Iubenda logo
Comece a gerar

Documentação

Índice

Guia de Conformidade da California Consumer Privacy Act [Lei relativa à Privacidade dos Consumidores da Califórnia] (CCPA)

O que é a California Consumer Privacy Act (CCPA) e de que forma é possível cumprir a CCPA? Explicamos-lhe tudo (sem todo o juridiquês!) nas secções abaixo.

A CCPA consiste na mais recente lei em matéria de privacidade da Califórnia que visa reforçar os direitos de privacidade dos consumidores residentes na Califórnia, Estados Unidos. A lei entrou em vigor a 1 de janeiro de 2020, tornando-se plenamente aplicável desde 1 de julho de 2020..

A CCPA (igualmente conhecida como o “RGPD da Califórnia”) estabelece novos requisitos para o tratamento de elementos de identificação, concedendo direitos adicionais aos consumidores, pelo que terá provavelmente um impacto significativo tanto nos processos empresariais como na responsabilidade em geral.

Quando é que a CCPA se aplica?

De um modo geral, a CCPA aplica-se quando se verifiquem AMBAS as condições seguintes:

  • Tenha uma empresa; e
  • visar consumidores da Califórnia.

Principais definições

Consumidor

Nos termos da CCPA, um “consumidor” refere-se a uma pessoa singular residente na Califórnia.

Empresa

No âmbito da California Consumer Privacy Act, uma “empresa” refere-se a uma organização com fins lucrativos que recolhe as informações pessoais dos consumidores, determina as finalidades e o método do tratamento, visa residentes da Califórnia (independentemente de a empresa estar efetivamente estabelecida na Califórnia) e preenche pelo menos um dos seguintes requisitos:

  • apresente receitas brutas anuais superiores a 25.000.000 $ (vinte e cinco milhões de dólares); ou
  • obtenha 50% ou mais das suas receitas anuais com a venda de informações pessoais dos consumidores; ou
  • compre, receba, venda ou partilhe as informações pessoais de 50.000 ou mais consumidores por ano para as finalidades comerciais da empresa. Uma vez que os endereços IP são considerados dados pessoais — e “finalidades comerciais” significa apenas promover interesses comerciais ou económicos — é provável que qualquer website com pelo menos 50 mil visitas únicas por ano a partir da Califórnia se enquadre neste âmbito.

Informações pessoais

Nos termos da California Consumer Privacy Act, “informações pessoais” refere-se a “informações que identificam, se relacionam, descrevem, são suscetíveis de ser associadas ou de ser razoavelmente ligadas, direta ou indiretamente, a um determinado consumidor ou agregado familiar.”

A CCPA especifica que as informações pessoais podem incluir, nomeadamente:

  • identificadores tais como o nome verdadeiro, pseudónimo, endereço postal, identificador pessoal único, identificador online, endereço IP, endereço de correio eletrónico, nome da conta, número de segurança social, número de carta de condução, número de passaporte ou outros identificadores semelhantes;
  • informações comerciais, incluindo registos de bens pessoais, bens ou serviços adquiridos, obtidos ou considerados ou outro histórico ou tendências de compra ou consumo;
  • informação biométrica;
  • informações sobre atividades na Internet ou outras redes eletrónicas, incluindo o histórico de navegação, histórico de pesquisa e informações relacionadas com interações com websites, aplicações ou publicidade;
  • dados relativos à geolocalização;
  • informações áudio, eletrónicas, visuais, térmicas, relacionadas com o olfacto ou informações semelhantes;
  • informações profissionais ou laborais;
  • informações sobre educação — para além do que se encontra publicamente disponível, tal como definido aqui; ou
  • quaisquer deduções resultantes de informações como as acima mencionadas que sejam utilizadas para criar um perfil sobre um consumidor que reflita as suas preferências, características, tendências psicológicas, predisposições, comportamento, atitudes, inteligência, capacidades e aptidões.

Venda

No contexto da CCPA, a venda é definida como: “venda, aluguer, publicação, divulgação, disseminação, disponibilização, transferência ou qualquer comunicação oral, escrita, por meios eletrónicos ou outros meios, de informações pessoais do consumidor pela empresa a outra empresa ou a terceiros, mediante uma contrapartida pecuniária ou com caráter oneroso“.

Caráter oneroso

Apesar de a CCPA não definir atualmente de forma explícita “caráter oneroso”, ao abrigo do direito dos contratos da Califórnia, define-se como “[q]ualquer benefício conferido, ou que tenha sido acordado ser conferido, ao promitente, por qualquer outra pessoa, ao qual o promitente não tenha direito nos termos da lei, ou qualquer prejuízo sofrido, ou que tenha sido acordado ser sofrido, por tal pessoa, que não aquele que, no momento do consentimento, esteja obrigado a sofrer nos termos da lei, enquanto incentivo ao promitente, constitui o caráter oneroso de uma promessa”. (Código Civ. Cal. § 1605).

Assim, o “caráter oneroso” pode ser interpretado de forma abrangente como incluindo quaisquer acordos em que sejam trocadas informações pessoais – e a entidade transmitente receba qualquer benefício a que não teria direito nos termos da lei sem o acordo.

Importante

A CalOPPA não foi revogada pela CCPA e continua em vigor. É algo a ter em consideração, ainda que a definição de “empresa” acima não se aplique a si, uma vez que poderá ainda ter de cumprir a CalOPPA ou ambas as leis poderão aplicar-se a si. Leia mais sobre a CalOPPA aqui

Direitos do consumidor nos termos da CCPA

O que é que a CCPA exige ao certo?

O direito de ser informado

Nos termos da CCPA, os consumidores têm o direito de ser informados sobre a forma como as suas informações são tratadas no momento da recolha ou antes da mesma.

Nos termos da California Consumer Privacy Act, deve divulgar:

  • as categorias de informações pessoais que a empresa recolhe, vende ou partilha;
  • as categorias de terceiros com os quais a empresa partilha informações pessoais;
  • as categorias de fontes a partir das quais essas informações foram recolhidas;
  • a finalidade comercial/empresarial da recolha ou venda de informações pessoais dos consumidores;
  • os direitos dos consumidores e a forma de os exercer; e
  • de que forma o consumidor pode recusar a venda dos seus dados, através de um link “Não vendam os meus dados” (se os dados forem vendidos).

O direito de acesso

Nos termos da CCPA, os consumidores têm o direito de aceder às suas informações pessoais quando comprovadamente solicitadas*.

Nomeadamente, os consumidores têm o direito de aceder:

  • às categorias de informações pessoais do consumidor recolhidas nos últimos 12 meses;
  • a partes específicas de informações recolhidas a seu respeito;
  • às categorias de fontes a partir das quais a empresa recolheu as informações;
  • às finalidades da recolha ou venda das informações;
  • às categorias de terceiros com os quais as informações pessoais são partilhadas;
  • às categorias de informações pessoais vendidas e às categorias de terceiros aos quais as informações pessoais foram vendidas;
  • às categorias de informações pessoais divulgadas para finalidades comerciais.

*Comprovadamente solicitado ou um “pedido verificável do consumidor” significa um pedido efetuado por um consumidor, por um consumidor em nome de um filho menor do consumidor ou por uma pessoa singular ou uma pessoa registada junto do Secretário de Estado, autorizada pelo consumidor a agir em seu nome e que a empresa pode razoavelmente verificar . . . ser o consumidor a respeito do qual a empresa recolheu informações pessoais. Código Civ. Cal § 1798.140(y)

Deve proporcionar aos consumidores dois ou mais métodos de apresentação de pedidos de acesso, incluindo, pelo menos,um número de telefone gratuito e, no caso de a empresa possuir um website na internet, um endereço de website. Deve ainda empreender esforços razoáveis no sentido de verificar que a pessoa que efetua o pedido corresponde ao consumidor a respeito do qual as informações foram recolhidas ou se trata de uma pessoa autorizada a solicitar estas informações em nome do consumidor, tal como acima referido.

O direito de portabilidade

Nos termos da California Consumer Privacy Act, o direito de portabilidade dos dados é conjugado com o direito de acesso, de acordo com o artigo 1798.100 (d).

Quando as empresas satisfaçam os pedidos de Acesso “por via eletrónica”, é igualmente exigido que as informações sejam fornecidas ao consumidor “num formato portátil e, tanto quanto tecnicamente viável, pronto a utilizar, que permita ao consumidor transmitir essas informações a outra entidade sem dificuldades“.

Os pedidos de informação devem ser satisfeitos, de forma gratuita, no prazo de 45 dias após o pedido verificável do consumidor. Este prazo pode ser prorrogado uma vez por mais 45 dias, caso seja razoavelmente necessário, e desde que o consumidor seja notificado da prorrogação no primeiro prazo de 45 dias.

As divulgações efetuadas ao satisfazer o pedido devem abranger o período de 12 meses anterior à receção do pedido.

Formato de entrega

As empresas devem responder através de correio normal ou em formato eletrónico (como email, descarregamento de ficheiros, etc.). No caso de entrega por via eletrónica, a lei exige que as informações sejam “portáteis”, isto é, entregues num formato de fácil utilização e que permita a transmissão das informações a outra entidade sem dificuldades.

Exceções e limites

  • Os consumidores têm direito a um máximo de 2 pedidos por cada período de 12 meses.
  • Excluem-se casos únicos de tratamento se as informações não forem vendidas ou conservadas pela empresa ou utilizadas para de outro modo voltar a identificar a pessoa.
  • Não é necessária qualquer resposta se a empresa não tiver efetivamente recolhido informações a respeito do consumidor em causa.

O direito ao apagamento dos dados

A CCPA concede aos consumidores o direito de solicitar o apagamento de quaisquer informações pessoais que tenham sido recolhidas a seu respeito. Se for recebido um pedido verificável de apagamento de um consumidor, deverá apagar as informações pessoais do consumidor dos seus registos e dar instruções a qualquer prestador de serviços relevante no sentido de apagar as informações pessoais do consumidor dos seus registos.

Deve proporcionar aos consumidores dois ou mais métodos de apresentação de pedidos, incluindo, pelo menos,um número de telefone gratuito e, no caso de a empresa possuir um website na internet, um endereço de website. Deve ainda empreender esforços razoáveis no sentido de verificar que a pessoa que efetua o pedido corresponde ao consumidor a respeito do qual as informações foram recolhidas ou se trata de uma pessoa autorizada a solicitar estas informações em nome do consumidor, tal como acima referido.

Este pedido deve ser satisfeito, de forma gratuita, no prazo de 45 dias após o pedido verificável do consumidor. Este prazo pode ser prorrogado uma vez por mais 45 dias, caso seja razoavelmente necessário, e desde que o consumidor seja notificado da prorrogação no primeiro prazo de 45 dias.

Exceções e limites

As empresas não são obrigadas a satisfazer o pedido de apagamento se as informações forem necessárias:

  • para concluir uma transação para a qual as informações pessoais foram recolhidas;
  • para o fornecimento de um bem ou serviço solicitado pelo consumidor ou para a celebração de um contrato entre a empresa e o consumidor;
  • para detetar incidentes de segurança, proteger contra atividades maliciosas, desonestas, fraudulentas ou ilegais; ou acusar as pessoas responsáveis por tais atividades;
  • para detetar, identificar e reparar erros;
  • para exercer a liberdade de expressão ou outro direito do consumidor relativo à liberdade de expressão;
  • para cumprir a California Electronic Communications Privacy Act (CalECPA);
  • para efeitos de investigação científica, histórica ou estatística de interesse público, quer pública quer revista por pares;
  • para cumprir uma obrigação legal;
  • para permitir apenas utilizações internas razoavelmente alinhadas com as expetativas do consumidor, com base na relação do consumidor com a empresa;
  • apenas para utilização interna, de forma lícita e compatível com o contexto em que o consumidor forneceu as informações.

O direito de recusa (o direito de recusar a venda dos seus dados)

Nos termos da CCPA, o consumidor tem o direito, a qualquer momento, de informar uma empresa que venda as suas informações pessoais a terceiros, que deverá deixar de vender essas informações pessoais.

Em que consiste uma venda nos termos da California Consumer Privacy Act e de que forma “vende” informações pessoais?

Como referido acima, nos termos da CCPA, “vender”, “venda” ou “vendido” significa venda, aluguer, publicação, divulgação, disseminação, disponibilização, transferência ou qualquer comunicação oral, escrita ou por meios eletrónicos de informações pessoais do consumidor pela empresa a outra empresa ou a terceiros, mediante uma contrapartida pecuniária ou com caráter oneroso.

Dois exemplos menos óbvios do que poderia* considerar-se “vender” nos termos da CCPA incluem:

  • partilhar dados dos utilizadores com redes de publicidade e outros terceiros para apresentar publicidade orientada com vista a obter um benefício, incluindo receitas; ou ainda
  • utilizar um programa de análise de dados estatísticos de terceiros para redirecionar ou de outro modo gerar um perfil de utilizador para vender ao consumidor.

*Tenha em consideração que, nesta fase da implementação, alguns fatores podem vir a alterar-se à medida que a lei for sendo ajustada.

Se “vender” as informações pessoais dos consumidores a terceiros, deve divulgar este facto aos consumidores, informando-os ainda de que têm o direito de recusar a venda das suas informações pessoais (de acordo com “O direito de ser informado” indicado acima).

Não se pode pedir a um consumidor que crie uma conta para poder recusar. Em vez disso, este processo deve ser facilitado através de um link “Não Vendam as Minhas Informações Pessoais” (“NVMIP“) no seu website ou de um aviso de privacidade.

Se uma empresa receber instruções de um consumidor no sentido de não vender as informações pessoais do consumidor, fica proibida de vender as informações pessoais desse consumidor, exceto se o consumidor posteriormente autorizar expressamente a venda das suas informações pessoais (Aceitação).

As empresas só podem pedir a autorização de um consumidor mais uma vez e apenas 12 meses após o consumidor ter recusado.

O direito de aceitação (consentimento prévio dos menores)

As empresas estão proibidas de vender as informações pessoais dos consumidores se tiverem efetivamente conhecimento de que o consumidor tem uma idade inferior a 16 anos. Nesses casos, as empresas só podem vender as informações se:

  • o consumidor tiver entre 13 e 16 anos e tiver efetuado a aceitação; ou
  • o consumidor tiver uma idade inferior a 13 anos e um dos seus pais ou tutores tiver efetuado a aceitação em seu nome.

O direito de não ser discriminado (ainda que o consumidor exerça os seus direitos de privacidade)

Nos termos da CCPA, as empresas estão proibidas de discriminar os consumidores por exercerem os seus direitos concedidos ao abrigo da lei. As formas de discriminação proibidas incluem:

  • Negar bens ou serviços ao consumidor.
  • Cobrar preços ou taxas diferentes para bens ou serviços, incluindo através da utilização de descontos ou outros benefícios ou da imposição de penalizações.
  • Apresentar um nível ou qualidade diferente de bens ou serviços ao consumidor, no caso de o consumidor exercer os seus direitos nos termos do presente título.
  • Sugerir que o consumidor terá um preço ou taxa diferente para bens ou serviços ou um nível ou qualidade de bens ou serviços diferente.

Exceções e limites

  • Uma empresa apenas poderá cobrar ou oferecer preços, taxas, níveis ou qualidade dos bens ou serviços diferentes quando essa diferença esteja razoavelmente relacionada com o valor apresentado ao consumidor pelos seus dados.

    Por exemplo, uma empresa oferece um desconto normal de 30% sobre um bem para incentivar a sua reaquisição, um mês após a compra inicial do mesmo bem pelo consumidor. Durante esse período, o consumidor exerce o seu direito ao apagamento dos dados e solicita que as suas informações pessoais sejam apagadas. Neste caso, uma vez que a empresa já não dispõe dos dados do consumidor que indicam que o consumidor adquiriu previamente o bem, não pode razoavelmente oferecer o desconto normal de 30% a esse consumidor em particular.

  • Uma empresa pode oferecer incentivos financeiros, incluindo pagamentos aos consumidores como compensação, pela recolha de informações pessoais, pela venda de informações pessoais ou pelo apagamento de informações pessoais. Nesses casos, tais incentivos financeiros devem ser divulgados aos utilizadores através da página inicial do seu website e na sua política de privacidade.

    As empresas estão proibidas de utilizar práticas de incentivos financeiros que sejam “injustas, pouco razoáveis, coercivas ou abusivas”.

CCPA vs RGPD (resumidamente)

Já houve quem designasse a CCPA como “o RGPD da Califórnia”. Segue-se uma comparação entre estas duas leis de privacidade:

CCPA RGPD
Autoridade de controlo? O Procurador-Geral do Estado da Califórnia, EUA.. As autoridades de proteção de dados nacionais (dos Estado-Membros da UE).
Quem deve cumprir? Qualquer empresa com fins lucrativos que vise consumidores da Califórnia e:
  • trate os dados pessoais de, pelo menos, 50 mil consumidores da Califórnia (os endereços IP são considerados dados pessoais, pelo que tal se aplicaria a qualquer website com, pelo menos, 50 mil visitas de consumidores da Califórnia); ou
  • obtenha, pelo menos, 50% das suas receitas através da partilha de dados de consumidores da Califórnia com fins lucrativos – monetários ou outros; ou
  • tenha receitas anuais iguais ou superiores a 25 milhões.
Quaisquer entidades (com ou sem fins lucrativos – incluindo ONG, pessoas e entidades públicas) que visem os consumidores da UE ou que estejam estabelecidas na UE.
Que tipo de dados são protegidos? Quaisquer dados que digam respeito a um determinado consumidor ou agregado familiar ou que sejam suscetíveis de ser associados aos mesmos, exceto os registos públicos de entidades públicas. Quaisquer dados que possam levar à identificação de uma pessoa.
Os endereços IP são considerados Dados Pessoais?
O consentimento é exigido antes do tratamento? Apenas no caso de menores e em casos de recusa anterior. Sim, exceto quando legitimamente se aplicar outro fundamento jurídico.
As Empresas devem permitir a recusa ou retirada do consentimento dos consumidores? Sim, devem fornecer um link NVMIP e respeitar os pedidos de recusa. Os utilizadores têm tanto o direito de retirar o consentimento como o direito de se oporem ao tratamento (potencialmente aplicável mesmo nos casos em que o tratamento se justifique com base num fundamento jurídico que não o consentimento).
A proteção aplica-se igualmente às interações entre empresas (B2B)? Não, a proteção conferida pela CCPA aplica-se apenas aos consumidores. O RGPD não distingue entre a proteção conferida às interações B2B e B2C (entre empresas e consumidores). Limita-se a conferir a sua proteção aos “titulares dos dados“, que são definidos como quaisquer “pessoas singulares identificáveis” residentes na UE.
Requisitos de segurança? A CCPA não enumera quaisquer requisitos de segurança específicos, embora conceda aos consumidores o direito explícito de instaurar processos para obter indemnizações por danos resultantes da não implementação por parte de uma empresa de procedimentos de segurança adequados. O RGPD exige que tanto os responsáveis pelo tratamento como os subcontratantes apliquem métodos de segurança adequados ao risco específico em causa. Os métodos de segurança devem consistir nas “técnicas mais avançadas”, o que significa que os métodos de segurança devem seguir os padrões mais avançados.
Penalizações por incumprimento? Coimas até 7500$ por cada incumprimento. A CCPA confere ainda aos consumidores o direito de instaurar processos para obter indemnizações por danos. Coimas até 20 milhões de euros (22 milhões de USD) ou 4% das receitas globais anuais – consoante o que seja maior, eventuais auditorias e sanções. O RGPD confere ainda aos titulares dos dados o direito de instaurar processos se os seus direitos forem violados.
Direitos dos utilizadores aplicáveis de forma resumida
O direito de ser informado
O direito de acesso
O direito de portabilidade
O direito de retificação ×
O direito ao apagamento dos dados
O direito de oposição De algum modo abrangido pelo direito de recusa

Consequências do incumprimento

Os consumidores têm o direito de instaurar processos* contra as empresas que violem a lei. As respetivas coimas oscilarão entre 100$ e 750$ ou qualquer montante superior relativo a danos efetivos (sempre que seja possível provar danos de maior valor).
*Isto aplica-se apenas às próprias empresas e não aos “prestadores de serviços” que atuem em nome das empresas.

O Estado pode deduzir acusações até 2.500 $ por violação, no caso de empresas que violem involuntariamente a CCPA, e coimas até 7.500 $ por violação, no caso de empresas que cometam violações intencionais.

Apesar de estas coimas poderem não parecer muito elevadas quando comparadas com outras leis de privacidade, tenha em consideração que estas coimas se aplicam por violação individual e por consumidor.

Mesmo no caso de uma empresa com apenas alguns clientes, estas coimas podem atingir um montante elevado.

Como Cumprir a CCPA

O cumprimento da CCPA, à semelhança do cumprimento de outras leis em matéria de privacidade, constitui um processo multifacetado que envolve uma análise honesta, planeamento e implementação técnica e legal. Contudo, na maioria dos casos, é a implementação que se revela mais exigente.

É aqui que entra a iubenda. A implementação pode ser complicada. Nós aliviamos a pressão que recai sobre si ao oferecer soluções de software eficazes — apoiadas pela nossa equipa jurídica internacional — que lhe permitem lidar inclusive com os cenários mais complexos com poucos cliques, bem como personalizar totalmente sempre que necessário (saiba mais sobre as nossas soluções e como elas podem ajudar aqui).

Independentemente do modo como decida abordar o processo de implementação, existem ainda alguns passos básicos que terá de tomar antes sequer de chegar à fase de implementação. De seguida, iremos analisá-los, incluindo o restante processo de implementação.

Avaliar e analisar

Talvez um dos passos mais importantes seja analisar e avaliar de forma honesta os seus próprios processos e sistemas.

Algumas questões que pode colocar neste contexto incluem:

  • Que categorias de dados pessoais recolho e com que categorias de terceiros partilho estes dados?
  • De que fontes recolho estas informações e quais são as suas categorias (por exemplo, análise de dados estatísticos)?
  • Quais são as razões ou finalidades da minha recolha de dados?
  • Quais são os direitos dos consumidores nos termos da CCPA que se aplicam às minhas atividades de tratamento?
  • Será que disponho dos meios técnicos necessários para satisfazer pedidos relacionados com os direitos dos consumidores, tais como pedidos de apagamento e de acesso?
    • De que forma posso acompanhar o momento em que tais pedidos foram satisfeitos?
    • Será que estou a acompanhar todos os prestadores de serviços que acedem às informações pessoais dos consumidores em meu nome?
    • Será que posso contactar estas partes com confiança para satisfazer, por exemplo, pedidos de apagamento?
    • Será que mantenho registos fiáveis das informações e das categorias de informações pessoais que recolho para cada consumidor?
  • Será que possuo os documentos necessários para efetuar as divulgações exigidas por lei no site?
  • Que exceções se aplicam razoável e honestamente no meu caso?

Efetue as divulgações exigidas

Com base nas respostas obtidas no passo acima, estruture e inclua as declarações relevantes na sua política de privacidade, e eventualmente no momento da recolha dos dados (por exemplo, um formulário de contacto), se aplicável.

Certifique-se de que inclui:

  • as categorias de informações pessoais que recolheu, vendeu ou partilhou nos últimos 12 meses;
  • as categorias de terceiros com os quais partilha e/ou pode partilhar as informações pessoais;
  • as categorias de fontes a partir das quais recolhe informações pessoais dos consumidores;
  • a finalidade comercial/empresarial da recolha ou venda de informações pessoais dos consumidores;
  • os direitos dos consumidores aplicáveis e a forma como podem ser exercidos

Respeitar os direitos dos consumidores exercidos

Os direitos de acesso, portabilidade e apagamento devem ser respeitados, sem custos para o consumidor, no prazo de 45 dias após a receção de um pedido verificável.O prazo para satisfazer o pedido pode ser prorrogado (apenas uma vez) por mais 45 dias, se necessário, desde que o consumidor seja notificado de tal facto.

Ao satisfazer pedidos de acesso e portabilidade, as informações devolvidas ao consumidor devem ser disponibilizadas num formato de fácil utilização e transmissão.

Quando um consumidor exerça os seus direitos de recusa (o direito de recusar a venda dos seus dados), deve cumprir esse pedido logo que o receba.

Nos casos em que tenha conhecimento de que o consumidor é um menor com idade inferior a 16 anos, não deve vender as suas informações, salvo autorização explícita em contrário de um dos pais ou tutor (para menores com idade inferior a 13 anos) ou mediante a autorização explícita do consumidor menor entre 13 e 16 anos de idade.

Adicione um Aviso de venda e um link NVMIP ao seu website

Enquanto requisito do direito de recusa do consumidor, deve fornecer um link “Não Vendam as Minhas Informações Pessoais” (“NVMIP“) de fácil acesso, claro e visível na página inicial do seu website e na sua política de privacidade (com as devidas divulgações do respetivo direito do consumidor).

O link deve levar o utilizador para uma página onde possa recusar a venda das suas informações pessoais.

Sempre que tecnicamente viável, poderá alojar e redirecionar residentes da Califórnia para uma página inicial em separado com o link NVMIP visível.

Não discrimine os consumidores que exercem os seus direitos

O serviço, qualidade, níveis e/ou preços que cobra/oferece aos consumidores não deve ser influenciado ou depender do facto de terem ou não exercido os seus direitos. As únicas exceções a esta regra são os casos em que o valor do serviço ou bem oferecido depende dos dados recolhidos sobre o consumidor (veja o exemplo acima)

Poderá oferecer incentivos financeiros (incluindo pagamentos) aos consumidores como contrapartida pelo acesso às suas informações pessoais. Contudo, só poderá recorrer a incentivos financeiros justos, razoáveis, não coercivos e não excessivos. Em todos esses casos, os consumidores devem ser previamente notificados desses incentivos através da página inicial do seu website.

Analise periodicamente os seus processos

As leis, tal como as pessoas, as necessidades e as ideias que servem, são frequentemente coisas “vivas” e dinâmicas. Da mesma forma, os seus próprios objetivos comerciais, parceiros e processos podem alterar-se com o tempo.

Por esta razão, é essencial que analise e avalie periodicamente os seus processos internos, capacidades técnicas e documentos legais, mantendo-os atualizados em função dos requisitos legais.

Como a iubenda o pode ajudar a cumprir a CCPA

De um modo geral, a conformidade pode revelar-se complicada – compreender a forma correta de aplicar a lei e de fazer com que as especificações técnicas funcionem no seu site e no seu negócio pode ser bastante desafiante.

As nossas soluções resolvem quaisquer dúvidas relativas à conformidade, tratando de todo o trabalho técnico e jurídico, para que se possa concentrar no crescimento do seu negócio.

Gerador de Políticas de Privacidade e de Cookies que cumpre a CCPA

Todas as políticas de privacidade geradas com a iubenda permitem-lhe cumprir a CCPA, uma vez que incluem a opção de aplicar facilmente as normas legais definidas pela CCPA aos utilizadores da Califórnia.

A nossa solução facilita-lhe o preenchimento de requisitos acrescidos através da:

  • Apresentação da linguagem, divulgação e instruções relacionadas com a CCPA, nos termos exigidos por lei;
  • Indicação dos serviços ativos no seu site suscetíveis de constituir uma venda nos termos da CCPA (tal como exigido por lei); e
  • Atualização automática da sua política de privacidade incorporada com o texto da CCPA uma vez ativada no gerador – não há necessidade de reintegrar o código no seu site!

💡 Saiba mais sobre o nosso Gerador de Políticas de Privacidade e de Cookies.

Privacy Controls and Cookie Solution para a CCPA: Apresente o aviso de recolha e o link “Não vender”

A nossa solução ajuda-o a cumprir a obrigação de a CCPA informar os utilizadores californianos de qualquer atividade de venda durante a navegação no site, permitindo também que estes utilizadores se autoexcluam (nos termos legalmente exigidos).

Mais especificamente, a Privacy Controls and Cookie Solution permite-lhe:

  • Apresentar um aviso de recolha nos termos da CCPA;
  • Exibir um link “Não Vendam as Minhas Informações Pessoais” (NVMIP) no aviso de recolha (tal como exigido por lei), permitindo-lhe igualmente adicionar o link ao seu site para fácil acesso do utilizador (tal como exigido por lei), permitindo desse modo a recusa da venda;
  • Detete e aplique automaticamente as normas corretas (incluindo várias normas) com base na localização.A nossa solução permite-lhe aplicar tanto as normas da CCPA como do RGPD aos mesmos utilizadores, quando tal seja legalmente exigido.
  • Suporta o Quadro de Conformidade da CCPA pelo IAB (Interactive Advertising Bureau), que estabelece um processo para que as editoras e os seus parceiros cumpram a nova regulamentação relativa à venda de dados dos consumidores a empresas de tecnologia.
  • Bloqueie manualmente os scripts que não cumpram o Quadro de Conformidade da CCPA do IAB. A nossa solução bloqueará automaticamente (manualmente) os scripts com etiquetas quando o utilizador efetuar uma recusa.

💡 Saiba mais sobre como ativar estas funcionalidades.

A Consent Database e o Registo das Atividades de Tratamento de Dados para registos atualizados

Como referido anteriormente, a CCPA concede aos consumidores o direito de recusa. Nos casos em que o tratamento seja de certo modo manual (ou seja, não relacionado com scripts no site, como no caso do marketing direto por correio eletrónico), as empresas podem ter de implementar manualmente o pedido de recusa.

Além disso, a CCPA determina que os utilizadores que tenham recusado não possam ser contactados durante um período mínimo de 12 meses após o pedido. Por este motivo, é prudente manter registos de informações de recusa, tais como o utilizador específico, a data e os subcontratados a notificar no caso de serem apresentados pedidos.

Consent Database

A nossa Consent Database liga-se aos seus formulários web para lhe permitir transmitir automaticamente as informações das preferências dos consumidores, como a recusa através da API até um painel de controlo visual gerido de forma centralizada.

Pode registar todas as informações relevantes, incluindo a data e hora da recusa, a versão da política de privacidade disponível para o utilizador no momento da recusa, o Id de utilizador, o e-mail e até o endereço IP para ajudar na verificação do pedido.

💡 Saiba mais sobre a Consent Database.

Registo das Atividades de Tratamento de Dados

O nosso Registo das Atividades de Tratamento de Dados permite-lhe registar com precisão as informações relevantes necessárias para satisfazer com rigor os pedidos dos Consumidores.

A solução regista:

  • informações de segurança, tais como quais os membros da sua organização com acesso aos dados dos utilizadores;
  • quaisquer subcontratados registados que tratem dados em seu nome;
  • finalidades adicionadas manualmente para o tratamento;
  • métodos de recolha de dados e muito mais.

Veja ainda