Iowa promulga lei de privacidade de dados - Arquivo 262 do Senado

Introdução

Iowa se tornou o sexto estado dos EUA a adotar uma lei abrangente de privacidade de dados Conhecida como Arquivo 262 do SenadoEm 15 de março de 2023, o Senado e a Câmara de Iowa aprovaram por unanimidade o projeto de lei, que foi sancionado pelo governador Reynolds em 28 de março de 2023. A lei entrou em vigor em 1º de janeiro de 2025.

A lei de privacidade de dados de Iowa se junta a cinco outros estados dos EUA e segue um formato semelhante às leis de privacidade dos estados da Califórnia, Colorado, Connecticut, Utah e Virgínia. Devido à sua semelhança com as leis estaduais existentes, não se prevê que a lei imponha requisitos de conformidade significativos às empresas que já estão cumprindo as regulamentações de privacidade estaduais abrangentes pré-existentes.

Quem precisa estar em conformidade com a lei

i) Escopo do material

Uma entidade que realize negócios em Iowa ou produza produtos ou serviços direcionados a consumidores residentes em Iowa estará sujeita à lei se atender aos seguintes requisitos durante um ano-calendário:

• controla ou processa os dados pessoais de mais de 100.000 residentes de Iowa; ou
• controla ou processa os dados pessoais de mais de 25.000 residentes de Iowa e obtém mais de 50% de sua receita bruta com a venda de dados pessoais.

ii) Isenções

A lei isenta certos tipos de entidades e dados de sua aplicação. As seguintes entidades não se enquadram no escopo da lei:

• Entidades governamentais;
• Instituições financeiras, suas afiliadas e entidades sujeitas à Lei Gramm-Leach-Bliley;
• Entidades que estão sujeitas a e cumprem:
  • a lei federal HIPAA (Health Insurance Portability and Accountability Act) de 1996
  • Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH)
• Organizações sem fins lucrativos; e
• Instituições de ensino superior.

A lei também não se aplica aos seguintes tipos de dados:

• Dados médicos cobertos por quaisquer leis médicas: Muitas formas de informações de saúde, registros, dados e documentos protegidos e cobertos pela HIPAA ou por outras leis médicas federais ou estaduais;
• Dados pessoais usados para pesquisa: Informações privadas identificáveis coletadas, usadas ou compartilhadas em pesquisas conduzidas de acordo com as leis aplicáveis;
• Dados cobertos pela FCRA: Quaisquer informações pessoais de consumidores coletadas ou usadas para pontuação de crédito ao consumidor e relatórios protegidos pela lei federal Fair Credit Report Act (FCRA);
• Dados do motorista: Dados pessoais coletados, processados, vendidos ou divulgados em conformidade com a lei federal Driver's Privacy Protection Act de 1994;
• Dados FERPA: Dados pessoais regulamentados pela lei federal FERPA (Family Educational Rights and Privacy Act);
• Dados da FCA: Dados pessoais coletados, processados, vendidos ou divulgados em conformidade com a lei federal Farm Credit Act (FCA);
• Dados COPPA: Dados pessoais usados de acordo com a lei federal Children's Online Privacy Protection Act (COPPA);
• Dados de emprego: Dados pessoais mantidos para registros de emprego.

Definições de termos-chave

i) Dados biométricos

Dados biométricos significam dados gerados por medições automáticas das características biológicas de um indivíduo, como impressão digital, impressão de voz, retina ocular, íris ou outros padrões ou características biológicas exclusivas que são usados para identificar um indivíduo específico; mas não incluem uma fotografia física ou digital, uma gravação de vídeo ou áudio ou dados gerados a partir deles, ou informações coletadas, usadas ou armazenadas para tratamento, pagamento ou operações de saúde de acordo com a HIPAA.

ii) Consentimento

Consentimento significa um ato afirmativo claro que significa a concordância livre, específica, informada e inequívoca de um consumidor em processar dados pessoais relacionados ao consumidor, incluindo uma declaração por escrito, uma declaração escrita eletronicamente ou qualquer outra ação afirmativa inequívoca.

iii) Consumidor

Consumidor significa uma pessoa física residente no estado que atua apenas em um contexto individual ou doméstico, excluindo uma pessoa física que atua em um contexto comercial ou de emprego.

iv) Controlador

Controlador significa uma pessoa que, sozinha ou em conjunto com outras, determina a finalidade e os meios de processamento de dados pessoais.

v) Dados desidentificados

Dados desidentificados significam dados que não podem ser razoavelmente vinculados a uma pessoa física identificada ou identificável.

vi) Dados pessoais

Dados pessoais significa qualquer informação vinculada ou razoavelmente vinculável a uma pessoa física identificada ou identificável, mas não inclui dados não identificados ou agregados ou informações publicamente disponíveis.

vii) Processador

Um processador é uma pessoa que processa dados pessoais em nome de um controlador.

viii) Dados Pseudônimos

Dados pseudônimos significam dados pessoais que não podem ser atribuídos a uma pessoa física específica sem o uso de informações adicionais, desde que essas informações adicionais sejam mantidas separadamente e estejam sujeitas a medidas técnicas e organizacionais apropriadas para garantir que os dados pessoais não sejam atribuídos a uma pessoa física identificada ou identificável.

ix) Dados confidenciais

Dados confidenciais significa uma categoria de dados pessoais que inclui o seguinte:

• Origem racial ou étnica, crenças religiosas, diagnóstico de saúde mental ou física, orientação sexual ou status de cidadania ou imigração, exceto na medida em que esses dados sejam usados para evitar discriminação com base em uma classe protegida que violaria uma lei federal ou estadual antidiscriminação.
• Dados genéticos ou biométricos que são processados com a finalidade de identificar exclusivamente uma pessoa física.
• Os dados pessoais coletados de uma criança conhecida.
• Dados precisos de geolocalização.

Obrigações dos controladores

i) Medidas de segurança

Com base no volume e na natureza dos dados pessoais, os controladores são obrigados a adotar e implementar práticas razoáveis de segurança de dados administrativos, técnicos e físicos para proteger a confidencialidade, a integridade e a acessibilidade dos dados pessoais.

ii) Processamento de dados confidenciais

A lei obriga os controladores a apresentarem aos consumidores um aviso claro e uma oportunidade de optar por não participar no caso de processamento de dados confidenciais para uma finalidade não isenta. Para processar dados confidenciais pertencentes a uma criança conhecida, os controladores devem cumprir as disposições da COPPA.

iii) Não discriminação

Os controladores estão impedidos de discriminar os consumidores por exercerem seus direitos de acordo com a lei ou por processarem seus dados pessoais em violação às leis estaduais e federais que proíbem a discriminação ilegal. No entanto, a lei permite que os controladores ofereçam preços, taxas, níveis, qualidade ou seleção de bens ou serviços diferentes a um consumidor se o consumidor tiver exercido seu direito de recusar a venda de dados pessoais ou se a oferta for baseada na participação voluntária do consumidor em um programa de fidelidade, recompensas, recursos premium, descontos ou cartão de clube de boa-fé.

iv) Aviso de privacidade

Os controladores são obrigados a fornecer aos consumidores um aviso de privacidade razoavelmente acessível, claro e significativo que inclua o seguinte:

• as categorias de dados pessoais processados pelo controlador;
• as finalidades do processamento de dados pessoais;
• mecanismo para exercer os direitos previstos na lei, inclusive o direito de recorrer da negação de uma solicitação de dados do consumidor;
• as categorias de dados pessoais que o controlador compartilha com terceiros; e
• Além disso, se um controlador vender os dados pessoais de um consumidor a um terceiro ou se envolver em publicidade direcionada, o controlador deverá divulgar claramente a atividade ao consumidor, juntamente com o mecanismo pelo qual o consumidor poderá optar por não participar de tal atividade.

v) Divulgação de dados não identificados ou pseudônimos

Com relação à divulgação de dados não identificados ou pseudônimos, a lei exige que os controladores exerçam uma supervisão razoável para monitorar a conformidade com quaisquer compromissos contratuais aos quais os dados pseudônimos ou não identificados estejam sujeitos e tomem as medidas apropriadas para resolver quaisquer violações desses compromissos contratuais.

Obrigações dos processadores

i) Assistência ao Controlador

A lei exige que o processador auxilie o controlador, adotando medidas técnicas e organizacionais apropriadas para cumprir as obrigações do controlador de responder às solicitações de dados do consumidor e de cumprir as obrigações de segurança com relação aos dados pessoais processados.

ii) Processamento sob contrato

O processador deverá processar os dados pessoais em nome do controlador de acordo com os termos do contrato entre o controlador e o processador (contrato), estabelecendo as instruções para o processamento, a natureza e as finalidades do processamento, o tipo de dados processados, a duração do processamento e os direitos e deveres de ambas as partes. O contrato também exigirá que o processador:

• garantir a confidencialidade dos dados pessoais;
• excluir ou devolver os dados pessoais ao coletor sob a orientação do controlador, a menos que a retenção dos dados pessoais seja exigida por lei;
• mediante solicitação razoável do controlador, disponibilizar todas as informações em sua posse necessárias para demonstrar o cumprimento de suas obrigações; e
• contratar qualquer subcontratado ou agente por meio de um instrumento escrito que exija o cumprimento de obrigações com relação aos dados pessoais.

Direitos do titular dos dados

De acordo com a lei, os consumidores podem invocar os seguintes direitos fazendo uma solicitação autenticada (DSR) ao controlador:

1. Direito de acesso

   O consumidor tem o direito de confirmar se o controlador está processando seus dados pessoais e de acessar esses dados.

2. Direito de excluir

   O consumidor tem o direito de obter a exclusão de seus dados pessoais do controlador.

3. Direito à portabilidade de dados

   O consumidor tem o direito de obter uma cópia de seus dados pessoais.

4. Direito de optar por não participar da venda

   O consumidor tem o direito de recusar a venda de seus dados pessoais.
   Com relação ao processamento de dados pessoais pertencentes a uma criança, o pai ou responsável legal de uma criança conhecida pode invocar esses direitos do consumidor em seu nome.

5. Período de resposta para DSRs

   O controlador deve responder a uma DSR sem atrasos indevidos, mas, em todos os casos, dentro de 90 (noventa) dias a partir do recebimento da solicitação. No entanto, nos casos em que for razoavelmente necessário, considerando a complexidade e o número de solicitações do consumidor, o controlador poderá solicitar uma prorrogação de mais 45 (quarenta e cinco) dias no período de resposta, informando o consumidor sobre tal prorrogação dentro do período inicial de resposta de noventa dias, juntamente com o motivo da prorrogação.

6. Negação de DSR

   No caso de suspeita de DSR fraudulenta, o controlador pode se recusar a tomar providências declarando que a DSR não pôde ser autenticada. Em todos os outros casos de recusa de ação em uma DSR, o controlador deve informar ao consumidor, sem demora injustificada, a justificativa e as instruções para recorrer dessa recusa.

7. Encargos para DSR

   Um consumidor pode fazer um DSR gratuitamente duas vezes por ano; no entanto, quando um DSR de um consumidor for manifestamente infundado, excessivo, repetitivo, tecnicamente inviável, ou o controlador acreditar razoavelmente que o objetivo principal do DSR não é exercer um direito do consumidor, ele poderá cobrar do consumidor uma taxa razoável para cobrir os custos administrativos do cumprimento do DSR ou recusar-se a agir de acordo com o DSR. No entanto, o controlador deverá arcar com o ônus de demonstrar a natureza infundada, excessiva, repetitiva e tecnicamente inviável de um DSR.

8. DSRs não autenticados

   O controlador pode se recusar a tomar medidas em relação a um DSR que não consiga autenticar usando esforços comercialmente razoáveis e pode solicitar que o consumidor forneça informações adicionais razoavelmente necessárias para autenticar o consumidor e o DSR.

9. Recurso contra a negação de DSR

   O controlador deve estabelecer um processo, semelhante ao processo de apresentação do DSR, para que o consumidor apresente um recurso contra a recusa do DSR. O controlador deve informar o consumidor sobre a decisão da apelação no prazo de 60 (sessenta) dias a partir do recebimento da apelação e, caso a apelação seja negada, fornecer ao consumidor um mecanismo on-line para enviar uma reclamação ao procurador-geral.

Isenções de processamento de dados

A lei prevê certas isenções para os controladores e processadores em relação ao processamento dos dados pessoais dos consumidores. Essas isenções são as seguintes:

• Um coletor ou processador não é obrigado por lei a:
  • reidentificar dados não identificados ou dados pseudônimos;
  • manter dados em formato identificável; ou
  • coletar, obter, reter ou acessar qualquer dado ou tecnologia, a fim de poder associar uma solicitação autenticada do consumidor a dados pessoais.
• Um coletor ou processador não é obrigado, nos termos da lei, a cumprir uma DSR se:
  • o controlador não é razoavelmente capaz de associar a solicitação aos dados pessoais ou seria excessivamente oneroso para o controlador associar a solicitação aos dados pessoais;
  • o controlador não usa os dados pessoais para reconhecer ou responder ao consumidor específico que está sujeito aos dados pessoais, nem associa os dados pessoais a outros dados pessoais sobre o mesmo consumidor específico; ou
  • o controlador não vende os dados pessoais a terceiros nem os divulga voluntariamente a terceiros que não sejam um processador.
• Um coletor não é obrigado a cumprir um DSR com relação a dados pseudônimos quando o controlador puder demonstrar que qualquer informação necessária para identificar o consumidor é mantida separadamente e está sujeita a medidas técnicas e organizacionais adequadas para garantir que os dados pessoais não sejam atribuídos a uma pessoa física identificada ou identificável.

Limitações

Limitando seu escopo de aplicação, a lei estabelece que ela não pode restringir a capacidade dos controladores e processadores de fazer o seguinte:

• cumprir as leis, regras ou regulamentos federais, estaduais ou locais;
• cumprir com um inquérito civil, criminal ou regulatório, investigação, intimação ou convocação por autoridades federais, estaduais, locais ou outras autoridades governamentais;
• cooperar com as agências de aplicação da lei com relação à conduta ou atividade que o controlador ou processador acredita, de forma razoável e de boa fé, que possa violar leis, regras ou regulamentos federais, estaduais ou locais;
• investigar, estabelecer, exercer, preparar ou defender reivindicações legais;
• fornecer um produto ou serviço especificamente solicitado por um consumidor ou pai ou responsável por uma criança, executar um contrato do qual o consumidor ou pai ou responsável por uma criança seja parte, ou tomar medidas a pedido do consumidor ou pai ou responsável por uma criança antes de firmar um contrato;
• tomar medidas imediatas para proteger um interesse que seja essencial para a vida ou a segurança física do consumidor ou de outra pessoa física, e quando o processamento não puder ser manifestamente baseado em outra base legal;
• prevenir, detectar, proteger contra ou responder a incidentes de segurança, roubo de identidade, fraude, assédio, atividades maliciosas ou enganosas ou qualquer atividade ilegal;
• preservar a integridade ou a segurança dos sistemas;
• investigar, denunciar ou processar os responsáveis por qualquer ação desse tipo;
• participar de pesquisas científicas ou estatísticas públicas ou revisadas por pares, de interesse público, que cumpram todas as outras leis de ética e privacidade aplicáveis e que sejam aprovadas, monitoradas e regidas por um conselho de revisão institucional ou entidades de supervisão independentes semelhantes que determinem o seguinte:
  • se a exclusão das informações puder trazer benefícios substanciais que não sejam exclusivamente para o controlador;
  • os benefícios esperados da pesquisa superam os riscos à privacidade;
  • se o controlador implementou salvaguardas razoáveis para atenuar os riscos à privacidade associados à pesquisa, inclusive quaisquer riscos associados à reidentificação.
• auxiliar outro controlador, processador ou terceiro em qualquer uma das obrigações previstas na lei; ou
• fornecer dados pessoais relativos a um consumidor a uma pessoa coberta por um privilégio probatório de acordo com as leis do estado como parte de uma comunicação privilegiada.

Além disso, a lei estabelece que as obrigações impostas a um controlador ou processador de acordo com suas disposições não devem restringir a capacidade do controlador ou processador de coletar, usar ou reter dados para:

• conduzir pesquisas internas para desenvolver, melhorar ou reparar produtos, serviços ou tecnologia;
• realizar um recall de produto;
• identificar e reparar erros técnicos que prejudiquem a funcionalidade existente ou pretendida; ou
• realizar operações internas que estejam razoavelmente alinhadas com as expectativas do consumidor ou razoavelmente previstas com base no relacionamento existente do consumidor com o controlador, ou que sejam de outra forma compatíveis com o processamento de dados para promover o fornecimento de um produto ou serviço especificamente solicitado por um consumidor ou pai ou responsável por uma criança ou a execução de um contrato do qual o consumidor ou pai ou responsável por uma criança seja parte.

No entanto, é pertinente observar que, ao processar os dados pessoais sob qualquer uma das isenções mencionadas acima, o controlador deve garantir o seguinte:

• o processamento é razoavelmente necessário e proporcional à isenção;
• O processamento é adequado, relevante e limitado ao que é necessário em relação à isenção específica; e
• os dados pessoais coletados para esse processamento estão sujeitos a medidas administrativas, técnicas e físicas para proteger sua confidencialidade, integridade e acessibilidade.

Além disso, a lei isenta os controladores e os processadores do cumprimento das obrigações previstas em suas disposições se esse cumprimento violar um privilégio probatório de acordo com as leis do estado de Iowa. A lei também estabelece que um controlador ou processador não estará violando a lei se, no momento da divulgação dos dados pessoais, o controlador ou processador divulgador não tiver conhecimento real de que o destinatário pretendia cometer uma violação.

Os controladores e os processadores também estão isentos do cumprimento de uma obrigação nos termos da lei se isso afetar negativamente a privacidade ou outros direitos ou liberdades de quaisquer outras pessoas.

Autoridade regulatória

O procurador-geral de Iowa tem a autoridade exclusiva para aplicar a lei. O procurador-geral tem o poder de emitir exigências de investigação civil para os controladores e processadores e, caso as violações não sejam sanadas, iniciar uma ação civil.

Penalidades por não conformidade

A lei não prescreve nenhuma penalidade para os casos em que a violação é sanada pelo controlador ou pelo processador dentro do prazo de noventa dias da notificação do procurador-geral identificando as disposições específicas da lei que está sendo violada. Entretanto, em caso de violação contínua ou violação de uma declaração expressa por escrito feita com relação à cura da violação, o procurador geral pode iniciar uma ação em nome do estado e pode buscar uma liminar para restringir quaisquer violações da lei e penalidades civis de até US$ 7.500 por cada violação.

Como uma organização pode operacionalizar a lei

As organizações podem operacionalizar a lei de privacidade de dados de Iowa adotando as seguintes etapas importantes:

• Determinar se eles atendem ao limite jurisdicional da lei, inclusive se mantêm dados pessoais de residentes de Iowa e se atendem ao limite de volume de dados;
• Determinar seus inventários de dados e classificar os armazenamentos de dados que contêm dados pessoais de residentes de Iowa;
• Desenvolva um aviso de privacidade claro e acessível que estabeleça os direitos dos consumidores e as informações sobre o processamento dos dados pessoais;
• Implementar uma estrutura robusta para processar rapidamente os DSRs, bem como o recurso do consumidor contra a negação de um DSR; e
• Garantir a segurança dos dados pessoais adotando medidas de segurança adequadas.

Como Securiti pode ajudar

À medida que os estados dos EUA e os países testemunham uma profunda transição no cenário digital, é essencial automatizar os processos de privacidade e segurança para uma ação rápida. As organizações devem se tornar ainda mais conscientes da privacidade em suas operações e guardiãs diligentes dos dados dos clientes.

Securiti utiliza a arquitetura PrivacyOps para fornecer automação comercial de ponta a ponta, combinando confiabilidade, inteligência e simplicidade. Securiti pode ajudá-lo a cumprir a Lei de Privacidade de Dados de Iowa - Arquivo 262 do Senado e outros padrões de privacidade e segurança em todo o mundo. Veja como ele funciona.

Solicite uma demonstração agora mesmo.