O dia que todos esperávamos finalmente chegou. Hoje, o Lei de Privacidade do Consumidor da Califórnia (CCPA) não está apenas totalmente em vigor, mas também totalmente executável regulamentação. O estado agora pode tomar medidas legais contra empresas que violam as normas de privacidade — e as multas podem começar a se acumular.
Nem todos acolhem a aplicação da lei de braços abertos. Ainda em abril, a Associação de Anunciantes Nacionais, apoiado por cerca de 60 empresas com ideias semelhantes, pressionou o procurador-geral da Califórnia, Xavier Becerra, a estender a aplicação do CCPA até janeiro do ano que vem, observando as interrupções causadas pela pandemia da COVID-19.
O procurador-geral, no entanto, citou a pandemia como mais uma razão para manter a data de 1º de julho de 2020 nos livros. “Incentivamos as empresas a estarem particularmente atentas à segurança de dados neste momento de emergência”, escreveu Becerra, deixando bem claro que a data de entrada em vigor de 1º de julho não estava aberta para negociação.
Enquanto o mesmo grupo de anunciantes perguntou recentemente ao Escritório de Direito Administrativo da Califórnia (OAL) Para rejeitar as regulamentações propostas pelo Procurador-Geral, que estão em consonância com a CCPA, o OAL acabou se posicionando a favor do Procurador-Geral. O gabinete de Becerra agora tem autoridade para mover uma ação de execução com base em qualquer violação da CCPA que, teoricamente, poderia remontar a 1º de janeiro de 2019.
O caminho sinuoso para a aplicação da CCPA
Há mais de três anos, o grupo de Alastair Mactaggart, Californianos pela Privacidade do Consumidor, elaborou uma ousada iniciativa eleitoral — uma versão mais restritiva da atual CCPA, que incluía um direito privado de ação mais generoso e disposições rigorosas de execução. Assim que o grupo obteve as assinaturas necessárias para se qualificar para o referendo da Califórnia em novembro de 2018, legisladores e lobistas não perderam tempo em redigir uma alternativa.
Em uma semana, Mactaggart retirou sua iniciativa original em favor de uma versão modificada do CCPA – que foi posteriormente aprovada pela Câmara e pelo Senado estaduais por unanimidade. O Projeto de Lei 375 da Assembleia chegou à mesa do governador Jerry Brown, que o sancionou em 28 de junho de 2018.
Transformar o CCPA em um projeto de lei em vez de uma iniciativa eleitoral significou que os legisladores da Califórnia puderam alterar a lei estadual — um enorme benefício para eles. Também significou que o Procurador-Geral da Califórnia pôde fornecer regulamentações para ajudar as empresas a entender melhor seus requisitos de conformidade. Ambas as situações ocorreram, com legisladores interessados promulgando múltiplas emendas para isenções, e o AG fornecendo várias rodadas de projetos de regulamentos.
De certa forma, o projeto de regulamentação foi além dos requisitos do CCPA — incluindo requisitos de manutenção de registros e como calcular o valor dos dados dos consumidores. Apesar das críticas vocais que os regulamentos criaram mais confusão do que clareza, o procurador-geral poderá começar a aplicar o CCPA hoje, mesmo que os regulamentos não tenham sido oficialmente finalizados.
Preparando o cenário para o CPRA
Os últimos dois anos mostraram insatisfação das empresas com a CCPA Tanto em termos de suas disposições quanto de sua data de entrada em vigor. Observar tudo isso acontecendo estimulou o grupo de Mactaggart a tomar novas medidas, e eles criaram uma nova iniciativa de votação no outono de 2019 para alterar a CCPA e, por fim, fortalecê-la.
Como Mactaggart declarado no anúncio da CCPA Versão 2.0 — agora a Lei de Direitos de Privacidade da Califórnia, ou CPRA, “Durante esse período, duas coisas aconteceram: primeiro, algumas das maiores empresas do mundo priorizaram ativa e explicitamente o enfraquecimento da CCPA. Segundo, as ferramentas tecnológicas evoluíram de maneiras que exploram os dados do consumidor com consequências potencialmente perigosas. Acredito que usar os dados do consumidor dessa forma não é apenas imoral, mas também ameaça nossa democracia.”
Mais recentemente, o Secretário de Estado da Califórnia declarou que a CPRA tinha votos suficientes para se qualificar para a votação das eleições gerais de novembro próximo. Se um número suficiente de cidadãos da Califórnia concordar com essa iniciativa, a CPRA modificará e ampliará significativamente os direitos de privacidade dos consumidores dos residentes do estado.
As novas disposições incluem o direito à correção de dados do consumidor, limitações ao uso e à divulgação de "informações pessoais sensíveis" e restrições ao compartilhamento e à venda (um termo muito debatido no CPRA) de informações pessoais. Isso colocaria as normas de privacidade do Estado Dourado em pé de igualdade com o inovador Regulamento Geral sobre a Proteção de Dados (GDPR) da Europa.
O que as empresas estão fazendo para garantir a conformidade com CCPA — e CPRA —
Quando se trata da aplicação da CCPA, as empresas têm uma ampla gama de confiança — e competência — em alcançar a conformidade com o CCPA. Para qualquer empresa que se enquadre no CCPA, há cinco áreas amplas que precisam ser abordadas:
- Mapa e inventário dados de clientes, consumidores, funcionários e dados pessoais sensíveis
- Crie uma solução automatizada e escalável para cumprir os direitos de privacidade de dados
- Atualizar a política de privacidade e notificações de divulgação
- Defina limites de violação e fluxos de trabalho da equipe de privacidade para resposta à violação
- Valide e teste tudo, desde solicitações de acesso até compartilhamento de dados e políticas de segurança
Novos Regulamentos de Privacidade = Novas Oportunidades
Apesar do "prazo final" para a aplicação de hoje, pode levar anos para entender todas as implicações da CCPA, seus regulamentos anexos e a futura CPRA. Grande parte disso será decidido nos tribunais estaduais, já que as empresas estão sob o escopo desta lei.
Enquanto isso, as equipes de privacidade podem aproveitar a CCPA como uma oportunidade para esclarecer por que sua função é essencial — não apenas por uma questão de conformidade, mas também porque é um bom negócio. Consumidores e funcionários quer interagir com organizações que criam bons produtos e serviços e, ao mesmo tempo, assumem uma administração eficaz de seus dados.
Saiba mais sobre como você pode construir a confiança do cliente garantindo a conformidade da sua empresa com a CCPA — e como prepare-se para o CPRA.