
Neste artigo (4)
Lei de Privacidade Aprovada em Vermont Torna a Conformidade Modular Melhor do que Listas de Verificação Estaduais
Principais conclusões
- Coloque 1º de janeiro de 2028 no roadmap e comece a mapear os fluxos de dados de Vermont agora.
- Trate dados de saúde e dados sensíveis como módulos separados, não como notas de rodapé no escopo geral de privacidade.
- Crie controles de privacidade reutilizáveis que possam absorver novos limites estaduais, avisos e fluxos de trabalho de direitos.
A nova VDPOSA acrescenta mais um regime estadual de privacidade e mais um motivo para parar de tratar a conformidade como cinquenta planilhas separadas.
O sinal não é a cerimônia de assinatura. É o gerente de produto perguntando se Vermont precisa de seu próprio botão de ativação, sua própria fila de exclusão, seu próprio adendo de fornecedor e sua própria cópia de aviso. Vermont agora colocou mais uma lei abrangente de privacidade no mapa dos EUA, e a lição prática não é que todo mundo precise de uma nova lista de verificação. A lição é que a conformidade com privacidade estadual se tornou um problema de sistema de controle.
A nova data no calendário de conformidade
A Hunton Andrews Kurth informa que o governador de Vermont, Phil Scott, sancionou o Projeto de Lei do Senado S.71, a Lei de Privacidade de Dados e Vigilância Online de Vermont, em 16 de junho de 2026. A Hunton descreve Vermont como o 23º estado com uma lei abrangente de privacidade do consumidor, enquanto a Koley Jessen o descreve como o 24º estado a promulgar uma. Essa divergência é um lembrete útil de que contar leis de privacidade não é onde os construtores deveriam gastar seu tempo limitado de conformidade. A data que importa é menos discutível: a Hunton e a Koley Jessen informam que a lei entra em vigor em 1º de janeiro de 2028.
A Koley Jessen acrescenta uma nota de rodapé politicamente relevante: o governador Scott havia vetado anteriormente uma versão mais rígida em junho de 2024. A Troutman Pepper diz que a versão promulgada também se afastou de uma estrutura anterior de aplicabilidade em níveis e a substituiu por um limite único e uniforme. Tradução: a lei final não é apenas uma repetição da proposta anterior com uma nova página de assinatura. Se o seu roteiro de privacidade ainda diz monitorar Vermont, esse item agora pode passar para o planejamento de implementação.
Quem está no escopo, e
quem não deve relaxar demais A Pearl Cohen resume o teste central de escopo desta forma: a Lei se aplica a uma pessoa que conduz negócios em Vermont, ou produz produtos ou serviços direcionados a residentes de Vermont, e que atendeu a um dos três limites no ano-calendário anterior. Esses limites são controlar ou processar dados pessoais de pelo menos 35.000 consumidores, controlar ou processar dados sensíveis de pelo menos 3.000 consumidores, ou oferecer para venda dados pessoais de pelo menos 3.000 consumidores, com dados processados exclusivamente para concluir uma transação de pagamento excluídos em cada caso. Essa é a parte que seu inventário de dados precisa responder, não sua equipe de marca.
A Pearl Cohen também observa a exceção importante ao cobertor de conforto: as disposições sobre dados de saúde do consumidor se aplicam independentemente desses limites. O Global Policy Watch da Covington informa separadamente que Vermont promulgou dois projetos de lei de privacidade para regular informações relacionadas à saúde, incluindo o H.639, um projeto de lei de privacidade genética que regula empresas de testes genéticos diretos ao consumidor. Para construtores, isso significa que superfícies de produto adjacentes à saúde merecem sua própria revisão mesmo quando a contagem geral de consumidores parece pequena. Um recurso de bem-estar, questionário de sintomas, integração com rastreador de fertilidade ou fluxo de trabalho de dados genéticos não deve esperar alguém declarar que a empresa é grande o suficiente para se importar.
As obrigações parecem familiares, até deixarem de parecer
A Hunton diz que a VDPOSA segue a estrutura familiar de controlador, operador e direitos do consumidor vista em muitas leis estaduais abrangentes de privacidade de dados do consumidor, com certas distinções. Em português claro, isso significa que as partes reutilizáveis do seu programa de privacidade ainda importam: saiba quais dados você coleta, saiba por quê, saiba quem os recebe, atribua funções de controlador e operador, e encaminhe solicitações de direitos do consumidor sem classificar manualmente cada caixa de entrada. Se isso soa entediante, parabéns, é a parte que costuma sobreviver ao contato com auditores.
As distinções são onde o design modular se paga. A Pearl Cohen diz que dados pessoais são definidos de forma ampla para incluir dados derivados e identificadores únicos razoavelmente vinculáveis a um indivíduo identificado ou identificável ou a um dispositivo. A Pearl Cohen também diz que dados sensíveis incluem dados de saúde do consumidor, dados genéticos e biométricos, geolocalização precisa, dados neurais e dados que revelem raça ou etnia, crenças religiosas e outras categorias. A Koley Jessen destaca características distintivas, incluindo disposições amplas sobre dados de saúde do consumidor, uma exigência de aviso sobre treinamento de IA e uma definição expandida de informações pessoais sensíveis. Isto não é o Artigo 52, mas o trabalho contratual e de produto tem o mesmo tom: avisos, classificação de dados, instruções a fornecedores e tratamento de exceções precisam ser configuráveis.
A armadilha da lista de verificação
O relato da Troutman Pepper sobre a estrutura em níveis abandonada é a parte que as equipes de conformidade deveriam colar no monitor. Se um estado pode mudar a arquitetura de escopo entre a proposta e a promulgação, uma lista de verificação estática de Vermont já é o artefato errado. O melhor artefato é uma camada de regras sobre controles comuns: limites de elegibilidade, tratamento de dados sensíveis, recebimento de direitos do consumidor, sinalizadores de venda ou compartilhamento, sinalizadores de dados de saúde, termos de operadores e módulos de divulgação.
Essa abordagem também lida sem drama com a discrepância entre 23º e 24º estado. Quer Vermont seja contado de uma forma pela Hunton e pela Troutman Pepper ou de outra pela Koley Jessen, a realidade operacional é a mesma: a lei de privacidade dos EUA é cumulativa. Cada novo estado adiciona variações, mas não um universo de privacidade totalmente novo. As empresas que lidarem melhor com isso não serão aquelas com o fichário mais grosso para Vermont. Serão aquelas que conseguem alterar um limite, adicionar um aviso, marcar uma categoria de dados e atualizar um fluxo de trabalho de fornecedor sem reconstruir o programa.
O próximo passo útil não é pânico, e também não é uma postagem comemorativa sobre quanta certeza chegou. É uma revisão de lacunas em relação a 1º de janeiro de 2028, com atenção especial a dados de saúde do consumidor, definições de dados sensíveis, divulgações sobre treinamento de IA e se seu fluxo de trabalho de direitos consegue absorver mais uma jurisdição. Vermont é mais uma lei estadual. Trate-a como mais um módulo, não como mais um monumento.