A Lei de Privacidade do Consumidor da Califórnia (CCPA – California Consumer Privacy Act) entrou em vigor dia 1 de Janeiro de 2020. Sob os termos da CCPA, as empresas que coletam dados pessoais de consumidores da Califórnia devem obedecer a certas regras e protocolos, seguindo a linha do Regulamento Europeu de Proteção de Dados. Update: No dia 10 de Fevereiro, procurador-geral da Califórnia Xavier Becerra apresentou alterações da lei CCPA (California Consumer Privacy Act) e abriu consulta pública. Acesse e saiba mais sobre o draft 2 da CCPA.
Índice
Obrigações previstas na Lei de Privacidade do Consumidor da Califórnia
É uma das leis de proteção de dados mais abrangentes dos Estados Unidos e é extremamente importante que você entenda como cumpri-la. Dentre os procedimentos trazidos pela CCPA, destacamos as seguintes obrigações:
- Publicar uma Política de Privacidade que esteja em conformidade com as regras da CCPA e seja atualizada pelo menos uma vez a cada 12 meses;
- Informar aos consumidores sobre o que acontece com seus dados pessoais ou informações de identificação pessoal quando compartilhados com a empresa;
- Manter um mapeamento de dados (data mapping) para rastrear o histórico de processamento de dados;
- Notificar o consumidor antes ou no momento da coleta de dados sobre o desejo da empresa ter permissão para coletar esses dados;
- Conceder aos consumidores o direito de acessar os dados pessoais que estão sob custódia da empresa;
- Explicar como os consumidores podem fazer uma solicitação para que a empresa exclua seus dados pessoais (em outras palavras, o direito de ser esquecido); e
- Garantir que os consumidores conheçam seus direitos sob o CCPA.
Se sua empresa já está adequada à GDPR ou à LGPD, esses procedimentos não são novos, uma vez que visam garantir e preservar à privacidade e a proteção de dados dos consumidores assim como àqueles dispositivos normativos.
Quem está obrigado perante a CCPA?
Estão obrigadas perante a CCPA empresas com fins lucrativos e que satisfaça pelo menos um dos requisitos abaixo:
- Recebe, processa ou transfere dados de mais de 50.000 californianos por ano;
- Sua receita bruta anual exceda US$ 25 milhões; ou
- Pelo menos 50% de sua receita anual seja proveniente da venda de dados pertencentes a californianos
Caso sua empresa se enquadre em um dos requisitos acima mencionados, sugerimos que você adote medidas e boas práticas em Segurança da Informação e reveja sua Política de Privacidade, uma vez que esta deve conter informações acerca de como sua empresa trata os dados pessoais dos consumidores da Califórnia. De maneira simples e resumida, sua Política de Privacidade deve informar aos consumidores:
- Que você coleta informações pessoais dos usuários;
- Por que você coleta essas informações;
- O que você planeja fazer com essas informações;
- Como o consumidor pode recusar seu acesso aos dados pessoais para determinados fins; e
- Que você não os discriminará se eles recusarem o seu direito de usar os dados pessoais deles para pesquisas de marketing e comportamento do consumidor.
No caso de dúvidas sobre como elaborar sua Política de Privacidade em conformidade com o CCPA, envie um email para [email protected] e prontamente vamos te auxiliar.
O que são Dados ou Informações Pessoais segundo o CCPA?
Segundo o CCPA, são consideradas informações pessoais todas aquelas que puderem ser utilizadas para identificar um indivíduo, assim como dispõe a LGPD e GDPR.São, portanto, exemplos de dados pessoais:
- Endereço residencial
- Nomes
- Passaporte e outros números oficiais
- Registros de emprego
- Registros biológicos como impressões digitais
- Endereços de email e IP
A CCPA fornece uma lista não exaustiva do que está incluído na definição de informações pessoais. Abaixo destaco o disposto na lei sobre informações pessoais [1]:
(o) (1) “Personal information” means information that identifies, relates to, describes, is capable of being associated with, or could reasonably be linked, directly or indirectly, with a particular consumer or household. Personal information includes, but is not limited to, the following if it identifies, relates to, describes, is capable of being associated with, or could be reasonably linked, directly or indirectly, with a particular consumer or household:
(A) Identifiers such as a real name, alias, postal address, unique personal identifier, online identifier, Internet Protocol address, email address, account name, social security number, driver’s license number, passport number, or other similar identifiers.
(B) Any categories of personal information described in subdivision (e) of Section 1798.80.
(C) Characteristics of protected classifications under California or federal law.
(D) Commercial information, including records of personal property, products or services purchased, obtained, or considered, or other purchasing or consuming histories or tendencies.
(E) Biometric information.
(F) Internet or other electronic network activity information, including, but not limited to, browsing history, search history, and information regarding a consumer’s interaction with an Internet Web site, application, or advertisement.
(G) Geolocation data.
(H) Audio, electronic, visual, thermal, olfactory, or similar information.
(I) Professional or employment-related information.
(J) Education information, defined as information that is not publicly available personally identifiable information as defined in the Family Educational Rights and Privacy Act (20 U.S.C. section 1232g, 34 C.F.R. Part 99).
(K) Inferences drawn from any of the information identified in this subdivision to create a profile about a consumer reflecting the consumer’s preferences, characteristics, psychological trends, predispositions, behavior, attitudes, intelligence, abilities, and aptitudes.
Direito de acesso na CCPA
A CCPA estipula o prazo de 45 dias para o atendimento às solicitações de acesso à informação em um formato “prontamente utilizável” e gratuito. O prazo para fornecer as informações necessárias pode ser prorrogado uma vez por mais 45 dias, quando for razoavelmente necessário, desde que o consumidor seja avisado da prorrogação dentro do primeiro prazo. Dentre as informações que sua empresa deve prestar, estão:
- Quais categorias de informações pessoais são coletadas;
- Quais informações específicas sua empresa tem sobre o consumidor;
- De quais categorias de fontes sua empresa obtém as informações pessoais do consumidor;
- Qual é o seu objetivo comercial ao coletar ou vender informações pessoais do consumidor;
- Para quais categorias de terceiros sua empresa compartilha informações pessoais.
A divulgação das informações deve abranger o período de 12 meses que antecede o recebimento da solicitação do consumidor pela empresa. A solicitação deve ser feita por escrito, seja por meio da conta de cadastro consumidor na empresa seja por email, no caso do consumidor não mantiver uma conta na empresa. As informações devem, ainda, ser fornecidas em um formato “prontamente utilizável” que permita ao consumidor transmitir essas informações de uma entidade para outra sem impedimentos.
Frisa-se que a empresa não deve exigir que o consumidor crie uma conta com a empresa para realizar a solicitação. Destaca-se, ainda, que as empresas, segundo a CCPA, só estão obrigadas a atender duas solicitações de informação em um período de 12 meses sobre o mesmo consumidor.
Multas e sanções previstas na CCPA
A CCPA estabelece que uma empresa, prestador de serviços ou outra pessoa que viole suas disposições e não consiga sanar essas violações dentro de 30 dias, é responsável por uma penalidade civil sob as leis relacionadas à concorrência desleal em uma ação a ser proposta pelo Procurador-Geral. A Empresa estará sujeita a uma multa de até dois mil e quinhentos dólares (US$ 2.500) por cada violação, e de até sete mil e quinhentos dólares (US$ 7.500) por cada violação intencional, que será julgada em uma ação civil instaurada em nome do povo do Estado da Califórnia pelo Procurador-Geral.
A CCPA prevê, ainda, o consumidor cujas informações pessoais estiverem sujeitas ao acesso indevido, exfiltração não autorizados, roubo ou à divulgação como resultado da violação do dever da empresa de implementar e manter procedimentos e boas práticas de segurança da informação razoáveis apropriados à natureza das informações para proteger as informações pessoais pode instituir uma ação civil para:
- Recuperar danos em um valor não inferior a cem dólares (US$ 100) e não superior a setecentos e cinquenta (US$ 750) por consumidor por incidente ou danos reais, o que for maior.
- Medida cautelar ou declaratória.
- Qualquer outra medida que o tribunal considere apropriada.
Estou em conformidade com a CCPA?
Para verificar se você está em conformidade com a CCPA, responda às seguintes questões:
- A minha empresa adota processos e procedimentos de boas práticas em segurança da informação?
- Tenho uma Política de Privacidade?
- Existe na minha Política de Privacidade uma lista dos direitos que meu cliente possui?
- A minha Política de Privacidade informa aos clientes se a empresa coleta dados pessoais, quais dados pessoais são coletados, como são processados e o por que eles são coletados?
- Os meus clientes têm o direito de optar por não participar do marketing?
- Os meus clientes podem entrar em contato com você para obter mais informações? Se sim, esta informação consta na Política de Privacidade?
- A sua Política de Privacidade é clara e fácil de entender?
- Como você monitora os dados pessoais e mantém um registro claro das informações que possui?
- Se um cliente entrar em contato com você para alterar ou excluir suas informações, quanto tempo você leva para atender à solicitação?
- A sua Política de Privacidade está em algum lugar onde os clientes possam encontrá-la facilmente?
Por fim, deixo como recomendação o vídeo a seguir que explica de forma muito simples e clara as diretrizes do CCPA:
[1] (o) (1) “Informações pessoais” significa informações que identificam, se relacionam com, descrevem, são capazes de ser associadas a, ou poderiam estar razoavelmente ligadas, direta ou indiretamente, a um consumidor ou família em particular.
As informações pessoais incluem, entre outras, as seguintes, se identificam, se relacionam com, descrevem, são capazes de ser associadas a, ou podem estar razoavelmente vinculadas, direta ou indiretamente, a um consumidor ou família em particular:
(A) Identificadores, como nome real, apelido, endereço postal, identificador pessoal exclusivo, identificador on-line, endereço de Protocolo da Internet, endereço de email, nome da conta, número do seguro social, número da carteira de motorista, número da carteira de motorista, número do passaporte ou outros identificadores semelhantes.
(B) Quaisquer categorias de informações pessoais descritas na subdivisão (e) da Seção 1798.80.
(C) Características das classificações protegidas sob a lei da Califórnia ou federal.
(D) Informações comerciais, incluindo registros de bens pessoais, produtos ou serviços adquiridos, obtidos ou considerados, ou outras histórias ou tendências de compra ou consumo.
(E) informação biométrica.
(F) informações de atividades na Internet ou em outras redes eletrônicas, incluindo, entre outras, histórico de navegação, histórico de pesquisa e informações relacionadas à interação do consumidor com um site, aplicativo ou anúncio na Internet.
(G) dados de geolocalização.
(H) informações de áudio, eletrônicas, visuais, térmicas, olfativas ou similares.
(I) informações profissionais ou relacionadas ao emprego.
(J) Informações sobre educação, definidas como informações que não estão disponíveis publicamente, como identificáveis pessoalmente, conforme definidas na Lei de Direitos Educacionais e Privacidade da Família (20 U.S.C. seção 1232g, 34 C.F.R. Parte 99).
(K) Inferências extraídas de qualquer uma das informações identificadas nesta subdivisão para criar um perfil sobre um consumidor refletindo suas preferências, características, tendências psicológicas, predisposições, comportamento, atitudes, inteligência, habilidades e aptidões.
Relatório Anual obrigatório contendo Métricas para a CCPA
A partir do dia 1º de julho de 2021, certas empresas são obrigadas, de acordo com o CCPA, a relatar quantas solicitações de titulares de dados são processadas em suas empresas, quais tipos e quanto tempo leva para resolver as solicitações referentes a titulares de dados. Esse relatório passa a ser anual, referente ao ano anterior.
Quais empresas devem relatar as métricas para CCPA?
Nem todas as empresas sujeitas ao CCPA precisam relatar essas métricas. Somente empresas com registros de PII de 10 milhões ou mais residentes na Califórnia são obrigados a relatar as métricas, especificamente quando uma empresa “sabe ou deveria razoavelmente saber que, sozinha ou em combinação, compra, recebe para fins comerciais da empresa, vende ou compartilha para para fins comerciais as informações pessoais. ”
Quais são as métricas CCPA necessárias?
Todas as métricas dizem respeito às solicitações do titular dos dados que uma empresa recebe.
Tipos de solicitações necessárias para o relatório:
- Solicitações de acesso ou DSARs
- Pedidos de exclusão
- Solicitações de cancelamento
Os dados que você deve relatar para cada tipo de solicitação
- Quantas solicitações a empresa recebeu
- Quantas solicitações atendidas no todo ou em parte
- Quantas solicitações foram negadas
- O número médio ou mediano de dias dentro dos quais a empresa “respondeu substancialmente”
Fonte: https://www.datagrail.io/blog/ccpa-metrics/
Para Assessoria Jurídica e Adequação às leis de Proteção de Dados (Consultoria CCPA), contate agora os nossos Advogados
Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados (Consultoria LGPD), Aspectos Regulatórios e Compliance de novas tecnologias, entre em contato pelo e-mail [email protected] ou fale com um Advogado online agora.
BL Consultoria e Advocacia Digital
Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue +55 11 3090 5979.
