A Califórnia, que há muito tempo estabelece o precedente nacional para a proteção do consumidor na era digital, aprovou a lei de proteção de privacidade mais abrangente já criada nos EUA. Lei de Privacidade do Consumidor da Califórnia A Lei de Privacidade do Consumidor da Califórnia (CCPA) concederá aos consumidores da Califórnia o controle sobre suas informações pessoais e estabelece as bases para um realinhamento fundamental na forma como as empresas que operam no estado (e, por extensão, nos EUA como um todo) interagem com os dados de seus clientes.
O foco nos direitos dos consumidores em relação aos dados gerou, compreensivelmente, comparações entre a CCPA e a Regulamento Geral de Proteção de Dados da UE (“GDPR”). Embora haja claramente um alto grau de sobreposição – e até mesmo, em algumas áreas cruciais, linguagem quase idêntica – a CCPA não deve ser entendida tanto como o GDPR da Califórnia, mas sim em seus próprios termos: em primeiro lugar, como uma indicação de que privacidade As preocupações atravessaram o Oceano Atlântico e, em segundo lugar, os legisladores entendem que é preciso impor limites para que a proteção da privacidade seja levada a sério – em verdadeiro estilo americano, por meio de litígios e multas.
A interpretação e a implementação da CCPA entre agora e 1º de julho de 2020, data em que a lei entra em vigor, provavelmente serão tão frenéticas quanto a aprovação do GDPR para as empresas sujeitas à regulamentação. Este blog e o futuro white paper sobre a contextualização da CCPA em políticas e processos descrevem as principais mudanças introduzidas pela CCPA e fornecem um conjunto de etapas para se preparar para o que está por vir.
GDPR vs CCPA
A comparação com o GDPR é certamente instrutiva em termos de mapeamento de onde os esforços de conformidade com a CCPA podem ser reaproveitados para aqueles já abrangidos pela regulamentação da UE – mas também onde é necessário trabalho adicional, ou mesmo trabalho principal:
Assim como o GDPR, o CCPA coloca direitos do titular dos dados Em primeiro plano – exigindo que as empresas prestem contas de como coletam e vendem informações de clientes.
• Ao contrário do GDPR, o CCPA oferece a opção de estabelecer regras que permitem às empresas oferecer incentivos financeiros em troca de dados do usuário em determinadas situações.
Assim como o GDPR, o CCPA amplia a definição de quais tipos de dados precisam ser protegidos e contabilizados.
• De acordo com a Lei, informações pessoais incluem informações que “identificam, se relacionam, descrevem ou podem ser associadas a um consumidor ou domicílio específico”.
• A CCPA inclui endereços IP, dados de geolocalização, informações biométricas e “identificadores únicos”, como IDs de dispositivos e cookies, além de informações sobre atividades na Internet.
Assim como o GDPR, o CCPA estabelece penalidades significativas para o não cumprimento e a violação da privacidade do consumidor.
• Embora a disposição já tenha sido alvo de críticas, a lei estabelece uma nova “direito privado de ação” e a capacidade para instaurar uma ação coletiva por violações resultantes de precauções de segurança inadequadas, bem como Violações “intencionais e deliberadas”. Além disso, os reguladores aplicarão multas entre £750 e £7.500 por violação, tornando as infrações ainda mais custosas do que antes.
Em conformidade com o GDPR e as leis de notificação de violação de dados da Califórnia, as empresas estão sujeitas a um prazo para notificar os clientes em caso de violação – mas serão responsabilizadas pela própria violação, e não apenas pela omissão na notificação.
• A CCPA inclui uma disposição que permite ao Procurador-Geral da Califórnia processar em nome dos consumidores, até um máximo de 1.047.500 dólares por violação.
• Ao ampliar o que é considerado informação pessoal, a CCPA efetivamente estende o escopo das fontes de dados da empresa e das categorias de dados sujeitas aos requisitos de notificação em caso de violação.
Objetivos Comuns: Conheça seus Dados
A CCPA, assim como a GDPR, concede aos residentes da Califórnia direitos semelhantes de proteção de dados, como o direito de acesso e exclusão de suas próprias informações. Esses novos direitos exigirão que as empresas localizem facilmente os dados pessoais abrangidos em um cenário de dados moderno que engloba bancos de dados, compartilhamentos de arquivos, registros, Big Data, nuvem etc.
Para empresas com coleta e processamento de dados complexos, será importante obter uma visão clara de quais dados pessoais são coletados e como são utilizados, de forma verificável e baseada em dados. Além disso, para atender aos direitos de proteção de dados pessoais, será necessário identificar quais dados se qualificam como pessoais de acordo com a CCPA (Lei de Privacidade do Consumidor da Califórnia) e a quem pertencem, para que seja possível responder facilmente às solicitações de acesso ou exclusão feitas pelos indivíduos.
Objetivos Comuns: Conheça o seu Uso de Dados
Embora a CCPA tenha uma aplicação mais restrita dos requisitos de consentimento em comparação com o GDPR, a disposição da lei para operacionalizar a opção de exclusão (opt-out) da venda de informações pessoais ainda resultará em requisitos semelhantes de responsabilidade e transparência em relação ao consentimento.
Para comprovar a conformidade com a CCPA e fortalecer a confiança do consumidor em relação ao compartilhamento não autorizado de dados, as empresas devem considerar a adoção de registros de processamento de dados semelhantes aos da GDPR para facilitar a auditoria do compartilhamento de dados, implementando simultaneamente uma estrutura de governança de consentimento para registrar as preferências de compartilhamento e restringir o compartilhamento não autorizado.
Contagem regressiva para a conformidade
Assim como o GDPR, o CCPA introduz um novo conjunto de direitos de proteção de dados do consumidor, além de multas elevadas para empresas que violarem esses direitos e o direito do consumidor de entrar com uma ação judicial por descumprimento. Portanto, as organizações abrangidas pela lei devem garantir que saibam onde todas as informações pessoais estão armazenadas em seu ambiente de TI para responder às solicitações de forma adequada e oportuna. Elas também devem ser capazes de identificar ou inferir facilmente quais indivíduos residem na Califórnia, o que exigirá ferramentas de inteligência de dados mais avançadas.
Embora o legislativo continue a fazer alterações à CCPA antes da data de entrada em vigor, 1º de janeiro de 2020, as empresas abrangidas devem começar a se preparar agora para alcançar a conformidade, examinando as ferramentas necessárias para inventariar, mapear, governar e controlar seus dados pessoais.
Autor
