Os californianos votaram sim na Proposta 24 — também conhecida como a Lei de Direitos de Privacidade da Califórnia de 2020 (CPRA).
Embora a CPRA, uma emenda à Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA), foi alvo de intensos debates e enfrentou oposição de ambos empresas e defensores da privacidadeA aprovação desta legislação representa um grande passo em frente para o cenário da privacidade nos EUA.
O que muda com a CPRA?
CPRA Altera a CCPA A lei visa criar direitos adicionais de privacidade para o consumidor, como o direito de retificação e o direito de limitar o uso e a divulgação de informações pessoais sensíveis. Ela também estabelece a Agência de Proteção à Privacidade da Califórnia (CPPA), transferindo a autoridade de regulamentação e fiscalização do Procurador-Geral da Califórnia para a nova agência estadual.
A CPPA será a primeira agência dos EUA dedicada exclusivamente à privacidade — semelhante à forma como os Estados-membros da UE têm suas próprias agências individuais de privacidade. autoridades de proteção de dados ao abrigo do RGPD.
“Não Venda” de acordo com a CPRA
A CPRA impacta diretamente a comunidade de tecnologia de anúncios, pois Isso fortalece o mandato da CCPA de “Não vender” informações pessoaisEmbora alguns argumentem que a CCPA não exige a opção de desativação da publicidade direcionada, a CPRA efetivamente anula o debate, incorporando a capacidade dos indivíduos de... optar por não compartilhar informações — não apenas a sua venda — para fins de publicidade comportamental.
Com a combinação da CPRA, dos esforços de privacidade realizados pelos principais navegadores e das recentes atualizações do iOS 14 para eliminar o rastreamento de terceiros, é provável que o setor de tecnologia de publicidade reaja ou precise se adequar às regulamentações de privacidade.
Informações Pessoais Sensíveis (IPS) de acordo com a CPRA
A CPRA introduz uma nova definição de “informação pessoal sensível” (IPS), com requisitos mais abrangentes. do que o GDPR “categorias especiais de dados pessoais”. A definição de SPI da CPRA inclui:
- identificadores emitidos pelo governo
- credenciais de login da conta
- informações da conta financeira
- geolocalização precisa
- conteúdo de certos tipos de mensagens
- dados genéticos
- origem racial ou étnica
- crenças religiosas
- biometria
- dados de saúde
- dados relativos à vida sexual ou orientação sexual
De acordo com a CPRA (Lei de Proteção ao Consumidor da Califórnia), as empresas devem oferecer aos consumidores a possibilidade de limitar o uso e a divulgação de suas informações pessoais sensíveis. Em outras palavras, um consumidor pode instruir uma empresa a usar suas informações pessoais sensíveis apenas para os fins necessários à prestação do serviço ou ao fornecimento dos bens solicitados. As empresas seriam então obrigadas a respeitar tais solicitações, a menos que o consumidor forneça autorização posterior para o uso das informações pessoais sensíveis para outros fins.
Além do Com um escopo ampliado de informações regulamentadas, a lei proposta inclui minimização de dados e requisitos de retenção de dadosAs empresas teriam que divulgar por quanto tempo armazenam os dados e garantir que esse período seja apenas o "razoavelmente necessário".
Auditorias e avaliações de risco anuais
Outra nova disposição da CPRA — e nova na legislação americana de privacidade — inclui a exigência de auditorias anuais e avaliações de risco para quaisquer atividades de processamento de alto risco, que seriam regulamentadas pelo Procurador-Geral e, eventualmente, pela nova agência de proteção.
Essas regulamentações exigirão que as empresas cujo processamento apresente riscos significativos à privacidade ou segurança do consumidor realizem uma análise completa e independente. auditoria de cibersegurança todos os anos.
Para determinar o que justificaria tal auditoria, os regulamentos levariam em consideração o porte e a complexidade do negócio, bem como a natureza e o escopo do processamento. As empresas envolvidas precisariam submeter avaliações de risco regulares à CPPA, estabelecendo o objetivo do processamento e equilibrando seus benefícios para todas as partes interessadas com os riscos para o consumidor.
CPRA e Transferências Transfronteiriças de Dados
Além de tudo isso, existe uma pequena, mas notável possibilidade de que a CPRA possa ajudar a resolver temporariamente os desafios relacionados a... invalidação do Escudo de Privacidade UE-EUA.
Certas disposições da CPRA — como o direito do consumidor à retificação, os requisitos de retenção, a limitação da finalidade e a minimização de dados — podem ajudar a impulsionar o estado da Califórnia a ser uma jurisdição “adequada” sob o GDPR para transferências de dados transfronteiriçasCom mais de 1.047 trilhões de dólares em transações comerciais entre os EUA e a UE, a Califórnia pode acabar se tornando o principal centro de hospedagem de dados.
O que a CPRA significa para o cenário da privacidade — e para uma lei federal?
Olhando para o futuro, não está claro qual será o impacto da CPRA no panorama mais amplo da privacidade — particularmente no que diz respeito a legislação federal.
Por um lado, a nova versão da lei de privacidade da Califórnia entrará em vigor em janeiro de 2023, com supervisão retroativa das práticas de dados de uma empresa desde janeiro de 2020. Com dois anos entre a adoção e a implementação em nível nacional, a CPRA pode dar ao Congresso o impulso necessário para implementar a legislação federal de privacidade dos EUA.
Além disso, provavelmente veremos um ressurgimento de projetos de lei sobre privacidade em 2021 — como o Projeto de lei da Lei de Privacidade de Washington, que surgiu pela terceira vez na legislatura estadual e incorpora elementos de tanto a CCPA quanto o GDPR.
O setor também está acompanhando de perto a polêmica Comissão Estadual de Leis Uniformes (ULC). proposta preliminarque os estados poderiam potencialmente adotar como modelo para suas próprias legislações de privacidade. Se começarmos a ver a CPRA e outras propostas de privacidade se concretizarem, o apelo por um mandato federal se tornará ainda mais forte.
Confira o Guia da BigID para Conformidade com a CPRA. Para saber mais sobre as novidades do CPRA — e como .
Autor
