Aprenda sobre a Lei de Privacidade do Consumidor da Califórnia (CCPA) e como se tornar compatível


O que é CCPA?

O que significa o CCPA?


CCPA significa California Consumers Protection Act 2018. É a mais recente lei de proteção de dados pessoais aprovada pelo Estado da Califórnia em resposta ao aumento do papel dos dados pessoais nas práticas comerciais contemporâneas e às implicações de privacidade pessoal em torno da coleta, uso e proteção de informações pessoais.

O governo da Califórnia lidera entre os estados dos EUA a aprovação de leis destinadas a proteger o direito à privacidade de seus residentes.

O que acontece com a CalOPPA e outras leis de privacidade da Califórnia a partir de 2020? Ainda terei que cumpri-los?


O CCPA não substitui nenhuma lei de privacidade da Califórnia existente. Todos devem entrar em vigor após 1 de janeiro de 2020; portanto, você terá que cumprir com todos eles. O CCPA foi criado para complementar a atual proteção de dados pessoais, não para substituí-la. O CalOPPA e outras leis de proteção de dados pessoais continuarão existindo, o que significa que as obrigações para atender aos requisitos estipulados para o seu negócio ainda permanecem. A introdução do CCPA não altera nada em relação aos seus deveres para cumprir outras leis de privacidade da Califórnia, como CalOPPA, Shine the Light e os Direitos de privacidade para menores da Califórnia no Digital World Act.

Qual é a diferença entre CalOPPA e CCPA?


CalOPPA e CCPA compartilham certas semelhanças, mas também têm diferenças.

 

1.Política de Privacidade. Se você incluir informações sobre como, o quê e por que coletar e processar informações pessoais, você atenderá aos requisitos da CalOPPA e da CCPA. No entanto, elas têm algumas diferenças.

 

 

  1. A CalOPPA exige o fornecimento de informações em sua política de privacidade relacionadas a:
    1. Como o site responde aos sinais de Não rastrear
    2. A data efetiva da política de privacidade
    3. Como você informará seus usuários sobre quaisquer alterações na política de privacidade
  2. A CCPA requer o seguinte em sua política de privacidade:
    1. Informações sobre a venda das informações de seus usuários e como desativar o processo
    2. Métodos de verificação da identidade da pessoa que solicita acesso, alteração ou exclusão de dados
    3. Métodos para enviar essas solicitações.
    4. A quem a lei se aplica.

A CalOPPA se aplica a empresas com sede na Califórnia e empresas fora do estado que coletaram informações pessoais de pelo menos um residente na Califórnia.

 

  1. Consentimento prévio. A CalOPPA não exige consentimento prévio em nenhum caso. A CCPA exige a obtenção de consentimento prévio de menores antes de vender seus dados pessoais. Se eles têm entre 13 e 16 anos, você precisa obter o consentimento deles. Se eles são mais jovens que isso, você precisa obter o consentimento prévio dos pais ou responsáveis.>
  2. Não venda meus dados pessoais. A CalOPPA não menciona nada sobre a venda de dados pessoais. A CCPA exige a inclusão de um link “Não venda meus dados pessoais” em sua página inicial. Se um usuário clicar nesse link, significa que você não tem permissão para vender os dados dele.<

A quem a CCPA se aplica?


A CCPA se aplica a todas as empresas do mundo se:

 

  1. Eles coletam dados pessoais de residentes da Califórnia
  2. Eles (ou a empresa-mãe ou uma subsidiária) excedem pelo menos um dos três limites:
    1. Receita bruta anual de pelo menos US $ 25 milhões
    2. Obtém informações pessoais de pelo menos 50.000 residentes da Califórnia, residências e / ou dispositivos por ano
    3. Pelo menos 50% de sua receita anual é gerada pela venda de informações pessoais de residentes da Califórnia

 

Um residente da Califórnia é definido pelas leis da Califórnia como qualquer pessoa que:

 

  • Está na Califórnia para outros fins que não sejam temporários ou transitórios
  • Tem domicílio na Califórnia, mas está fora do estado para fins temporários ou transitórios

O CCPA se aplica a PMEs?


Não importa quão pequena ou grande seja sua empresa. A CCPA não está focada no tamanho da sua empresa, mas se ela atende a determinados critérios, como mencionado acima.

Quais são as multas pelo não-comprimento?


O não-cumprimento da CCPA coloca você em risco de multas enormes. Você pode esperar que o Procurador-Geral inicie uma ação civil contra você se você permanecer em desacordo após 30 dias após ser notificado. Isso traz o risco de ser multado em até US $ 7500 por violação.

 

Isso significa que, se você violar os direitos garantidos pela CCPA de 1.000 usuários, poderá receber uma multa de até US $ 7.500.000 no total (US $ 7500 × 1000 usuários).

A CCPA é a versão californiana da GDPR?


Não não é. O governo da Califórnia pode ter usado o momento criado pela introdução do GDPR, mas o CCPA não é tão extenso quanto o GDPR. O GDPR compartilha semelhanças com outras leis de privacidade introduzidas recentemente, mas elas apresentam diferenças substanciais.

 

Essas diferenças incluem as entidades que cobrem, informações necessárias nas políticas de privacidade, consentimento prévio e venda de informações pessoais. Para mais informações, leia este artigo.

Somos compatíveis com GDPR. Somos então compatíveis com o CCPA?


Não, ser compatível com GDPR não significa que você é compatível com CCPA por padrão. Provavelmente, você já atende a alguns dos requisitos da CCPA simplesmente cumprindo os requisitos do GDPR, mas ainda tem algum trabalho a fazer. Você precisará fazer ajustes em sua política de privacidade, incluir um link “Não vender minhas informações pessoais” em sua página inicial, estabelecer métodos para solicitações de acesso, alterar e apagar dados, estabelecer um método para verificação da identidade da pessoa que faz uma solicitação relacionada a dados e estabelece um método para obter consentimento prévio de menores antes de vender seus dados pessoais.

O que são dados pessoais de acordo com o CCPA?


O CCPA define dados pessoais como qualquer informação que identifique, se relacione com, descreva, possa ser associada a, ou possa estar razoavelmente vinculada, direta ou indiretamente, a um consumidor ou família em particular. Esta lei difere de outras ao incluir informações da família no escopo da definição de dados pessoais.

 

As informações pessoais podem incluir, entre outros, nomes, endereço de email, dados biométricos, endereço IP, informações da Internet das Coisas, dados de geolocalização, informações profissionais ou de emprego e outras informações.

 

As informações publicamente disponíveis não são consideradas informações pessoais sob a CCPA.

O que deve conter uma política de privacidade compatível com CCPA?


Se você coletar e processar as informações pessoais dos usuários, verifique se sua política de privacidade inclui, mas não se limita a:

  • Que tipo de informação você coleta e processa
  • Por que você coleta e processa informações
  • Como você coleta e processa informações
  • Como os usuários podem solicitar acesso, alteração, movimentação ou exclusão de seus dados pessoais
  • O método para verificar a identidade da pessoa que envia uma solicitação
  • Vendas dos dados pessoais dos usuários e como eles podem optar por não vender seus dados

Preciso obter consentimento prévio antes de coletar e processar os dados dos usuários?


Não, ao contrário de muitas outras leis de privacidade, a CCPA não exige a obtenção de consentimento prévio para a coleta e o processamento dos dados de seus usuários.

Podemos vender livremente os dados pessoais de nossos usuários?


A CCPA não impede que você venda os dados pessoais de seus usuários, mas obriga a permitir que eles optem por não vendê-los. Isso significa que você deve incluir um link “Não vender minhas informações pessoais” na página inicial do seu site. Qualquer pessoa que queira optar por não vender seus dados pessoais pode clicar no link e proibi-lo de vender suas informações pessoais. Você precisa tornar esse processo o mais fácil e simples possível. É por isso que você não tem permissão para exigir que os usuários criem uma conta para desativar.

 

Para menores de 13 a 16 anos, é necessário obter consentimento prévio antes de vender os dados. Para menores de 13 anos, é necessário obter o consentimento dos pais ou responsáveis.

 

Você é livre para vender as informações pessoais de qualquer usuário que não tenha optado por excluir ou informações pessoais de menores de quem você obteve consentimento prévio de acordo com a CCPA.

Como faço para tornar um site compatível com CCPA?


A CCPA contém requisitos claros e precisos que sua empresa precisa atender caso esta lei se aplique a você. Esses requisitos incluem:

 

  • Atualizando sua política de privacidade com informações sobre como, por que e quais informações pessoais você coleta e processa.
  • Atualizando sua política de privacidade com informações sobre como seus usuários podem solicitar acesso, alteração ou exclusão dos dados pessoais que você coletou.
  • Introduzir um método para verificar a identidade da pessoa que faz essas solicitações.
  • Introduzindo um link “Não venda minhas informações pessoais” em sua página inicial. Ele servirá aos usuários para proibir a venda de seus dados pessoais do seu lado.
  • Obtenção de consentimento prévio de menores de 13 a 16 anos antes de vender seus dados pessoais. Para menores de 13 anos, é necessário obter um consentimento prévio dos pais.

Nosso site é afetado pela CCPA?


A CCPA afeta seu site se você coletar e processar dados de residentes da Califórnia e exceder pelo menos um dos seguintes limites:

 

  • Receita bruta anual de pelo menos US $ 25 milhões
  • Obtém informações pessoais de pelo menos 50.000 residentes da Califórnia, residências e / ou dispositivos por ano
  • Pelo menos 50% de sua receita anual é gerada a partir das vendas de informações pessoais de residentes da Califórnia

 

Qualquer pessoa pode visitar seu site, incluindo os residentes da Califórnia. Portanto, se você exceder ou em breve exceder algum dos limites listados acima e usar qualquer tipo de ferramenta de rastreamento, é melhor estar em conformidade com a CCPA.

Você preparou mapas de dados dos residentes da Califórnia?


Mapa de dados, ou inventário de dados, é um processo de descobrir que tipo de informação você coleta, por que você faz, onde é realizada, com quem é compartilhada, como é transferida e outras questões relacionadas à coleta e use você conduz regularmente.

 

Os requisitos da CCPA significam que você precisa realizar um mapeamento de dados de seus usuários da Califórnia. Não é claramente exigido pela CCPA, mas é uma boa prática que minimiza os riscos associados aos dados dos usuários.

Sua política de privacidade atende aos requisitos?


Uma política de privacidade é um documento que explica o que você faz com os dados deles. Também pode fornecer informações sobre seus direitos de privacidade.

 

A CCPA exige ser transparente sobre suas práticas de uso de dados, o que é melhor feito através de sua política de privacidade. Para torná-lo compatível com a CCPA, é necessário atualizá-la adicionando o seguinte:

 

  • Que tipo de informação você coleta e processa
  • Por que você coleta e processa informações
  • Como você coleta e processa informações
  • Os métodos para solicitar acesso, alteração, movimentação ou exclusão de seus dados pessoais
  • O método para verificar a identidade da pessoa que envia uma solicitação
  • Vendas dos dados pessoais dos usuários e como eles podem optar por não vender seus dados

 

Isso fará com que você seja compatível com a CCPA, mas sinta-se à vontade para dar um passo adiante com transparência, se desejar. Apenas não fique abaixo do mínimo necessário.

Você está obtendo consentimento prévio de menores?


A CCPA exige a obtenção de consentimento prévio de menores antes de vender suas informações pessoais. Se eles têm entre 13 e 16 anos, você precisa obtê-lo. Se eles são mais jovens, é necessário obtê-lo de seus pais ou responsáveis.

 

Você pode pedir consentimento sempre que um morador menor da Califórnia chegar ao seu site e mantê-lo, ou pedir antes de vender os dados. No entanto, não venda seus dados sem o consentimento deles. É uma violação de seus direitos de privacidade e você será multado.

Você tem evidências de consentimento válido?


Certifique-se de manter todo e qualquer consentimento obtido de menores e de seus pais. É uma boa prática manter a documentação de todos que deram ou rejeitaram o consentimento.

 

Você possibilita que os usuários possam optar por não vender suas informações pessoais?


A CCPA não impede que você venda as informações de seus usuários, exceto os menores (de quem você precisa obter um consentimento válido).

 

No entanto, se seus usuários não quiserem que seus dados sejam vendidos, eles poderão proibi-lo de vendê-los. A CCPA exige que as empresas forneçam aos usuários um meio de optar por não participar. Você deve incluir um link “Não vender minhas informações pessoais” em um local visível na página inicial do seu site. Você não tem permissão para vender informações pessoais de usuários que clicaram no link.

Os usuários podem facilmente entrar em contato com você para saber sobre suas informações pessoais?


A CCPA concede aos usuários da Califórnia o direito de acessar os dados pessoais que você coletou deles; eles podem solicitar alterações nas informações, movê-las para outro lugar ou excluí-las. Você tem o dever de fornecer meios para enviar essas solicitações.

 

A CCPA exige a disponibilização de dois ou mais métodos designados para seus consumidores para fazer quaisquer solicitações relacionadas ao exercício de seus direitos de proteção de dados. Você deve, no mínimo, fornecer um endereço da web para o seu site e um número de telefone gratuito. Sinta-se à vontade para adicionar um endereço de e-mail, um endereço para correspondência, um formulário de contato on-line ou outros métodos além desses dois métodos.

Você consegue identificar os usuários que fazem solicitações de dados?


A CCPA exige o estabelecimento de um método para identificar os usuários que fazem solicitações relacionadas a dados. Você precisa garantir que a pessoa que envia a solicitação seja realmente aquela sobre a qual ela solicita algo. É por isso que você precisa configurar um sistema para verificar a identidade deles. É para o seu próprio bem.