Lista de verificação de conformidade com a CCPA: Um guia sobre a Lei de Privacidade do Consumidor da Califórnia

Lista de verificação de conformidade com a CCPA para proteger dados pessoais

Baixe o Lista de verificação de conformidade com a CCPA Para obter uma estrutura organizada que você possa usar para cumprir a regulamentação, siga estes cinco passos para manter a conformidade:

1. Dados de clientes de mapeamento e inventário

• Identificar todas as fontes de coleta de dados do cliente (por exemplo, sites, aplicativos móveis, interações na loja).
• Crie um inventário completo de todas as informações pessoais coletadas, armazenadas, processadas e compartilhadas.
• Classifique os dados por tipo (por exemplo, identificadores, informações comerciais, atividade na internet) e mantenha um mapa de dados atualizado.

2. Cumprir automaticamente os direitos do consumidor em relação aos dados pessoais

• Implementar sistemas para gerenciar e automatizar as respostas às solicitações dos consumidores para acesso, exclusão e recusa de venda de dados. Isso inclui respeitar os sinais de recusa baseados em navegador, como o Global Privacy Control (GPC), que a CCPA reconhece como um mecanismo válido para os consumidores comunicarem suas escolhas de privacidade.
• Garantir que existam mecanismos para que os consumidores possam enviar solicitações verificáveis com facilidade (por exemplo, formulários online, informações de contato específicas, número de telefone gratuito, etc.).
• Acompanhe e documente cada solicitação e seu status de atendimento para garantir o cumprimento do prazo de resposta de 45 dias.

3. Atualizar a Política de Privacidade e as Notificações de Divulgação

• Revise e atualize sua política de privacidade para refletir as práticas de dados atuais e os requisitos da CCPA.
• Inclua informações detalhadas sobre as categorias de informações pessoais coletadas, as finalidades da coleta dessas informações e os terceiros com quem elas são compartilhadas.
• Garanta que os consumidores conheçam seus direitos de acordo com a CCPA por meio de notificações de divulgação claras e acessíveis.

4. Defina os limites de violação e os fluxos de trabalho da equipe de privacidade para resposta a violações.

• Estabelecer critérios específicos para o que constitui uma violação de dados nos termos da CCPA.
• Elabore um plano detalhado de resposta a incidentes de segurança, incluindo procedimentos e cronogramas de notificação.
• Designe uma equipe de privacidade responsável por gerenciar vazamentos e violações de dados e defina suas funções e responsabilidades.

5. Valide e teste tudo, desde solicitações de acesso e compartilhamento de dados até políticas de segurança.

• Realizar auditorias regulares para verificar a eficácia dos processos relacionados a solicitações de acesso a dados do consumidor, acordos de compartilhamento de dados e medidas de segurança.
• Realizar testes de penetração e avaliações de segurança para identificar e mitigar vulnerabilidades.
• Treinar a equipe sobre a conformidade com a CCPA e as melhores práticas para lidar com informações pessoais de forma segura.
• Documentar e analisar todos os resultados dos testes e conclusões das auditorias para garantir a melhoria contínua e a conformidade.

Esta lista de verificação garante uma abordagem abrangente para ajudá-lo a alcançar e manter a conformidade regulamentar, abrangendo todas as áreas principais, desde a gestão de dados até a resposta a violações de dados e atualizações de políticas.

O que é a CCPA?

O CCPA, ou o Lei de Privacidade do Consumidor da CalifórniaA Lei de Privacidade da Califórnia é uma lei abrangente de privacidade promulgada no estado da Califórnia. Ela garante aos consumidores da Califórnia certos direitos em relação à coleta, uso e divulgação de suas informações pessoais por empresas.

A lei exige que as empresas forneçam informações claras e transparentes sobre os dados pessoais que coletam, permitam que os consumidores optem por não permitir a venda de suas informações e lhes permitam acessar, excluir ou corrigir esses dados mediante solicitação.

Além disso, o regulamento impõe diversas obrigações às empresas. Por exemplo, elas devem implementar medidas de segurança razoáveis e obter consentimento de menores antes de coletar suas informações para garantir a conformidade.

Por que a CCPA foi promulgada?

A CCPA entrou em vigor em 1º de janeiro de 2020 e foi promulgada para aprimorar proteções de privacidade do consumidor para residentes da Califórnia e dar aos consumidores mais controle sobre suas informações. Foi projetado para abordar preocupações sobre empresas que coletam, usam, vendem ou compartilham dados de residentes da Califórnia, particularmente no ambiente digital.

Suas regulamentações visam empoderar os consumidores, concedendo-lhes direitos e opções, como o direito de saber quais dados pessoais de residentes da Califórnia são coletados e como são usados. Os consumidores também podem recusar que as empresas vendam suas informações e têm o direito de solicitar sua exclusão.

Qualquer empresa sujeita à CCPA é responsável por proteger a privacidade do consumidor e aumentar a transparência em suas práticas de dados. De modo geral, a lei reflete as crescentes preocupações com a privacidade na era digital e busca proporcionar maiores direitos à privacidade e proteção aos consumidores na Califórnia.

Que tipos de dados são regulamentados pela CCPA?

A CCPA regulamenta diversos tipos de dados pessoais para proteger a privacidade dos residentes da Califórnia. A seguir, os principais tipos de dados abrangidos pela CCPA:

Dados pessoais

De acordo com a CCPA, informações pessoais são quaisquer informações que identifiquem, se relacionem, descrevam ou possam ser razoavelmente vinculadas a um consumidor ou domicílio específico no estado. Isso pode incluir nome, endereço, endereço de e-mail, número do seguro social, histórico de navegação na internet, dados de geolocalização, informações biométricas (por exemplo, impressões digitais, DNA) e muito mais.

Informações pessoais sensíveis

A CCPA define dados pessoais como qualquer identificador governamental que possa ser vinculado a um indivíduo. Alguns identificadores, como o número do seguro social, podem se sobrepor a dados pessoais. No entanto, essas informações também incluem logins de contas pessoais, contas financeiras e números de cartões de crédito e débito de residentes da Califórnia, juntamente com quaisquer senhas, códigos de acesso e códigos de segurança que lhes deem acesso às suas contas.

Informações comerciais

A CCPA garante aos consumidores o direito de proteger a privacidade de seus dados, mesmo durante compras ou consumos. Ela abrange registros de produtos ou serviços comprados, obtidos ou considerados, bem como histórico de transações e dados de pagamento. Por exemplo, se alguém compra um smartphone, detalhes como marca, modelo, data da compra e preço são considerados informações comerciais.

Esta categoria também abrange quaisquer itens promocionais, amostras ou brindes recebidos. Qualquer informação sobre os hábitos de consumo de um indivíduo é considerada informação protegida.

Atividade na Internet ou em Redes

A atividade de um indivíduo na internet engloba dados relativos a interações online, incluindo histórico de navegação, histórico de pesquisa e informações sobre a interação do consumidor com sites, aplicativos ou anúncios.

Os URLs que visitam, os sites e páginas que consultam e as suas pesquisas podem revelar os seus interesses, necessidades e intenções. Assim sendo, a CCPA concede aos consumidores o direito de manter essas informações privadas.

Inferências extraídas dos dados

A CCPA inclui dados derivados das categorias acima para criar perfis ou previsões sobre as características, preferências, comportamento e atitudes de uma pessoa.

Organizações às quais a CCPA se aplica

A CCPA aplica-se a empresas e organizações com fins lucrativos que atendam a determinados critérios. Aqui está uma visão geral de quem está sujeito a esta lei e os principais critérios empresariais:

Empresas

De acordo com a CCPA, uma “empresa” é definida como uma entidade com fins lucrativos que opera na Califórnia e atende a um ou mais dos seguintes critérios:

• Possui receita bruta anual de 1.042.500 milhões ou mais.
• Compra, recebe ou vende informações pessoais de 50.000 ou mais consumidores, domicílios ou dispositivos anualmente.
• Obtém 50% ou mais de sua receita anual com a venda de dados do consumidor.

Prestadores de serviços

A CCPA também se aplica a prestadores de serviços que processam informações pessoais de residentes ou agregados familiares da Califórnia em nome de empresas abrangidas pela lei. Os prestadores de serviços estão sujeitos a certas obrigações contratuais, mas têm direitos limitados de usar os dados para seus próprios fins.

Terceiros

As empresas que recebem dados pessoais de empresas abrangidas pela lei para fins comerciais também devem cumprir os requisitos da CCPA. Espera-se que esses terceiros tratem essas informações de forma responsável e não as utilizem para quaisquer fins que não estejam especificados em seus contratos com as empresas abrangidas pela lei.

Penalidades por descumprimento da CCPA

A aplicação da CCPA teve início em 1º de julho de 2020 e, desde então, foram relatados casos de violações e ações de fiscalização. O Gabinete do Procurador-Geral da Califórnia é responsável pela aplicação da CCPA, e as empresas que não cumprirem a lei podem estar sujeitas a penalidades, multas e outras consequências.

A violação da CCPA pode resultar em penalidades e responsabilidades significativas para as empresas, na forma de multas e sanções. As penalidades específicas podem variar dependendo da natureza e da gravidade da violação, mas podem incluir:

• Multas civis: A CCPA prevê multas civis de até US$ 2.500 por violação ou até US$ 7.500 por violação intencional. Essas multas podem acumular-se rapidamente, especialmente nos casos em que uma empresa violou várias disposições da CCPA.
• Direito privado de ação: A CCPA concede aos consumidores o direito de ação privada em certos casos. violações de dados resultante da falha de uma empresa em implementar medidas de segurança razoáveis. Isso pode resultar em ações judiciais individuais ou coletivas, potencialmente levando a danos financeiros significativos e custos legais para as empresas consideradas responsáveis.
• Medida cautelar: O Procurador-Geral pode solicitar medidas cautelares, que podem exigir que uma empresa interrompa certas atividades de processamento de dados ou tome medidas específicas para se adequar à legislação.
• Danos à reputação: O não cumprimento da CCPA pode resultar em publicidade negativa, danos à reputação da empresa e perda da confiança do cliente, o que pode ter impactos financeiros e operacionais a longo prazo.
• Custos de remediação: As empresas podem precisar investir em recursos adicionais, como pessoal, tecnologia e infraestrutura, para se adequarem à CCPA, o que pode resultar em custos adicionais.

Aplicação da CCPA: Penalidades para empresas que não cumpriram a Lei de Privacidade do Consumidor da Califórnia

Qualquer organização sujeita à CCPA deve levar a sério as regulamentações de privacidade de dados para proteger os direitos dos residentes da Califórnia. Aqui estão alguns exemplos de empresas que não cumpriram os requisitos e sofreram penalidades.

Zoom Video Communications, Inc

Em março de 2020, A Zoom foi alvo de críticas por supostamente violar a CCPA (Lei de Privacidade do Consumidor da Califórnia).A empresa foi acusada de não divulgar claramente como coleta e compartilha dados de usuários. Posteriormente, a Zoom fez um acordo com o gabinete do Procurador-Geral, concordando em aprimorar suas práticas de privacidade e segurança para garantir a conformidade com as regulamentações da CCPA.

Zynga Inc

Em dezembro de 2020, o Procurador-Geral anunciou um acordo com a Zynga, uma desenvolvedora de jogos para dispositivos móveis. A Zynga é acusada de... violou os requisitos de conformidade da CCPA Ao não informar adequadamente os usuários sobre como seus dados eram coletados e compartilhados, a Zynga foi condenada a pagar uma multa e implementar melhorias na privacidade dos dados.

Força de vendas

Em junho de 2021, a organização sem fins lucrativos Californians for Consumer Privacy apresentou uma queixa ao Procurador-Geral, acusando Salesforce por não cumprir a CCPAA denúncia alegava que a Salesforce não respeitou os pedidos de exclusão de dados dos usuários, entre outras violações. A Salesforce negou as alegações.

Diferenças entre a CCPA e a Lei de Direitos de Privacidade da Califórnia (CPRA)

A CPRA (Lei de Direitos de Privacidade da Califórnia) alterou a CCPA, tornando-a mais abrangente. A CPRA não é uma lei de privacidade de dados separada; é uma emenda, portanto a lei ainda é chamada de CCPA, embora o qualificador "conforme alterada pela CPRA" possa ser adicionado. Aqui está uma comparação simples entre as duas versões e como as emendas da CPRA à CCPA afetam a lei:

1. Escopo: A CCPA exige que as empresas atendam a determinados critérios e lidem com as informações pessoais de residentes da Califórnia, enquanto a CPRA amplia o escopo para se aplicar a empresas que ultrapassem certos limites e processem os dados de residentes da Califórnia em uma escala maior.
2. Definições: CPRA Introduz novas definições, como "informações pessoais sensíveis" e "compartilhamento", que não estão explicitamente definidas na CCPA.
3. Direitos do consumidor: Ambas concedem direitos semelhantes ao consumidor, como o direito de saber, o direito de apagare o direito de não concordar com a venda de seus dados. No entanto, a CPRA aprimora alguns desses direitos e introduz novos, como o direito de corrigir imprecisões e limitar o uso de informações sensíveis. A CCPA exige que as empresas respondam às solicitações dos consumidores para acessar ou excluir suas informações pessoais em até 45 dias. Se necessário, esse prazo pode ser prorrogado por mais 45 dias, mediante aviso prévio ao consumidor.
4. Obrigações das empresas: A CPRA introduz obrigações adicionais para as empresas, como a implementação de medidas de segurança razoáveis e a realização de auditorias de cibersegurança regulares. Também introduz uma nova categoria de "prestadores de serviços" com obrigações específicas.
5. Fiscalização: Tanto a CCPA quanto a CPRA conferem poderes de fiscalização ao Gabinete do Procurador-Geral da Califórnia, mas a CPRA também estabelece uma nova Agência de Proteção à Privacidade da Califórnia (CPPA) para fazer cumprir a lei.
6. Penalidades: A CCPA impõe multas para certas violações, mas a CPRA introduz multas mais elevadas para violações que envolvam informações de menores e aumenta as multas potenciais para outras violações específicas.
7. Direito de ação privada: A CCPA permite que os consumidores movam ações judiciais privadas por determinadas violações de dados, enquanto a CPRA amplia o direito de ação privada para abranger outros tipos de violações e introduz um novo requisito de consentimento para que as empresas compartilhem informações do consumidor.

Regulamento Geral de Proteção de Dados (RGPD) versus CCPA

O Regulamento Geral de Proteção de Dados (RGPD) A CCPA e o GDPR são leis de privacidade e segurança de dados elaboradas e aprovadas pela União Europeia (UE). Embora a CCPA e o GDPR compartilhem algumas semelhanças, também apresentam diferenças em escopo, requisitos e aplicabilidade.

1. Escopo: O GDPR é uma legislação abrangente que se aplica a todas as empresas que processam dados pessoais de indivíduos na UE, independentemente de sua localização. Em contrapartida, o CCPA se aplica a empresas que coletam informações pessoais de residentes da Califórnia e atingem determinados limites de receita ou coleta de dados, independentemente de sua localização física.
2. Direitos do consumidor: Ambas as leis concedem certos direitos aos consumidores em relação aos seus dados. Esses direitos incluem o direito de saber quais informações são coletadas, acessar, corrigir e excluir seus dados, e optar por não permitir a venda de suas informações. No entanto, a CCPA também inclui o direito de ação privada para certos acessos não autorizados a dados, permitindo que os consumidores processem empresas por danos, enquanto o GDPR não prevê explicitamente um direito de ação privada.
3. Requisitos de consentimento: O RGPD exige que as empresas obtenham o consentimento explícito dos indivíduos antes de processarem os seus dados pessoais, com algumas exceções. A conformidade com a CCPA, por outro lado, exige o direito de optar por não permitir a venda de informações pessoais, em vez de obter o consentimento explícito. consentimento explícito para processamento de dados.
4. Transferência de dados: Outra diferença reside na forma como as duas legislações lidam com a transferência de informações pessoais através de fronteiras internacionais. O RGPD impõe requisitos rigorosos à transferência de dados pessoais para países fora da UE, a menos que certas salvaguardas estejam em vigor. A CCPA não possui disposições explícitas relacionadas com a transferência de dados pessoais para países fora da UE. transferências internacionais de dados.
5. Fiscalização e penalidades: O RGPD prevê multas substanciais por incumprimento, com sanções até 20 milhões de euros ou 41,3 milhões de euros do volume de negócios global anual do exercício financeiro anterior, consoante o que for superior. A CCPA, por outro lado, prevê multas civis até 2.500 euros por violação ou até 7.500 euros por violação intencional e concede aos consumidores o direito de ação privada em caso de determinadas violações de dados.
6. Obrigações comerciais: Tanto o RGPD quanto o CCPA A legislação impõe diversas obrigações às empresas, como manter medidas de segurança adequadas, fornecer divulgações e políticas de privacidade claras e responder às solicitações dos consumidores em tempo hábil. No entanto, o GDPR possui requisitos mais abrangentes para controladores e processadores de dados, incluindo avaliações de impacto sobre a proteção de dados obrigatórias, a nomeação de encarregados da proteção de dados em determinados casos e a observância de bases legais específicas para o processamento de dados. Leia mais sobre o assunto. Diferença entre GDPR e CCPA.

A CCPA também protege os direitos de privacidade de dados dos funcionários.

Os funcionários da Califórnia têm certos direitos sob a CCPA em relação às suas informações:

1. Direito à notificação: Os funcionários têm o direito de serem informados sobre as categorias de dados que seu empregador coleta e as finalidades para as quais esses dados são utilizados, no momento da coleta ou antes dela.
2. Direito de acesso: Os funcionários podem solicitar acesso às informações coletadas, usadas, divulgadas ou vendidas por seu empregador. Isso inclui o direito de saber quais dados específicos foram coletados e as categorias de terceiros com quem as informações são compartilhadas.
3. Direito ao apagamento: Os funcionários têm o direito de solicitar a exclusão de suas informações pessoais coletadas ou mantidas pelo empregador, sujeitas a certas exceções, como obrigações legais ou fins comerciais legítimos.
4. Direito de optar por não participar da venda: Os funcionários podem optar por não permitir que seu empregador venda suas informações a terceiros, se aplicável.
5. Direito à não discriminação: Os funcionários têm o direito de não serem discriminados por exercerem seus direitos sob a CCPA. Isso significa que os empregadores não podem negar ou restringir benefícios, oportunidades ou serviços relacionados ao emprego aos funcionários que exercem seus direitos sob a CCPA.
6. Direito à notificação da coleta de dados: Os funcionários têm o direito de serem informados sobre as categorias de informações pessoais que seu empregador coleta, bem como as finalidades para as quais as informações são utilizadas, antes ou no momento da coleta.
7. Direito de retificar informações pessoais: Os funcionários têm o direito de solicitar a correção de dados pessoais incorretos coletados por seu empregador, se aplicável.

Atenda aos requisitos de conformidade da CCPA com a BigID.

BigID Permite que as organizações atendam e gerenciem os requisitos estabelecidos pela CCPA com uma abordagem automatizada e escalável para descobrir, mapear e gerenciar todas as informações pessoais regulamentadas. Com o BigID, as organizações podem:

• Descubra e classifique todos os dados afetados pela CCPA em todas as fontes de dados corporativas
• Índice CCPA por indivíduo para automatizar direitos de dados
• Operacionalizar o mapeamento e o monitoramento do fluxo de dados por meio da inteligência de dados.
• Integre-se aos fluxos de trabalho para uma orquestração de ponta a ponta.
• Atender às solicitações de acesso do titular dos dados (DSARs)
• Gerenciar, monitorar e validar o compartilhamento de dados com terceiros.

Gostaria de ver como a BigID pode ajudar sua organização a se antecipar à CCPA? Agende hoje mesmo uma demonstração individual com nossos especialistas em privacidade!

Autor

Lonnie Ross

Líder de Marketing de Experiência Digital

Lonnie é a Líder de Marketing de Experiência Digital na BigID, trazendo consigo mais de uma década de experiência em SEO e marketing digital para empresas B2C e B2B nos setores de SaaS e e-commerce. Com atuação tanto no setor de tecnologia quanto em agências, Lonnie combina uma sólida base em estratégia de busca, UX e desenvolvimento de conteúdo com uma paixão pelo cenário em constante evolução da proteção de dados. Desde o alinhamento do conteúdo com a intenção de busca até o aprimoramento da voz da marca, Lonnie garante que as organizações não apenas se destaquem em um mercado SaaS competitivo, mas também construam confiança por meio de liderança de pensamento em questões críticas como conformidade, risco de dados e inovação responsável.