O Texas juntou-se à crescente lista de estados norte-americanos que promulgaram leis abrangentes de privacidade de dados. Em 29 de maio, o Poder Legislativo do Texas aprovou a Lei de Privacidade e Segurança de Dados do Texas (TDPSA), também conhecida como HB 4, que foi sancionada em 18 de junho pelo governador Greg Abbott.
A lei entrará em vigor no dia 1º de julho de 2024, dando às empresaspouco mais de um ano para estarem em conformidade.
Este artigo fornece uma visão geral das principais disposições da Lei de Privacidade e Segurança de Dados do Texas e suas implicações para empresas e consumidores.
A Lei de Privacidade e Segurança de Dados do Texas difere das leis estaduais de privacidade existentes em seu amplo escopo, pois não prevê nenhum limite de receita ou volume de tratamento de dados. Ela se aplica a empresas e pessoas físicas que:
Observe que: como previsto,a lei não inclui um limite de volume de tratamento de dados e de receita,tornando-a aplicável à maioria das empresas do Texas. No entanto, as pequenas empresas*, conforme definido pela Administração de Pequenas Empresas dos EUA (SBA), estão isentas de certas disposições.
Uma pequena empresa, conforme definido pela Tabela de Padrões de Tamanho da Administração de Pequenas Empresas (SBA), refere-se a uma empresa que se enquadra em critérios específicos baseados nos códigos do Sistema de Classificação do Setor Norte-Americano (NAICS). Esses critérios variam significativamente entre os setores, abrangendo uma gama de empresas que faturam de US$ 1 milhão a mais de US$ 40 milhões e empregam entre 100 e mais de 1.500 funcionários.
A Lei de Privacidade e Segurança de Dados do Texas concede diversos direitos aos consumidores em relação aos seus dados pessoais.
Esses direitos fornecem aos consumidores maior controle sobre seus dados pessoais e seu uso pelas empresas.
A lei impõe restrições à coleta e tratamento de dados pessoais pelos controladores.
Dados sensíveis, incluindo informações como raça, etnia, religião, dados genéticos ou biométricos e geolocalização precisa,só podem ser tratados com o consentimento do consumidor.
A Lei de Privacidade e Segurança de Dados do Texas exige que os controladoresforneçam um aviso de privacidade razoavelmente acessível e clarosaos consumidores, descrevendo, entre outros:
Se os controladores realizam a venda de dados sensíveis, essa informação deverá ser adequadamente divulgada aos consumidores.
Para certos tipos de tratamento de dados, os controladores de dados devem concluir avaliações de proteção de dados.
O procurador-geral do Texas é a única autoridade investigativa e de aplicação da Lei de Privacidade e Segurança de Dados do Texas.
Antes de mover uma ação contra um suposto infrator, o Procurador-Geral deve fornecer umperíodo de 30 dias para sanar a violação. Após esse período, o Procurador-Geralpode impor multas de até US$ 7.500 por violação,além de medidas cautelares e honorários advocatícios.
