Observe que a CCPA foi alterada pela Lei de Direitos de Privacidade da Califórnia (CPRA, sigla em inglês de California Privacy Rights Act),que agora está em vigor. Consulte o guia: CPRA: Introdução ao CCPA 2.0 e como isso afeta você para obter todas as informações sobre o que você precisa fazer e o que isso significa para você.
As informações abaixo são relacionadas à CCPA e não estão mais atualizadas.
A Lei de Direitos de Privacidade da Califórnia (CPRA) amplia a atual Lei de Privacidade do Consumidor da Califórnia (CCPA), protegendo ainda mais a privacidade do consumidor. A CPRA complementa, mas não substitui nem revoga, a atual estrutura fornecida pela CCPA.
A CCPA garante diversos direitos aos residentes da Califórnia e regulamenta as ações de empresas que coletam ou vendem informações pessoais. No entanto, as consequências do processamento de dados de consumidores realizado por terceiros ficam, de certa forma, abertas à interpretação. Isso motivou uma emenda à CCPA, que passou a ser conhecida como Lei de Direitos de Privacidade da Califórnia (CPRA).
A CPRA entrou em vigor em janeiro de 2023, ampliando alguns elementos-chave da CCPA, e pode ser considerada uma versão mais abrangente da lei.
💡 Nossos produtos foram atualizados para estarem alinhados com as últimas alterações da CPRA. Veja aqui as informações completas sobre o que você precisa fazer para estar em conformidade com a legislação.
Você se enquadra no escopo da CCPA quando as seguintes condições se aplicam:
Segundo a Lei de Privacidade do Consumidor da Califórnia, um consumidor é uma pessoa natural residente na Califórnia.
No âmbito da CCPA, uma empresa significa uma organização com fins lucrativos que coleta informações pessoais de consumidores, determina suas finalidades e método de tratamento, que possui como público-alvo os residentes da Califórnia (independentemente de a empresa estar ou não sediada na Califórnia), e atender a pelo menos um dos seguintes requisitos:
De acordo com a CCPA, informações pessoais significam “informações que identificam, referem-se, descrevem, podem ser associadas ou razoavelmente conectadas, direta ou indiretamente, a um consumidor específico ou unidade familiar.”
A CCPA descreve que informações pessoais incluem (entre outras):
No contexto da CCPA, o termo venda é definido como: “vender, transferir, liberar, tornar público, divulgar, disseminar, disponibilizar, transferir ou de outra forma comunicar oralmente, por escrito ou por meios eletrônicos ou outros meios as informações pessoais de um consumidor de uma empresa para outra empresa ou para terceiros, por razões monetárias ou outra contraprestação onerosa“.
A Lei de Privacidade do Consumidor da Califórnia não explica o que significa “contraprestação onerosa”, no entanto, a lei de contratos da Califórnia a define como “qualquer benefício conferido, ou acordado em ser conferido a um terceiro, por qualquer pessoa, à qual o promissor não seja legalmente intitulado ou qualquer prejuízo sofrido, por este terceiro, que envolva uma vantagem para o promissor e diferente de qualquer outro prejuízo que, no momento do consentimento, o terceiro é legalmente obrigado a suportar, constitui uma razão legal válida para um contrato.” (Cal. Civ. Code § 1605, tradução nossa).
Neste contexto, portanto, “contraprestação onerosa” pode ser entendida como todos os acordos em que dados pessoais são trocados e a entidade transferidora obtém um benefício que não seria possível na ausência deste acordo.
O California Online Privacy Protection Act (CalOPPA) não foi revogado pela CCPA e continua a ser aplicável. Lembre-se de que, mesmo que você não se enquadre em uma das definições acima, ainda poderá ter que cumprir o CalOPPA ou ambos os regulamentos. Para saber mais sobre o CalOPPA, leia nossa visão geral dos requisitos regulatórios dos EUA.
O que exatamente a CCPA exige?
Segundo a CCPA, os consumidores têm o direito de ser informados sobre os métodos de tratamento de seus dados, antes ou durante o ato de sua coleta.
Portanto, o seguinte deve ser especificado:
Conforme a CCPA, os consumidores têm o direito de acessar suas informações pessoais quando efetuarem uma solicitação verificável*.
Em particular, eles podem acessar:
*Solicitação verificável * Uma solicitação verificável significa um pedido feito por um consumidor (por conta própria ou em nome de um menor), por uma pessoa física ou jurídica, autorizada pelo consumidor a agir em seu nome, e que a empresa pode verificar. . . se é realmente o consumidor cujas informações pessoais ela coletou. Cal. Civ. Code § 1798.140 (y)
É necessário fornecer aos consumidores pelo menos dois meios para apresentar os pedidos de acesso, incluindo o número de discagem gratuita e, se houver, o endereço do website. Além disso, devem ser realizados todos os esforços razoáveis para verificar se o requerente é realmente o consumidor cujas informações foram recolhidas ou se é, em qualquer caso, uma pessoa por ele autorizada.
Segundo a CCPA, o direito à portabilidade dos dados é combinado com o direito de acesso, ver parágrafo 1798.100 (d).
Caso uma empresa atenda ao pedido de acesso em formato eletrônico, as informações devem ser fornecidas ao consumidor em formato “portátil e, na medida do que for tecnicamente viável, que permita ao consumidor transmitir essas informações a outra empresa sem dificuldade“.
As solicitações (verificáveis) devem ser atendidas gratuitamente em até 45 dias após o recebimento. Se necessário, pode-se obter uma única prorrogação de 45 dias, desde que o consumidor seja informado em até 45 dias após a solicitação.
Os dados fornecidos na resposta devem cobrir os 12 meses anteriores à solicitação.
As empresas devem responder por correio normal ou eletronicamente (e-mail, download de arquivo, etc.). No caso de remessa em formato eletrônico, a lei prevê que os dados sejam “portáteis”, ou seja, em formato de fácil manuseio que permita sua transmissão para outra empresa sem quaisquer impedimentos.
A CCPA concede aos consumidores o direito de solicitar a exclusão de quaisquer informações pessoais coletadas em seu nome. Uma vez recebido um pedido (verificável) de exclusão, é necessário excluir as informações pessoais do consumidor de seus registros e solicitar a todos os prestadores de serviços relacionados que façam o mesmo.
É necessário fornecer ao consumidor, pelo menos, dois meios para apresentar este tipo de pedido, incluindo o número de discagem gratuita e, se houver, o endereço do website. Além disso, devem ser efetuados todos os esforços razoáveis para verificar se o requerente é realmente o consumidor cujas informações foram coletadas ou se é, em qualquer caso, uma pessoa por ele autorizada.
As solicitações verificáveis devem ser atendidas gratuitamente em até 45 dias após o recebimento. Se necessário, pode-se obter uma prorrogação por mais 45 dias, desde que o consumidor seja informado em até 45 dias após a solicitação.
As empresas não são obrigadas a atender à solicitação de cancelamento se os dados forem usados para:
Nos termos da CCPA, o consumidor tem o direito de impedir – a qualquer momento e com uma simples comunicação à empresa – a venda de suas informações pessoais a terceiros.
Conforme já indicado acima, “vender” ou “venda” para a CCPA significa “vender, ceder, liberar, tornar público, divulgar, divulgar, disponibilizar, transferir ou de outra forma comunicar oralmente, por escrito ou por meio eletrônico ou outro meio, as informações pessoais de um consumidor de uma empresa para outra empresa ou para um terceiro, por razões monetárias ou outra forma de comercialização (contraprestação onerosa)”.
Dois exemplos menos óbvios do que a CCPA pode* considerar como “venda” (de dados pessoais) são:
* Observe que alguns aspectos podem mudar nesta fase, conforme a lei é aprimorada.
Você deve informar seus consumidores sobre a venda de suas informações pessoais a terceiros, informando também que eles têm o direito a optar por não aceitar esta prática (em conformidade com o direito de ser informado mencionado anteriormente).
Um consumidor que deseja cancelar (opt-out) não deve ser forçado a criar uma conta. Em vez disso, esse processo deve ser facilitado por um link “Não venda minhas informações pessoais” (“DNSMPI”) em seu site ou em seu aviso de privacidade.
Uma vez recebida a instrução de não venda de informações pessoais, a empresa deve cumprir o pedido, a menos que o consumidor posteriormente autorize expressamente a venda de seus dados pessoais (opt-in).
As empresas podem pedir autorização aos consumidores novamente apenas mais uma vez, e somente após 12 meses quando o consumidor demonstrou oposição à venda (opt-out).
As empresas não podem vender dados pessoais de consumidores sempre que tiverem o conhecimento de que o consumidor é menor de 16 anos. Nestes casos, as empresas podem vender as informações somente quando:
A Lei de Privacidade do Consumidor da Califórnia proíbe as empresas de discriminar consumidores por exercerem seus direitos garantidos na forma da lei. Portanto, não é possível:
Uma empresa pode aplicar ou oferecer diferentes preços, taxas, níveis, qualidade de bens ou serviços apenas nos casos em que essa diferença esteja razoavelmente relacionada ao valor fornecido pelos dados do consumidor.
Por exemplo, uma empresa que, para incentivar o consumidor a comprar novamente um produto, oferece um desconto de 30% um mês após a primeira compra. Durante este período, o consumidor exerce seu direito à exclusão e solicita a exclusão de suas informações pessoais. Nesse caso, como a empresa não possui mais os dados que demonstrem que o consumidor adquiriu o produto anteriormente, a empresa não poderá oferecer o desconto de 30% para este consumidor em particular.
Uma empresa pode oferecer incentivos financeiros como compensação ao consumidor para a coleta, venda ou exclusão de informações pessoais. Nestes casos, esses incentivos serão comunicados aos usuários por meio da página inicial do website e dentro da política de privacidade.
As empresas estão proibidas de usar práticas de incentivo que sejam “injustas, irracionais, coercitivas ou usurárias por natureza”.
Algumas pessoas chamam a CCPA de “GDPR da Califórnia”, veremos uma comparação destas duas leis de privacidade:
CCPA | GDPR | |
---|---|---|
Órgão responsável pela aplicação da lei | O Procurador-Geral do Estado da Califórnia (EUA). | Autoridades responsáveis pela proteção de dados em nível nacional (Estados-Membros da UE). |
A quem se aplica? | Todas as organizações com fins lucrativos que atendem a consumidores da Califórnia e que:
|
Qualquer entidade – organizações (mesmo sem fins lucrativos) não governamentais, indivíduos, órgãos públicos, etc. – com sede na União Europeia e que oferece bens ou serviços aos cidadãos da UE. |
Quais dados são protegidos? | Quaisquer dados que se relacionam ou podem ser associados a um determinado consumidor ou família, com exceção de registros públicos. | Quaisquer dados que podem levar à identificação de um indivíduo. |
Os endereços IP são considerados dados pessoais? | ||
É necessário o consentimento prévio antes do tratamento? | Apenas para menores e em caso de opt-out anterior. | Sim, a menos que outra base legal seja legitimamente aplicável. |
As empresas têm a obrigação de dar aos usuários a oportunidade de se opor ou revogar o consentimento? | Sim, as solicitações de cancelamento devem ser atendidas por meio de um link DNSMPI. | Os usuários têm o direito de revogar o consentimento e de se opor ao tratamento (também aplicável nos casos em que o tratamento é justificado por uma base legal diferente do consentimento). |
As proteções também são aplicáveis em um contexto B2B? | Não, a CCPA protege apenas os consumidores. | O GDPR não faz distinção entre B2B e B2C, mas simplesmente aplica suas proteções aos “titulares de dados“, ou seja, a qualquer “pessoa física identificável” residente na UE. |
Requisitos de segurança | A CCPA não prevê requisitos específicos de segurança, mas dá aos consumidores o direito de ação judicial por danos resultantes da falha de uma empresa em implementar as medidas de segurança adequadas. | O GDPR exige que os controladores e os processadores implementem medidas de segurança apropriadas aos riscos envolvidos. As medidas de segurança devem ser adequadas de acordo com as normas mais recentes. |
Consequências do não cumprimento | Penalidades de até US$7.500 por violação individual. Além disso, os consumidores têm o direito de processar empresas que violem a lei. | Multas de até 20 milhões de euros ou até 4% do faturamento anual mundial (o que for maior), auditorias e sanções. O GDPR também dá aos titulares de dados o direito de tomar medidas legais em caso de violação de seus direitos. |
Resumo dos direitos do usuário | ||
O direito de ser informado | ||
O direito de acesso | ||
O direito à portabilidade | ||
O direito de retificação | × | |
O direito de ser excluído | ||
O direito de oposição | Garantido pelo direito a optar por não aceitar |
Os consumidores têm o direito de processar* as empresas que violam a lei. As multas podem variar entre US$ 100 e US$ 750, ou qualquer valor mais alto em relação aos danos reais (nos casos em que estes danos podem ser comprovados).
*Isso se aplica apenas às próprias empresas e não aos prestadores de serviços que atuam em seu nome.
O estado pode impor multas de até US$ 2.500 para empresas que violarem involuntariamente a CCPA, e multas de até US$ 7.500 por violação, nos casos de violação intencional.
Se essas penalidades não parecem particularmente altas (especialmente em comparação com as previstas em outras regulamentações), lembre-se de que devem ser consideradas por cada violação e por cada consumidor. Mesmo para uma empresa com poucos clientes, eles podem representar uma soma considerável.
Como outras leis de privacidade, a conformidade com a Lei de Privacidade do Consumidor da Califórnia é um processo complexo que envolve avaliação honesta, bom planejamento e implementação concreta de uma perspectiva técnica e jurídica. Na maioria das vezes, a fase que se mostra mais desafiadora é a de implementação.
É aqui que entra a iubenda. A implementação pode ser complicada. Oferecemos soluções de software poderosas – criadas por nossa equipe jurídica internacional – que em poucos cliques permitem que você gerencie até mesmo as situações mais complexas (aqui você encontrará uma visão geral de nossas soluções).
Independentemente das escolhas que você fizer na fase de implementação, também existem outros aspectos fundamentais a serem considerados. Analisaremos estes pontos e todo o processo de implementação.
Uma das etapas mais importantes talvez seja revisar e avaliar honestamente seus processos e sistemas.
Aqui estão algumas perguntas para se fazer:
Com base nas respostas às perguntas anteriores, redija e inclua as cláusulas relevantes em sua política de privacidade e, se aplicável, nos pontos de coleta de dados (como o formulário de contato, por exemplo).
Certifique-se de incluir:
Os direitos de acesso, portabilidade e cancelamento devem ser respeitados, sem qualquer custo para o consumidor, no prazo de 45 dias após o recebimento de uma solicitação verificável. Se necessário, você pode estender o prazo (uma única vez) por mais 45 dias, desde que o consumidor esteja informado.
Para atender às solicitações de acesso e portabilidade, as informações devolvidas ao consumidor devem ser fornecidas em um formato de fácil utilização e transmissão.
Quando um consumidor exerce o direito de opt-out (ou seja, se opõe à venda de seus dados), você deve atender ao pedido no ato do recebimento.
Nos casos em que você tenha conhecimento de que o consumidor é um menor de 16 anos, você não deve vender suas informações pessoais a menos que haja autorização expressa de um pai/responsável legal (para crianças menores de 13 anos) ou do próprio menor (para menores com idade entre 13-16 anos).
Como requisito para o direito do consumidor a optar por não aceitar, é necessário fornecer um link de fácil acesso, claramente visível e contendo as palavras “Não venda minhas informações pessoais” (“DNSMPI“, sigla para “Do Not Sell My Personal Information”) na página inicial de seu website e em sua política de privacidade (acompanhada de informações sobre o direito do consumidor relacionado).
O link deve levar o usuário a uma página onde ele pode optar por não vender suas informações pessoais.
Sempre que tecnicamente possível, os residentes da Califórnia podem ser redirecionados para uma página separada com um link “DNSMPI”.
O serviço, a qualidade, os níveis e/ou preços oferecidos aos consumidores não devem depender da escolha, ou não do exercício de seus direitos. As únicas exceções a essa regra são os casos em que o valor do serviço ou bem oferecido é baseado nos dados coletados do consumidor (ver exemplo citado acima).
É possível oferecer incentivos econômicos aos consumidores em troca do acesso a suas informações pessoais. No entanto, esses incentivos devem ser justos, razoáveis, não coercitivos nem extorsivos. Os consumidores serão informados da existência de tais incentivos por meio da página inicial de seu website.
As leis, assim como as pessoas, necessidades e ideais que fundamentam, estão sujeitas a mudanças. Da mesma forma, seus objetivos, seus parceiros e processos internos de sua empresa podem mudar com o tempo.
Por isso, é extremamente importante revisar e avaliar periodicamente os processos internos, aspectos técnicos e documentos legais, e mantê-los atualizados com os requisitos da regulamentação.
Obedecer ao CCPA pode ser complicado – interpretar a lei e implementar as especificações técnicas em seu website e empresa pode ser bastante desafiador.
Nossas soluções eliminam as suposições quanto à conformidade e facilitam o cumprimento com os requisitos da CCPA para você poder se concentrar em seu negócio.
Todas as políticas de privacidade geradas com iubenda estão em conformidade com a CCPA, pois elas têm a possibilidade de aplicar facilmente os padrões exigidos por esta legislação aos usuários localizados na Califórnia.
Nossa solução facilita o cumprimento destes requisitos legais:
💡Saiba mais sobre nosso Gerador de Política de Privacidade e de Cookies.
Nossa solução ajuda você a cumprir com o requisito da CCPA de informar devidamente os usuários localizados na Califórnia de qualquer atividade de venda de dados a partir da visita no website e permite que estes usuários recusem tal atividade por meio do cancelamento (opt-out) conforme exigido por lei.
Especificamente, nosso Privacy Controls and Cookie Solution permite que você:
💡Descubra como habilitar esses recursos.
Conforme observado acima, a CCPA dá aos consumidores o direito de se opor (opt-out). Se o tratamento for de alguma forma manual (ou seja, não conectado a scripts, como no caso de direct e-mail marketing), as empresas podem ter que atender manualmente às solicitações de cancelamento.
Além disso, a CCPA estipula que os usuários não podem ser contatados nos 12 meses seguintes à solicitação. Por este motivo, é aconselhável manter um registro com dados do cancelamento (opt-out) de um usuário, data e fornecedores que devem ser notificados em caso de solicitação.
Nossa Consent Database se integra a seus formulários para permitir que você transmita as preferências do consumidor (incluindo opt-out) para um dashboard intuitivo via API.
Você pode registrar todos os detalhes relevantes, incluindo a data e hora do opt-out, a versão da política de privacidade mostrada ao usuário no momento da solicitação, ID do usuário, e-mail e até mesmo o endereço IP, a fim de obter uma solicitação verificável.
💡Leia mais sobre a Consent Database.
Nossa Registro das atividades de processamento de dados permite que você registre com precisão os dados necessários, a fim de atender às demandas dos consumidores.
A nossa solução registra:
💡Leia mais sobre o Registro das atividades de processamento de dados.