Os californianos votaram sim na Proposta 24 — também conhecida como Lei de Direitos de Privacidade da Califórnia de 2020 (CPRA).
Embora o CPRA tenha uma emenda à Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA), foi fortemente contestada e enfrentou oposição de ambos negócios e defensores da privacidade, a aprovação desta legislação é um grande passo à frente para o cenário de privacidade dos EUA.
O que muda com o CPRA?
CPRA altera o CCPA para criar direitos adicionais de privacidade ao consumidor, como o direito de correção e o direito de limitar o uso e a divulgação de informações pessoais sensíveis. Também cria a Agência de Proteção à Privacidade da Califórnia (CPPA), transferindo a autoridade de regulamentação e execução do Procurador-Geral da Califórnia para a nova agência estadual.
A CPPA será a primeira agência dos EUA dedicada exclusivamente à privacidade — semelhante a como os estados-membros da UE têm seus próprios órgãos individuais autoridades de proteção de dados sob GDPR.
“Não vender” sob CPRA
O CPRA impacta diretamente a comunidade de tecnologia de anúncios, como fortalece o mandato da CCPA de “não venda” informações pessoais. Embora alguns tenham argumentado que o CCPA não exige a exclusão de publicidade direcionada, o CPRA efetivamente anula o debate, incorporando a capacidade dos indivíduos de optar por não compartilhar informações — não apenas sua venda — para fins de publicidade comportamental.
Com a combinação do CPRA, dos esforços de privacidade feitos pelos principais navegadores e das atualizações recentes do iOS 14 para eliminar o rastreamento de terceiros, o setor de tecnologia de anúncios provavelmente reagirá ou precisará cumprir as regulamentações de privacidade.
Informações Pessoais Sensíveis (SPI) sob CPRA
A CPRA introduz uma nova definição de “informação pessoal sensível” (SPI), com requisitos mais amplos do que o GDPR “categorias especiais de dados pessoais”. A definição de SPI da CPRA inclui:
- identificadores emitidos pelo governo
- credenciais de login da conta
- informações da conta financeira
- geolocalização precisa
- conteúdo de certos tipos de mensagens
- dados genéticos
- origem racial ou étnica
- crenças religiosas
- biometria
- dados de saúde
- dados relativos à vida sexual ou orientação sexual
De acordo com a CPRA, as empresas devem oferecer aos consumidores a possibilidade de limitar o uso e a divulgação de suas informações pessoais sensíveis. Em outras palavras, um consumidor poderia instruir uma empresa a usar seu SPI apenas para os fins necessários à execução do serviço ou ao fornecimento dos bens solicitados. As empresas seriam então obrigadas a respeitar tais solicitações, a menos que o consumidor fornecesse autorização subsequente para usar o SPI para fins adicionais.
Além do âmbito alargado da informação regulamentada, a lei proposta inclui minimização de dados e requisitos de retenção de dados. As empresas teriam que divulgar por quanto tempo mantêm os dados e garantir que o prazo seja apenas o "razoavelmente necessário".
Auditorias anuais e avaliações de risco
Outra nova disposição do CPRA — e nova na legislação de privacidade americana — inclui a exigência de auditorias anuais e avaliações de risco para quaisquer atividades de processamento de alto risco, que o AG e, eventualmente, a nova agência de proteção regulamentariam.
Essas regulamentações exigirão que as empresas cujo processamento apresente riscos significativos à privacidade ou à segurança do consumidor realizem uma análise completa e independente. auditoria de segurança cibernética todos os anos.
Para determinar o que justificaria tal auditoria, os regulamentos considerariam o porte e a complexidade do negócio — e a natureza e o escopo do processamento. As empresas envolvidas precisariam submeter avaliações de risco regulares à CPPA, estabelecendo o objetivo do processamento — e ponderando seus benefícios para todas as partes interessadas com os riscos para o consumidor.
CPRA e Transferências Transfronteiriças de Dados
Para além de tudo isto, existe uma pequena mas notável possibilidade de que a CPRA possa ajudar a resolver temporariamente os desafios em torno do invalidação do Escudo de Proteção de Dados UE-EUA.
Certas disposições do CPRA — como o direito do consumidor de correção, requisitos de retenção, limitação de finalidade e minimização de dados — podem ajudar a levar o estado da Califórnia a ser uma jurisdição “adequada” sob o GDPR para transferências transfronteiriças de dadosCom mais de $7 trilhões de dólares em comércio entre os EUA e a UE em jogo, a Califórnia pode acabar se tornando o centro de hospedagem de dados.
O que o CPRA significa para o cenário de privacidade — e para uma lei federal?
Olhando para o futuro, não está claro qual será o impacto do CPRA no panorama mais amplo da privacidade — especialmente no que se refere a legislação federal.
Por um lado, a nova versão da lei de privacidade da Califórnia entrará em vigor em janeiro de 2023, com supervisão retroativa das práticas de dados de uma empresa desde janeiro de 2020. Com dois anos entre a adoção e a implementação nacional, a CPRA pode dar ao Congresso o impulso necessário para implementar a legislação federal de privacidade dos EUA.
Além disso, provavelmente veremos um ressurgimento de projetos de lei sobre privacidade em 2021 — como o Projeto de lei da Lei de Privacidade de Washington, que surgiu pela terceira vez na legislatura estadual e toma emprestado elementos de tanto CCPA quanto GDPR.
A indústria também está observando de perto a controversa Comissão de Leis Uniformes do Estado (ULC). rascunho da proposta, que os estados poderiam potencialmente adotar como modelo para suas próprias legislações de privacidade. Se começarmos a ver a CPRA e outras propostas de privacidade se concretizarem, o apelo por uma obrigatoriedade federal se tornará ainda mais forte.
Confira o Guia de Conformidade com CPRA da BigID para saber mais sobre as novidades do CPRA — e como .