Em BigIDeas em movimento, um novo podcast que se concentra em líderes do setor e conversas relevantes sobre privacidade de dados, segurança e governança, o coautor do CCPA, Rick Arney, conversa com o CEO da BigID, Dimitri Sirota, sobre como o California Privacy Rights Act (CPRA), a mais recente iniciativa de privacidade da Califórnia, é "o CCPA, mais forte".
A Lei de Direitos de Privacidade da Califórnia (CPRA) é a próxima evolução dos regulamentos de privacidade da Califórnia, com o objetivo de fortalecer, expandir e dar “força real” aos regulamentos estabelecidos pela Lei de Privacidade do Consumidor da Califórnia (CCPA). Desde requisitos mais rigorosos de divulgação de dados até uma aplicação mais rigorosa, o CPRA se baseia nas principais proteções do CCPA para dar aos indivíduos mais controle sobre seus dados.
O cenário pré-CCPA: a privacidade está “fora de controle”
O O CCPA mudou o pensamento organizacional e do consumidor sobre privacidade e direitos de dados nos Estados Unidos. Mas, em um mundo pré-regulamentado, fazer com que os legisladores agissem em prol de mudanças significativas na legislação de privacidade representava um desafio — especialmente considerando o poder e o porte das organizações endinheiradas que tinham interesse em manter o status quo.
Quando Arney coescreveu o projeto de lei, ele começou como uma iniciativa de votação com assinaturas suficientes para ser levado diretamente aos eleitores. Grupos de interesse demonstraram interesse, grupos focais se concentraram e a votação no 89% chamou a atenção dos legisladores. A Califórnia aprovou a CCPA para manter a jurisdição sobre futuras emendas e modificações da lei, em vez de deixá-la ir diretamente à votação — e diretamente ao eleitor da Califórnia — como uma proposta.
Embora a aprovação da CCPA tenha sido uma medida importante, uma conclusão central é esta: o legislativo da Califórnia tem o poder de alterar a CCPA. Projetos de lei são frequentemente propostos nesse sentido. E isso pode enfraquecê-la.
O Direito de Saber: Criar Conscientização, Criar um Movimento
A popularidade da CCPA entre os residentes da Califórnia não foi uma revelação pequena. Historicamente, iniciativas de privacidade encontraram alguma resistência devido à falta de conscientização e visibilidade sobre o que realmente está em jogo.
"Se você perguntar às pessoas o que elas acham de privacidade, quase todo mundo diz: 'Sim, sou a favor da privacidade'", diz Arney. Mas quando você começa a implementar regulamentações que podem tornar as coisas um pouco mais difíceis para essas mesmas pessoas, elas tendem a ceder. A CCPA começou a reverter isso, dando às pessoas transparência sobre os dados que estavam sendo coletados sobre elas e como estavam sendo usados.
O “direito de saber” do CCPA dá às pessoas o direito de descobrir o que informações que as empresas estão coletando sobre eles: revelando que as empresas têm acesso às suas condições de saúde, afiliações religiosas, opiniões políticas, históricos sexuais e uma série de outras informações confidenciais armazenadas em vários bancos de dados, muitas vezes para venda ao maior lance.
“Quando as pessoas descobrem que informações pessoais está potencialmente à venda, mas só aumenta o movimento das pessoas em direção a mais privacidade”, diz Arney.
Por outras palavras, estes dados são de valor— e os indivíduos muitas vezes não percebem que isso existe além de seus próprios registros pessoais. A CCPA não apenas os informa que têm o direito de saber, mas também tenta devolver o poder sobre esses dados às mãos do indivíduo, e não do conglomerado.
O que há de diferente no CPRA?
As leis são importantes, mas a capacidade de aplicá-las é ainda mais importante. E essa é uma parte central do objetivo da CPRA. Arney identifica alguns dos destaques que a CPRA traz para o panorama da privacidade:
Execução
A CPRA reforça a responsabilidade com uma abordagem transformadora à aplicação da lei. Ela criaria uma nova agência no estado da Califórnia, encarregada de efetivamente aplicar as novas regulamentações propostas pela iniciativa — além de todas aquelas incluídas na CCPA.
A aplicação da nova agência inclui poderes de intimação e auditoria, o que mudaria a urgência e a maneira como as empresas adotam padrões de privacidade.
Novos direitos e penalidades incluídos no CPRA
- O direito de optar por não usar a geolocalização precisa, atualmente definida como menos de um terço de milha.
- Multas triplicadas por uso indevido da coleta de informações de crianças. A CCPA impede a venda de informações de crianças, e essas novas multas sob a CPRA reforçam essa regulamentação.
- Minimização de dados para evitar que as empresas coletem mais informações do que realmente precisam.
Reforçando o piso
Para lidar com as ameaças mencionadas que o CCPA enfrenta desde sua adoção, o CPRA garante que as regulamentações sob o CCPA não possam ser enfraquecidas no futuro. O CPRA possui um mecanismo que permitirá que a legislação altere continuamente o CPRA — uma necessidade, visto que a tecnologia muda tão rapidamente —, mas apenas de maneiras que sejam favoráveis à privacidade. Se as mudanças enfraquecerem de alguma forma a privacidade, o legislativo não poderá aprová-las.
Em essência, isso faz do CPRA o piso — não o teto — para regulamentações de privacidade e sua aplicação no futuro.
Privacidade em tempos de coronavírus
É um momento interessante para a privacidade. No contexto da Covid-19, "as pessoas estão pensando em privacidade, particularmente... em rastrear pessoas infectadas".
Isso pode parecer bom quando se trata de salvar vidas e prevenir a propagação da doença. Mas envolve a coleta de informações médicas pessoais e o perfil de seguro associado a isso. Além disso, "não sabemos quais são as consequências da Covid-19", diz Arney, ou o implicações que poderiam surgir de empresas que possivelmente vendem esses dados.
Fornecer essas informações voluntariamente é uma coisa, mas as pessoas devem entender (e ser informadas) se não houver controles adequados sobre elas. Existem maneiras de usar as informações de forma responsável para retardar a disseminação e garantir que haja controles sobre elas e que sejam protegidas: "Existem maneiras de usar essas informações para salvar vidas."
O futuro da privacidade de dados: boa privacidade é um bom negócio
À medida que o CCPA ganha popularidade em outros estados, começa a ficar mais claro que “uma boa privacidade é um bom negócio”. Muitas empresas querem que se torne o padrão de fato para outros estados, uma vez que torna conformidade mais fácil.
Da aplicação pública das normas de privacidade da CCPA à criação de um "piso de privacidade" para futuras iniciativas de modificação, a CPRA se baseia em um legado de privacidade em evolução na preservação dos direitos pessoais. "Acredito", diz Arney, "que outros estados vão adotar isso, que se tornará um padrão nacional. Eventualmente, o governo federal pode realmente aprovar algo semelhante, e espero que, para ser sincero, se pareça com a CPRA."
Autor
