A Sephora não recebeu nenhum reconhecimento da Califórnia quando falhou em uma ação judicial. varrer de varejistas online, em uma investigação conduzida pelo Procurador-Geral Rob Bonta no inverno passado. Em 24 de agosto, o Procurador-Geral Bonta anunciou um acordo com a empresa de cosméticos no valor de 1,2 milhão de libras esterlinas por sua violação da lei. Lei de Privacidade do Consumidor da Califórnia (CCPA).
Além da multa pecuniária, a Sephora também terá que:
- Informe explicitamente aos consumidores que a empresa "vende" dados.
- Adequar seus contratos de prestação de serviços aos requisitos da CCPA
- Além de respeitar os Controles Globais de Privacidade, forneça mecanismos para optar por não participar da venda de seus dados.
- A Procuradoria-Geral deve informar regularmente a mesma sobre a venda de Informações Pessoais, o estado de seus relacionamentos com provedores de serviços e seus esforços para cumprir as Diretrizes Gerais de Proteção de Dados (GPC).
“A definição de ”venda” é ampliada.
A denúncia contra a Sephora concluiu que a Sephora violou o CCPA Ao "vender" informações pessoais de consumidores da Califórnia sem notificá-los adequadamente ou dar-lhes a oportunidade apropriada de optar por não participar. Embora a Sephora não tenha recebido pagamento financeiro direto de terceiros que tiveram acesso a informações do consumidor – como dados de localização e os itens adicionados ao carrinho de compras online – a denúncia sugere que a Sephora obteve "outros benefícios", violando a definição de venda da CCPA.
De acordo com este Acordo, o gabinete do Procurador-Geral define "venda" como a divulgação ou disponibilização, por parte da empresa, de informações pessoais do consumidor a terceiros através da utilização de tecnologias de rastreamento online, tais como pixels, web beacons, kits de desenvolvimento de software, bibliotecas de terceiros e cookies, em troca de contrapartida monetária ou outra forma de valor, incluindo, entre outros: (1) informações pessoais ou outras informações, tais como análises; ou (2) serviços gratuitos ou com desconto. Neste caso, a Sephora teve a oportunidade de comprar anúncios online direcionados a consumidores de terceiros. A empresa, então, frequentemente armazenava os dados e os utilizava "em benefício de outras empresas, sem o conhecimento ou consentimento do consumidor". A Sephora contestou esta definição ampla (nota: aceitar este Acordo significa que NÃO está a admitir qualquer irregularidade da sua parte).
Embora a interpretação do Procurador-Geral neste acordo seja clara, parece haver alguma sobreposição com a definição de "não compartilhar" no Lei de Direitos de Privacidade da Califórnia (CPRA). A definição de compartilhamento é a divulgação de informações pessoais a terceiros para fins de publicidade comportamental intercontextual. A publicidade comportamental intercontextual ocorre quando um consumidor é perfilado e segmentado com base em informações pessoais obtidas a partir de sua atividade em diversas empresas, sites, aplicativos etc. – e a publicidade comportamental intercontextual NÃO precisa envolver qualquer contrapartida monetária.
Opções universais de exclusão e Controle Global de Privacidade (GPC)
GPC é uma especificação técnica para transmitir sinais de exclusão. Às vezes chamado de "mecanismo universal de exclusão", os usuários baixam um navegador ou extensão que suporta o sinal e pode então ativá-lo para todos os sites ou para sites individuais. Quando esse usuário visita um site que suporta o GPC, o site registra automaticamente a solicitação do navegador do usuário para Não Vender Informações Pessoais. Alguns navegadores (Brave e DuckDuckGo), bem como editoras (NYTimes e Washington Post), declararam publicamente suporte ao GPC. Embora o GPC esteja atualmente adaptado à CCPA, seus criadores acreditam que ele poderá ser relevante para outros fins regulatórios de privacidade no futuro, visto que um "sinal GPC de recusa de processamento poderia criar uma obrigação legalmente vinculativa para os processadores de dados".“
Além de incluir o link obrigatório "Não Venda Minhas Informações Pessoais", o órgão regulador da Califórnia espera que todas as empresas que operam no estado também atendam à solicitação do GPC. O Procurador-Geral Bonta afirmou ainda que "tecnologias como o Global Privacy Control representam uma mudança radical para os consumidores que buscam exercer seus direitos de privacidade de dados. Mas esses direitos são inúteis se as empresas ocultarem como utilizam os dados de seus clientes e ignorarem as solicitações para optar por não participar da venda desses dados."“
O futuro das empresas da Califórnia
O acordo sinaliza que a Procuradoria-Geral planeja ser mais agressiva na busca de medidas contra empresas que não cumprem a lei. Bonta disse a repórteres: “Hoje não se trata apenas da Sephora. O acordo de hoje envia uma mensagem forte às empresas sobre os esforços contínuos do Departamento de Justiça da Califórnia para fazer cumprir a CCPA.”
Juntamente com o acordo, o Procurador-Geral Bonta também enviou notificações a diversas empresas, alegando descumprimento das normas relativas ao processamento de solicitações de exclusão de consumidores feitas por meio do GPC (Global Public Content Program). A cláusula de notificação e correção da CCPA (Community Connectivity Policy), que exige que as empresas sejam notificadas e tenham a oportunidade de corrigir as irregularidades antes de serem responsabilizadas por violações da CCPA, expirará em 1º de janeiro de 2023.
O gabinete do Procurador-Geral também publicou uma atualização anual da CCPA. exemplos de não conformidade, que incluiu a Sephora como um caso de uso, além da ausência de links "Não venda minhas informações pessoais", tratamentos errôneos de solicitações de direitos do consumidor, políticas de privacidade não conformes e avisos de divulgação ausentes e avisos de incentivo financeiro não conformes para programas de fidelidade.
E do outro lado do Atlântico…
Embora o acordo com a AG seja a primeira grande ação de fiscalização sob a CCPA, não é a primeira ação legal movida contra a Sephora em 2022. A Sephora também enfrentou problemas legais no início deste ano, quando a agência francesa de proteção de dados, CNIL, declarou ilegal o uso de suas integrações com o Google Analytics e o Facebook Connect.
Essas ações conjuntas de fiscalização contra a Sephora este ano devem motivar as empresas a cumprirem integralmente as novas e crescentes regulamentações.
Como a Bigid pode ajudar na preparação para a implementação da CCPA
Com o aumento da rigidez das normas de fiscalização por parte do Procurador-Geral da Califórnia, torna-se ainda mais necessário estabelecer padrões regulatórios para o seu programa de privacidade. .
Veja como a BigID pode preparar sua organização para a conformidade com a CCPA e a CPRA atualizada:
- Descoberta e auditoria de dados: A CCPA regulamenta informações pessoais, incluindo identificadores diretos e inferidos. A BigID ajuda a construir uma inventário de dados automatizado para descobrir, mapa e classificar Dados afetados pela CCPA para preparação de possíveis auditorias regulatórias.
- Mapeamento de dados: Simplifique a conformidade com a CCPA mapeando seus ativos de dados e automatizando seu inventário de dados em toda a empresa. A BigID ajuda a entender fluxos de compartilhamento de dados Com terceiros e prestadores de serviços, com relatórios resumidos sobre o compartilhamento de dados de terceiros e opções de exclusão do processamento de dados.
- Gestão de direitos de dados: Para cumprir os direitos de privacidade de todos os residentes da Califórnia, a BigID fornece às organizações uma interface pública. portal de privacidade de autoatendimento Para concluir um processo completo de direitos do consumidor, desde o “direito de saber” seus dados até o “direito de excluí-los”, a BigID também permite o cumprimento das solicitações de exclusão da CCPA, especialmente em relação à “venda” de dados.
- Consentimento e preferências de cookies: Chegou a hora de levar a sério o consentimento e as preferências de cookies, visto que a facilidade de uso do consentimento do consumidor é um dos pontos destacados neste acordo. A BigID oferece gerenciamento completo de consentimento e preferências de privacidade de cookies para capturar e gerenciar automaticamente o consentimento/preferências, o que ajudará a construir confiança com seus consumidores e evitar multas do Ministério Público.
São as expectativas de Gerenciando a CCPA (e em breve) CPRAA conformidade com as normas é um desafio na sua organização? Veja como a BigID permite que as empresas automatizem todo o seu programa de privacidade de dados., garantir a conformidade e manter-se à frente do Procurador-Geral da Califórnia.
Autor
