observe que a UCPA não concede aos consumidores o direito de solicitar a correção de dados pessoais imprecisos.
- Compartilhamento de Dados Pessoais: Informe as categorias de dados pessoais que sua empresa compartilha com terceiros, se houver. Por exemplo, você pode compartilhar informações de pagamento com um processador de pagamento ou endereços de correspondência com um provedor de remessa.
- Terceiros: Identifique as categorias de terceiros com quem sua empresa compartilha dados pessoais, se houver. Isso pode incluir fornecedores, provedores de serviços ou parceiros de marketing.
Mais detalhes aqui →
Gerador de Política de Privacidade e Cookies
Customizável com mais de 2000 cláusulas, e disponível em 14 idiomas, automaticamente atualizado em caso de alterações na lei. Nosso gerador permite que você crie documentos legais em minutos e integre-os facilmente em seu site ou aplicativo.
Exibir aviso e permitir cancelamento (opt-out)
A CPRA (alteração da CCPA) exige que você exiba um aviso antes ou no momento da coleta informando aos consumidores quais categorias de informações pessoais serão coletadas e as finalidades da coleta. Os consumidores também devem ser autorizados a optar por não participar desse tratamento. Como empresa, você é responsável por informar os consumidores sobre essa opção e fornecer os meios de opt-out.
Sobretudo, você deve:
- Detectar se um consumidor é ou não residente na Califórnia e se ele já visitou seu site antes
- Facilitar solicitações de opt-out por meio de um link DNSMPI
- Instruir terceiros relevantes a interromper o tratamento das informações do consumidor quando uma solicitação de opt-out for recebida.
- Fornecer-lhes um aviso na primeira visita ao site contendo as informações necessárias
Informamos que, nos termos da VCDPA, não há indicações de que sejam necessários links de opt-out que permitam aos usuários cancelar o tratamento de dados pessoais para determinadas finalidades .
As disposições da VCDPA, de fato, tratam os direitos de opt-out dos usuários da mesma maneira que quaisquer outros direitos de usuários concedidos pela Lei.
Sua empresa precisa atender às solicitações dos usuários da seguinte forma:
- Você precisa atender à solicitação no prazo de 45 dias. O período de resposta pode ser prorrogado uma vez por mais 45 dias, quando razoavelmente necessário, desde que você informe o usuário sobre qualquer prorrogação dentro do período inicial de resposta de 45 dias, juntamente com o motivo da prorrogação;
- Caso você se recuse a tomar providências em relação à solicitação de seus usuários, informe o usuário sobre essa recusa no prazo de 45 dias, indicando a respetiva justificativa e instruções sobre como recorrer da decisão;
- Se você não conseguir validar uma solicitação usando esforços comercialmente razoáveis, você não será obrigado a atender à solicitação e poderá requerer informações adicionais que sejam razoavelmente necessárias para validar o usuário e sua solicitação.
Informamos que, de acordo com a CPA, não há indicações de que sejam necessários links de opt-out que permitam aos consumidores cancelar o tratamento de dados pessoais para determinadas finalidades. No entanto, se você estiver tratando dados pessoais para publicidade direcionada ou venda, deverá disponibilizar de forma clara e visível um método para que os consumidores exerçam seu direito de optar por não participar.
Esse método deve ser descrito de forma clara e visível no aviso de privacidade e deve ser facilmente acessível fora do aviso de privacidade.
Você também deve permitir que os consumidores desativem o tratamento de seus dados pessoais para publicidade direcionada ou venda por meio de um sinal de preferência de opt-out enviado por uma plataforma, tecnologia ou mecanismo, com o consentimento do consumidor.
Esse mecanismo deve:
- não prejudicar injustamente outros controladores,
- exigir uma escolha afirmativa e inequívoca do consumidor,
- ser fácil de usar,
- ser o mais consistente possível com outros mecanismos semelhantes exigidos por leis ou regulamentos federais ou estaduais, e
- permitir que o controlador determine se o consumidor é residente de Connecticut e se fez uma solicitação legítima de opt-out.
De acordo com a Lei de Privacidade do Consumidor de Utah (UCPA), os consumidores têm o direito de cancelar o tratamento de seus dados pessoais para finalidades de publicidade direcionada ou para a venda de seus dados pessoais a terceiros. No entanto, a lei não fornece diretrizes específicas sobre como você deve permitir que os consumidores exerçam esse direito.
Para cumprir a UCPA, você deve:
- fornecer aos consumidores um meio de enviar solicitações de opt-out; e
- especificar o direito que pretendem exercer.
É importante observar que, de acordo com a UCPA, os links de opt-out são levados em consideração apenas em relação ao direito do consumidor de cancelar o tratamento de dados sensíveis.
Privacy Controls and Cookie Solution para a CCPA
Notifique consumidores e gerencie os cancelamentos (opt-out). CCPA Compliance Framework do IAB integrado
Nossa solução permite:
Exibir um link "Não vender minhas informações pessoais" (DNSMPI) no aviso e em outro lugar do seu site/aplicativo, apoiando assim a desativação da venda
Detectar e aplicar automaticamente os padrões corretos (incluindo múltiplos padrões) baseados em localização. Nossa solução permite aplicar os padrões da CPRA (anteriormente CCPA) e do GDPR aos mesmos usuários sempre que exigido por lei
Registrar e passar automaticamente as preferências dos usuários como cancelamento, para anunciantes que concordam com a CCPA Compliance Framework do IAB (como Google e AdRoll)
Mantenha arquivos atualizados para o cancelamento manual
Requisitos dos EUAComo mencionado acima, semelhante à CPRA (anteriormente CCPA), a maioria dessas leis estaduais concede aos usuários o direito de cancelar. Nos casos em que o tratamento é manual (i.e.: não relacionado aos scripts como no caso de direct e-mail marketing) empresas podem ter que implementar manualmente a solicitação de cancelamento (opt-out).
Além disso, leis como a CPRA determinam que os usuários não podem ser contatados por um período mínimo de 12 meses após a solicitação. Por esse motivo, é prudente manter registros de detalhes de exclusão, como o usuário específico, a data e os subcontratados a serem notificados no caso de solicitações.
Consent Database
Registro das atividades de processamento de dados
Nosso Registro das atividades de processamento de dados Solution permite registrar todos os detalhes necessários para cumprir com as solicitações de consumidores com precisão.
A solução arquiva:
- detalhes de segurança como os membros da sua organização que podem acessar os dados dos usuários;
- operadores terceiros registrados para tratar dados a seu favor;
- finalidades adicionadas manualmente para tratamento;
- métodos de coleta de dados e muito mais.
Penalidades e multas por descumprimento
Multa civil de
US$ 2.500 por violação ou;
US$ 7.500 por violação se for intencional ou envolver informações pessoais de uma criança.
Multa civil de até US$ 7.500 para cada violação.
Embora essas multas possam não parecer tão altas quando comparadas a outras leis de privacidade, considere que elas se aplicam por violação individual e por consumidor. Para uma empresa com apenas alguns clientes, essas multas podem chegar a uma quantia bastante considerável.
No geral, quais são as principais exigências para os proprietários de sites e aplicativos?
Compartilhamento e perfilamento
Se você tiver usuários dos EUA, pode ser necessário cumprir leis como a CPRA e a VCDPA quando se trata de perfilamento ou compartilhamento de informações do usuário. Isso significa que você deve informar aos usuários que está processando seus dados dessa maneira e permitir que eles interrompam o compartilhamento (opt-out).
Registros de Consentimento
Algumas regiões como a Europa e o Brasil exigem que você mantenha as provas de consentimento (também conhecidas como registros de consentimento). Em muitos casos, sem esses registros, os consentimentos que você coleta podem ser considerados inválidos - te colocando em violação da lei.
Requisitos cross-region (entre regiões)
Se você tiver usuários de várias regiões (por exemplo, Europa e EUA), talvez seja necessário cumprir simultaneamente as leis de várias regiões, como a lei da Califórnia [CPRA] ou o GDPR da Europa. Isso significa ter divulgações específicas da região disponíveis em seus documentos de privacidade, e muito mais.
Utilizado por +130.000 clientes em mais de 100 países
TESTE ANTES DE COMPRAR ou MANTENHA A OPÇÃO GRATUITA
3013137 documentos já gerados
Perguntas frequentes
Como se preparar para a CPRA?
A CPRA torna-se lei em 1º de janeiro de 2023 e entrará em vigor em 1º de julho de 2023.
Nós da iubenda, como sempre, estamos atentos às atualizações mais recentes e garantimos que todos os nossos documentos e produtos sejam ajustados a tempo para ajudá-lo a manter a conformidade.
Se você já possui procedimentos da CCPA em vigor, pode ser uma boa ideia começar a revisar seus processos e observar algumas coisas:
O que você precisa fazer para se preparar para a VCDPA
Os Estados Unidos obtêm outro regulamento de privacidade de dados por meio da Lei de Proteção de Dados da Virgínia (VCDPA).
A VCDPA entra em vigor em 1º de janeiro de 2023.
Se a sua organização se enquadra no escopo da VCDPA, você deve começar a procurar soluções de conformidade que sejam confiáveis e elaboradas por advogados.
Então, se você ainda não tem um, comece a configurar tudo o que precisa hoje mesmo, que avisaremos quando as cláusulas estiverem disponíveis!
Documentação e guias
Não tem certeza do que precisa?
Leia nosso Guia de introdução
Converse conosco por chat ou contate nosso suporte
Participe também do nosso próximo webinar para obter uma visão geral dos requisitos legais e enviar suas dúvidas em tempo real
Uma solução 360° para deixar seus sites e aplicativos em conformidade com a lei
Conformidade com a lei para sites e apps
Gerador de Política de Privacidade e Cookies
Crie sua política de privacidade e cookies em minutos.
Customizável com mais de 2000 cláusulas, e disponível em 14 idiomas, automaticamente atualizado em caso de alterações na lei. Nosso gerador permite que você crie documentos legais em minutos e integre-os facilmente em seu site ou aplicativo.
Privacy Controls and Cookie Solution
Gerencie as preferências de consentimento conforme a Diretiva ePrivacy, o GDPR, a CPRA (anteriormente CCPA) e a LGPD. Integrado com a IAB TCF e com a CCPA Compliance Framework
Nossa solução permite que você exiba um banner de cookies/banner de consentimento totalmente personalizável, colete o consentimento de cookies, implemente o bloqueio prévio (inclusive o bloqueio automático), defina preferências de publicidade e muito mais.
Conformidade para sua organização
Consent Database
Colete consentimento sob a LGPD e o GDPR, documente inscrições (opt-ins) e cancelamentos (opt-outs ) para CCPA por meio dos seus formulários da web.
Nossa solução se integra facilmente com seus formulários de coleta de consentimento e sincroniza com seus documentos legais, e inclui um dashboard intuitivo para revisão dos registros de consentimento de suas atividades.
Registro das atividades de processamento de dados
Documente todas as atividades de tratamento de dados que ocorrem dentro da sua organização.
Para cumprir com as leis de privacidade, e particularmente com o GDPR, as empresas devem manter registros sobre como armazenam e utilizam os dados coletados dos usuários. A solução da iubenda auxilia na documentação de todas as atividades de tratamento de dados que acontecem dentro da sua organização.