A Sephora não recebeu o Amor da Califórnia quando falhou em uma ação de fiscalização varrer de varejistas online conduzido pelo Procurador-Geral Rob Bonta no inverno passado. Em 24 de agosto, o Procurador-Geral Bonta anunciou um acordo com a empresa de beleza de $1,2 milhões por sua violação da Lei de Privacidade do Consumidor da Califórnia (CCPA).
Além da multa monetária, a Sephora também terá que:
- Diga afirmativamente aos consumidores que “vende” dados
- Conformar seus contratos de prestação de serviços aos requisitos da CCPA
- Fornecer mecanismos de exclusão de vendas, além de honrar os Controles Globais de Privacidade
- Relatar regularmente ao Procurador-Geral sobre a venda de Informações Pessoais, o status dos relacionamentos com seus provedores de serviços e seus esforços para honrar o GPC.
A definição de “venda” se expande
A queixa contra a Sephora concluiu que a Sephora violou os CCPA ao "vender" informações pessoais de consumidores da Califórnia sem notificá-los adequadamente ou dar-lhes a oportunidade adequada de optar por não participar. Embora a Sephora não tenha recebido um pagamento financeiro direto de terceiros que tinham acesso às informações do consumidor – como dados de localização e quais itens eles colocaram em seu carrinho de compras online – a denúncia sugere que a Sephora recebeu "outros benefícios" em violação à definição de venda da CCPA.
De acordo com este Acordo, o escritório do Procurador-Geral define "venda" como quando a empresa divulga ou disponibiliza informações pessoais do Consumidor a terceiros por meio do uso de tecnologias de rastreamento online, como pixels, web beacons, kits de desenvolvedor de software, bibliotecas de terceiros e cookies, em troca de consideração monetária ou de outro valor, incluindo, mas não se limitando a: (1) informações pessoais ou outras informações, como análises; ou (2) serviços gratuitos ou com desconto. Neste caso, a Sephora recebeu a oportunidade de comprar anúncios online direcionados a consumidores de terceiros. A empresa então frequentemente mantinha os dados e os usava "em benefício de outras empresas, sem o conhecimento ou consentimento do consumidor". A Sephora rejeitou essa definição ampla (observação: aceitar este Acordo significa que NÃO está admitindo irregularidades de sua parte).
Embora a interpretação do AG neste acordo seja clara, parece haver alguma sobreposição com a definição de não compartilhar Lei de Direitos de Privacidade da Califórnia (CPRA)A definição de compartilhamento é a divulgação de informações pessoais a terceiros para fins de publicidade comportamental multicontextual. A publicidade comportamental multicontextual ocorre quando um consumidor é perfilado e segmentado com base em informações pessoais obtidas por meio de sua atividade em diversas empresas, sites, aplicativos, etc. – e a publicidade comportamental multicontextual NÃO precisa incluir nenhuma contrapartida monetária.
Exclusões Universais e Controle Global de Privacidade (GPC)
GPC é uma especificação técnica para a transmissão de sinais de opt-out. Às vezes chamado de "mecanismo universal de opt-out", os usuários baixam um navegador ou extensão que suporta o sinal e pode então ativá-lo para todos os sites ou sites individuais. Quando esse usuário visita um site que suporta o GPC, o site registra automaticamente a solicitação do navegador do usuário para Não Vender Informações Pessoais. Alguns navegadores (Brave e DuckDuckGo), bem como publicações (NYTimes e Washington Post) declararam publicamente apoio ao GPC. Embora o GPC esteja atualmente adaptado à CCPA, os criadores do GPC acreditam que ele pode ser relevante para outros fins regulatórios de privacidade no futuro, visto que um "sinal do GPC que opta por não processar dados pode criar uma obrigação legalmente vinculativa para os processadores de dados".
Além de incluir o link obrigatório "Não Venda Minhas Informações Pessoais", o regulador da Califórnia espera que todas as empresas que operam na Califórnia também honrem a solicitação do GPC. O Procurador-Geral Bonta também afirmou que "tecnologias como o Controle Global de Privacidade são um divisor de águas para os consumidores que buscam exercer seus direitos de privacidade de dados. Mas esses direitos não têm sentido se as empresas ocultarem como estão usando os dados de seus clientes e ignorarem as solicitações de cancelamento da venda".
O futuro das empresas da Califórnia
O acordo é um sinal de que o Procurador-Geral planeja se tornar mais agressivo na tomada de medidas contra empresas que descumpram a lei. Bonta disse a repórteres que "o dia de hoje não é só sobre a Sephora. O acordo de hoje envia uma forte mensagem às empresas sobre os esforços contínuos do Departamento de Justiça da Califórnia para aplicar a CCPA".
Juntamente com o acordo, o Procurador-Geral Bonta também enviou notificações a diversas empresas alegando descumprimento por não terem processado solicitações de cancelamento de participação de consumidores feitas por meio do GPC. A cláusula de notificação e correção da CCPA, que exige que as empresas recebam notificação e tenham a oportunidade de corrigir as violações antes de serem responsabilizadas por elas, expirará em 1º de janeiro de 2023.
O gabinete do procurador-geral também publicou uma atualização anual do CCPA exemplos de não conformidade, que incluiu a Sephora como um caso de uso, além de links ausentes de "Não venda minhas informações pessoais", tratamentos errôneos de solicitações de direitos do consumidor, políticas de privacidade não compatíveis e avisos de divulgação ausentes e avisos de incentivo financeiro não compatíveis para programas de fidelidade.
E do outro lado do oceano…
Embora o acordo com o AG seja a primeira grande ação de execução sob o CCPA, não é a primeira ação legal movida contra a Sephora em 2022. A Sephora também enfrentou problemas legais no início deste ano, quando a agência de proteção de dados da França, a CNIL, declarou ilegal o uso das integrações do Google Analytics e do Facebook Connect.
Essas ações de execução combinadas contra a Sephora neste ano devem motivar as empresas a cumprir integralmente as novas e crescentes regulamentações.
Como o Bigid pode ajudar a preparar a aplicação do CCPA
À medida que o procurador-geral da Califórnia eleva os padrões de execução, agora é mais do que necessário definir padrões regulatórios para seu programa de privacidade.
Veja como o BigID pode preparar sua organização para a conformidade com o CCPA e o CPRA atualizado:
- Descoberta e auditorias de dados: A CCPA regulamenta informações pessoais, incluindo identificadores diretos e inferidos. O BigID ajuda a construir uma inventário automatizado de dados para descobrir, mapa e classificar Dados impactados pelo CCPA para preparação para possíveis auditorias regulatórias.
- Mapeamento de dados: Simplifique a conformidade com a CCPA mapeando seus ativos de dados e automatizando seu inventário de dados em toda a empresa. O BigID ajuda a entender fluxos de compartilhamento de dados com terceiros e prestadores de serviços com relatórios resumidos de compartilhamento de dados de terceiros e cancelamentos de processamento de dados.
- Gerenciamento de direitos de dados: Para cumprir os direitos de privacidade de todos os residentes da Califórnia, a BigID fornece às organizações um serviço público portal de privacidade de autoatendimento para concluir um processo completo de direitos do consumidor, desde o "direito de saber" seus dados até o "direito de excluí-los". O BigID também permite o atendimento às solicitações de cancelamento da CCPA, especialmente no que diz respeito à "venda" de dados.
- Consentimento e preferências de cookies: É hora de levar a sério o consentimento e as preferências de cookies, já que o consentimento do consumidor, de fácil utilização, é destacado neste acordo. A BigID fornece consentimento e preferências de cookies de ponta a ponta. gerenciamento de preferências de privacidade para capturar e gerenciar automaticamente consentimento/preferências que ajudarão a construir confiança com seus consumidores e evitar multas do gabinete do procurador-geral.
As expectativas de gerenciando CCPA (e em breve será CPRA) a conformidade é desafiadora na sua organização? Veja como o BigID permite que as empresas automatizem todo o seu programa de privacidade de dados, alcance a conformidade e fique à frente do procurador-geral da Califórnia.
Autor
