Artigo Um Guia para Conformidade do Site CCPA

Publicados: 2022-08-12

Obtenha instruções passo a passo para tornar seu site compatível com a CCPA neste Mega-Guia da Lei de Privacidade do Consumidor da Califórnia. Isso abrange:

  • O que é CCPA
  • Requisitos do site da CCPA para empresas
  • Como tornar seu site compatível com CCPA
  • Como atualizar sua política de privacidade para estar em conformidade com a CCPA
  • Multas e penalidades da CCPA

O que é a Lei de Privacidade do Consumidor da Califórnia?

Em 1º de janeiro de 2020, a Lei de Privacidade do Consumidor da Califórnia entrou em vigor depois que o projeto de lei foi assinado em 28 de junho de 2018 pelo Gov. Brown.

O objetivo era aumentar os direitos de privacidade e a proteção do consumidor. Especificamente, os residentes da Califórnia devem ser capazes de:

  1. Saiba quais dados pessoais estão sendo coletados sobre eles.
  2. Saber se os seus dados pessoais são vendidos ou divulgados e a quem.
  3. Diga não à venda de dados pessoais.
  4. Acesse seus dados pessoais.
  5. Solicitar que uma empresa exclua quaisquer informações pessoais sobre um consumidor coletadas desse consumidor.
  6. Não ser discriminado por exercer seus direitos de privacidade.

Agora, as empresas que coletam informações pessoais de residentes da Califórnia devem cumprir as novas leis de privacidade. Mesmo que sua empresa não opere na Califórnia, seu site ainda deve estar em conformidade com a CCPA se você coletar dados pessoais de residentes da Califórnia. Isso inclui muitas empresas nos Estados Unidos.

Devemos esclarecer – esses “dados pessoais” são realmente dados do usuário – podem ser qualquer coisa, desde nome, e-mail ou número de telefone, até geo-região ou comportamento online.

Portanto, se houver uma chance de sua empresa coletar dados de residentes da Califórnia e você atender às diretrizes especificadas na próxima seção, convém garantir a conformidade.

CCPA e GDPR

“Mas espere, já estamos em conformidade com o GDPR – não é a mesma coisa?”

Infelizmente não.

O GDPR é semelhante, mas diferente, e você ainda deve aderir às leis da CCPA.

E embora essa lei cubra apenas a Califórnia, este é apenas o primeiro estado a promulgar uma lei de privacidade como essa. No futuro, espero que a maioria dos estados adote algum nível de proteção como esse, então é bom avançar agora.

Então, que tipos de empresas e sites devem cumprir a CCPA?

Quais sites devem estar em conformidade com a CCPA?

A CCPA se aplica a qualquer empresa com fins lucrativos que colete e processe dados pessoais dos consumidores, que faça negócios na Califórnia e satisfaça pelo menos um dos seguintes limites:

  • Tem receita bruta anual superior a US $ 25 milhões.
  • Compra ou vende as informações pessoais de 50.000 ou mais consumidores ou famílias.
  • Ganha mais da metade de sua receita anual com a venda de informações pessoais dos consumidores.

As organizações são obrigadas a “implementar e manter procedimentos e práticas de segurança razoáveis” na proteção dos dados do consumidor.

Um residente da Califórnia é definido pela lei estadual como qualquer pessoa que:

  • Está na Califórnia para fins que não sejam temporários ou transitórios.
  • Está domiciliado na Califórnia, mas está fora do estado para fins temporários ou transitórios.

Como tornar seu site compatível com CCPA

Aqui está a essência do artigo – um passo a passo dos requisitos do site da CCPA. Antes de entrarmos nos detalhes básicos, aqui está sua visão geral de alto nível das atualizações necessárias do site.

  1. Adicione um hiperlink em sua página inicial que diga “Não venda meus dados pessoais” : esse link deve levar as pessoas a uma página de destino.
  2. Crie uma página de destino com opções para solicitar, mover, alterar ou excluir dados : há mais do que isso, mas forneceremos os requisitos completos e alguns exemplos na próxima seção.
  3. Revise sua Política de Privacidade : inclua uma linguagem informando o tipo de informação que você coleta, como você usa os dados pessoais, uma descrição dos direitos dos consumidores e muito mais. Cobriremos a lista completa de tudo o que você precisa dizer em breve.

Essas são as três principais alterações que você fará em seu site para garantir a conformidade e evitar multas. Vamos mergulhar nessas três entregas com mais detalhes e mostrar como fazer as atualizações necessárias.

1. Adicione um hiperlink de página inicial que diga "Não venda meus dados pessoais"

Mesmo que sua empresa não venda dados pessoais, você ainda precisa de um link em sua página inicial informando “Não venda meus dados pessoais”. Esse link deve levar os usuários a uma página de destino.

Para o link em si, não há um padrão obrigatório para o tamanho ou o posicionamento do link. O que sabemos, é:

  • O link deve ser colocado na página inicial.
  • O link deve estar presente, mesmo que você não venda dados pessoais.
  • O link deve ser claramente visível e clicável – não pode ser escondido – essa é outra maneira que uma experiência ruim do usuário pode realmente custar a você.

2. Crie uma página de destino para solicitar/remover dados

Quando alguém clicar no link da página inicial, “Não venda meus dados pessoais”, será direcionado para esta página de destino.

Sua página de destino precisa de três elementos principais:

  1. Uma descrição de sua política de venda de dados pessoais : é aqui que você descreve sua política de coleta de dados – o tipo de dados que você coleta, como você usa esses dados e sua política de venda de dados.
  2. Uma descrição dos direitos de privacidade protegidos dos residentes da Califórnia: basicamente, você precisa informar os usuários sobre o novo nível de proteção oferecido pela CCPA e seus direitos de acesso a quaisquer dados que você possa ter coletado.
  3. Um formulário : permite que as pessoas que desejam solicitar, mover, alterar ou excluir dados façam exatamente isso. No formulário, você deve incluir a opção para que as pessoas selecionem o que você faz com os dados.

Ofereça uma 2ª opção para solicitar dados

A CCPA exige que você disponibilize dois ou mais métodos aos consumidores para fazer solicitações relacionadas a dados e exercer seus direitos de proteção de dados.

Então, basicamente, você precisa de duas opções para as pessoas solicitarem ou removerem dados.

Esta página de destino conta como uma opção. A segunda opção deve ser um número gratuito. Você pode oferecer mais de dois métodos, é claro, mas os dois primeiros são obrigatórios.

Dicas para criar uma página de destino CCPA

Dica 1: Se você não vende dados, ótimo – você deveria dizer isso. Mas você ainda precisa dar aos usuários a opção de solicitar, mover, alterar ou excluir dados pessoais.

Dica 2: Você precisa colocar um formulário na página de destino que permita que as pessoas solicitem ou removam dados. Eu recomendo criar uma opção de campo suspenso que permita que as pessoas selecionem como desejam que os dados sejam tratados: solicitados para visualização, movimentação, alteração ou exclusão de dados pessoais.

Dica 3: A página de destino não precisa ser sofisticada, mas precisa ser clara e direta.

Dica 4: Você pode dizer tudo nesta página de destino, então você deve adicionar um link claro e óbvio para a política de privacidade para obter mais informações.

Dica 5: Embora não seja obrigatório, é uma prática recomendada dar às pessoas uma “mensagem de sucesso” que confirme que a solicitação foi recebida e que você está trabalhando para fornecer ou alterar os dados conforme especificado.

A maneira mais fácil de fazer isso é direcionar as pessoas para uma página de agradecimento após o envio do formulário. A página deve ter uma mensagem de confirmação simples como "Recebemos sua solicitação e forneceremos as informações em 30 dias ou menos".

Esta página de agradecimento também deve incluir um link para a política de privacidade, caso o usuário queira mais informações sobre sua política de coleta de dados.

3. Revise sua política de privacidade

Honestamente, você vai querer envolver sua equipe jurídica para ajudar nisso. Mas você pode fazer muito trabalho pesado agora.

Suponho que, se você chegou até aqui, você é um especialista em marketing de uma empresa ou um funcionário de uma empresa. De qualquer forma, você deve ter acesso a uma equipe jurídica para refinar a linguagem da Política de Privacidade. MAS – você ainda precisará fornecer o tipo de dados que coleta e o motivo para fazê-lo à equipe jurídica.

Primeiro, veremos tudo o que sua política de privacidade atualizada deve divulgar. Em seguida, daremos dicas sobre as informações que você precisa passar para a equipe jurídica.

Sua Política de Privacidade deve divulgar:

  1. Uma descrição dos direitos dos consumidores sob a CCPA;
  2. Uma descrição de pelo menos um método designado para os consumidores enviarem solicitações de CCPA a eles;
  3. Uma lista de categorias de informações pessoais do consumidor coletadas nos últimos 12 meses;
  4. Uma lista de categorias de informações pessoais que eles venderam nos 12 meses anteriores (ou, se as empresas não venderam informações pessoais, devem declarar); e
  5. Uma lista de categorias de informações pessoais que eles divulgaram (não venderam) para fins comerciais nos 12 meses anteriores (ou, se não divulgaram informações pessoais, devem declarar).

De acordo com a CCPA, as empresas regulamentadas devem atualizar suas políticas de privacidade pelo menos uma vez a cada 12 meses.

Dicas para revisar sua política de privacidade para CCPA

Temos trabalhado com clientes para se tornarem compatíveis com a CCPA e, até agora, o maior problema parece ser a Política de Privacidade.

Dica 1: você pode adicionar muita clareza – e acelerar o processo – se fornecer à sua equipe jurídica uma lista completa de todos os tipos de dados coletados. Dados como:

  • Primeiro e último nome
  • E-mail
  • Número de telefone
  • Região Ge0
  • Código de área
  • Tipo de informação baixada do seu site
  • endereço de IP
  • Dados de emprego profissional

Tudo isso e muito mais. Basicamente, liste literalmente todo tipo de informação que os usuários do site podem lhe dar.

Dica 2: Não se esqueça dos microsites ou subdomínios que você possui e também das informações que você coleta dessas fontes.

Dica 3: Em última análise, sua equipe jurídica redigirá a Política de Privacidade, para que possa ajudar a fornecer uma descrição de como você, o profissional de marketing ou funcionário responsável pela coleta de dados, usa os dados. Isso pode ajudá-los a determinar o que precisa estar na Política de Privacidade.

Dica 4: A CCPA não o restringe de vender dados, mas se você fizer isso, você deve divulgar e permitir que os usuários desativem.

Nota dos escritores: não trabalhamos com clientes que vendem dados pessoais de seus usuários – mas ainda seguimos os requisitos da CCPA, apenas por precaução.

Dica 5: SE você vender dados de menores de 13 a 16 anos, deverá obter consentimento prévio antes de vender seus dados. Para menores de 13 anos, você precisa do consentimento dos pais ou responsáveis.

Nota dos escritores: Veja – se você é alguém que vende dados de pessoas, não o faça. É chato e você sabe disso.

Dica 6: Certifique-se de manter todos os consentimentos obtidos de menores, pais ou responsáveis.

Dica 7: Mantenha a documentação de todos que deram ou rejeitou o consentimento, juntamente com a data em que enviaram a solicitação.

Dica 8: Você está usando um CRM? Em caso afirmativo, você precisa especificar isso, bem como quaisquer outras fontes onde os dados possam ser coletados ou processados.

Multas CCPA e como evitá-las

A não conformidade vai custar-lhe.

Não apenas multas enormes, mas o Procurador-Geral pode iniciar um processo civil contra você ou sua empresa se você permanecer em desacordo 30 dias após ser notificado de uma violação.

E isso é uma multa de $ 7.500 por violação. Portanto, se você violar os direitos da CCPA de 1.000 usuários, poderá receber uma multa de US$ 7.500.000.

Uma última coisa

Parabéns - você não apenas chegou ao final deste Guia CCPA de 2.000 palavras, mas agora você deve ter tudo o que é necessário para atender aos requisitos do site CCPA.

Uma coisa é certa – a CCPA não vai acabar tão cedo, e esses regulamentos certamente se espalharão para outros estados. Já estamos desenvolvendo um processo de conformidade com a CCPA em todos os sites que criamos.

E uma última coisa – a conformidade com a CCPA exige uma quantidade decente de trabalho. Se ficar sobrecarregado, ou você quiser que outro par de olhos verifique sua conformidade, ligue para a BrandExtract. Podemos conectar e ajudar a tornar sua conformidade à prova de balas (ou, à prova de multas) ou apenas gerenciar o processo para você.