New Jersey Passes Comprehensive Privacy Law to Lead the 2024 Wave of State Privacy Laws

Em 16 de janeiro de 2024, o governador de Nova Jérsia, Phil Murphy, assinou o projeto de lei do Senado (SB) 332, estabelecendo a lei de privacidade de dados do consumidor de Nova Jérsia, a Lei de Privacidade de Dados de Nova Jérsia (NJDPA), que entrará em vigor em 15 de janeiro de 2025. Esta legislação marca Nova Jersey como o primeiro estado a implementar uma legislação abrangente sobre privacidade em 2024, juntando-se a outros 13 estados com leis semelhantes. Com a legislação paralisada em nível federal no futuro próximo, a NJDPA simboliza um foco nacional crescente no fortalecimento da proteção dos dados pessoais dos consumidores em nível estadual.

Embora a NJDPA tenha muitas semelhanças com outras leis estaduais abrangentes de privacidade, como a Lei de Direitos de Privacidade da Califórnia (CPRA), a Lei de Privacidade do Colorado (CPA) e a Lei de Proteção de Dados do Consumidor da Virgínia (CDPA), também existem diferenças significativas. Portanto, a conformidade com as leis existentes de privacidade de dados do consumidor pode não ser suficiente para atender aos requisitos da NJDPA, e as empresas devem garantir que cumprem os requisitos e abordagens distintos adotados por cada estado.

Aplicabilidade e isenções

Critérios de aplicabilidade

A NJDPA aplica-se a qualquer empresa (controladora) que «conduza negócios em Nova Jérsia ou produza produtos ou serviços direcionados aos residentes de Nova Jérsia» e, durante um ano civil, atinja um dos seguintes limites:

Controla ou processa os dados pessoais de 100.000 ou mais consumidores de Nova Jérsia (excluindo dados controlados ou processados exclusivamente para efeitos de conclusão de uma transação de pagamento), ou
Controla ou processa os dados pessoais de 25.000 ou mais consumidores de Nova Jérsia e obtém receitas ou recebe descontos no preço de quaisquer bens ou serviços provenientes da venda de dados pessoais.

Notavelmente, tal como a CPA do Colorado, a NJDPA não estabelece um limite de receita para a percentagem de receita que uma empresa deve obter com a venda de dados. A maioria das outras leis estaduais de privacidade atuais geralmente se aplica apenas se a empresa obtiver entre 25% e 50% da receita anual com a venda de dados pessoais. Além disso, a aplicabilidade da NJDPA não envolve qualquer forma de limite de receita, o que significa que as empresas com processamento mínimo de dados pessoais podem não estar sujeitas à lei, mesmo que tenham receitas elevadas.

Dados pessoais

A NJDPA aplica-se ao processamento de «dados pessoais» por parte de uma empresa ou «controladores», definidos como «informações que estão ligadas ou podem ser razoavelmente ligadas a um indivíduo identificado ou identificável». Os dados pessoais excluem explicitamente dados anonimizados e dados disponíveis publicamente.

Dados do consumidor vs. dados comerciais

É importante ressaltar que a NJDPA estabelece uma linha clara entre dados de consumidores e dados comerciais ou de emprego. A NJDPA aplica-se apenas a informações sobre «consumidores», que são definidos como residentes de Nova Jérsia que atuam apenas num contexto individual ou doméstico. Assim, a NJDPA, como a maioria das leis estaduais de privacidade, exceto a CPRA da Califórnia, não se aplica a informações sobre indivíduos que atuam num contexto comercial ou de emprego — incluindo como candidatos a emprego ou como beneficiários de outro indivíduo que atua no contexto de emprego.

Isenções

A NJDPA inclui muitas isenções agora comuns, incluindo agências estaduais e dados regulamentados pela Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA), pela Lei Gramm-Leach-Bliley (GLBA) e pela Lei de Relatórios de Crédito Justos (FCRA). No entanto, a NJDPA não contém uma isenção para entidades regulamentadas pela HIPAA ou dados isentos processados por organizações sem fins lucrativos ou instituições de ensino superior (ou dados educacionais sujeitos à FERPA).

Além disso, conforme mencionado acima, a definição de dados pessoais da NJDPA exclui explicitamente dados anonimizados e disponíveis publicamente. A abordagem aos dados anonimizados na NJDPA é semelhante à da CDPA da Virgínia, exigindo que o controlador se «comprometa publicamente» a manter os dados anonimizados e obrigue contratualmente quaisquer destinatários dos dados a cumprir o mesmo. Assim, as empresas sujeitas à NJDPA podem precisar de rever e alterar contratos que envolvam a partilha de dados anonimizados. A definição da NJDPA de «informação disponível publicamente» também é mais ampla do que leis como a CPRA, incluindo não apenas informações disponibilizadas legalmente a partir de registos governamentais, mas também informações que o responsável pelo tratamento tenha motivos razoáveis para acreditar que o consumidor disponibilizou legalmente ao público em geral.

Obrigações comerciais

A NJDPA impõe várias obrigações aos controladores de dados pessoais. Essas obrigações têm como objetivo garantir que as empresas tratem os dados pessoais de forma responsável e transparente.

Transparência

À semelhança de outras leis de privacidade de dados do consumidor, os controladores devem fornecer aos consumidores um aviso de privacidade que seja razoavelmente acessível, claro e significativo. O aviso de privacidade deve incluir as seguintes informações:

– Categorias de dados pessoais tratados.

– Finalidades do tratamento de dados pessoais.

– Categorias de terceiros a quem os dados são divulgados.

– Como os consumidores podem exercer os seus direitos previstos na lei (ver Direitos do Consumidor abaixo).

– Métodos para notificar os consumidores sobre alterações materiais na declaração de privacidade.

– Um método de contacto eletrónico ativo para consultas.

Se um controlador vender dados pessoais a terceiros ou processar dados pessoais para fins de publicidade direcionada ou criação de perfis, o aviso de privacidade deve divulgar de forma clara e visível tais vendas ou processamento. Também deve explicar o método pelo qual um consumidor pode optar por não participar de tal venda ou processamento. Os controladores estão proibidos de discriminar um consumidor por optar por não participar do processamento para venda, publicidade direcionada ou criação de perfis.

Mecanismo universal de exclusão

Seis meses após a data de entrada em vigor da NJDPA, qualquer controlador que processe dados pessoais para fins de publicidade direcionada, venda de dados pessoais ou criação de perfis será obrigado a permitir que os consumidores optem por não participar desse processamento por meio de um mecanismo universal de exclusão selecionado pelo utilizador. A Califórnia e o Colorado já aprovaram o uso do sinal do navegador General Privacy Control (GPC) para esse fim.

Obter consentimento para determinados tipos de processamento

Os controladores devem obter consentimento explícito (por meio de uma opção de adesão) antes de processar dados confidenciais. Isso inclui informações financeiras (incluindo número de conta do consumidor, login da conta, conta financeira ou número de cartão de crédito ou débito, em combinação com qualquer código de segurança, código de acesso ou senha necessários que permitam o acesso à conta financeira do consumidor); informações que revelem origem racial ou étnica, crenças religiosas, condição de saúde mental ou física, tratamento ou diagnóstico; vida sexual ou orientação sexual; cidadania ou estatuto de imigração; estatuto como transgénero ou não binário; dados genéticos ou biométricos que possam ser processados com a finalidade de identificar exclusivamente um indivíduo; ou dados precisos de geolocalização.

Os controladores também devem obter consentimento antes de processar os dados pessoais de (i) menores de 13 anos (e devem processar os dados de acordo com a Lei Federal de Proteção à Privacidade Online das Crianças (COPPA)); e (ii) menores de 13 a 16 anos para fins de publicidade direcionada, venda dos dados pessoais do consumidor ou criação de perfis para apoiar decisões que produzam efeitos legais ou similares significativos em relação a um consumidor.

Avaliação da Proteção de Dados

A NJDPA (semelhante à CPA do Colorado) proíbe os controladores de processarem dados que representem um «risco elevado de danos» para os consumidores sem primeiro realizar e documentar uma avaliação de proteção de dados. O termo «risco elevado de danos» é definido como:

Processamento de dados pessoais para fins de criação de perfis ou publicidade direcionada
A “venda” de dados pessoais
Processamento de «dados sensíveis»
Processamento de dados pessoais para criação de perfis, se tal criação apresentar um risco razoavelmente previsível de:
- Tratamento injusto ou enganoso dos consumidores, ou impacto desigual ilegal sobre os mesmos
- Prejuízo financeiro ou físico aos consumidores
- Uma intrusão física ou de outra natureza na solidão ou reclusão, ou nos assuntos ou preocupações privados dos consumidores, se a intrusão for ofensiva para uma pessoa razoável.
- Outros prejuízos substanciais para os consumidores.

Contratos com processadores

À semelhança de outras leis de privacidade de dados do consumidor, os controladores devem celebrar contratos contendo determinados termos e condições com os processadores que cumpram as obrigações da NJDPA.

Direitos do Consumidor

Semelhante a outras leis de privacidade de dados do consumidor, a NJDPA concede aos consumidores o direito de confirmar se uma empresa está a processar os seus dados pessoais e de aceder aos seus dados pessoais, corrigir quaisquer imprecisões nos seus dados pessoais, solicitar a eliminação dos seus dados pessoais e obter os seus dados pessoais num formato portátil duas vezes por ano. Os consumidores têm o direito de recusar o processamento dos seus dados pessoais para fins de (a) publicidade direcionada, (b) venda de dados pessoais ou (c) criação de perfis para a tomada de decisões que produzam efeitos legais ou similares significativos que os afetem.

Os controladores são obrigados a responder no prazo de 45 dias após a receção de um pedido relativo aos direitos do consumidor, sendo permitida uma prorrogação adicional de 45 dias em determinadas circunstâncias. Os controladores também são obrigados a responder e fornecer as informações solicitadas gratuitamente até uma vez por ano, mas podem cobrar por pedidos adicionais num período de 12 meses.

Aplicação da lei

A NJDPA não permite o direito de ação privada para os consumidores. Em vez disso, como muitas outras leis estaduais de privacidade de dados do consumidor, a NJDPA será aplicada exclusivamente pelo Procurador-Geral de NJ. Durante os primeiros 18 meses após a data de entrada em vigor da lei, os controladores terão um período de 30 dias para corrigir quaisquer violações. Se o controlador não corrigir uma violação dentro desse prazo, uma ação de execução poderá ser movida pelo Procurador-Geral.

A Divisão de Assuntos do Consumidor pode aprovar regulamentos para efetivar a NJDPA.

Multas

A NJDPA não especifica multas legais. No entanto, uma violação da NJDPA constituirá uma violação da Lei de Fraude ao Consumidor de Nova Jérsia, que pode acarretar multas de até US$ 10.000 pela violação inicial e até US$ 20.000 por violações subsequentes.

Impacto nas empresas

A NJDPA é a primeira de muitas leis que se espera que se juntem ao crescente mosaico de leis de privacidade específicas para cada setor e estado em 2024. Portanto, é crucial que as organizações que possam estar sujeitas às novas leis tomem medidas proativas para garantir que estão a trabalhar no sentido da conformidade. Para as organizações que já estão em conformidade ou que estão atualmente a trabalhar no sentido da conformidade com as leis de privacidade de dados do consumidor já em vigor, como a CPRA da Califórnia, a CPA do Colorado ou a CDPA da Virgínia, provavelmente haverá uma sobreposição significativa nesses esforços e nas políticas e procedimentos adotados de acordo com essas leis. No entanto, as organizações que não estão sujeitas a outras leis de privacidade semelhantes provavelmente precisarão despender recursos significativos para garantir a conformidade. Assim, as organizações devem priorizar as seguintes atividades para garantir a conformidade e aliviar o fardo da conformidade no futuro:

Realizar um exercício de mapeamento de dados para compreender os tipos de dados que a organização processa e mantém, as finalidades para as quais os dados são utilizados e se todos os dados são necessários.
Realizar uma avaliação do impacto sobre a privacidade.
Iniciar contratos com empresas independentes de auditoria de cibersegurança para o processamento de «risco elevado de danos».
Atualizar políticas e procedimentos para cumprir os novos requisitos e obrigações da NJDPA.
Comece a desenvolver processos comerciais para permitir que os consumidores exerçam os seus novos direitos.
Certifique-se de que a organização tenha um aviso de privacidade razoavelmente acessível, claro e significativo, em conformidade com os requisitos da NJDPA.
Analise as relações comerciais com processadores de dados terceirizados para compreender o papel de cada parte e os possíveis requisitos.

Para obter mais informações sobre a Lei de Privacidade de Dados de Nova Jérsia e os seus requisitos, ou para obter assistência com a conformidade, entre em contacto com qualquer um dos autores ou com qualquer um dos sócios ou consultores jurídicos seniores da área de foco em Cibersegurança e Privacidade de Dados da Foley.

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.