Lista de verificação de conformidade com a CCPA: Um guia para a Lei de Privacidade do Consumidor da Califórnia

O que é o CCPA?

O CCPA, ou o Lei de Privacidade do Consumidor da Califórnia, é uma lei abrangente de privacidade promulgada no estado da Califórnia. concede aos consumidores certos direitos sobre a coleta, o uso e a divulgação de informações pessoais por parte das empresas.

A lei exige que as empresas forneçam divulgações claras e transparentes sobre os dados privados que coletam, permitam que os consumidores optem por não vender suas informações e permitam que eles as acessem, excluam ou corrijam mediante solicitação.

Além disso, a CCPA impõe diversas obrigações às empresas. Por exemplo, elas devem implementar medidas de segurança razoáveis e obter consentimento de menores antes de coletar suas informações para atingir a conformidade.

Por que a CCPA foi promulgada?

O CCPA foi promulgado para melhorar proteções de privacidade do consumidor para residentes da Califórnia e dar aos consumidores mais controle sobre suas informações. Foi criado para atender às preocupações sobre a coleta, o uso e o compartilhamento desses dados por empresas, especialmente no ambiente digital.

Os regulamentos da CCPA visam empoderar os consumidores, oferecendo-lhes direitos e opções, como o direito de saber quais dados pessoais de residentes da Califórnia são coletados e como são utilizados. Os consumidores também podem se recusar a permitir que empresas vendam suas informações e têm o direito de solicitar sua exclusão.

A CCPA visa responsabilizar as empresas pela proteção da privacidade do consumidor e pelo aumento da transparência em suas práticas de dados. De modo geral, a CCPA reflete as crescentes preocupações com a privacidade na era digital e busca proporcionar maiores direitos à privacidade e proteção aos consumidores na Califórnia.

Que tipos de dados são regulamentados pela CCPA?

A CCPA regula diversos tipos de dados pessoais para proteger a privacidade dos residentes da Califórnia. Aqui estão os principais tipos de dados abrangidos pela CCPA:

Dados Pessoais

De acordo com a CCPA, informações pessoais são quaisquer informações que identifiquem, se relacionem, descrevam ou possam ser razoavelmente vinculadas a um determinado consumidor ou domicílio no estado. Isso pode incluir nome, endereço, endereço de e-mail, número de previdência social, histórico de navegação na internet, dados de geolocalização, informações biométricas (por exemplo, impressões digitais, DNA) e muito mais.

Informações Pessoais Sensíveis

A CCPA define dados pessoais como quaisquer identificadores governamentais que possam identificar um indivíduo. Alguns identificadores, como o número do Seguro Social, podem se sobrepor aos dados pessoais. No entanto, essas informações também incluem logins de contas pessoais, contas financeiras e números de cartão de crédito e débito de residentes da Califórnia, juntamente com quaisquer senhas, códigos de acesso e códigos de segurança que lhes dêem acesso às suas contas.

Informações Comerciais

A CCPA concede aos consumidores o direito de proteger seus direitos de privacidade de dados, mesmo durante compras ou consumo. Ela abrange registros de produtos ou serviços adquiridos, obtidos ou considerados, bem como histórico de transações e dados de pagamento. Por exemplo, se alguém compra um smartphone, detalhes como marca, modelo, data da compra e custo são informações comerciais.

Esta categoria também abrange quaisquer itens promocionais, amostras ou brindes recebidos. Qualquer informação sobre as tendências de consumo de um consumidor é protegida.

Atividade de Internet ou Rede

A atividade de um indivíduo na Internet abrange dados sobre interações on-line, incluindo histórico de navegação, histórico de pesquisa e informações sobre a interação do consumidor com sites, aplicativos ou anúncios.

Os URLs que visitam, os sites e páginas que navegam e suas consultas de pesquisa podem revelar seus interesses, necessidades e intenções. Assim, a CCPA concede aos consumidores o direito de manter essas informações privadas.

Inferências extraídas de dados

O CCPA inclui dados derivados das categorias acima para criar perfis ou previsões sobre as características, preferências, comportamento e atitudes de uma pessoa.

Quais empresas são regulamentadas pela CCPA?

A CCPA rege uma variedade de empresas e organizações que atendem a determinados critérios. Aqui está uma visão geral de quem está sujeito às leis da CCPA e os principais critérios empresariais:

Negócios

A CCPA se aplica principalmente a empresas. Segundo a CCPA, uma "empresa" é definida como uma entidade com fins lucrativos que opera na Califórnia e atende a um ou mais dos seguintes critérios:

• Tem receita bruta anual de $25 milhões ou mais.
• Compra, recebe ou vende informações pessoais de 50.000 ou mais consumidores, domicílios ou dispositivos anualmente.
• Obtém 50% ou mais de sua receita anual com a venda de dados do consumidor.

Prestadores de serviços

A CCPA também se aplica a prestadores de serviços que processam informações pessoais em nome de empresas abrangidas. Os prestadores de serviços estão sujeitos a determinadas obrigações contratuais, mas têm direitos limitados de utilização dos dados para os seus próprios fins.

Terceiros

As empresas que recebem dados pessoais de empresas cobertas para fins comerciais também devem cumprir os requisitos da CCPA. Espera-se que esses terceiros tratem essas informações de forma responsável e não as utilizem para quaisquer fins além daqueles especificados em seus contratos com as empresas cobertas.

Penalidades se você não garantir a conformidade com o CCPA

A aplicação da CCPA começou em 1º de julho de 2020, e desde então houve relatos de violações e ações de fiscalização. O Gabinete do Procurador-Geral da Califórnia é responsável por aplicar a CCPA, e as empresas que não a cumprirem podem enfrentar penalidades, multas e outras consequências.

O descumprimento da CCPA pode resultar em penalidades e responsabilidades significativas para as empresas, na forma de multas e sanções. As penalidades específicas para o descumprimento da CCPA podem variar dependendo da natureza e da gravidade da violação, mas podem incluir:

• Multas civis: A CCPA prevê multas civis de até $2.500 por violação ou até $7.500 por violação intencional. Essas multas podem aumentar rapidamente, especialmente em casos em que uma empresa violou diversas disposições da CCPA.
• Direito privado de ação: A CCPA concede aos consumidores um direito privado de ação em certos violações de dados resultantes da falha de uma empresa em implementar medidas de segurança razoáveis. Isso pode resultar em ações judiciais individuais ou coletivas, potencialmente levando a danos financeiros e custos legais significativos para as empresas consideradas responsáveis.
• Medida cautelar: O Procurador-Geral pode buscar uma medida liminar, que pode exigir que uma empresa interrompa certas atividades de processamento de dados ou tome medidas específicas para ficar em conformidade com a CCPA.
• Danos à reputação: A não conformidade com a CCPA pode resultar em publicidade negativa, danos à reputação de uma empresa e perda de confiança do cliente, o que pode ter impactos financeiros e operacionais de longo prazo.
• Custos de remediação: As empresas podem precisar investir em recursos adicionais, como pessoal, tecnologia e infraestrutura, para entrar em conformidade com a CCPA, o que pode resultar em custos adicionais.

Empresas que não cumpriram a CCPA e foram penalizadas

A aplicação da CCPA pode resultar em multas e penalidades por descumprimento, e espera-se que as organizações levem a sério as regulamentações de privacidade de dados para proteger os direitos dos residentes da Califórnia. Aqui estão alguns exemplos de empresas que não cumpriram os requisitos e enfrentaram penalidades.

Zoom Video Communications, Inc

Em março de 2020, O Zoom enfrentou escrutínio por supostamente violar o CCPAA empresa foi acusada de não divulgar claramente como coleta e compartilha dados de usuários. Posteriormente, a Zoom chegou a um acordo com o Ministério Público, concordando em aprimorar suas práticas de privacidade e segurança para garantir a conformidade com a CCPA.

Zynga Inc

Em dezembro de 2020, o Procurador-Geral anunciou um acordo com a Zynga, uma desenvolvedora de jogos para dispositivos móveis. A Zynga supostamente violou os requisitos de conformidade do CCPA por não informar os usuários adequadamente como seus dados foram coletados e compartilhados. O acordo exigiu que a Zynga pagasse uma multa e implementasse melhorias na privacidade de dados.

Salesforce

Em junho de 2021, a organização sem fins lucrativos Californians for Consumer Privacy apresentou uma queixa ao Procurador-Geral, acusando Força de vendas por não cumprir com o CCPAA denúncia alegou que a Salesforce não atendeu às solicitações dos usuários para exclusão de dados, entre outras violações. A Salesforce negou as alegações.

As diferenças entre CCPA e CPRA

CCPA e CPRA (California Privacy Rights Act) são leis de privacidade de dados promulgadas na Califórnia. No entanto, elas diferem entre si em alguns aspectos. Aqui está uma comparação simples:

1. Escopo: A CCPA exige que as empresas atendam a certos critérios e tratem as informações pessoais de residentes da Califórnia, enquanto a CPRA expande o escopo para se aplicar a empresas que excedem certos limites e processam os dados de residentes da Califórnia em uma escala maior.
2. Definições: CPRA introduz novas definições, como “informações pessoais sensíveis” e “compartilhamento”, que não são explicitamente definidas no CCPA.
3. Direitos do consumidor: Tanto a CCPA quanto a CPRA concedem direitos semelhantes aos consumidores, como o direito de saber, o direito de excluir e o direito de não concordar com a venda de seus dados. No entanto, a CPRA aprimora alguns desses direitos e introduz novos, como o direito de corrigir imprecisões e limitar o uso de informações sensíveis. A CCPA exige que as empresas respondam às solicitações dos consumidores para acessar ou excluir suas informações pessoais em até 45 dias. Se necessário, esse prazo pode ser prorrogado por mais 45 dias, mediante aviso prévio ao consumidor.
4. Obrigações das empresas: A CPRA introduz obrigações adicionais para as empresas, como a implementação de medidas de segurança razoáveis e a realização de auditorias regulares de segurança cibernética. Também introduz uma nova categoria de “prestadores de serviços” com obrigações específicas.
5. Execução: Tanto a CCPA quanto a CPRA concedem poderes de execução ao Gabinete do Procurador-Geral da Califórnia, mas a CPRA também estabelece uma nova Agência de Proteção à Privacidade da Califórnia (CPPA) para fazer cumprir a lei.
6. Penalidades: A CCPA impõe multas para certas violações, mas a CPRA introduz multas mais altas para violações envolvendo informações de menores e aumenta as multas potenciais para certas outras violações.
7. Direito Privado de Ação: A CCPA permite que os consumidores entrem com ações judiciais privadas por certas violações de dados, enquanto a CPRA expande o direito privado de ação para cobrir tipos adicionais de violações e introduz um novo requisito de adesão voluntária para que as empresas compartilhem informações dos consumidores.

GDPR vs CCPA: Leis de Proteção dos Direitos do Consumidor e Privacidade

O Regulamento Geral sobre a Proteção de Dados (GDPR) é uma lei de privacidade e segurança de dados elaborada e aprovada pela União Europeia (UE). Embora a CCPA e o GDPR compartilhem algumas semelhanças, também apresentam diferenças em escopo, requisitos e aplicabilidade.

1. Escopo: O GDPR é uma legislação abrangente que se aplica a todas as empresas que processam dados pessoais de indivíduos na UE, independentemente de sua localização. Em contrapartida, a CCPA se aplica a empresas que coletam informações pessoais de consumidores na Califórnia e atendem a determinados limites de receita ou coleta de dados, independentemente de sua localização física.
2. Direitos do consumidor: Tanto o GDPR quanto o CCPA concedem certos direitos aos consumidores em relação aos seus dados. Esses direitos incluem o direito de saber quais informações são coletadas, acessar, corrigir e excluir, e optar por não vender suas informações. No entanto, o CCPA também inclui um direito privado de ação para determinados acessos não autorizados a dados, permitindo que os consumidores ajuízem ações judiciais contra empresas por danos, enquanto o GDPR não prevê explicitamente um direito privado de ação.
3. Requisitos de consentimento: O GDPR exige que as empresas obtenham o consentimento explícito dos indivíduos antes de processar seus dados pessoais, com algumas exceções. A conformidade com a CCPA, por outro lado, exige o direito de optar por não vender informações pessoais, em vez de obter consentimento explícito para processamento de dados.
4. Transferência de dados: Outra diferença é como as duas legislações lidam com a transferência de informações pessoais através de fronteiras internacionais. O GDPR impõe requisitos rigorosos à transferência de dados pessoais para países fora da UE, a menos que certas salvaguardas estejam em vigor. A CCPA não possui disposições explícitas relacionadas a transferências internacionais de dados.
5. Aplicação e Penalidades: O GDPR prevê multas substanciais em caso de descumprimento, com penalidades de até € 20 milhões ou 4% da receita anual global do exercício financeiro anterior, o que for maior. A CCPA, por outro lado, prevê multas civis de até $2.500 por violação ou até $7.500 por violação intencional e concede aos consumidores um direito privado de ação para determinadas violações de dados.
6. Obrigações comerciais: Tanto o RGPD quanto o CCPA impõem diversas obrigações às empresas, como manter medidas de segurança adequadas, fornecer informações claras sobre privacidade e responder às solicitações dos consumidores em tempo hábil. No entanto, o GDPR possui requisitos mais abrangentes para controladores e processadores de dados, incluindo avaliações de impacto obrigatórias sobre a proteção de dados, a nomeação de encarregados da proteção de dados em determinados casos e a adesão a bases legais específicas para o processamento de dados. Saiba mais sobre o diferença entre GDPR e CCPA.

Direitos de privacidade de dados de funcionários da CCPA

Funcionários da Califórnia têm certos direitos sob a CCPA em relação às suas informações. Aqui está uma explicação simples dos direitos dos funcionários sob a CCPA:

1. Direito de Aviso: Os funcionários têm o direito de ser informados sobre as categorias de dados que seu empregador coleta e as finalidades para as quais eles são usados no momento da coleta ou antes dela.
2. Direito de acesso: Os funcionários podem solicitar acesso às informações coletadas, utilizadas, divulgadas ou vendidas por seus empregadores. Isso inclui o direito de saber quais dados específicos são coletados e as categorias de terceiros com os quais as informações são compartilhadas.
3. Direito de exclusão: Os funcionários têm a direito de solicitar a eliminação das suas informações pessoais coletados ou mantidos por seu empregador, sujeitos a certas exceções, como obrigações legais ou propósitos comerciais legítimos.
4. Direito de não participar da venda: Os funcionários podem optar por não ter suas informações vendidas a terceiros pelo empregador, se aplicável.
5. Direito à Não Discriminação: Os funcionários têm o direito de não serem discriminados por exercerem seus direitos previstos na CCPA. Isso significa que os empregadores não podem negar ou restringir benefícios, oportunidades ou serviços relacionados ao emprego aos funcionários que exercem seus direitos previstos na CCPA.
6. Direito de Notificação de Coleta de Dados: Os funcionários têm o direito de ser notificados sobre as categorias de informações pessoais que seu empregador coleta, bem como as finalidades para as quais as informações são usadas, antes ou no momento da coleta.
7. Direito de corrigir informações pessoais: Os funcionários têm o direito de solicitar a correção de dados pessoais imprecisos coletados por seu empregador, se aplicável.

Lista de verificação de conformidade com a CCPA para proteger dados pessoais

Baixe a lista de verificação de prontidão para o CCPA para detalhar 5 áreas que você precisa cobrir para se tornar compatível com o CCPA, incluindo:

1. Dados do cliente de mapa e inventário
   • Identifique todas as fontes de coleta de dados do cliente (por exemplo, sites, aplicativos móveis, interações na loja).
   • Crie um inventário abrangente de todas as informações pessoais coletadas, armazenadas, processadas e compartilhadas.
   • Categorize os dados por tipo (por exemplo, identificadores, informações comerciais, atividade na Internet) e mantenha um mapa de dados atualizado.
2. Cumprir automaticamente os direitos de dados do consumidor
   • Implementar sistemas para gerenciar e automatizar respostas a solicitações de consumidores para acesso a dados, exclusão e cancelamento de vendas de dados.
   • Garantir que existam mecanismos para que os consumidores enviem solicitações verificáveis facilmente (por exemplo, formulários on-line, informações de contato dedicadas, etc.).
   • Rastreie e documente cada solicitação e seu status de atendimento para garantir a conformidade com o requisito de resposta de 45 dias.
3. Atualizar a Política de Privacidade e Notificações de Divulgação
   • Revise e atualize sua política de privacidade para refletir as práticas de dados atuais e os requisitos do CCPA.
   • Inclua informações detalhadas sobre as categorias de informações pessoais coletadas, as finalidades da coleta dessas informações e os terceiros com os quais elas são compartilhadas.
   • Garanta que os consumidores conheçam seus direitos em relação à CCPA por meio de notificações de divulgação claras e acessíveis.
4. Definir limites de violação e fluxos de trabalho da equipe de privacidade para resposta a violações
   • Estabelecer critérios específicos para o que constitui uma violação de dados sob o CCPA
   • Desenvolva um plano detalhado de resposta a violações, incluindo procedimentos de notificação e cronogramas.
   • Designe uma equipe de privacidade responsável por gerenciar vazamentos e violações de dados e descreva suas funções e responsabilidades.
5. Valide e teste tudo, desde solicitações de acesso até compartilhamento de dados e políticas de segurança
   • Realizar auditorias regulares para verificar a eficácia dos processos relacionados a solicitações de acesso a dados do consumidor, acordos de compartilhamento de dados e medidas de segurança.
   • Realize testes de penetração e avaliações de segurança para identificar e mitigar vulnerabilidades.
   • Treine a equipe sobre conformidade com a CCPA e melhores práticas para lidar com informações pessoais com segurança.
   • Documente e revise todos os resultados dos testes e descobertas da auditoria para garantir melhoria contínua e conformidade.

Esta lista de verificação garante uma abordagem abrangente para ajudar você a atingir e manter a conformidade regulatória, abrangendo todas as áreas principais, desde o gerenciamento de dados até a resposta a violações e atualizações de políticas.

Obtenha conformidade com a CCPA com o BigID

BigID permite que organizações atendam e gerenciem os requisitos da CCPA com uma abordagem automatizada e escalável para descobrir, mapear e gerenciar informações pessoais que se enquadram na CCPA. Com o BigID, as organizações podem:

• Descobrir e classificar todos os dados impactados pelo CCPA em fontes de dados empresariais
• Índice CCPA por indivíduo para automatizar direitos de dados
• Operacionalizar o mapeamento e monitoramento do fluxo de dados por meio de inteligência de dados
• Integre com fluxos de trabalho para orquestração de ponta a ponta
• Atender solicitações de acesso de titulares de dados (DSARs)
• Gerenciar, monitorar e validar o compartilhamento de dados de terceiros

Gostaria de ver como o BigID ajuda sua organização a se antecipar à CCPA?

Agende uma demonstração.

Autor

Alexis Porter

Gerente de marketing de conteúdo

Alexis atua como gerente de marketing de conteúdo da BigID, fornecedora de DSPM líder do setor. Ela é especialista em ajudar startups de tecnologia a criar e aprimorar sua voz - para contar histórias mais convincentes que repercutam em diversos públicos. Ela é bacharel em Redação Profissional e tem mestrado em Comunicação de Marketing pela Universidade de Denver. Alexis mora em Orlando, Flórida.