CPRA: Introdução ao CCPA 2.0 e como isso afeta você
CPRA: Introdução ao CCPA 2.0 e como isso afeta você. Em 2020, a Lei de Proteção ao Consumidor da Califórnia (CCPA) foi determinada para abordar as crescentes preocupações sobre a venda e a coleta de informações pessoais na Califórnia.
A CCPA atual concede vários direitos aos residentes da Califórnia e regula as ações das empresas que vendem ou coletam informações pessoais. No entanto, deixa as consequências do processamento de dados do consumidor por terceiros um tanto abertas à interpretação. Isso levou a uma emenda à CCPA, que passou a ser conhecida como Lei de Direitos de Privacidade da Califórnia (CPRA).
💡 A CPRA se baseia nas disposições existentes do CCPA, estabelece novos direitos do consumidor e adiciona novos requisitos para empresas que coletam dados pessoais de residentes da Califórnia.
📌 Atualizações na definição de um negócio sob a CPRA
Critérios de qualificação como empresa foram atualizados; descubra se você se classifica como empresa respondendo às perguntas abaixo:
Você é uma pessoa jurídica que opera com fins lucrativos?
Você coleta informações pessoais (PI) de consumidores da Califórnia?
Você determina as finalidades e os meios de processamento de informações pessoais?
Sua empresa atende a uma ou mais das seguintes condições:
(A) Uma receita bruta de mais de US$ 25 milhões no ano civil anterior.
(B) Compra, vende ou distribui as informações pessoais de 100.000, ou mais clientes, ou famílias a cada ano isoladamente, ou em combinação.
(C) Obter 50% ou mais da sua receita anual com a venda, ou compartilhamento de informações pessoais sobre clientes?
Se você respondeu sim, de acordo com a CPRA, a sua organização pode ser classificada como uma empresa.
O que isso significa para o meu negócio?
Devido a algumas mudanças nos critérios, as entidades que estariam sujeitas à CPRA podem ser diferentes daquelas que se enquadram nos critérios do CCPA.
📌 Informações pessoais confidenciais sob a CPRA
A CPRA introduziu uma categoria diferente de dados protegidos: informações pessoais confidenciais (SPI). Essa ideia é bastante semelhante ao artigo 9 do Regulamento Geral de Proteção de Dados (GDPR), que pede um nível mais alto de proteção de dados para a confidencialidade das informações pessoais.
O que é considerado informação pessoal sensível sob a CPRA? Veja aqui para obter uma lista de verificação completa (clique em conforme alterado em 3 de novembro de 2020 e role para baixo até a definição). O SPI que está “publicly available” não pode ser considerado informação pessoal sensível ou informação pessoal.
A CPRA impõe padrões e limites específicos ao SPI, proporcionando aos consumidores maior controle sobre como as organizações usam as suas informações pessoais.
Entre os novos requisitos estão os seguintes:
Requisitos de divulgação atualizados – Sua empresa precisa fornecer aos consumidores as seguintes informações sobre SPI na política de privacidade: se as informações serão vendidas ou compartilhadas e a duração da retenção.
Limitação de finalidade – Você precisa divulgar a finalidade adicional e específica para a qual as informações pessoais confidenciais podem ser usadas ou divulgadas a terceiros.
Limitar o uso e a divulgação – forneça um link claro e visível, “Limitar o uso de minhas informações pessoais confidenciais”, em sua página inicial e um aviso de direito para limitar o uso/divulgação de informações pessoais confidenciais. No entanto, existem casos em que uma empresa não é obrigada a oferecer aos consumidores o direito de limitar o uso/divulgação de SPI e exibir aviso relevante, nomeadamente sempre que informações pessoais sensíveis são processadas:
para executar serviços ou fornecer bens (apenas para uso razoavelmente esperado por um consumidor médio);
prevenir, detectar e investigar incidentes de segurança que comprometam a disponibilidade, autenticidade, integridade ou confidencialidade das informações pessoais armazenadas ou transmitidas;
resistir a ações maliciosas, enganosas, fraudulentas ou ilegais dirigidas à empresa e processar os responsáveis por essas ações;
garantir a segurança física das pessoas físicas;
para uso temporário e de curto prazo, incluindo, entre outros, publicidade não personalizada exibida como parte da interação atual do consumidor com a empresa, desde que as informações pessoais não sejam divulgadas a terceiros e não sejam usadas para criar um perfil sobre o consumidor ou alterar a experiência do consumidor fora da interação atual com o negócio;
para realizar serviços em nome da empresa (por exemplo, atendimento ao cliente, processamento ou cumprimento de pedidos e transações, processamento de pagamentos, etc.);
para verificar ou manter a qualidade ou segurança de um produto, serviço ou dispositivo que é de propriedade, fabricado, fabricado para ou controlado pela empresa e para melhorar, atualizar ou aprimorar o serviço ou dispositivo que é de propriedade, fabricado por, fabricado para ou controlado pelo negócio; e
para finalidades que não inferem características sobre o consumidor.
Verifique se suas atividades de processamento de informações pessoais confidenciais se enquadram no escopo de tais exceções.
O que isso significa para o meu negócio?
Com a implementação do SPI, as empresas, conforme especificado pela CPRA acima, devem ser extremamente diligentes na proteção desse tipo de dados e responder adequadamente quando um cliente deseja optar por não participar. Padrões extras devem ser estabelecidos se uma empresa planeja lidar com o SPI dos consumidores. As empresas que mantêm o SPI, por exemplo, devem ter um link claro e visível nos seus sites chamado “Limitar o uso das minhas informações pessoais confidenciais” que permita aos clientes limitar o processamento do seu SPI.
📌 Os direitos de privacidade do consumidor foram expandidos
Abaixo estão cinco direitos de privacidade do consumidor do CCPA que a CPRA atualizou.
Direito de recusar vendas e compartilhamento de terceiros: a. CCPA – De acordo com a CCPA, os clientes têm a opção de optar por não participar das empresas que vendem dados pessoais. b. CPRA – Além de vender, a CPRA amplia esse direito para incluir o compartilhamento de informações pessoais.
Direito ao conhecimento a. CCPA – De acordo com a CCPA, as empresas devem responder às solicitações dos consumidores de informações pessoais obtidas nos últimos 12 meses. b. CPRA – Em algumas condições, a CPRA estende esse período, permitindo que os consumidores busquem informações pessoais coletadas após o limite anterior de 12 meses. As empresas devem informar os consumidores sobre seu direito de solicitar a divulgação sobre quais informações pessoais são vendidas ou compartilhadas e para quem;
Direito de excluir a. CCPA – Os residentes da Califórnia podem usar a CCPA para solicitar que uma empresa remova as suas informações pessoais se não for mais necessária para atender a um dos objetivos especificados no Cal. Civ. Código Seção. 1798.105 b. CPRA – As empresas devem informar os consumidores sobre seu direito de solicitar a exclusão das suas informações pessoais e conceder tais solicitações, a menos que as informações sejam razoavelmente necessárias para a empresa concluir a transação, cumprir uma garantia, retirar um produto ou garantir a segurança e a integridade.
Direito à transferência de dados a. CCPA – Contém um “direito de saber”, o que implica que os clientes têm o direito de obter uma cópia das suas informações pessoais por correio ou online. b. CPRA – Um cliente pode agora solicitar que uma empresa transfira determinadas informações pessoais para outra organização.
Agora que passamos pelas cinco alterações dos direitos de privacidade do consumidor da CCPA, vamos analisar os quatro direitos de privacidade do consumidor adicionais adicionados pela CPRA: (não incluídos na CCPA)
Direito à informação correta: O consumidor tem o direito de solicitar que qualquer informação pessoal incorreta fornecida por uma empresa seja corrigida.
Direito de restringir o uso e divulgação de informações pessoais confidenciais: Um consumidor tem o direito de restringir o uso e divulgação do seu SPI para “uso necessário para executar os serviços ou entregar os produtos razoavelmente esperados por um consumidor comum que solicite tais bens e Serviços.”
Acesso a informações sobre a tomada de decisão automatizada: O consumidor tem o direito de obter “informações significativas sobre a lógica envolvida em tais processos de tomada de decisão, bem como uma descrição do resultado esperado do processo em relação ao consumidor”.
Direito de recusar a tecnologia de tomada de decisão automatizada: Um consumidor tem o direito de recusar a tecnologia de tomada de decisão automatizada.
O que isso significa para o meu negócio?
As empresas devem garantir que estão preparadas para cumprir os novos e aprimorados direitos de privacidade do consumidor incluídos na CPRA.
Eles precisarão estabelecer sistemas e controles sólidos para garantir que sejam capazes e preparados para responder rapidamente às solicitações dos clientes. Para se preparar para a conformidade com a CPRA, muitas empresas podem precisar fazer grandes modificações nas suas medidas de segurança e privacidade existentes, recrutar pessoas extras ou contratar serviços de terceiros.
👉 Observe que, de acordo com a CPRA, as empresas são obrigadas a esperar 12 meses após um consumidor negar a venda ou o compartilhamento das suas informações pessoais antes de buscar outra aprovação de consentimento.
👉 Além disso, como empresa, você deve fornecer aos consumidores dois ou mais métodos para enviar suas solicitações. Esses métodos podem variar de empresa para empresa, mas devem incluir, no mínimo, um número de ligação gratuita e, se a empresa tiver um site, o endereço do site. No entanto, uma empresa pode evitar fornecer um número de ligação gratuita se: “operar exclusivamente online”; e se tiver um “relacionamento direto com um consumidor de quem coleta informações pessoais”.
📌 Direitos dos Menores
A CPRA exige que você cumpra a COPPA, que rege os direitos de privacidade das crianças, com referência específica à venda e compartilhamento de informações pessoais de crianças.
TPortanto, se sua empresa está vendendo ou compartilhando informações pessoais dos consumidores:
menores de 13 anos, sua empresa deve obter e manter registros de que o consentimento para a venda ou compartilhamento das informações pessoais das crianças vem de seus pais ou responsáveis..
de 13 a 16 anos, sua empresa deve permitir que os usuários optem por participar da venda ou compartilhamento de suas informações pessoais e manter registros da aceitação. Quando sua empresa recebe uma solicitação de opt-in, você é obrigado a informar o usuário sobre seu direito de opt-in.
📌 Incorporando os Princípios do GDPR
Os seguintes conceitos não fazem parte do CCPA, mas agora estão codificados como parte da CPRA:
Minimização de dados
Limitação de propósito
Limite de armazenamento
O que isso significa para o meu negócio?
Ao codificar explicitamente esses princípios na CPRA, a Califórnia deu poderes ao regulador estadual para aplicar e potencialmente penalizar empresas que não:
limitar razoavelmente a coleta de informações pessoais ao necessário para a finalidade para a qual foram coletadas e;
limitar a retenção de informações pessoais ao menor tempo necessário para cumprir a finalidade para a qual foram coletadas.
Como consequência desses princípios, a CPRA inclui uma nova exigência. A permissão de opt-in é necessária após uma Opt-out previamente decidida. Seus negócios devem permitir que os consumidores:
optar pela venda/compartilhamento de suas informações pessoais após a desativação; e
notificar os consumidores que optaram por não vender/partilhar informações pessoais sempre que os consumidores iniciarem uma transação/tentativa de uso de um produto que implique a venda/partilha de informações pessoais, que a ação requer a venda/partilha de informações pessoais e forneça instruções sobre como para aceitar.
📌 Expansão de dados legalmente acionáveis em uma violação
CCPA – No caso de violação de dados, os consumidores têm o direito privado de processar se as suas informações pessoais não criptografadas ou não editadas forem divulgadas devido à falha de uma empresa em estabelecer medidas e práticas de segurança adequadas relevantes à natureza das informações tratadas.
CPRA – A ‘direita’ não muda de direção; ele adiciona senhas de login do consumidor à lista de categorias de informações pessoais que podem ser acionáveis de acordo com o estatuto.
O que isso significa para o meu negócio?
A ampliação do escopo da CPRA para incluir credenciais de login como uma violação de segurança de informações pessoais legalmente acionáveis pode ser uma reação ao atual surto de ataques de autenticação que afetam os clientes. Muitas empresas podem optar por exigir a autenticação multifatorial como uma camada de segurança adicional, além de níveis mais avançados de criptografia de dados.
📌 Requisitos de desativação
De acordo com a CPRA, deve-se observar que as empresas também devem permitir e processar os sinais de preferência de desativação dos consumidores .
💡 Sinal de preferência de opt-out significa um sinal que é enviado por uma plataforma, tecnologia ou mecanismo, em nome do consumidor que comunica a sua escolha de opt-out da venda e compartilhamento de informações pessoais. O sinal desativará automaticamente todos os sites que o usuário visitar sem que ele precise fazer solicitações individuais.
📌 Política de Privacidade
Checklist da Política de Privacidade 👇
Inclua as categorias de informações pessoais que sua empresa vendeu ou compartilhou com terceiros nos últimos 12 meses, uma lista de terceiros relevantes e a finalidade de sua empresa. Você também precisa divulgar se não vendeu ou compartilhou informações pessoais de usuários nos últimos 12 meses.
Adicione uma declaração informando se sua empresa sabe ou não que vende ou compartilha as informações pessoais de usuários menores de 16 anos.
Inclua as categorias de informações pessoais que sua empresa divulgou (para fins comerciais) a terceiros nos últimos 12 meses, uma lista de terceiros relevantes e a finalidade de sua empresa. Você também deve divulgar se não tiver divulgado informações pessoais dos consumidores nos últimos 12 meses.
Informe se sua empresa usa ou divulga informações pessoais sigilosas para outros fins que não os especificados na lei.
Forneça links para formulários de solicitação on-line ou portais para que seus usuários possam fazer solicitações relacionadas à coleta, divulgação ou venda de suas informações pessoais.
Forneça meios para que os usuários solicitem a correção de informações pessoais imprecisas.
Inclua, caso sua empresa utilize ou divulgue informações pessoais sensíveis por outros motivos que não os mencionados na lei, informações sobre o direito do consumidor de limitar o uso ou divulgação de suas informações pessoais sensíveis e como exercê-lo.
Forneça informações sobre o direito à não discriminação dos usuários para o exercício de seus direitos de privacidade.
Adicione uma descrição geral do processo que sua empresa implementa para verificar as solicitações dos usuários para saber, excluir e corrigir, quando aplicável, incluindo qualquer informação que o usuário deva fornecer.
Explique como um sinal de preferência de exclusão será processado para o usuário (ou seja, se o sinal se aplica ao dispositivo, navegador, conta do consumidor e/ou vendas off-line e em quais circunstâncias) e como o usuário pode usar uma opção fora do sinal de preferência.
Forneça requisitos de relatórios adicionais (seção 7102 dos regulamentos) se sua empresa coletar grandes quantidades de informações pessoais.
Como se preparar para a CPRA?
A CPRA torna-se lei em 1º de janeiro de 2023 e entrará em vigor a partir de 1º de julho de 2023.
Como o texto final da CPRA ainda não foi adotado, qualquer interessado poderá participar do processo formal de regulamentação antes de 23 de agosto de 2022. Mais informações sobre como você pode compartilhar seus comentários podem ser encontradas aqui.
na iubenda, como sempre, estamos atentos às atualizações mais recentes e garantimos que todos os nossos documentos e produtos sejam ajustados a tempo para ajudá-lo a manter a conformidade.
Se você já possui procedimentos de CCPA, pode ser uma boa ideia começar a revisar os seus processos e tomar nota de algumas coisas:
Descreva quaisquer dados que você processe cobertos pela definição de informações pessoais da CPRA.
Revise o seu processo de atualização dos usuários sobre quaisquer alterações na sua política de privacidade; certifique-se de ter um sistema no lugar. Após atualizar a sua política de privacidade, você precisará alertar os seus usuários.
Se você trabalha com processadores ou tem processadores trabalhando no seu nome, considere notificá-los sobre quaisquer alterações nos requisitos (especialmente se eles estiverem localizados fora dos EUA).
Como em qualquer nova lei, é uma boa ideia manter-se informado sobre as mudanças para que você possa tomar as medidas apropriadas. Como sempre, estamos aqui para ajudar a fazer com que essas mudanças ocorram sem problemas; e iremos mantê-lo atualizado ao longo dos próximos meses.
👋
Quer ficar em conformidade hoje?
Melhor ainda, após configurar as suas políticas de privacidade, todas as atualizações da CPRA serão inseridas automaticamente por nós.