Muitas organizações estão se esforçando para entender a Lei de Privacidade do Consumidor da Califórnia de 2018, que a legislatura da Califórnia aprovou em junho de 2018. Ela entrará em vigor a partir de 1º de janeiro de 2020. O procurador-geral da Califórnia é responsável por fazer cumprir a lei.
A Lei de Privacidade do Consumidor da Califórnia (CCPA) concede aos residentes da Califórnia muitos novos direitos sobre como suas informações pessoais são coletadas e usadas.
As consequências do descumprimento dos requisitos da CCPA podem ser dolorosas. Pode haver uma multa civil de até $7.500 por violação, e os residentes da Califórnia podem receber até $750 por incidente ou danos reais, o que for maior.
As organizações precisam entender esta lei de privacidade da Califórnia e maneiras práticas de cumpri-la.
É importante lembrar que a lei pode mudar em 2019. A lei foi aprovada rapidamente em 2018, com apenas uma semana de debate legislativo; ao longo do próximo ano, espera-se que a legislatura da Califórnia receba lobby significativo e pedidos de emendas de diversas organizações que coletam e usam informações pessoais de residentes da Califórnia. Além disso, a lei exige que o procurador-geral da Califórnia desenvolva diretrizes específicas sobre como as organizações deve estar em conformidade com o CCPA.
Entenda como o CCPA se aplica à sua organização
O primeiro passo é identificar se e como a Lei de Privacidade da Califórnia se aplica à sua organização. A CCPA se aplica a todas as organizações que coletam informações pessoais de residentes da Califórnia e que atendem a pelo menos um dos seguintes critérios:
- tem uma receita bruta anual superior a $25 milhões;
- anualmente compra, recebe, vende ou compartilha informações pessoais de 50.000 ou mais residentes, domicílios ou dispositivos da Califórnia; e
- obtém 50% ou mais de sua receita anual com a venda de informações pessoais de residentes da Califórnia.
A lei concede aos residentes da Califórnia os seguintes direitos básicos com organizações sujeitas à CCPA — doravante denominadas organizações cobertas:
- o direito de solicitar que uma organização coberta divulgue as categorias e os tipos específicos de informações pessoais que ela coleta sobre residentes da Califórnia, os tipos de fontes das quais essas informações são coletadas, os propósitos comerciais para coletar ou vender as informações e as categorias de terceiros com os quais as informações são compartilhadas;
- o direito de solicitar a exclusão das informações pessoais coletadas;
- o direito de optar por não participar da venda das informações pessoais coletadas; e
- o direito a serviço e preço iguais se os direitos CCPA forem exercidos.
A lei também proíbe organizações cobertas de vender informações pessoais de residentes da Califórnia menores de 16 anos, a menos que tais residentes autorizem explicitamente a venda.
Embora a Lei de Privacidade da Califórnia se aplique apenas às informações pessoais de residentes da Califórnia, muitas organizações abrangidas coletam informações pessoais de residentes de vários estados. Essas organizações precisarão decidir se tratarão todas as informações pessoais de acordo com os requisitos da CCPA ou se criarão processos separados para tratar apenas as informações pessoais de residentes da Califórnia.
Porque outros estados muitas vezes imitam Leis de privacidade de dados da Califórnia — como com relatórios de violações de segurança de dados, por exemplo — e clientes de fora da Califórnia podem não gostar de ter menos proteções para suas informações pessoais, é provável que muitas organizações cobertas determinem que é melhor ter uma abordagem comum para lidar com as informações pessoais de seus clientes.
Crie um inventário de informações pessoais
CCPA define amplamente informações pessoais como informações que “identificam, relacionam-se com, descrevem, são capazes de ser associadas a, ou poderiam ser razoavelmente vinculadas, direta ou indiretamente, a um determinado consumidor [residente da Califórnia] ou domicílio”. Exemplos de informações pessoais incluem:
- identificadores pessoais, incluindo seu nome real, endereço postal, endereço de e-mail, número do Seguro Social, número da carteira de motorista ou número do passaporte;
- informações biométricas;
- dados de geolocalização;
- histórico de navegação na internet;
- informações profissionais ou relacionadas ao emprego; e
- inferências extraídas de informações pessoais para criar um perfil sobre um residente da Califórnia.
Para implementar os controles e processos adequados para proteger as informações pessoais, as organizações abrangidas precisam criar um inventário que identifique e mapeie como e quando tais informações são coletadas, utilizadas, armazenadas e destruídas, bem como como elas fluem dentro e fora da organização. Será difícil para uma organização abrangida cumprir a Lei de Privacidade da Califórnia se ela não compreender as informações pessoais que possui e os processos de tratamento de dados relacionados que deve proteger.
Um inventário de informações pessoais também pode ajudar a identificar oportunidades de pseudonimizar ou desidentificar informações pessoais coletadas.
Organizações menores cobertas podem fazer um inventário manual das informações pessoais coletadas, mas organizações maiores cobertas provavelmente precisarão usar uma ferramenta de mapeamento de dados, como OneTrust ou BigID.
Implementar as melhores práticas de segurança cibernética
A conformidade com a CCPA exigirá que as organizações abrangidas implementem os controles e processos de segurança adequados para proteger as informações pessoais. A lei permite que os residentes da Califórnia recebam indenização caso suas informações pessoais sejam "sujeitas a acesso não autorizado e exfiltração, roubo ou divulgação como resultado da violação, pela empresa, do dever de implementar e manter procedimentos e práticas de segurança razoáveis".
Os controles variam entre as organizações cobertas, dependendo do tipo e da quantidade de informações pessoais coletadas e dos processos utilizados para interagir com os dados. As organizações cobertas devem usar uma abordagem baseada em risco abordagem que protege adequadamente as informações pessoais, ao mesmo tempo que permite o processamento e armazenamento comercial necessários.
Não há necessidade de reinventar a roda; baseie seu programa de segurança cibernética em um conjunto amplamente utilizado e aceito de práticas recomendadas de segurança cibernética, como o NIST Estrutura de segurança cibernética ou os Controles Críticos de Segurança do Centro de Segurança da Internet. As empresas também podem seguir um padrão de segurança cibernética do setor, como o PCI DSS. Isso permitirá que sua organização demonstre que implementou controles apropriados e razoáveis para proteger informações pessoais e que segue as melhores práticas de segurança.
Desenvolver um processo de notificação e resposta a violações de informações pessoais
Para cumprir a Lei de Privacidade da Califórnia, as organizações abrangidas precisam estar preparadas para uma violação de informações pessoais. Ter procedimentos bem definidos e documentados, apropriados e realistas para a sua organização, facilitará muito o lançamento de uma resposta rápida e bem coordenada.
Em um nível alto, seu processo de violação de informações pessoais deve incluir:
- um procedimento detalhado sobre como você notificará o procurador-geral da Califórnia e os parceiros comerciais apropriados, o tipo de informação que a notificação fornecerá e quem em sua organização executará a notificação se ocorrer uma violação de informações pessoais; e
- um procedimento detalhado sobre como os residentes da Califórnia afetados por uma violação de informações pessoais serão notificados e com que rapidez a notificação ocorrerá.
As organizações cobertas devem, com antecedência, definir cuidadosamente os processos de comunicação e contenção; pode ser estressante e demorado descobrir isso no meio de uma violação.
Teste cuidadosamente os processos de violação de informações pessoais da sua organização pelo menos uma vez por ano. Você não quer testá-los pela primeira vez durante uma violação real.
A privacidade dos dados tornou-se muito importante. O RGPD entrou em vigor em maio de 2018 e agora O CCPA está se aproximandoOrganizações que coletam ou processam informações pessoais precisam estar preparadas para maior escrutínio e regulamentação de suas práticas de tratamento e proteção de informações pessoais. Com análise, planejamento e design cuidadosos, as organizações abrangidas podem cumprir com sucesso a CCPA.