Lei da privacidade dos EUA cumprimento para o seu site, aplicação e negócio
As leis estaduais estão a impor novos requisitos às empresas e, consequentemente, novos encargos jurídicos e técnicos. A conformidade pode revelar-se complicada. As nossas soluções resolvem quaisquer dúvidas relativas à conformidade, tratando de todo o trabalho técnico e jurídico, para que se possa concentrar no crescimento do seu negócio.
De um modo geral, as leis de privacidade estaduais dos EUA, como a CPRA (alteração à CCPA) e a VCDPA, poderão aplicar-se a si se visar utilizadores estabelecidos nos mesmos estados e, simultaneamente, reunir qualquer um dos requisitos descritos abaixo.
CPRA
VCDPA
CPA
CTDPA
UCPA
TDPSA
MTCDPA
OCPA
A California Privacy Rights Act (CPRA) tem por base as atuais disposições da CCPA, reforça os direitos do consumidor e acrescenta novos requisitos para empresas que tratem dados pessoais de residentes da Califórnia.
Esta aplica-se a empresas da Califórnia com fins lucrativos que tratem informações pessoais dos consumidores e que preencham qualquer uma ou mais das seguintes condições:
receitas brutas anuais superiores a 25 milhões de dólares;
adquira, venda ou partilhe anualmente informações pessoais de 100.000 ou mais consumidores ou agregados familiares; ou
obtenha 50% ou mais das suas receitas anuais a partir da venda ou partilha* de informações pessoais dos consumidores.
* Poderá incluir integrações de terceiros no seu website.
A Lei relativa à Proteção dos Dados dos Consumidores da Virgínia (VCDPA) foi promulgada em março de 2021, tendo a Virgínia sido o segundo Estado nos Estados Unidos a promulgar uma lei de privacidade dos dados abrangente, após a Califórnia.A VCDPA entrou em vigor a 1 de janeiro de 2023.
Aplica-se às pessoas que exerçam a sua atividade na Virgínia ou que forneçam produtos ou serviços que visem residentes da Virgínia e que:
durante um ano civil, controlem ou tratem dados pessoais de, pelo menos, 100.000 consumidores; ou
controlem ou tratem dados pessoais de, pelo menos, 25.000 consumidores, obtendo mais de 50 por cento das receitas brutas com a venda de dados pessoais.
A Lei de Privacidade do Colorado (CPA) entrou em vigor a 1 de julho de 2023, tendo sido concebida para proteger os direitos de privacidade dos residentes do Colorado, regulando a forma como as empresas recolhem, tratam e armazenam dados pessoais.
Aplica-se a responsáveis pelo tratamento que exerçam a sua atividade no Colorado ou que visem intencionalmente residentes do Colorado com produtos ou serviços comerciais e:
controlem ou tratem os dados pessoais de 100.000 ou mais consumidores durante um ano civil; ou
obtenham receitas da venda de dados pessoais e tratem ou controlem os dados pessoais de 25.000 ou mais consumidores.
A Lei relativa à Privacidade dos Dados do Connecticut (CTDPA) entrou em vigor a 1 de julho de 2023 e exige que forneça aos consumidores avisos de privacidade claros e significativos que incluam informações sobre tratamento de dados pessoais, finalidades, direitos do consumidor e partilha com terceiros, entre outros requisitos.
Aplica-se a pessoas que exerçam a sua atividade no Connecticut ou que produzam bens ou serviços que visem residentes do Connecticut e que, durante o ano civil anterior:
Controlaram ou trataram os dados pessoais de, pelo menos, 100.000 consumidores (com exceção de dados pessoais controlados ou tratados exclusivamente para a conclusão de uma operação de pagamento); ou
Controlaram ou trataram os dados pessoais de, pelo menos, 25.000 consumidores, obtendo mais de 25% das suas receitas brutas com a venda de dados pessoais.
A Lei relativa à Privacidade dos Consumidores do Utah (UCPA) consiste numa nova lei de privacidade dos consumidores do Utah que entrou em vigor a 31 de dezembro de 2023. A UCPA adota uma abordagem favorável às empresas no que respeita à privacidade dos consumidores. A UCPA tem por objetivo estabelecer um padrão viável para as empresas, protegendo, simultaneamente, os direitos garantidos dos consumidores do Utah.
Aplica-se a qualquer organização que:
Exerça atividade em Utah; ou
Produza produtos ou serviços que visem consumidores residentes do Utah;
Apresente uma receita anual de 25.000.000 $ ou mais; e
Satisfaça um ou mais dos seguintes limiares:
Durante um ano civil, controle ou trate dados pessoais de 100.000 ou mais consumidores; ou
Obtenha mais de 50% das receitas brutas da entidade com a venda de dados pessoais e controle ou trate dados pessoais de 25.000 ou mais consumidores.
A Lei relativa à Segurança e Privacidade dos Dados do Texas (TDPSA), também conhecida por H.B. 4, foi promulgada a 18 de junho pelo Governador Greg Abbott, tendo entrado em vigor a 1 de julho de 2024.
A Lei aplica-se a:
Empresas que exerçam a sua atividade no Texas;
Produzam produtos ou serviços para residentes do Texas;
Tratem ou vendam dados pessoais; e
Não se qualifiquem como pequenas empresas, nos termos da Administração de Pequenas Empresas dos E.U.A.
A Lei relativa à Privacidade dos Dados dos Consumidores do Montana (MTCDPA) entrou em vigor a 1 de outubro de 2024. Esta legislação tem por objetivo conferir aos residentes do Montana um maior controlo sobre os seus dados pessoais, garantindo a sua privacidade num mundo digital em rápido desenvolvimento.
A lei aplica-se às empresas que exerçam a sua atividade no Montana ou que visem os seus residentes, e que satisfaçam um dos seus critérios:
Controlar ou tratar os dados pessoais de, pelo menos, 50.000 consumidores (com exceção de dados de operações de pagamento), ou
Controlar ou tratar dados de, pelo menos, 25.000 consumidores e obter mais de 25% das suas receitas brutas com a venda de dados pessoais.
As organizações sem fins lucrativos e algumas outras entidades encontram-se isentas desta lei.
A Lei relativa à Privacidade dos Consumidores do Oregon (OCPA) foi promulgada pela Governadora Tina Kotek, a 18 de julho de 2023, tendo entrado em vigor a 1 de julho de 2024. Esta lei foi concebida para reforçar os direitos de privacidade dos residentes do Oregon.
A OCPA aplica-se às empresas que exerçam a sua atividade no Oregon ou que forneçam produtos ou serviços a residentes do Oregon que:
Controlem ou tratem dados pessoais de 100.000 ou mais consumidores da Oregon, ou
Controlem ou tratem dados pessoais de 25.000 ou mais consumidores do Oregon, obtendo 25% das suas receitas anuais com a venda desses dados.
As empresas sem fins lucrativos dispõem de um ano adicional para cumprir esta lei, até 1 de julho de 2025.
CPRA
A California Privacy Rights Act (CPRA) tem por base as atuais disposições da CCPA, reforça os direitos do consumidor e acrescenta novos requisitos para empresas que tratem dados pessoais de residentes da Califórnia.
Esta aplica-se a empresas da Califórnia com fins lucrativos que tratem informações pessoais dos consumidores e que preencham qualquer uma ou mais das seguintes condições:
receitas brutas anuais superiores a 25 milhões de dólares;
adquira, venda ou partilhe anualmente informações pessoais de 100.000 ou mais consumidores ou agregados familiares; ou
obtenha 50% ou mais das suas receitas anuais a partir da venda ou partilha* de informações pessoais dos consumidores.
* Poderá incluir integrações de terceiros no seu website.
A Lei relativa à Proteção dos Dados dos Consumidores da Virgínia (VCDPA) foi promulgada em março de 2021, tendo a Virgínia sido o segundo Estado nos Estados Unidos a promulgar uma lei de privacidade dos dados abrangente, após a Califórnia.A VCDPA entrou em vigor a 1 de janeiro de 2023.
Aplica-se às pessoas que exerçam a sua atividade na Virgínia ou que forneçam produtos ou serviços que visem residentes da Virgínia e que:
durante um ano civil, controlem ou tratem dados pessoais de, pelo menos, 100.000 consumidores; ou
controlem ou tratem dados pessoais de, pelo menos, 25.000 consumidores, obtendo mais de 50 por cento das receitas brutas com a venda de dados pessoais.
CPA
A Lei de Privacidade do Colorado (CPA) entrou em vigor a 1 de julho de 2023, tendo sido concebida para proteger os direitos de privacidade dos residentes do Colorado, regulando a forma como as empresas recolhem, tratam e armazenam dados pessoais.
Aplica-se a responsáveis pelo tratamento que exerçam a sua atividade no Colorado ou que visem intencionalmente residentes do Colorado com produtos ou serviços comerciais e:
controlem ou tratem os dados pessoais de 100.000 ou mais consumidores durante um ano civil; ou
obtenham receitas da venda de dados pessoais e tratem ou controlem os dados pessoais de 25.000 ou mais consumidores.
CTDPA
A Lei relativa à Privacidade dos Dados do Connecticut (CTDPA) entrou em vigor a 1 de julho de 2023 e exige que forneça aos consumidores avisos de privacidade claros e significativos que incluam informações sobre tratamento de dados pessoais, finalidades, direitos do consumidor e partilha com terceiros, entre outros requisitos.
Aplica-se a pessoas que exerçam a sua atividade no Connecticut ou que produzam bens ou serviços que visem residentes do Connecticut e que, durante o ano civil anterior:
Controlaram ou trataram os dados pessoais de, pelo menos, 100.000 consumidores (com exceção de dados pessoais controlados ou tratados exclusivamente para a conclusão de uma operação de pagamento); ou
Controlaram ou trataram os dados pessoais de, pelo menos, 25.000 consumidores, obtendo mais de 25% das suas receitas brutas com a venda de dados pessoais.
UCPA
A Lei relativa à Privacidade dos Consumidores do Utah (UCPA) consiste numa nova lei de privacidade dos consumidores do Utah que entrou em vigor a 31 de dezembro de 2023. A UCPA adota uma abordagem favorável às empresas no que respeita à privacidade dos consumidores. A UCPA tem por objetivo estabelecer um padrão viável para as empresas, protegendo, simultaneamente, os direitos garantidos dos consumidores do Utah.
Aplica-se a qualquer organização que:
Exerça atividade em Utah; ou
Produza produtos ou serviços que visem consumidores residentes do Utah;
Apresente uma receita anual de 25.000.000 $ ou mais; e
Satisfaça um ou mais dos seguintes limiares:
Durante um ano civil, controle ou trate dados pessoais de 100.000 ou mais consumidores; ou
Obtenha mais de 50% das receitas brutas da entidade com a venda de dados pessoais e controle ou trate dados pessoais de 25.000 ou mais consumidores.
TDPSA
A Lei relativa à Segurança e Privacidade dos Dados do Texas (TDPSA), também conhecida por H.B. 4, foi promulgada a 18 de junho pelo Governador Greg Abbott, tendo entrado em vigor a 1 de julho de 2024.
A Lei aplica-se a:
Empresas que exerçam a sua atividade no Texas;
Produzam produtos ou serviços para residentes do Texas;
Tratem ou vendam dados pessoais; e
Não se qualifiquem como pequenas empresas, nos termos da Administração de Pequenas Empresas dos E.U.A.
MTCDPA
A Lei relativa à Segurança e Privacidade dos Dados do Texas (TDPSA), também conhecida por H.B. 4, foi promulgada a 18 de junho pelo Governador Greg Abbott, tendo entrado em vigor a 1 de julho de 2024.
A Lei aplica-se a:
Empresas que exerçam a sua atividade no Texas;
Produzam produtos ou serviços para residentes do Texas;
Tratem ou vendam dados pessoais; e
Não se qualifiquem como pequenas empresas, nos termos da Administração de Pequenas Empresas dos E.U.A.
Cronologia das leis estaduais dos EUA
A California Consumer Privacy Act (CCPA) entra em vigor com um período de carência de 6 meses.
O cumprimento da CCPA é agora ativamente monitorizado e aplicado pela Procuradoria Geral da República [Office of the Attorney General], emitindo notificações de não conformidade e coimas no caso de o incumprimento perdurar após o período de saneamento de 30 dias.
A CPRA inicia o seu período de retrospetiva de 12 meses. As empresas devem agora ter em conta as informações pessoais recolhidas e tratadas no período de 12 meses anterior ao pedido de qualquer consumidor.
A California Privacy Rights Act (CPRA) altera a CCPA e entra em vigor. Deixa de se aplicar o período de saneamento de 30 dias.
Para cumprir a CPRA poderá ter de seguir os passos seguintes:
A Virginia Consumer Data Protection Act (VCDPA) entra em vigor e é aplicada.
Para cumprir a VCDPA, poderá ter de seguir os passos seguintes:
Importa referir que as medidas específicas que deve adotar para cumprir os requisitos legais dependerão da natureza da sua empresa, do tipo de informações pessoais que recolhe, bem como de outros fatores.
A California Privacy Rights Act (CPRA) entra em vigor.
A CPRA é agora ativamente monitorizada e aplicada pela Agência de Proteção da Privacidade da Califórnia (CPPA), emitindo sanções e coimas por incumprimento.
Informamos que, na sequência da decisão do Tribunal Superior de Sacramento County, a aplicação do regulamento final emitido pela Agência de Proteção da Privacidade da Califórnia foi adiada para 29 de março de 2024. No entanto, a decisão não afeta o disposto na CPRA, que entra em vigor a partir de 1 de julho de 2023.
A Colorado Privacy Act (CPA) entra em vigor.
Para cumprir a CPA, poderá ter de seguir os passos seguintes:
A Connecticut Data Privacy Act (CTDPA) entra em vigor.
Para cumprir a CTDPA, poderá ter de seguir os passos seguintes:
Para informações adicionais sobre como cumprir o disposto acima, clique aqui.
A Utah Consumer Privacy Act (UCPA) entra em vigor.
Para cumprir a UCPA poderá ter de seguir os passos seguintes:
Para informações adicionais sobre como cumprir o disposto acima, clique aqui.
O requisito da Colorado Privacy Act de honrar os pedidos de recusa dos consumidores apresentados através de um mecanismo universal de recusa é agora aplicável.
A Lei relativa à Privacidade dos Consumidores do Oregon (OCPA) encontra-se agora em vigor
Tenha em atenção que as empresas sem fins lucrativos dispõem de um ano adicional para cumprir esta lei, até 1 de julho de 2025.
A Lei de Privacidade e Segurança de Dados do Texas (TDPSA) encontra-se agora em vigor.
A Lei relativa à Privacidade dos Dados dos Consumidores do Montana (MTCDPA) já se encontra em vigor.
Tenha em atenção que as organizações sem fins lucrativos e algumas outras entidades se encontram isentas desta lei.
A Lei relativa à Privacidade dos Dados dos Consumidores do Montana exige agora que as empresas reconheçam e respeitem sinais de recusa universais dos consumidores que optem por recusar a venda dos seus dados pessoais ou a publicidade orientada.
A Lei relativa à Privacidade dos Consumidores do Oregon exige agora que as empresas reconheçam os sinais do Global Privacy Control de navegadores como o Chrome, que permitem aos utilizadores recusar a venda de dados ou anúncios orientados.
O que é necessário para cumprir a CCPA
Dado que a legislação difere ligeiramente consoante o estado, manter-se a par de todos os cenários pode revelar-se penoso. As soluções inteligentes da iubenda aplicam as normas mais robustas para o ajudar a cumprir os requisitos legais com um esforço mínimo. Basta selecionar Leis Estaduais dos EUA no seu gerador para cumprir as principais legislações dos EUA.
Divulgações detalhadas através da Política de Privacidade
Requisito
As empresas devem incluir divulgações específicas nas suas políticas de privacidade. Estas divulgações incluem descrições dos direitos dos consumidores, parceiros de tratamento, finalidades, fontes e outros elementos. Estas informações devem ser completas, atualizadas e facilmente acessíveis em todo o seu website/aplicação.
As políticas são inválidas se não apresentarem a informação correta
De modo a cumprir as normas aplicáveis, a sua política deve incluir, no mínimo:
Inclua as categorias de informações pessoais que a sua empresa vendeu ou partilhou com terceiros nos últimos 12 meses, uma lista de terceiros relevantes e os seus fins comerciais. Deve ainda divulgar se não vendeu ou partilhou informações pessoais dos utilizadores nos últimos 12 meses.
Adicione uma declaração indicando se a sua empresa vende ou partilha deliberadamente as informações pessoais dos utilizadores com menos de 16 anos.
Inclua as categorias de informações pessoais que a sua empresa tenha divulgado (para fins comerciais) a terceiros nos últimos 12 meses, uma lista de terceiros relevantes e os seus fins comerciais. Deve ainda divulgar o facto de não ter divulgado informações pessoais dos consumidores nos últimos 12 meses.
Indique se a sua empresa utiliza ou divulga informações pessoais sensíveis para fins diferentes dos especificados na lei.
Forneça quaisquer links para formulários de pedidos online ou portais para que os seus utilizadores possam efetuar pedidos relacionados com a recolha, divulgação ou venda das suas informações pessoais.
Inclua as categorias de dados pessoais tratados pela sua organização.
Inclua a finalidade do tratamento de dados pessoais pela sua organização.
Informe os seus utilizadores sobre como poderão exercer os seus direitos (veja abaixo), incluindo sobre como podem recorrer de uma decisão relativa aos seus pedidos. Deve disponibilizar um ou mais métodos para a submissão de pedidos por parte dos utilizadores.
Inclua as categorias de dados pessoais que a sua organização partilha com terceiros, se aplicável.
Inclua as categorias de terceiros, se aplicável, com os quais a sua organização partilha dados pessoais.
A CPA exige, especificamente, que exiba um aviso de privacidade que inclua as seguintes informações:
Categorias de dados pessoais recolhidos ou tratados.
Finalidades para as quais as categorias de dados pessoais são tratadas.
Como e onde os consumidores podem exercer os seus direitos, incluindo as informações de contacto e como recorrer da ação de um responsável pelo tratamento relativamente ao pedido de um consumidor.
Categorias de dados pessoais que são partilhadas com terceiros, se aplicável;
Categorias de terceiros com quem os dados pessoais são partilhados, se aplicável.
A nova lei de privacidade do Connecticut exige que exiba um aviso de privacidade claro e significativo que seja razoavelmente acessível aos consumidores. Aqui pode encontrar uma lista de verificação do que deve ser incluído na sua política de privacidade para cumprir a nova lei:
Categorias de Dados Pessoais: A sua política de privacidade deve incluir uma lista das categorias de dados pessoais que trata.
Finalidades do tratamento: A sua política de privacidade deve indicar claramente as finalidades do tratamento de dados pessoais. Tal inclui qualquer motivo pelo qual recolhe e utiliza dados pessoais, como por exemplo, para cumprir um contrato ou prestar um serviço.
Direitos do consumidor: A sua política de privacidade deve explicar como os consumidores podem exercer os seus direitos nos termos da lei. Tal inclui a forma como um consumidor pode aceder, retificar, apagar ou limitar o tratamento dos seus dados pessoais. Deve ainda incluir informações sobre como um consumidor pode recorrer de uma decisão relacionada com o seu pedido.
Partilha com terceiros: Se partilhar dados pessoais com terceiros, a sua política de privacidade deve especificar as categorias de dados pessoais que partilha.
Categorias de terceiros: A sua política de privacidade deve ainda especificar as categorias de terceiros com os quais partilha dados pessoais.
Informações de contacto: A sua política de privacidade deve indicar um endereço de correio eletrónico ativo ou outro mecanismo online que os consumidores possam utilizar para entrar em contacto consigo em caso de dúvidas ou preocupações sobre os seus dados pessoais.
Venda ou publicidade direcionada: A sua política de privacidade deve divulgar de forma clara e visível se trata dados pessoais para fins de venda ou publicidade direcionada. Deve igualmente fornecer informações sobre como os consumidores podem exercer o seu direito de recusar tal tratamento.
Se estiver sujeito à Lei relativa à Privacidade dos Consumidores do Utah (UCPA), deve fornecer uma política de privacidade que seja razoavelmente acessível e clara para os consumidores. A sua política de privacidade deve incluir o seguinte:
Categorias de dados pessoais tratados: Identifique os tipos de dados pessoais que a sua organização recolhe e trata, como nomes, endereços de correio eletrónico e informações de pagamento.
Finalidades do tratamento de dados pessoais: Descreva os motivos pelos quais a sua organização recolhe e trata dados pessoais, como por exemplo, para atender pedidos, fornecer apoio ao cliente ou melhorar produtos ou serviços.
Direitos do consumidor: Explique como os consumidores podem exercer os seus direitos, como o direito de aceder aos seus dados pessoais e apagar os mesmos. Note que a UCPA não concede aos consumidores o direito de retificar dados pessoais imprecisos.
Partilha de dados pessoais: Divulgue as categorias de dados pessoais que sua organização partilha com terceiros, se aplicável. Por exemplo, poderá partilhar informações de pagamento com um prestador de serviços de pagamento ou endereços postais com uma prestadora de serviços de transporte.
Terceiros: Identifique as categorias de terceiros com quem a sua organização partilha dados pessoais, se aplicável. Estes poderão incluir fornecedores, prestadores de serviços ou parceiros de marketing.
A Lei relativa à Segurança e Privacidade dos Dados do Texas exige que os responsáveis pelo tratamento apresentem aos consumidores um aviso de privacidade razoavelmente acessível e claro, que determine, nomeadamente:
as categorias de dados pessoais, incluindo os dados sensíveis, se aplicável, objeto de tratamento e as finalidades do tratamento;
de que forma os consumidores podem exercer os seus direitos; e
as categorias de dados pessoais partilhados com terceiros e as categorias de terceiros com os quais as informações são partilhadas.
Se os responsáveis pelo tratamento efetuarem a venda de dados sensíveis, são obrigados a informar adequadamente os consumidores.
Para determinados tipos de tratamento de dados, os responsáveis pelo tratamento dos dados devem efetuar avaliações de proteção de dados.
Apresente um aviso de privacidade claro que detalhe:
as categorias de dados pessoais tratados;
as finalidades do tratamento;
as práticas de partilha;
as informações de contacto; e
como exercer os direitos dos consumidores.
A OCDPA exige que os responsáveis pelo tratamento ofereçam aos consumidores um aviso de privacidade claro, acessível e pertinente. Este aviso deve incluir:
As categorias de dados pessoais (incluindo os dados sensíveis) tratados pelo responsável pelo tratamento e as finalidades do tratamento.
As categorias de dados pessoais partilhados com terceiros e as identidades desses terceiros.
Detalhes de quaisquer atividades de tratamento relacionadas com publicidade orientada.
Instruções sobre a forma como os consumidores podem contactar o responsável pelo tratamento e exercer os seus direitos de privacidade, incluindo o procedimento de recurso.
Solução
Gerador de Políticas de Privacidade e de Cookies
Crie as suas políticas de privacidade e de cookies em minutos.
Personalizável a partir de mais de 2000 cláusulas, disponíveis em 14 idiomas e atualizadas automaticamente no caso de a lei ser alterada, o nosso gerador permite-lhe criar um documento jurídico em minutos e integrá-lo sem problemas no seu website ou aplicação.
A CPRA (alteração à CCPA) obriga-o a apresentar um aviso, no momento da recolha ou antes do mesmo, que informa os consumidores sobre as categorias de informações pessoais que serão recolhidas e as finalidades da recolha. Os consumidores devem ainda poder recusar esse tratamento. Como tal, enquanto utilizador comercial é responsável por apresentar esta opção aos consumidores e por fornecer os próprios meios de recusa.
Deve, nomeadamente:
Detetar se um consumidor está estabelecido na Califórnia e se já visitou o seu site antes
Facilitar os pedidos de recusa através de um link NVMIP
Instruir terceiros relevantes a cessar o tratamento das informações do consumidor quando um pedido de recusa for recebido.
Exibir um aviso com as divulgações necessárias na primeira visita ao site
Informamos que, nos termos da VCDPA, não há qualquer indicação de que sejam necessários links de recusa que permitam aos utilizadores recusar o tratamento de dados pessoais para determinados fins
De facto, o disposto na VCDPA trata o direito de recusa dos utilizadores da mesma forma que quaisquer outros direitos de utilizadores concedidos pela Lei.
A sua empresa tem de cumprir os pedidos dos utilizadores da seguinte forma:
Tem de cumprir o pedido num prazo de 45 dias. O período de resposta pode ser alargado uma vez por 45 dias adicionais quando tal for razoavelmente necessário desde que informe o utilizador de qualquer extensão durante o período inicial de resposta, de 45 dias, indicando o motivo da extensão;
Se se recusar a dar seguimento ao pedido dos seus utilizadores, informe-os de tal recusa num prazo de 45 dias, indicando a respetiva justificação bem como as instruções sobre como recorrer da decisão;
Se não conseguir autenticar um pedido recorrendo a esforços comercialmente razoáveis, não é obrigado a atender ao pedido, podendo solicitar informações adicionais que sejam razoavelmente necessárias para autenticar o utilizador e a respetiva solicitação.
Note que, nos termos da CPA, não há qualquer indicação de que sejam necessários links de recusa que permitam aos consumidores recusar o tratamento de dados pessoais para determinados fins. No entanto, se tratar dados pessoais para publicidade direcionada ou venda, deverá fornecer um método claro e visível para os consumidores exercerem o seu direito de recusar.
Este método deve ser descrito de forma clara e visível no aviso de privacidade, devendo ser facilmente acessível fora do aviso de privacidade.
Deve ainda permitir que os consumidores recusem o tratamento dos seus dados pessoais para publicidade direcionada ou venda através de um sinal de preferência de recusa enviado através de uma plataforma, tecnologia ou mecanismo, com o consentimento do consumidor. Este mecanismo deverá:
não prejudicar injustamente outros responsáveis pelo tratamento,
exigir uma escolha afirmativa e inequívoca do consumidor,
ser fácil de utilizar,
ser tão coerente quanto possível com outros mecanismos semelhantes exigidos por leis ou regulamentos federais ou estaduais, e
permitir que o responsável pelo tratamento determine se o consumidor reside no Connecticut e efetuou um pedido de recusa legítimo.
Nos termos da Lei relativa à Privacidade dos Consumidores do Utah (UCPA), os consumidores têm o direito de recusar o tratamento dos seus dados pessoais para fins de publicidade direcionada ou venda dos seus dados pessoais a terceiros. No entanto, a Lei não fornece diretrizes específicas sobre como deve permitir que o consumidor exerça esse direito.
Para cumprir a UCPA, deverá:
fornecer aos consumidores um meio para o envio de pedidos de recusa; e
especificar o direito que pretendem exercer.
Convém notar que, nos termos da UCPA, os links de recusa apenas são considerados relativamente ao direito de o consumidor recusar o tratamento de dados sensíveis.
A TDPSA exige o consentimento com aceitação do utilizador nos seguintes cenários:
Consentimento com aceitação para o tratamento de dados sensíveis: Os responsáveis pelo tratamento não podem tratar dados sensíveis sem o consentimento explícito do utilizador. Ao tratar dados pessoais sensíveis de crianças, os responsáveis pelo tratamento devem igualmente cumprir a Lei de Proteção da Privacidade Online das Crianças de 1998.
Consentimento com aceitação para o tratamento de dados de crianças: Para efeitos da presente lei, por crianças entende-se os menores de 13 anos.
De um modo geral, as empresas podem tratar os dados dos consumidores sem o seu consentimento se as finalidades do tratamento forem as mesmas que as inicialmente divulgadas. Para finalidades que não sejam razoavelmente necessárias e compatíveis com as originalmente especificadas na política de privacidade, é necessário obter o consentimento do utilizador.
As empresas devem obter o consentimento dos consumidores para as seguintes finalidades:
Tratamento de dados sensíveis.
Tratamento dos dados pessoais de crianças com idades compreendidas entre os 13 e os 16 anos para venda e publicidade orientada, se a empresa tiver conhecimento da sua idade.
Forneça aos consumidores um método fácil de retirarem o seu consentimento. Se um consumidor revogar o consentimento, interrompa o tratamento dos seus dados pessoais em causa, no prazo de 45 dias.
Mecanismos de recusa
Informar se os dados pessoais serão vendidos ou utilizados para publicidade orientada.
Fornecer métodos para que os consumidores recusem a venda de dados, para publicidade orientada e definição de perfis.
Reconhecer sinais de recusa verificáveis de agentes autorizados, incluindo mecanismos de recusa globais.
Até 1 de janeiro de 2025, as empresas devem permitir que os consumidores recusem publicidade orientada e a venda dos seus dados pessoais utilizando sinais de recusa.
Para tratar dados pessoais para além do que é razoavelmente necessário para as finalidades originalmente divulgadas aos consumidores, as entidades devem obter o consentimento positivo com aceitação dos consumidores. Aplicam-se as mesmas diretrizes de consentimento à recolha e tratamento de quaisquer informações sensíveis.
A OCPA define requisitos de consentimento claros:
Os consumidores devem praticar um ato positivo claro.
O consentimento deve ser inequívoco e informado.
O mecanismo de consentimento não pode perturbar, subverter ou prejudicar a tomada de decisões dos consumidores.
Deve existir uma forma fácil e semelhante de os consumidores retirarem o seu consentimento em qualquer momento.
A inação do consumidor não constitui um consentimento.
É igualmente necessário o consentimento ativo de um tutor legal para tratar dados sobre crianças com menos de treze anos, incluindo para publicidade orientada ou para a venda das suas informações.
Solução
Privacy Controls and Cookie Solution para a CPRA e a VCDPA
Notificar os consumidores e gerir a recusa. Quadro de Conformidade da CCPA (CPRA) do IAB integrado.
A nossa solução permite-lhe:
Apresentar um aviso de recolha nos termos da CCPA
Apresentar um link “Não Vender as Minhas Informações Pessoais” (NVMIP) no aviso e em qualquer outro local do site/aplicação, suportando assim a recusa da venda
Detetar e aplicar automaticamente as normas corretas (incluindo várias normas) com base na localização. A nossa solução permite-lhe aplicar tanto as normas da CPRA (alteração à CCPA) como do RGPD aos mesmos utilizadores, quando tal seja legalmente exigido
Registar facilmente e transmitir automaticamente as preferências dos utilizadores (como a recusa) a fornecedores de anúncios que suportem o Quadro de Conformidade da CCPA do IAB (como a Google e a AdRoll)
A Privacy Controls and Cookie Solution da iubenda suporta Sinais de Preferência de Recusa, como GPC e GPP, tal como exigido nos termos da CPRA
Mantenha registos atualizados para a recusa manual
Requisito
Tal como referido anteriormente, à semelhança da CPRA (alteração à CCPA) a maioria destas leis estaduais confere aos utilizadores o direito de recusa. Nos casos em que o tratamento seja de certo modo manual (ou seja, não relacionado com scripts no site, como no caso do marketing direto por correio eletrónico), as empresas podem ter de implementar manualmente o pedido de recusa.
Além disso, leis como a CPRA determinam que os utilizadores não possam ser contactados durante um período mínimo de 12 meses após o pedido. Por este motivo, é prudente manter registos de informações de recusa, tais como o utilizador específico, a data e os subcontratados a notificar no caso de serem apresentados pedidos.
Solução
Consent Database
A nossa Consent Database liga-se aos seus formulários web para lhe permitir transmitir automaticamente as informações das preferências dos consumidores, como a recusa através da API, até um painel de controlo visual gerido de forma centralizada. Pode registar todas as informações relevantes, incluindo a data e hora da recusa, a versão da política de privacidade disponível para o utilizador no momento da recusa, o Id de utilizador, o e-mail e até o endereço IP para ajudar na verificação do pedido.
O nosso Registo das Atividades de Tratamento de Dados permite-lhe registar com precisão as informações relevantes necessárias para satisfazer com rigor os pedidos dos Consumidores.
A Solução regista:
informações de segurança, como os membros da sua organização com acesso aos dados dos utilizadores;
quaisquer subcontratados registados que tratem dados em seu nome;
finalidades adicionadas manualmente para o tratamento;
Contraordenação de 2.500 $ por violação, ou; 7.500 $ por violação, se for intencional ou envolver informações pessoais de uma criança.
Contraordenação de até 7.500 dólares por cada violação.
Apesar de estas coimas poderem não parecer muito elevadas quando comparadas com outras leis de privacidade, tenha em consideração que estas coimas se aplicam por violação individual e por consumidor. Mesmo no caso de uma empresa com apenas alguns clientes, estas coimas podem atingir um montante elevado.
De um modo geral, quais são os principais requisitos para os proprietários de websites e aplicações?
Partilha e definição de perfis
Se tiver utilizadores dos EUA, poderá ter de cumprir leis como a CPRA e a VCDPA no que se refere à definição de perfis ou partilha de informações dos utilizadores. Ou seja, deve informar os utilizadores sobre como está a tratar os seus dados e permitir que estes cessem a partilha (recusa).
Registos de Consentimento
Algumas regiões, como a Europa e o Brasil, exigem a conservação de provas de consentimento (igualmente designados registos de consentimento). Em muitos casos, sem estes registos, os consentimentos que recolhe poderão ser considerados inválidos — colocando-o em situação de incumprimento da lei.
Requisitos inter-regionais
Se tiver utilizadores de várias regiões (por exemplo, da Europa e dos EUA), poderá ter de cumprir simultaneamente a legislação de várias regiões, como a CPRA da Califórnia ou o RGPD europeu. Tal implica dispor de divulgações específicas de cada região nos seus documentos de privacidade e não só.
Mais de 130.000 clientes em mais de 100 países confiam nas nossas soluções
“Se, tal como eu, fizer parte de uma pequena equipa e detestar atualizar a sua política de privacidade sempre que adiciona algum código no seu site, então a iubenda é para si. É incrivelmente económica e super fácil de utilizar.”
EXPERIMENTE ANTES DE COMPRAR ou MANTENHA-SE NA OPÇÃO GRATUITA
3039278 documentos de atualização automática já gerados
Perguntas frequentes
Como preparar-se para a CPRA?
A CPRA é promulgada a 1 de janeiro de 2023, entrando em vigor a partir de 1 de julho de 2023.
Na iubenda, estamos sempre atentos às últimas atualizações e garantimos que todos os nossos documentos e produtos são ajustados em tempo útil para o ajudar a cumprir os requisitos legais.
Se já tem procedimentos implementados no âmbito da CCPA, poderá ser uma boa altura para começar a rever os seus processos e tomar nota de alguns aspetos:
Os Estados Unidos da América contam com mais um regulamento em matéria de proteção de dados com a Virginia’s Data Protection Act (VCDPA).
A VCDPA produz efeitos a 1 de janeiro de 2023.
Se a sua organização estiver abrangida pelo âmbito de aplicação da VCDPA, deve começar a procurar soluções de conformidade de confiança redigidas por advogados.
Se ainda não dispõe de nenhuma, comece já hoje a preparar tudo o que precisa. Informá-lo-emos logo que as cláusulas estejam disponíveis!
Ou participe no nosso próximo webinar para ter uma visão global dos requisitos legais e fazer perguntas em direto
Todos os nossos produtos estão em Conformidade com o Nível AAA das WCAG
Uma solução 360º para que os seus sites e aplicações cumpram os requisitos legais
Conformidade para websites e aplicações
Gerador de Políticas de Privacidade e de Cookies
Crie as suas políticas de privacidade e de cookies em minutos.
Personalizável a partir de mais de 2000 cláusulas, disponíveis em 14 idiomas e atualizadas automaticamente no caso de a lei ser alterada, o nosso gerador permite-lhe criar um documento jurídico em minutos e integrá-lo sem problemas no seu website ou aplicação.
Gestão das preferências de consentimento para a Diretiva Privacidade e Comunicações Eletrónicas, RGPD, CPRA (alteração à CCPA) e LGPD. Integrada com o TCF do IAB e o Quadro de Conformidade da CCPA
A nossa solução permite-lhe exibir um banner de cookies/banner de consentimento totalmente personalizável, recolher o consentimento para cookies, implementar o bloqueio prévio (incluindo bloqueio automático) e definir preferências de publicidade, entre outros.
A nossa solução integra-se de forma simples com os seus formulários de recolha de consentimento, sincroniza-se com os seus documentos jurídicos e inclui um painel de controlo de fácil utilização para a revisão do registo de consentimentos das suas atividades.
Documente toda a atividade de tratamento de dados na sua organização.
Para cumprir as leis de privacidade, nomeadamente o RGPD, as empresas têm de registar o modo como conservam e utilizam os dados que recolhem dos seus utilizadores. A nossa solução permite-lhe documentar facilmente todas as atividades de tratamento de dados na sua organização.
