Pesquisa de site

O que é o VCDPA? Guia Completo + Dicas de Conformidade

A Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA) foi a segunda lei abrangente de privacidade do consumidor aprovada nos Estados Unidos. A lei seguiu a Lei de Privacidade do Consumidor da Califórnia (CCPA) e entrou em vigor em 1º de janeiro de 2023.

As organizações comerciais que realizam negócios na Virgínia e processam dados de consumidores serão as mais afetadas pela VCDPA.

Saiba como a solução abrangente de segurança cibernética da UpGuard pode ajudar sua empresa a permanecer em conformidade>

O que é a Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA)?

A VCDPA concede vários direitos do consumidor aos residentes da Virgínia, incluindo o direito de acessar seus dados e o direito de recusar a venda de seus dados para publicidade direcionada. A lei também descreve regulamentos relacionados a dados confidenciais, dados não identificados e avaliações de proteção de dados.

Para estar sujeito à lei, as entidades que realizam negócios na Virgínia devem atender a um dos dois limites de processamento de dados:

  • Processar ou controlar os dados pessoais de 100.000 ou mais consumidores em um ano civil, ou
  • Processar ou controlar os dados pessoais de 25.000 ou mais consumidores enquanto obtém mais de 50% da receita bruta da venda de dados

Nota importante: As entidades que visam os residentes da Virgínia para vender produtos ou serviços também estão sujeitas à VCDPA se atenderem a um dos dois limites de processamento.

Quais direitos a VCDPA concede aos consumidores?

A VCDPA oferece aos consumidores os seguintes direitos:

  • O direito de saber se um controlador está processando dados
  • O direito de acessar os dados processados
  • O direito de excluir os dados pessoais coletados
  • O direito de corrigir imprecisões nos dados coletados
  • O direito de obter uma cópia portátil dos dados coletados em um formato prontamente utilizável
  • O direito de recusar o processamento de dados pessoais para fins de publicidade direcionada, criação de perfil ou venda de dados pessoais

Que tipos de dados estão isentos da VCDPA?

A VCDPA fornece isenções para várias categorias de dados sujeitas a leis federais e outros estatutos regulatórios promulgados antes da formação da lei.

As seguintes categorias de dados pessoais estão isentas da VCDPA:

  • Informações de saúde e seguros sujeitas à Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
  • Informações financeiras sujeitas ao Fair Credit Reporting Act
  • Informações de veículos motorizados sujeitas à Lei de Proteção à Privacidade do Motorista
  • Informações educacionais sujeitas à Lei de Privacidade e Direitos Educacionais da Família (FERPA)

Quais empresas estão isentas do VCDPA?

Embora a VCDPA forneça uma legislação rígida de privacidade de dados para entidades que processam uma grande quantidade de dados pessoais, a lei também descreve isenções para vários tipos de negócios.

As seguintes organizações estão isentas dos regulamentos estabelecidos pela VCDPA:

  • Seções do governo da Virgínia, incluindo qualquer órgão, autoridade, agência, comissão ou outros grupos
  • Instituições de ensino superior
  • Instituições financeiras sujeitas à Lei Gramm-Leach-Bliley (GLBA)
  • Instituições regidas pela HIPAA
  • Organizações sem fins lucrativos

Controladores vs. processadores

A VCDPA distingue explicitamente entre os requisitos que os controladores e processadores de dados devem seguir para alcançar a conformidade e proteger os dados pessoais de um consumidor. A lei também estabelece definições definitivas para controladores e processadores.

Controladores

A lei da Virgínia define controladores como qualquer entidade, indivíduo ou conjunto de indivíduos que determina como, quando ou por que os dados do consumidor são processados.

Obrigações do Controlador

De acordo com a VCDPA, os controladores devem seguir os seguintes regulamentos:

  • Pratique a minimização de dados coletando apenas dados pessoais razoavelmente necessários e relevantes
  • Garantir a confidencialidade, integridade e acessibilidade da proteção de dados pessoais, implementando e mantendo práticas adequadas de segurança de dados
  • Estabelecer um sistema que os consumidores possam acessar para enviar solicitações e exercer seus direitos garantidos por lei
  • Avalie, autentique e processe prontamente todas as solicitações de consumidores aplicáveis recebidas
  • Divulgar imediatamente a venda de dados pessoais a terceiros e fornecer aos clientes um meio de optar por não participar de tal processamento
  • Forneça aos consumidores um aviso de privacidade claro e significativo que detalhe quais tipos de dados pessoais o controlador está coletando, como um processador usará esses dados e como esses dados podem ser acessados

Restrições do controlador

A VCDPA restringe os controladores de:

  • Tratamento de dados para fins diferentes dos fins divulgados anteriormente apresentados ao consumidor
  • Processamento de dados confidenciais sem o consentimento do consumidor
  • Tomar medidas discriminatórias contra um consumidor por exercer os seus direitos
  • Limitar os direitos do consumidor de qualquer forma

Processadores

A VCDPA define processadores como qualquer entidade, indivíduo ou conjunto de indivíduos que processa dados em nome de um controlador.

Obrigações do processador

A VCDPA exige que os processadores sigam todas as instruções de processamento de dados definidas pelo controlador. Os processadores de dados são obrigados a ajudar os controladores a cumprir as obrigações. A lei também exige que todos os controladores e processadores de dados elaborem e assinem um contrato de processamento de dados antes de processar quaisquer dados do consumidor.

Contratos de processamento de dados

Os contratos de processamento de dados exigidos pela VCDPA devem descrever quais tipos de dados devem ser processados, a intenção por trás do processamento de dados, a duração do processamento e as obrigações de ambas as partes durante o processamento.

O contrato deve exigir que o processador de dados:

  • Certifique-se de que cada processador esteja sujeito à confidencialidade
  • Fornecer ao controlador todas as informações e dados disponíveis que o processador tenha em sua posse, se solicitado pelo controlador
  • Excluir ou devolver todos os dados pessoais ao controlador, se solicitado pelo controlador e permitido por lei
  • Cooperar com avaliações razoáveis de proteção de dados para garantir a conformidade com a VCDPA
  • Manter qualquer subcontratado ou parceiro de negócios que conduza atividades de processamento de acordo com os requisitos exatos que regem o processador

Como a VCDPA é aplicada?

O gabinete do Procurador-Geral da Virgínia e o escritório dos promotores distritais do estado têm o direito exclusivo de fazer cumprir a VCDPA. Em caso de violação, o procurador-geral ou o escritório do procurador distrital deve fornecer ao controlador ou processador uma notificação por escrito. O aviso deve descrever quais seções da lei o controlador ou processador violou e dar ao controlador ou processador 30 dias para remediar a violação, se possível.

Se um controlador ou processador ainda violar a lei após o período de cura de 30 dias, o procurador-geral poderá iniciar uma ação contra a entidade e buscar uma liminar. Os controladores ou processadores que violarem a VCDPA podem incorrer em penalidades civis de até US$7.500 por consumidor individual afetado.

Nota importante: De acordo com a VCDPA, não há direito privado de ação. Portanto, os consumidores não podem tomar medidas legais contra um controlador ou processador.

Glossário de Termos Importantes (VCDPA)

De acordo com a VCDPA, a Virgínia define vários termos essenciais que descrevem quem é considerado uma entidade coberta e os tipos de dados protegidos pela lei.

Consumidor

A VCDPA protege explicitamente os direitos dos consumidores (qualquer pessoa física identificável que seja residente da Virgínia agindo em um contexto individual ou doméstico).

Nota importante: A VCDPA não protege os direitos dos consumidores que agem em um contexto comercial ou em nome de um empregador.

Dados pessoais

>

A VCDPA define dados pessoais como quaisquer dados vinculados que possam identificar um indivíduo. A VCDPA não classifica dados não identificados ou informações públicas como dados pessoais.

Dados Sensíveis

A VCDPA também carrega uma definição para dados confidenciais. A lei define dados confidenciais como quaisquer dados pessoais que revelem um:

  • Origem racial ou étnica
  • Crenças religiosas ou orientação sexual
  • Saúde mental ou física
  • Cidadania ou status de imigração
  • Dados genéticos ou biométricos
  • Dados precisos de geolocalização, ou
  • Os dados pessoais de uma criança conhecida

Observação importante: as empresas que processam dados confidenciais estão sujeitas a regulamentos e requisitos adicionais. De acordo com a VCDPA, todas as entidades devem ter o consentimento do consumidor antes de coletar ou processar dados confidenciais. Essas entidades também estão sujeitas a avaliações de proteção de dados.

Processamento

A Virgínia define o processamento de dados pessoais como qualquer operação ou coleção de funções que utiliza dados pessoais para concluir o processo. As atividades de processamento incluem os seguintes procedimentos:

  • A coleta de dados
  • O uso de dados
  • O armazenamento de dados
  • A análise dos dados
  • A exclusão de dados, ou
  • A modificação de dados

Publicidade direcionada

A publicidade direcionada consiste em anúncios exibidos diretamente a um consumidor com base em previsões de dados coletados anteriormente. A definição da VCDPA inclui anúncios que respondem à atividade ou preferências anteriores de um consumidor coletadas de um site não afiliado. A lei concede aos consumidores o direito de optar por não receber publicidade direcionada.

Dados de venda

A VCDPA define a venda de dados pessoais como a troca de dados pessoais por contraprestação monetária. Essa troca geralmente ocorre entre um controlador e um processador, mas também pode ocorrer entre um processador e outro. Os consumidores têm o direito de optar por não vender seus dados.

Perfil

O perfil do consumidor inclui qualquer forma de processamento automatizado de dados usado para avaliar, analisar ou prever características de um indivíduo identificável. A definição de perfil da VCDPA inclui processos usados para prever o perfil de um indivíduo:

  • Situação econômica
  • Saúde
  • Preferências pessoais
  • Localização

Os consumidores da Virgínia têm o direito de optar por não criar perfis.

Consentimento

A VCDPA define o consentimento do consumidor como um ato afirmativo claro que indica a concordância do consumidor com o processamento de dados pessoais relacionados ao consumidor. Uma declaração de consentimento pode ser qualquer declaração escrita inequívoca, incluindo mensagens eletrônicas.

Diferenças entre a Lei de Privacidade do Consumidor da Califórnia (CCPA) e a VCDPA?

Sendo as duas primeiras leis abrangentes de proteção à privacidade promulgadas nos Estados Unidos, a CCPA e a VCDPA são frequentemente comparadas, e as duas leis são diferentes em muitos aspectos:

  • A VCDPA define claramente quem é o Ao mesmo tempo, a CCPA teve várias emendas, incluindo a Lei de Direitos de Privacidade da Califórnia (CPRA), emitida para definir ainda mais seu escopo.
  • A CCPA dá aos consumidores o direito à ação privada, enquanto a VCDPA não.
  • A CCPA dá às empresas um limite de receita bruta anual, enquanto a VCDPA não.

Leis de privacidade de dados nos Estados Unidos

O aumento da legislação de privacidade de dados nos Estados Unidos está correlacionado ao Regulamento Geral de Proteção de Dados (GDPR) da União Europeia. Os Estados Unidos seguiram os passos da UE e aprovaram várias leis abrangentes para salvaguardar os direitos de privacidade do consumidor.

Os seguintes estados dos EUA aprovaram uma legislação abrangente sobre privacidade:

Califórnia (CCPA)

Colorado (CPA)

Connecticut (CTDPA)

Flórida (FDBR)

Indiana (INCDPA)

Iowa (ICDPA)

Montana (MTCDPA)

Tennessee (TIPA)

Texas (TDPSA)

Utah (UCPA)

Virgínia (CDPA)

A tecnologia de risco do fornecedor da UpGuard permite que as empresas automatizem as avaliações de risco de conformidade, recebam atualizações em tempo real de sua postura de segurança e gerenciem a conformidade com a VCDPA em toda a cadeia de suprimentos.

A tecnologia BreachSight da UpGuard permite que as empresas avaliem seu processo de tratamento de dados de acordo com os requisitos da VCDPA. A tecnologia também permite que as empresas monitorem sua superfície de ataque o tempo todo, ganhem confiança em suas proteções de segurança cibernética e protejam proativamente a reputação de sua organização.