Muitas organizações estão se esforçando para entender a Lei de Privacidade do Consumidor da Califórnia de 2018, aprovada pela legislatura da Califórnia em junho de 2018. Ela entrará em vigor em 1º de janeiro de 2020. O procurador-geral da Califórnia é responsável por fazer cumprir a lei.
A Lei de Privacidade do Consumidor da Califórnia (CCPA) concede aos residentes da Califórnia muitos novos direitos em relação à forma como suas informações pessoais são coletadas e utilizadas.
As consequências do descumprimento dos requisitos da CCPA podem ser graves. Pode haver uma multa civil de até US$ 7.500 por cada violação, além de os residentes da Califórnia poderem receber até US$ 750 por incidente ou o valor dos danos reais, o que for maior.
As organizações precisam entender a lei de privacidade da Califórnia e as maneiras práticas de cumpri-la.
É importante ter em mente que a lei pode mudar em 2019. A lei foi aprovada rapidamente em 2018, com apenas uma semana de debate legislativo; ao longo do próximo ano, espera-se que a legislatura da Califórnia receba um número significativo de solicitações de lobby e emendas de diversas organizações que coletam e utilizam informações pessoais de residentes da Califórnia. Além disso, a lei exige que o procurador-geral da Califórnia desenvolva diretrizes específicas sobre como as organizações devem lidar com essas informações. deve cumprir a CCPA.
Entenda como a CCPA se aplica à sua organização.
O primeiro passo é identificar se e como a Lei de Privacidade da Califórnia (CCPA) se aplica à sua organização. A CCPA se aplica a todas as organizações que coletam informações pessoais de residentes da Califórnia e que atendem a pelo menos um dos seguintes critérios:
- possui uma receita bruta anual superior a 1.425 milhões;
- anualmente compra, recebe, vende ou compartilha informações pessoais de 50.000 ou mais residentes, domicílios ou dispositivos da Califórnia; e
- obtém 50% ou mais de sua receita anual com a venda de informações pessoais de residentes da Califórnia.
A lei concede aos residentes da Califórnia os seguintes direitos básicos em relação às organizações sujeitas à CCPA — doravante denominadas organizações abrangidas:
- o direito de solicitar que uma organização abrangida divulgue as categorias e os tipos específicos de informações pessoais que coleta sobre residentes da Califórnia, os tipos de fontes de onde essas informações são coletadas, as finalidades comerciais da coleta ou venda das informações e as categorias de terceiros com quem as informações são compartilhadas;
- o direito de solicitar a exclusão das informações pessoais coletadas;
- o direito de optar por não participar da venda de informações pessoais coletadas; e
- o direito à igualdade de serviço e preço caso os direitos da CCPA sejam exercidos.
A lei também proíbe que as organizações abrangidas vendam informações pessoais de residentes da Califórnia com menos de 16 anos de idade, a menos que esses residentes autorizem explicitamente a venda.
Embora a lei de privacidade da Califórnia se aplique apenas às informações pessoais de residentes da Califórnia, muitas organizações abrangidas por ela coletam informações pessoais de residentes de vários estados. Essas organizações precisarão decidir se irão tratar todas as informações pessoais de acordo com os requisitos da CCPA ou se criarão processos separados para lidar apenas com as informações pessoais de residentes da Califórnia.
Porque outros estados frequentemente imitam Leis de privacidade de dados da Califórnia — como no caso de relatórios de violação de segurança de dados, por exemplo — e como os clientes de fora da Califórnia podem não gostar de ter menos proteção para suas informações pessoais, é provável que muitas organizações abrangidas determinem que é melhor ter uma abordagem comum para lidar com as informações pessoais de seus clientes.
Crie um inventário de informações pessoais.
CCPA define amplamente Informações pessoais são definidas como informações que “identificam, se relacionam, descrevem, podem ser associadas ou podem ser razoavelmente vinculadas, direta ou indiretamente, a um consumidor [residente da Califórnia] ou domicílio específico”. Exemplos de informações pessoais incluem:
- Identificadores pessoais, incluindo seu nome verdadeiro, endereço postal, endereço de e-mail, número do Seguro Social, número da carteira de motorista ou número do passaporte;
- Informações biométricas;
- dados de geolocalização;
- histórico de navegação na internet;
- informações profissionais ou relacionadas ao emprego; e
- Inferências extraídas de informações pessoais para criar um perfil sobre um residente da Califórnia.
Para implementar os controles e processos adequados para proteger informações pessoais, as organizações abrangidas pela lei precisam criar um inventário que identifique e mapeie como e quando essas informações são coletadas, usadas, armazenadas e destruídas, bem como o fluxo de dados dentro e fora da organização. Será difícil para uma organização abrangida pela lei cumprir a Lei de Privacidade da Califórnia se ela não compreender as informações pessoais que possui e os processos de tratamento de dados relacionados que deve proteger.
Um inventário de informações pessoais também pode ajudar a identificar oportunidades para pseudonimizar ou desidentificar as informações pessoais coletadas.
Organizações menores abrangidas pela lei podem conseguir inventariar manualmente as informações pessoais coletadas, mas organizações maiores provavelmente precisarão usar uma ferramenta de mapeamento de dados, como o OneTrust ou o BigID.
Implementar as melhores práticas de cibersegurança
A conformidade com a CCPA exigirá que as organizações abrangidas implementem os controles e processos de segurança adequados para proteger as informações pessoais. A lei permite que os residentes da Califórnia recebam indenização se suas informações pessoais forem "sujeitas a acesso e exfiltração não autorizados, roubo ou divulgação como resultado da violação, por parte da empresa, da obrigação de implementar e manter procedimentos e práticas de segurança razoáveis".
Os controles variam entre as organizações abrangidas, dependendo do tipo e da quantidade de informações pessoais que coletam e dos processos utilizados para interagir com os dados. As organizações abrangidas devem usar uma abordagem baseada em risco Uma abordagem que proteja adequadamente as informações pessoais, ao mesmo tempo que permite o processamento e o armazenamento necessários para os negócios.
Não há necessidade de reinventar a roda; baseie seu programa de cibersegurança em um conjunto de práticas recomendadas amplamente utilizadas e aceitas, como as do NIST. Estrutura de cibersegurança ou os Controles Críticos de Segurança do Centro para Segurança na Internet (CISS). As empresas também podem seguir um padrão de cibersegurança do setor, como o PCI DSS. Isso permitirá que sua organização demonstre que implementou controles adequados e razoáveis para proteger informações pessoais e que segue as melhores práticas de segurança.
Desenvolva um processo de resposta e notificação para violações de informações pessoais.
Para cumprir a Lei de Privacidade da Califórnia, as organizações abrangidas precisam estar preparadas para uma violação de informações pessoais. Ter procedimentos bem definidos e documentados, adequados e realistas para sua organização, facilitará muito o lançamento de uma resposta rápida e bem coordenada.
Em linhas gerais, o seu processo de resposta a uma violação de dados pessoais deve incluir:
- um procedimento detalhado sobre como você notificará o procurador-geral da Califórnia e os parceiros comerciais relevantes, o tipo de informação que a notificação fornecerá e quem em sua organização realizará a notificação caso ocorra uma violação de informações pessoais; e
- Um procedimento detalhado sobre como os residentes da Califórnia afetados por uma violação de informações pessoais serão notificados e com que rapidez essa notificação ocorrerá.
As organizações abrangidas devem definir cuidadosamente, com antecedência, os processos de comunicação e contenção; pode ser estressante e demorado descobrir isso no meio de uma violação de segurança.
Certifique-se de testar cuidadosamente os processos de resposta a violações de dados pessoais da sua organização pelo menos uma vez por ano. Você não vai querer estar testando-os pela primeira vez durante uma violação real.
A privacidade de dados tornou-se muito importante. O RGPD entrou em vigor em maio de 2018 e agora A CCPA está se aproximando.Organizações que coletam ou processam informações pessoais precisam estar preparadas para um maior escrutínio e regulamentação de suas práticas de tratamento e proteção de informações pessoais. Com análise, planejamento e design cuidadosos, as organizações abrangidas pela CCPA podem cumprir a lei com sucesso.