A Califórnia, que há muito tempo estabelece o precedente nacional para a proteção do consumidor na era digital, aprovou a lei de proteção de privacidade mais abrangente já existente nos EUA. Lei de Privacidade do Consumidor da Califórnia (“CCPA”) concederá aos consumidores da Califórnia controle sobre suas informações pessoais e prepara o cenário para um realinhamento fundamental na forma como as empresas que fazem negócios no Estado (e, por extensão, nos EUA como um todo) interagem com os dados de seus clientes.
O foco nos direitos de dados do consumidor gerou, compreensivelmente, comparações entre o CCPA e o Regulamento Geral de Proteção de Dados da UE (“GDPR”). Embora haja claramente um alto grau de sobreposição – e até mesmo em algumas áreas cruciais, uma linguagem quase idêntica – a CCPA não deve ser entendida tanto como o GDPR da Califórnia, mas sim em seus próprios termos: em primeiro lugar, como uma indicação de que privacidade preocupações cruzaram o Oceano Atlântico e, em segundo lugar, que os legisladores entendam que é preciso uma postura firme para levar a proteção da privacidade a sério – no verdadeiro estilo americano, por meio de litígios e multas.
A interpretação e a abordagem da CCPA entre agora e 1º de julho de 2020, quando a lei entrar em vigor, provavelmente será uma tarefa tão árdua quanto a aprovação do GDPR para as empresas sujeitas à regulamentação. Este blog e o próximo white paper sobre como inserir a CCPA no contexto de políticas e processos descrevem as principais mudanças introduzidas pela CCPA e fornecem um conjunto de etapas para se preparar para o que está por vir.
GDPR vs CCPA
A comparação com o GDPR é certamente instrutiva em termos de mapeamento de onde quaisquer esforços existentes de conformidade com o CCPA podem ser redirecionados para aqueles já cobertos pelo regulamento da UE – mas também onde trabalho adicional, ou mesmo primário, é necessário:
Assim como o GDPR, o CCPA coloca direitos do titular dos dados em destaque – exigindo que as empresas prestem contas de como coletam e vendem informações dos clientes.
• Diferentemente do GDPR, o CCPA oferece a opção de estabelecer regras que permitem que empresas ofereçam incentivos financeiros em troca de dados do usuário em determinadas situações.
Assim como o GDPR, o CCPA expande a definição de que tipo de dados precisam ser protegidos e contabilizados
• De acordo com a Lei, as informações pessoais incluem informações que “identificam, se relacionam com, descrevem ou são capazes de ser associadas a um determinado consumidor ou domicílio”.
• O CCPA inclui endereços IP, dados de geolocalização, informações biométricas e “identificadores exclusivos”, como IDs de dispositivos e cookies, informações de atividades na Internet.
Assim como o GDPR, o CCPA estabelece penalidades significativas para o não cumprimento e violação da privacidade do consumidor
• Embora a disposição já tenha sido criticada, a lei cria para os consumidores uma nova “direito privado de ação” e a capacidade para mover uma ação coletiva por violações resultantes de precauções de segurança inadequadas, bem como Violações "intencionais e intencionais". Além disso, os órgãos reguladores aplicarão multas entre $750 e $7.500 por violação – tornando as violações ainda mais custosas do que antes.
De acordo com o GDPR e as leis de notificação de violação existentes na Califórnia, as empresas estão sujeitas a um prazo para notificar os clientes em caso de violação - mas serão responsáveis pela violação em si, não apenas pela falha em relatar
• A CCPA inclui uma disposição para que o Procurador Geral da Califórnia processe em nome dos consumidores, por até $7.500 por violação.
• Ao ampliar o que é considerado informação pessoal, a CCPA efetivamente amplia o escopo das fontes de dados da empresa e categorias de dados que estão sujeitas a requisitos de notificação em caso de violação.
Objetivos compartilhados: Conheça seus dados
A CCPA, assim como o GDPR, concede aos residentes da Califórnia direitos semelhantes de proteção de dados, como o direito de acesso e exclusão das próprias informações. Esses novos direitos exigirão que as empresas localizem facilmente dados pessoais em um cenário de dados moderno, abrangendo bancos de dados, compartilhamentos de arquivos, logs, Big Data, nuvem, etc.
Para empresas com coleta e processamento complexos de dados, será importante ter uma ideia de quais dados pessoais são coletados e como são utilizados de forma verificável e baseada em dados. Além disso, para atender aos direitos de dados pessoais, será necessário identificar quais dados se qualificam como pessoais de acordo com a CCPA e a quem os dados pertencem, para responder facilmente às solicitações de acesso ou exclusão de indivíduos.
Metas Compartilhadas: Conheça o Uso de Seus Dados
Embora a CCPA tenha uma aplicação mais restrita dos requisitos de consentimento em comparação ao GDPR, a disposição da Lei para operacionalizar a exclusão de informações pessoais ainda resultará em requisitos semelhantes de transparência e responsabilização de consentimento.
Para comprovar a conformidade com a CCPA e fortalecer a confiança do consumidor em relação ao compartilhamento não autorizado de dados, as empresas devem considerar registros de processamento de dados semelhantes ao GDPR para auditar mais facilmente o compartilhamento de dados e, ao mesmo tempo, implementar uma estrutura de governança de consentimento para registrar preferências de compartilhamento e restringir o compartilhamento não autorizado.
Contagem regressiva para conformidade
Assim como o GDPR, a CCPA introduz um novo conjunto de direitos de proteção de dados do consumidor, bem como multas pesadas para empresas que violarem esses direitos e o direito do consumidor de processar judicialmente por descumprimento. Portanto, as organizações abrangidas devem garantir que saibam onde todas as informações pessoais estão armazenadas em seu ambiente de TI para responder às solicitações de forma adequada e oportuna. Elas também devem ser capazes de identificar ou inferir facilmente quais indivíduos residem na Califórnia, o que exigirá um maior grau de ferramentas de inteligência de dados.
Embora o legislativo continue a fazer alterações na CCPA antes da data de aplicação de 1º de janeiro de 2020, as empresas abrangidas devem começar a se preparar agora para atingir a conformidade com uma análise de ferramentas para inventariar, mapear, governar e controlar seus dados pessoais.
Autor
