Um guia para CCPA: A Lei de Privacidade do Consumidor da Califórnia

Publicados: 2021-03-12

A Lei de Privacidade do Consumidor da Califórnia foi aprovada em 2018. É uma lei estadual que fornece proteção para os residentes da Califórnia, projetada para dar aos consumidores californianos controle sobre seus dados online e informações pessoais.

A CCPA oferece proteção de dados aos consumidores, incluindo:

O direito de saber sobre as informações pessoais que as empresas coletam.

O direito de excluir informações pessoais que foram coletadas.

O direito de optar por não vender suas informações pessoais.

O direito à não discriminação no exercício de seus direitos CCPA.

Quem precisa se preocupar com a conformidade com a CCPA

A CCPA é apenas uma lei da Califórnia, mas se aplica a qualquer organização que realize negócios na Califórnia ou colete dados sobre usuários californianos. As proteções se aplicam apenas aos residentes da Califórnia, mas se aplicam mesmo quando estão temporariamente fora do estado.

A CCPA aplica-se a:

  • Empresas com fins lucrativos que realizam negócios na Califórnia que faturam mais de US$ 25 milhões em receita anual.
  • Empresas que compram, recebem ou vendem informações pessoais de 50.000 ou mais residentes, residências ou dispositivos da Califórnia
  • Empresas que obtêm 50% ou mais de sua receita anual com a venda de informações pessoais de residentes da Califórnia.

A Califórnia é o estado mais populoso dos EUA e sede do Vale do Silício, portanto, em vez de regulamentos federais que regem a proteção de dados para consumidores americanos, a CCPA estabeleceu o padrão e a obrigação de como as empresas nos EUA coletam, armazenam, vendem e tratam dados pessoais.

Sob a CCPA, as empresas podem ser processadas se “informações pessoais não criptografadas e não editadas forem roubadas em uma violação de dados como resultado da falha da empresa em manter procedimentos e práticas de segurança razoáveis ​​para protegê-las”.

Os benefícios do CCPA

A CCPA não estabelece automaticamente um ambiente digital seguro; é um roteiro para uma internet mais segura. Ele estabelece um precedente para que tipo de dados nós, como consumidores, devemos esperar que sejam protegidos. Ele também mostra que tipo de requisitos as empresas devem esperar cumprir se quiserem proteger os dados do usuário e abre caminho para regulamentações futuras.

A CCPA trouxe maior conscientização sobre como os sites coletam, gerenciam e vendem dados. Isso fez com que as empresas estivessem em uma posição em que deveriam divulgar como lidam com os dados do consumidor. Embora não haja obrigação de todos os sites de reforçar estritamente a segurança de seus dados e a CCPA seja, em grande parte, dependente do resultado dos tribunais, ela se baseia em ações judiciais coletivas para concluir os casos. A responsabilidade de não cumprir pode ser suficiente para trazer melhorias para a segurança geral dos dados.

Desvantagens do CCPA

Embora a CCPA seja o primeiro grande passo dado nos Estados Unidos para melhorar a proteção de dados para os consumidores, ela não é isenta de falhas. Há problemas com a CCPA tanto no escopo quanto na forma como ela é escrita.

Sem obrigação de manter a segurança dos dados

Não há necessidade de implementar e manter uma forte prática de segurança de dados. A CCPA realmente só dá direito aos consumidores a danos legais se tiverem sido sujeitos a uma violação de dados. Não há obrigação de manter práticas de segurança que não seja a falha em fornecer práticas de segurança suficientes que, como resultado de uma violação, o tornarão responsável por danos legais aos consumidores se for comprovado em tribunal.

Litígio

Os casos são trazidos através do sistema judicial pelo qual os consumidores podem processar as empresas. Isso pode ser uma barreira de entrada para muitos consumidores, especialmente consumidores cansados ​​de lidar com o sistema judicial.

Uma cláusula de “cura” que favorece as empresas

De acordo com a cláusula de “cura” de 30 dias da CCPA, os consumidores devem fornecer uma notificação por escrito sobre o problema específico antes de iniciar qualquer ação legal contra uma empresa: não disponível."

Como a CCPA define os consumidores

Embora o GDPR se aplique a qualquer titular de dados na UE no momento da coleta ou processamento, independentemente da nacionalidade, a CCPA define o consumidor como residente na Califórnia, mesmo que esteja temporariamente fora do estado. Apenas proteger os consumidores californianos deixa uma grande parte do país desprotegida.

Como a CCPA define os controladores de dados

A CCPA se aplica a empresas que comercializam os dados de mais de 50.000 californianos anualmente ou têm uma receita de mais de US$ 25 milhões, ou empresas que obtêm mais de 50% de sua receita anual da venda de informações pessoais; O GDPR se aplica a todos os sites, empresas e organizações do mundo (controladores de dados) se oferecerem bens ou serviços a pessoas na UE.

Autoridades de supervisão: poderes de investigação limitados

Violações e não conformidades da CCPA são avaliadas pelo Procurador Geral da Califórnia. Somente a Californian AG tem autoridade para investigar as violações da CCPA, e os consumidores só podem iniciar um litígio no caso de estarem envolvidos em uma violação – e isso apenas inicia um processo judicial.

Como alcançar a conformidade com a CCPA

Para empresas, você deve garantir que seu site inclua informações sobre o tipo de dados que você está coletando sobre seus usuários, permitir que os usuários desativem a venda dessas informações e você deve poder excluir informações pessoais quando uma solicitação do consumidor for feita .

Audite os dados que você está coletando

Entenda como a lei afeta você. Saiba que tipo de dados do consumidor você está coletando. Não são apenas PII, mas também dados de rastreamento da Web que estão implicados na lei.

Sua maior responsabilidade pode nem vir de dentro de sua própria organização, mas dos fornecedores terceirizados que você usa como um serviço da Web ou provedores de plug-ins.

Mapear dados do consumidor

A partir de 1º de janeiro de 2020, os consumidores da Califórnia podem perguntar sobre como você coleta seus dados e o que você faz com eles; você deve ser capaz de responder a essas perguntas. Facilite para sua equipe encontrar dados tornando-os indexáveis ​​e pesquisáveis. Comece a mapear os dados que você descobriu em sua auditoria perguntando:

  • Quais dados você coleta?
  • Onde você o armazena?
  • Quem é responsável pelos dados?
  • Como você coleta os dados?
  • Com quem você compartilha os dados?
  • Você vende os dados?

Implementar divulgações de privacidade

É hora de atualizar suas divulgações de privacidade, incluindo sua política de privacidade, termos e condições e política de cookies. Faça pontos específicos sobre o tipo de informação que você está coletando, como você coleta essas informações, que tipos de terceiros terão acesso a esses dados e os motivos pelos quais você está coletando essas informações.

Deixe suas políticas claras e mantenha-as atualizadas, e permita que seus usuários tenham a oportunidade de optar por não participar. Você deve até considerar adicionar um botão “não vender meus dados” ao seu site que permita a revisão de suas políticas e a opção de desativar determinadas práticas de dados.

Desenvolver processos para solicitações de informações

Você pode ser obrigado a fornecer cópias dos dados do consumidor, excluir os dados a pedido deles, explicar os dados que você coleta ou recusar os consumidores a coletar seus dados. As entidades cobertas podem ser solicitadas por um consumidor:

  • Para uma cópia de suas informações pessoais
  • Que suas informações pessoais sejam excluídas
  • Quais categorias de suas informações pessoais estão sendo vendidas
  • Para recusar a venda de informações pessoais para maiores de 16 anos
  • Para optar pela venda de informações pessoais para pessoas entre 13 e 16 anos
  • Para obter o consentimento de um responsável para vender informações pessoais de um consumidor menor de 13 anos

Aborde a privacidade em todos os níveis

Mantenha seu software e sistemas atualizados e seguros. Isso significa ter senhas fortes e proteção contra malware, além de abordar o risco humano. Treine sua equipe para que eles entendam a lei, como ela se aplica a eles e como eles podem desempenhar um papel na proteção de seus dados.

Adote uma abordagem baseada em risco

Proteja sua empresa tomando a iniciativa com suas práticas de segurança de dados e envolvendo especialistas em segurança de dados, juntamente com membros de sua equipe, em todos os níveis de sua organização. O risco existe em todos os níveis. Reúna insights e contribuições de todos em sua organização e, em equipe, identifique seus maiores riscos e priorize suas correções.

Penalidades por Não Conformidade

As empresas não podem ser processadas por violações da CCPA, a menos que haja uma violação de dados. Em casos específicos, os consumidores têm direito a indemnizações. Uma empresa não é responsável se “curar” qualquer não conformidade dentro de 30 dias após ter sido notificada da suposta não conformidade (embora alguns casos possam não ser capazes de “curar”).

Danos

Os danos legais que um indivíduo pode receber variam de US$ 100 a US$ 750 por incidente ou podem ser pelo valor total dos danos monetários realmente sofridos como resultado da violação de dados. Os tribunais também podem decidir penalidades mais duras, dependendo da gravidade da violação. Considerando que uma violação de dados típica pode afetar centenas de milhares de consumidores, esses custos podem aumentar – mas os consumidores precisam passar por processos judiciais antes que as multas sejam aplicadas.

Penalidades

Além dos danos individuais devidos aos consumidores, as empresas podem enfrentar penalidades civis em caso de descumprimento e violação da CCPA. Essas penalidades podem variar de “US$ 2.500 para uma violação não intencional a US$ 7.500 para uma violação intencional”.

Nossos pensamentos sobre o CCPA

No início de 2021, foi revelado que hackers da China estão tentando roubar dados biométricos e informações de identificação pessoal de mais de 80% dos americanos. Em alguns casos, eles foram bem sucedidos. Não existe apenas um imperativo comercial para reforçar a segurança dos dados do consumidor, mas também existe um imperativo de segurança nacional. Infelizmente, não se pode confiar nos estados para aplicar as proteções de dados de forma igual e simultânea.

Em 2019, depois que uma planilha com os nomes de 4.457 indivíduos juntamente com seus números de Previdência Social, números de telefone e endereços de e-mail foi publicada inadvertidamente pelo departamento do trabalho da Geórgia, a Suprema Corte do estado da Geórgia decidiu que não tinha “nenhuma obrigação inerente para proteger as informações pessoais dos cidadãos que armazena”. A decisão reiterou que aqueles encarregados de dados confidenciais, os coletores de dados, não tinham obrigação de proteger essas informações, e isso é um problema.

Na ausência de regulamentações federais, a CCPA tenta preencher um vazio que precisa desesperadamente ser preenchido. Ele estabelece padrões de segurança de dados para as empresas implementarem e proteções que os consumidores devem esperar. No entanto, existem grandes lacunas em quem é protegido e quais empresas são responsáveis, o que deixa muita ambiguidade e margem de manobra para ser um impedimento eficaz ou para incentivar a conformidade.

CCPA ≠ GDPR

O CCPA é frequentemente mencionado no mesmo fôlego que o GDPR, mas não está perto de ter o escopo ou impacto e fica aquém do GDPR.

Sem os poderes abrangentes para auditar, investigar ou impor a conformidade com os padrões de segurança de dados como no GDPR, a CCPA continua sendo um impedimento puramente porque a segurança de dados se torna uma responsabilidade em vez de algo investigado e aplicado ativamente.

Ao contrário do GDPR, o CCPA não tem sido tão eficaz em comunicar o que é exigido das empresas e como os casos estão sendo tratados. Embora nem todos os dados sobre multas do GDPR tenham sido divulgados, há mais informações disponíveis em relação aos requisitos de conformidade e penalidades por não conformidade. Existe até um site independente dedicado a rastrear a aplicação do GDPR, e tem sido interessante acompanhar como cada país membro impõe a conformidade com o GDPR.

O GDPR emitiu centenas de penalidades nos últimos anos, incluindo uma multa de £ 18,4 milhões à Marriott por uma violação de dados em 2018 por “medidas técnicas e organizacionais insuficientes para garantir a segurança da informação”. A CCPA não teve a mesma publicidade em torno de sua aplicação ou repercussões. Sem as penalidades ou casos dignos de notícia, a CCPA pode não ser um impedimento suficiente para corrigir a questão da insegurança de dados nos Estados Unidos.

Se as consequências não forem altas o suficiente e a aplicação da lei não for consistente, rápida e eficaz, a CCPA pode não ser suficientemente dissuasiva para as empresas levarem a sério a questão da segurança de dados.

Não somos advogados; não podemos ajudá-lo a auditar e obter conformidade em segurança cibernética, mas podemos criar um site incrível que atenda aos requisitos da CCPA e podemos trabalhar em conjunto com sua equipe de gerenciamento de dados para criar um ambiente digital que aumentará a confiança do consumidor em sua marca e atenderá seus objetivos de negócios.

Se os regulamentos de privacidade de dados o preocupam com seu site e conformidade, leia nosso guia para GDPR para aumentar seu conhecimento sobre regulamentos de segurança de dados ou entre em contato e vamos conversar.