Está vivo! Prepare-se para os regulamentos da CPRA e a nova legislação de privacidade de dados

A legislação de privacidade de dados está ganhando impulso: projetos de lei de privacidade mais abrangentes que foram propostos e aprovados em nível estadual do que nunca. Mas nenhum é tão abrangente quanto o que está por vir no estado da Califórnia.

A Lei de Direitos de Privacidade da Califórnia (CPRA) entrou em vigor em 1º de janeiro de 2023, e a aplicação começará em 1º de julho de 2023. A CPRA representa um esclarecimento e uma ampliação da Lei de Privacidade do Consumidor da Califórnia (CCPA) original; juntos, eles constituirão as leis de privacidade mais rígidas do país.

Então, o que isso significa para o seu negócio? Por um lado, se sua estratégia de marketing corre o risco de não conformidade e você faz negócios (incluindo vendas on-line) no estado da Califórnia, precisa colocar a privacidade no topo de sua lista de prioridades.

Visão geral: CPRA x CCPA e outras leis de privacidade de dados entrarão em vigor em 2023

Você provavelmente está ciente de uma enxurrada de prazos alterados e cronogramas ajustados em torno do CPRA que foram anunciados no final de 2022, mas eles não alteram o calendário previamente estabelecido para aplicação. Então vamos ao que interessa.

O CPRA foi uma medida eleitoral que surgiu porque havia áreas cinzentas no CCPA original que deixavam muitas perguntas sem resposta, principalmente sobre a definição de informações de identificação pessoal (PII) e diferentes tipos de coleta de dados.

Roda de arame

As outras leis estaduais de privacidade fora da Califórnia que entrarão em vigor em 2023 são:

• Lei de Privacidade do Colorado (CPA): a partir de 1º de julho de 2023
• Lei de Connecticut sobre privacidade de dados pessoais e monitoramento online (CTDPA): a partir de 1º de julho de 2023
• Lei de Privacidade do Consumidor de Utah (UCPA): a partir de 31 de dezembro de 2023
• Lei de proteção de dados do consumidor da Virgínia (CDPA): a partir de 1º de janeiro de 2023

Assim como o CPRA, todas essas leis estaduais têm provisões para os direitos do consumidor, bem como suas próprias interpretações do que constitui informação pessoal sensível. Mas é muito importante saber que eles são todos diferentes. Não existe uma solução única para conformidade com a privacidade em todos os estados.

É aí que entra o seu departamento jurídico. Você precisa estabelecer uma comunicação regular com sua equipe jurídica para ficar à frente das novas regras e regulamentos que podem afetar seus negócios este ano e no futuro.

As mudanças: CPRA modificou os regulamentos sobre PII e compartilhamento de dados

Embora o CPRA já esteja em vigor, as regras finais com base nos regulamentos modificados não serão divulgadas até abril de 2023, após um breve atraso da Agência de Proteção à Privacidade da Califórnia (CPPA).

Algumas das mudanças no CPRA incluem o fortalecimento dos limites de compartilhamento de dados e o fornecimento de orientações mais claras sobre como os profissionais de marketing podem usar o que a lei define como informações pessoais “potencialmente confidenciais”, incluindo:

• CPF ou número da carteira de motorista
• Cartão de identificação do estado ou número do passaporte
• Detalhes de login do consumidor
• geolocalização
• Contas financeiras, incluindo números de cartão de débito/crédito junto com qualquer verificação ou senha vinculada à conta
• Corrida
• Etnia
• Religião
• dados genéticos
• Dados biométricos
• comunicações privadas
• Orientação sexual
• Informação de saúde

Um dos maiores debates que levaram à CPRA foi a linguagem ambígua do requisito “Não vender” da CCPA. Sob a nova lei, as empresas agora precisam permitir que os consumidores optem por não vender e compartilhar suas informações com a opção obrigatória “Não vender ou compartilhar minhas informações” em seus sites.

Se você estiver compartilhando dados com terceiros que não foram originalmente autorizados, você é obrigado por lei a permitir que os usuários optem por não participar. Há duas partes a considerar:

• Identidade real: as informações de identificação pessoal (PII) de um usuário que estão sendo capturadas no local
• Identidade passiva: cookies e identificadores de navegador ou qualquer coisa que rastreie usuários automaticamente

Enquanto os regulamentos atuais estão sendo finalizados, você pode esperar regulamentos adicionais no futuro. A seção 1798.185 do CPRA autoriza o CPPA a “solicitar ampla participação pública e adotar regulamentos para promover os propósitos deste título (o CPRA)”. Isso oferece ampla margem de manobra para regras e restrições adicionais, desde a adição de novas categorias de informações pessoais relacionadas à privacidade de dados até o estabelecimento de novos procedimentos relacionados ao compartilhamento de informações pessoais e à exclusão da venda de dados pessoais.

Em comparação com as leis que entram em vigor nos outros quatro estados, a Califórnia oferece, de longe, a maior proteção legal para a privacidade dos dados do consumidor. Mas lembre-se: a conformidade na Califórnia não significa automaticamente conformidade em outros lugares.

OneTrust

Os efeitos: o que esperar da aplicação do CPRA

Sob o CCPA, a fiscalização permaneceu um grande ponto de interrogação, mas espere que a Califórnia aumente o calor com o CPRA. A multa de $ 1,2 milhão negociada com a Sephora por violar a CCPA em 2022 deve servir como um aviso para as marcas que pensaram que poderiam passar despercebidas.

Caso você não tenha certeza se a Califórnia é séria, o estabelecimento da CPPA deve ser um sinal claro; eles substituirão o procurador-geral da Califórnia (AG) para supervisionar a conformidade, regras futuras e penalidades por violações da lei. O CPRA também elimina o período de “cura” de 30 dias antes de ser multado por uma violação, deixando-o a critério do AG e/ou do CPPA com base na intenção da organização (ou falta dela) de infringir a lei.

OneTrust

É menos certo como a fiscalização funcionará nos quatro estados onde a legislação entrará em vigor pela primeira vez; o que sabemos é que tanto a aplicação quanto as penalidades serão diferentes em cada estado. Seja na Califórnia ou em qualquer outro lugar, haverá consequências para violações que podem prejudicar financeiramente seus negócios e colocar em risco sua reputação com seus clientes.

Conformidade com CPRA: como trabalhar com sua equipe jurídica

O que as marcas podem fazer agora é agir como se os regulamentos finais e a aplicação já estivessem em vigor. Se você não tiver certeza do que isso significa, entre em contato com sua equipe jurídica e procure maneiras de trabalhar em conjunto para garantir que sua empresa esteja em conformidade.

Existem algumas maneiras de começar esse trabalho com sua equipe jurídica:

• Mapeie seus silos de dados: mesmo as organizações com processos refinados de gerenciamento e armazenamento de dados podem descobrir que alguns dados estão isolados dentro de sua organização. É fundamental desenvolver um mapa abrangente definindo quais dados estão sendo armazenados, onde estão sendo armazenados e a finalidade do silo. O ideal seria quebrar esses silos, mas a primeira etapa é descobrir onde estão os dados.
• Forneça informações abrangentes sobre casos de uso: as equipes jurídicas geralmente procuram bloquear completamente os fluxos de dados se puderem criar riscos para a organização. Na ausência de contexto, por exemplo, as equipes jurídicas podem aconselhar suas equipes a ativar o Processamento de dados restrito em uma conta do Google Ads. Na verdade, isso se aplicaria a todos os residentes sujeitos às leis regionais de dados, não apenas àqueles que exerceram seu direito de optar por não participar. Embora essa abordagem possa fornecer proteção legal absoluta, ela também afetará a eficácia do marketing (e isso é algo que as marcas precisarão entender para determinar o equilíbrio certo entre essas compensações). linha de visão para que possam manter uma política de privacidade abrangente e atualizada em seu site, refletindo a natureza de como esses dados são usados ​​hoje (muita coisa pode mudar em apenas alguns meses!)
• Calcule o impacto estimado das medidas de conformidade: se você estiver bloqueando todo o rastreamento para consumidores em uma determinada região, calcule o escopo estimado de cobertura e forneça vários cenários de perda de eficiência. Por exemplo, se você tiver 100.000 clientes anualmente e 12% deles estiverem na Califórnia, poderá usar seus dados de custo por aquisição (CPA) existentes para mostrar o impacto da eficiência da mídia diminuindo em 10% ou 20% (ou mais ). Isso pode acontecer porque os CPAs aumentam ou a aquisição de clientes diminui. Você pode usar seu trabalho para ajudar suas equipes a entender a escala do impacto fiscal ao implementar opt-outs universais. Como é difícil estimar esse impacto com antecedência, esses exemplos em escala farão com que outros líderes da organização prestem atenção e trabalhem com você e sua equipe jurídica para encontrar uma solução viável que garanta que os consumidores possam exercer seus direitos enquanto mitiga o risco fiscal ao resultado final da marca.
• Discuta a função e o uso de uma plataforma de gerenciamento de consentimento (CMP): a maneira como os consumidores exercem seus direitos de cancelar o compartilhamento de dados ou ter seus dados removidos é extremamente importante. Nem todas as soluções CMP são criadas iguais. Alguns, como o CookieBot, são projetados apenas para bloquear cookies (e, portanto, rastreamento de anúncios), enquanto outros, como o OneTrust, são mais abrangentes. Você precisará encontrar a solução certa para o seu negócio que o mantenha em conformidade e em seu funcionamento de marketing.
• Alinhe a linguagem que você está usando para educar os consumidores: Discuta diferentes maneiras de educar os consumidores sobre o uso de dados com sua equipe jurídica. Sem contexto, muitos consumidores podem assumir o pior cenário. Mas se você fornecer exemplos claros de como está usando os dados deles e quais limites definiu, poderá descobrir que os consumidores estão mais abertos a compartilhar seus dados. Nunca é apropriado fornecer incentivos para impedir que os consumidores exerçam seus direitos, mas sua equipe jurídica pode fornecer orientações específicas sobre o que você pode ou não dizer aos consumidores quando eles planejam optar por não participar.

Lembre-se: a conformidade não é opcional. Antecipe-se aos desafios futuros agora, trabalhando em equipe com seu departamento jurídico e encontrando o melhor caminho possível a seguir.

Faça o download do State of the Data 2023: The Path to Profitability Requires Privacy Compliance para saber mais sobre a legislação futura e os requisitos de conformidade que afetarão seus negócios.