הצעות חוק הגנת המידע של קולורדו (CPA) פורסמה לאחרונה (30.09.2022). המדובר בטיוטה ארוכה ומורכבת של כללים העוסקים בהגנה על המידע האישי ומטילים שורה של חובות על הגורמים האוספים ומעבדים מידע אישי.
טיוטת החוק יוצרת הגדרה חדשה של נתונים ביומטריים, הדומה אך אינה זהה להגדרות בחוקים אחרים במדינות בארצות-הברית. הגדרה זו חשובה מכיוון שהרגולטור בקולרדו דורש מגורמים השולטים במידע לקבל הסכמה לאיסוף נתונים ביומטריים, אך אינו מגדיר מונח זה, הזוכה להגדרה עתה בטיוטת החוק.
טיוטת החוק מספקת בהירות והכוונה לגבי האופן שבו הגורמים השולטים במידע חייבים לקבל ולהגיב לבקשות צרכנים. חלק גדול מהדרישות הללו דומות לאלו הקיימות בחוק הפרטיות לצרכן בקליפורניה (CCPA).
הדרישות ביחס להודעה שיקבלו מושאי המידע בעת איסוף מידע מהם מתמקדות במטרות עיבוד המידע, בניגוד להתמקדות של ה-CCPA בקטגוריות של מידע אישי. כך, למשל, מעבדי המידע יהיו חייבים לפרט את מטרות העיבוד, ולכל מטרה, לספק מידע מלא, כגון פרוט מדויק של הנתונים האישיים המעובדים למטרה זו. טיוטת החוק כוללת דרישות נרחבות לשקיפות של מעבדי המידע מול מושאי המידע. בנוסף נדרשים מעבדי המידע להודיע מראש מהם לוחות הזמנים לשמירת המידע.
טיוטת החוק יוצרת קטגוריה חדשה של נתונים רגישים המבוססת על נתונים המתקבלים מעיבודי מידע ומחייבת, בין היתר, כי תוצרי עיבוד מידע יימחקו לא יאוחר מ-12 שעות לאחר האיסוף, אם מעבדי המידע יאספו אותם ללא הסכמה. בתוך כל כוללת טיוטת החוק פרוט של דרך מילוי החובה להשגת הסכמת מושאי המידע.
עוד כוללת טיוטת החוק דרישות נרחבות לביצוע הערכות הגנת מידע, אשר הופכת את נושא אבטחת המידע לכדי משימה מרכזית עבור הגורמים האוספים ומעבדים מידע אישי.