CCPA vs. GDPR: o que as empresas precisam saber


By Blog, CCPA, GDPR

A Califórnia possui a lei de proteção de dados mais extensa entre os estados dos EUA desde 2004, quando a Lei de Proteção à Privacidade Online da Califórnia (CalOPPA) foi implementada. Isso não mudou ao longo dos anos, mas também não impediu o governo do Golden State de aprovar uma nova lei, ainda mais extensa.

A Lei de Privacidade do Consumidor da Califórnia (CCPA) é a lei da Califórnia mais recente aprovada sobre proteção de dados pessoais. Foi aprovada em junho de 2018 e entra em vigor em 1 de janeiro de 2020. A aprovação da lei coincide com a enorme ansiedade causada pela introdução do RGPD pela UE um mês antes, portanto, não é de surpreender que muitos se refiram à CCPA como versão californiana do GDPR.

Isso, no entanto, está longe da verdade. Embora a aprovação unânime da lei possa ter causado a onda de sustos públicos sobre o abuso de dados pessoais, o CCPA não é tão extenso quanto o GDPR. Como resultado, os requisitos para as empresas não são tão extensos.

 

Quem deve cumprir a CCPA?

A CCPA se aplica a todas as empresas do mundo se:

  1. Eles coletam os dados pessoais dos residentes da Califórnia
  2. Eles (ou a empresa-mãe ou uma subsidiária) excedem pelo menos um dos três limites:
    • Receita bruta anual de pelo menos US $ 25 milhões
    • Obtém informações pessoais de pelo menos 50.000 residentes da Califórnia, residências e / ou dispositivos por ano
    • Pelo menos 50% de sua receita anual é feita com a venda de informações pessoais de residentes da Califórnia

Um residente da Califórnia é definido pelas Leis da Califórnia como qualquer pessoa física que:

  • Está na Califórnia para outros fins que não sejam temporários ou transitórios
  • Tem domicílio na Califórnia, mas está fora do estado para fins temporários ou transitórios

Quais são os requisitos da CCPA para empresas?

Você é compatível com CCPA desde que:

  • Permita que seus usuários acessem seus dados mediante solicitação, além de informações sobre como você os utilizou no passado.
  • Divulgue aos usuários para quem você vende os dados deles, se você os vender. Você também terá que dar a seus usuários a oportunidade de objetar e impedir a venda de seus dados, colocando uma opção “Não vender meus dados pessoais” em seu site. Isso significa que você tem permissão para vender os dados pessoais de seus usuários, desde que tenha a oportunidade de evitá-los. Se eles escolherem essa opção, é uma proibição clara de vender seus dados.
  • Peça um consentimento explícito para a venda dos dados de uma criança. Se a criança tiver entre 13 e 16 anos, você pode obter um consentimento dela. Se eles são mais jovens que isso, você terá que obter o consentimento dos pais.
  • Exclua todos os seus dados mediante solicitação. Alguns tipos de dados são isentos (transações, dados analíticos internos, dados para pesquisa).
  • Introduzir um sistema para verificação da identidade da pessoa que faz qualquer uma dessas solicitações
  • Não discrimine as pessoas que exercem seus direitos de privacidade ao fornecer seus produtos ou serviços. Se alguém solicitar acesso, alteração ou exclusão de seus dados, você deverá continuar fornecendo o mesmo nível de qualidade de seus serviços ou produtos. No entanto, você tem permissão para fornecer incentivos aos usuários em troca de mais dados deles, desde que não sejam utilizáveis ​​e / ou injustos.

Como o CCPA se compara ao GDPR

Muitos empresários estão se perguntando se a implementação do GDPR significa conformidade com a CCPA ou eles precisam tomar medidas adicionais. Para esclarecer isso, primeiro você precisa aprender como o CCPA e o GDPR se comparam.

Quais entidades a lei cobre?

  • CCPA: apenas empresas que coletam dados de residentes da Califórnia e excedem um dos três limites
  • GDPR: qualquer pessoa sediada na UE ou que coleta dados de residentes da UE.

Eles exigem uma política de privacidade?

  • CCPA: Sim.
  • GDPR: Sim.

Quais informações eles têm para divulgar nas políticas de privacidade?

  • CCPA: Que tipo de informação você coleta, com que finalidade, com quem você compartilha suas informações, como os consumidores podem acessar e alterar seus dados, com quem você vende dados e por que, como os consumidores podem solicitar o apagamento dos dados e as listas de informações pessoais e categorias de informações pessoais que foram vendidas nos últimos 12 meses.
  • GDPR: Que tipo de informação você coleta, com que finalidade, com quem você compartilha suas informações, como os consumidores podem acessar e alterar seus dados, como os consumidores podem solicitar o apagamento dos dados, a identidade do controlador e do processador de dados, por quanto tempo você mantém os dados.

Eles exigem consentimento prévio antes de enviar os cookies?

  • CCPA: Não
  • GDPR: Sim

Os usuários têm o direito de acessar e alterar seus dados?

  • CCPA: Sim, mediante solicitação.
  • GDPR: Sim, mediante solicitação.

Os usuários têm o direito de serem esquecidos (seus dados serem apagados)?

  • CCPA: Sim, mediante solicitação.
  • GDPR: Sim, mediante solicitação.

As empresas precisam pedir consentimento dos usuários antes de vender seus dados pessoais?

  • CCPA: Não, mas eles devem oferecer a eles a oportunidade de optar por não vender seus dados.
  • GDPR: Sim.

O CCPA não está abrindo novos caminhos como o GDPR. Não há muito nesta lei que não tenhamos visto em outro lugar.

Se você fez sua lição de casa com a conformidade com o GDPR, está coberto por algumas partes da CCPA, mas não por todas. É importante observar que a conformidade com o GDPR não significa conformidade com a CCPA; portanto, você precisará tomar algumas medidas para garantir a conformidade total.

Como se preparar para o cumprimento da CCPA

Para cumprir a CCPA, considere as seguintes sugestões:

  • Atualize sua política de privacidade de acordo com os requisitos da CCPA
  • Estabeleça métodos para solicitações de acesso, alteração e exclusão de dados, incluindo no mínimo um número gratuito
  • Introduza um sistema para verificação da identidade das pessoas que fazem qualquer uma dessas solicitações
  • Prepare mapas de dados, inventários ou outros registros dos dados pessoais dos residentes da Califórnia para estarem prontos para permitir que eles exerçam seus direitos de CCPA
  • Introduzir um botão ou link “Não vender meus dados pessoais”
  • Introduzir um método para obter consentimento dos pais de menores de 13 anos e consentimento direto de 13 a 16 anos

Embora você precise cuidar de algumas dessas sugestões, pode automatizar a obtenção de uma política de privacidade atualizada em conformidade com a CCPA e um banner de cookies. Um gerador de política de privacidade on-line e um gerador de banners de cookies da Secure Privacy podem ajudá-lo a manter a conformidade sem a necessidade de atualizá-los manualmente ou de contratar um advogado caro para analisá-los.

Aviso Legal: Este site contém informações gerais sobre assuntos legais. Este artigo é somente para propósitos de informação. A informação não é um conselho e não deve ser tratada como tal. Converse com seu advogado antes de aplicar qualquer um dos conselhos listados no artigo.

Tagged under: