Leis estaduais de notificação de violação de dados

Embora a maioria das leis estaduais sobre notificação de violação de dados contenha componentes semelhantes, existem diferenças importantes, o que significa que uma abordagem única para notificação não será suficiente. Além disso, à medida que as violações de dados continuam a aumentar, os estados estão a responder com alterações cada vez mais frequentes e divergentes às suas leis, criando desafios para a conformidade. As organizações devem priorizar o acompanhamento dessas alterações para se prepararem e responderem às violações de dados.

Para obter um resumo dos requisitos básicos de notificação estadual que se aplicam a entidades que «possuem» dados, descarregueo Quadro de Leis Estaduais de Notificação de Violação de Dados da Foley. Este quadro está atualizado em 17 de outubro de 2025 e deve ser usado apenas para fins informativos, pois as ações recomendadas que uma entidade deve tomar se passar por um evento, incidente ou violação de segurança variam dependendo dos fatos e circunstâncias específicos.

Este quadro não abrange quem não é proprietário dos dados. Se não for proprietário dos dados em questão, consulte as leis aplicáveis e contacte um advogado. Este quadro também não abrange:

• Exceções baseadas no cumprimento de outras leis, como a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) ou a Lei Gramm-Leach-Bliley (GLBA).
• Exceções relativas à aquisição de boa-fé de informações de identificação pessoal (PII) por um funcionário ou agente de uma entidade para fins legítimos da entidade, desde que não haja uso ou divulgação não autorizada das PII.
• Exceções relativas ao que constitui PII, tais como dados públicos, encriptados, editados, ilegíveis ou inutilizáveis. O quadro indica se pode existir um porto seguro para dados considerados públicos, encriptados, editados, ilegíveis ou inutilizáveis, mas as orientações específicas variam consoante as circunstâncias. Por exemplo, alguns estados têm um porto seguro apenas para dados encriptados, enquanto outros podem ter um porto seguro para dados encriptados ou públicos.
• A forma como uma entidade fornece notificações reais ou substitutas (por exemplo, por e-mail, correio dos EUA, etc.).
• Requisitos para o conteúdo do aviso.
• Quaisquer materiais de orientação emitidos por agências federais e estaduais.
• Uma avaliação abrangente de todas as leis aplicáveis a violações de informações que não sejam PII.

Para obter mais informações sobre as leis estaduais de notificação de violação de dados ou outros assuntos relacionados à segurança de dados, entre em contacto com uma das pessoas listadas abaixo ou outro membro da prática de segurança cibernética da Foley.