Perguntas frequentes: o que é a Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA)?

A privacidade dos dados continua a ser um tema cada vez mais relevante dos nossos tempos.

A Lei de Proteção de Dados do Consumidor da Virgínia (CDPA ou VCDPA da Virgínia) foi recentemente promulgada por ambas as câmaras da legislatura da Virgínia, impondo novas restrições à coleta, divulgação e uso de informações de identificação pessoal (PII) de residentes da Virgínia por corporações não isentas.

Perguntas sobre VCDPA respondidas neste FAQ:

• Quais são as restrições do novo VCDPA?
• Quais proteções ao consumidor são fornecidas pelo VCDPA?
• Quem fará cumprir o VCDPA?
• A quem se aplica o VCDPA?
• Quando o VCDPA entrou em vigor?
• O que os editores precisam saber sobre o VCDPA?

Quais são as restrições do novo VCDPA?

• Que eles honram solicitações específicas e verificáveis ​​dos consumidores da Virgínia para divulgar, corrigir ou apagar informações pessoais;
• Que eles permitem que os consumidores da Virgínia optem por não processar dados pessoais para fins específicos (e, além disso, que dados confidenciais não sejam processados ​​sem um consentimento inequívoco);
• Que as empresas realizem avaliações de proteção de suas ações de processamento de dados (bem como outras ações de processamento de dados pessoais “que apresentem um risco elevado de danos aos consumidores”);
• Que as empresas mantenham e publiquem avisos e divulgações de privacidade apropriados (e cumpram-nos); e
• Que as empresas e seus processadores de dados incluam cláusulas legais específicas em seus contratos de uso.

Para garantir a segurança das informações pessoais dos clientes à luz do novo VCDPA, os processadores de dados agora devem aderir a alguns regulamentos extras, principalmente relacionados a avaliações de proteção de dados, solicitações de consumidores e notificações de violação de segurança.

Os leitores podem examinar o texto completo do VCDPA aqui .

Alguns observadores traçaram paralelos entre o California Consumer Privacy Act (o CCPA, que entrou em vigor em 2020) — a primeira medida significativa de privacidade de dados nos Estados Unidos — e o recente VCDPA, aprovado há mais de dois anos e meio. mais tarde. (Observe que a própria CCPA foi alterada e expandida pela Lei de Direitos de Privacidade da Califórnia [CPRA] em 1º de janeiro de 2023.)

Outros, no entanto, argumentam que o Regulamento Geral de Proteção de Dados (GDPR) muito mais robusto da UE é mais análogo ao VCDPA.

Mas o VCDPA também é distintamente seu próprio conjunto de medidas. Embora o VCDPA coloque certas restrições na segmentação business-to-consumer (B2C), também existem várias maneiras de contornar essas restrições.

Além disso, embora algumas dessas restrições possam afetar os esforços de marketing B2C das empresas, parece que segmentar um virginiano em um contexto business-to-business (B2B) ou business-to-government (B2G) ainda é um jogo justo, então desde que isso seja relevante para a função de trabalho do alvo e não viole nenhuma lei. Mas se você quiser alcançar um virginiano enquanto ele ou ela está relaxando com sua família (e telefone) no sofá após um longo dia, você pode reduzir sua publicidade direcionada.

Quais proteções ao consumidor são fornecidas pelo VCDPA?

O VCDPA concede aos consumidores direitos específicos sobre seus dados privados. Essas proteções sob a Lei incluem:

1. O direito de ver, acessar e confirmar dados pessoais
2. O direito de apagar dados pessoais
3. O direito de corrigir inexatidões nos dados pessoais
4. O direito à portabilidade de dados (ou seja, acesso simplificado e portátil a todos os dados pessoais mantidos por uma empresa)
5. O direito de optar por não processar quaisquer dados pessoais para fins de publicidade direcionada
6. O direito de recusar a venda de dados pessoais
7. O direito de optar por não criar perfis com base em dados pessoais
8. O direito de não ser discriminado por exercer qualquer um dos direitos anteriores

De acordo com o VCDPA, para estar em conformidade, as empresas devem fornecer aos consumidores informações sobre seus direitos, bem como um mecanismo para exercê-los. A Lei também codifica várias obrigações de dados pessoais para empresas. Quando se trata de coletar e usar dados pessoais sensíveis, como dados precisos de geolocalização, dados sobre características protegidas do usuário e dados genéticos ou biométricos, por exemplo, as empresas sujeitas ao cumprimento da Lei devem obter consentimento primeiro.

O VCDPA é semelhante ao CCPA no sentido de que o VCDPA exige contratos especiais entre empresas e os provedores de serviços que eles usam para processar dados em seu nome. Esses contratos devem seguir os requisitos da Lei e definir as obrigações do prestador de serviços no que diz respeito aos dados pessoais que tratam.

Além disso, o VCDPA exige que as empresas retenham informações pessoais por não mais que o período necessário para uma finalidade específica e por não mais que o período necessário para atingir a finalidade declarada. Esses conceitos são conhecidos como limitação de finalidade e minimização de dados, respectivamente.

O VCDPA também exige que as empresas implementem e mantenham políticas de segurança de dados adequadas para proteger a privacidade, integridade e disponibilidade das informações do cliente.

As medidas de segurança de dados de uma empresa provavelmente serão adequadas se aderirem ao padrão reconhecido do setor, levando em consideração o tamanho e a complexidade da organização e os dados pessoais com os quais ela lida; no entanto, ainda não está claro como esses critérios de razoabilidade serão implementados.

Finalmente, o VCDPA, como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, exige que as organizações realizem e documentem uma avaliação de proteção de dados antes de processar dados confidenciais ou se envolver em certas atividades com dados pessoais, como publicidade direcionada, venda ou perfis.

Quem fará cumprir o VCDPA?

O procurador-geral da Virgínia será responsável pela aplicação do VCDPA e, embora haja um período de carência de 30 dias para corrigir qualquer violação, continuar a infringir a lei além desse ponto pode resultar em uma multa civil de até US$ 7.500 por incidente. É importante observar que a Lei não fornece aos consumidores individuais o direito privado de ação legal, como faz a CCPA.

Com relação a esta última ressalva, para se qualificar como consumidor sob o VCDPA, um residente da Virgínia deve ser uma pessoa física “agindo apenas em um contexto individual ou doméstico”. (Compare isso com o CCPA, que não restringe sua definição de “consumidor” a “indivíduos ou famílias”.) O VCDPA também esclarece que nenhuma proteção é oferecida àqueles que estão “agindo em um contexto comercial ou de emprego”.

A quem se aplica o VCDPA?

Assim como o CCPA, o VCDPA pode ser aplicado a empresas que não estão sediadas na Virgínia, mas fazem negócios no estado. Esta lei exige que as empresas que (1) conduzam negócios na Virgínia ou comercializem para residentes da Virgínia; e (2) ou: (a) processar ou controlar os dados pessoais de 100.000 ou mais residentes da Virgínia; ou (b) processar ou controlar os dados pessoais de 25.000 ou mais residentes da Virgínia e obter mais de 50% da receita bruta da venda de dados pessoais estão sujeitos ao VCDPA.

Quando o VCDPA entrou em vigor?

O VCDPA entrou em vigor em 1º de janeiro de 2023, portanto, as empresas precisam estar em conformidade com ele atualmente.

Em 2 de março de 2021, a Virgínia se tornou o segundo estado, depois da Califórnia, a implementar uma legislação abrangente de privacidade de dados, somando-se ao que está se tornando uma lei nacional colcha de retalhos de regulamentos de privacidade de dados. (Os estados de Nevada e Maine também aprovaram leis de privacidade de dados, embora não sejam consideradas “abrangentes” conforme definido pela Associação Internacional de Profissionais de Privacidade [IAPP].)

O que os editores precisam saber sobre o VCDPA?

As empresas devem avaliar suas operações de processamento de dados pessoais, medidas de segurança de dados, políticas de privacidade e contratos de prestação de serviços o mais rápido possível para se protegerem da aplicação do VCDPA. Também sugerimos considerar o quadro geral quando se trata de responder às demandas do consumidor para fazer valer os direitos sob o CCPA ou o VCDPA.

A Admiral, uma CMP (Consent Management Platform), rastreia as leis de consentimento de privacidade que afetam os editores online nos Estados Unidos e em todo o mundo. É recomendado que você leia o Perguntas frequentes do CMP se você tiver alguma dúvida ou preocupação.

Além dos mandatos regulatórios, a coleta do consentimento do visitante pode estabelecer um segmento valioso de visitantes para o mercado e gerou CPMs mais altos para alguns editores.

Haverá leis de privacidade de dados mais rígidas em breve

A atenção do público tem sido atraída para a privacidade de dados à medida que histórias de violações de dados, uso indevido de dados de clientes e privacidade se tornam mais comuns. De acordo com os resultados de uma pesquisa da Cisco, 84% dos entrevistados agora querem ter mais voz sobre seus dados e como eles são usados.

84% dos entrevistados agora querem ter mais voz sobre seus dados e como eles são usados. - Pesquisa Cisco

Esta é a ponta do iceberg para as editoras. Illinois, Maine, Massachusetts, Nevada, Nova Jersey e Pensilvânia são apenas alguns dos estados que adotaram recentemente leis de proteção de dados e privacidade.

Há também um esforço em andamento para estabelecer uma agência federal de proteção de dados e regras nacionais de proteção de dados. Em antecipação, o Tech Lab do IAB criou a Plataforma de Privacidade Geral, um protocolo de conformidade padronizado. A plataforma de gerenciamento de consentimento da Admiral é compatível com GPP e construída para flexibilidade entre estados e jurisdições.

Conformidade com VCDPA, CPRA, CCPA e GDPR

Para os editores, pode ser um pesadelo tentar acompanhar toda a legislação de privacidade e as complexidades do GDPR, CCPA, CPRA e VCDPA. Para lidar melhor com a privacidade e o consentimento do visitante, muitos editores procuraram a ajuda da Admiral.

A Admiral é uma das primeiras CMPs a cumprir a metodologia do Interactive Advertising Bureau (IAB) para transmitir informações de exclusão a fornecedores downstream, identificando automaticamente as visitas ao site de endereços IP da Virgínia e oferecendo aos visitantes uma interface de usuário para desativar vendas de dados.

O CMP da Admiral é a solução de gerenciamento de consentimento de privacidade de melhor valor para editores de mídia. Agende uma demonstração hoje.