Como se preparar para estar em conformes com a CCPA

Em 28 de junho de 2018, a Califórnia promulgou o AB 375, comumente conhecido como California Consumer Privacy Act of 2018 (CCPA). A aplicação da CCPA está prevista para 1º de janeiro de 2020.

Essencialmente;

• A CCPA oferece aos consumidores privilégios adicionais para acessar e supervisionar suas informações pessoais. Sendo adotada atualmente, a lei expande os direitos do consumidor de acesso e controle sobre como seus dados são coletados, utilizados, vendidos e divulgados radicalmente.
• As empresas precisarão alterar suas operações, políticas e processos para cumprir a CCPA.

Neste artigo, fornecemos uma lista de verificação de conformidade com a CCPA para sua organização para ajudá-lo a se preparar para a próxima deadline.

• Avalie se o CCPA se aplica à sua empresa

O primeiro passo é avaliar se sua empresa se enquadra como alvo da CCPA. Sendo aprovada recentemente, esta lei se aplica a empresas que;

• Coleta dados pessoais dos residentes da Califórnia e tenha receita bruta anual superior a US $ 25 milhões
• Processa os dados pessoais de 50.000 ou mais consumidores, famílias ou dispositivos da Califórnia.
• Obtenha 50% ou mais de sua renda anual com a venda dos dados dos consumidores da Califórnia.

Você deve estar ciente de que a CCPA possui ampla aplicabilidade, o que significa que protege os dados pessoais dos consumidores da Califórnia, mesmo quando estão fora do estado. Por esse motivo, as táticas de 'geofencing' empregadas para evitar a conformidade com o GDPR podem não ser suficientes no caso do CCPA.

• Analise e monitore suas técnicas de coleta de dados e fontes de informação

Você precisa ter uma forte compreensão do tipo de dados pessoais que sua empresa está coletando, como são processados e com quem são compartilhados. A CCPA obriga você a revelar as informações coletadas aos consumidores que as solicitam, além de informá-los sobre suas práticas de coleta de dados antes de coletar informações pessoais.

Portanto, considere criar infográficos do sistema que capturem o ciclo de vida das informações coletadas e mapas de fluxo de dados para identificar os dados de um consumidor. Essa abordagem também será crucial para cumprir objetivos de manutenção de registros.

• Documente suas atividades de manipulação de dados

Depois que a CCPA entrar em vigor, os consumidores na Califórnia têm o direito de solicitar que uma empresa forneça divulgações específicas relacionadas ao processamento dos dados desse solicitante dentro do ano anterior à solicitação em um formato prontamente utilizável.

Tecnicamente, esse ponto implica que as empresas já devem estar mantendo registros sobre suas atividades de processamento de informações para permitir que respondam a essas solicitações assim que a CCPA entrar em vigor em 1º de janeiro de 2020.

• Avalie políticas e determine lacunas entre o GDPR

Um dos principais equívocos quando se trata de conformidade com a CCPA é que a conformidade com o GDPR elimina a necessidade de conformidade com a CCPA. Embora as empresas devam sincronizar suas estratégias de conformidade com GDPR e CCPA, elas também devem levar em consideração as diferenças entre os regulamentos.

Dessa forma, as empresas devem implementar medidas focadas na identificação de lacunas em seus procedimentos atuais que violem os requisitos da CCPA, determinar questões processuais que a conformidade com a CCPA possa introduzir e desenvolver um plano sobre como se tornar compatível.

• Examinar terceiros

Uma obrigação crucial da CCPA é oferecer aos usuários a chance de optar pela não venda dos seus dados.

No entanto, as descrições de quais 'dados pessoais' e 'venda' envolvem são extensas. Além disso, as empresas são estendidas como um "porto seguro" para não-conformidade por seus prestadores de serviços, caso tenham sido instituídas fiscalizações específicas com terceiros.

Por esse motivo, revise todos os terceiros com os quais você trabalha e os contratos com eles, tanto em termos de partes para quem os dados são transferidos quanto de contrapartes quando a empresa é um destinatário de dados.

• Avalie políticas de privacidade externas e outras divulgações de usuários

Este regulamento exige que revelações específicas sejam feitas aos consumidores. O exame das divulgações e obrigações atuais feitas pela empresa pode facilitar a determinação de quaisquer revelações e promessas ausentes, conforme necessário pela CCPA.

• Desenvolver estratégias sobre como informar os consumidores sobre conformidade com a CCPA

Crie um comunicado uniforme e voltado ao público que informe aos consumidores o status da sua empresa em conformidade com a CCPA. Esta mensagem pode ser utilizada caso um consumidor indague sobre o CCPA. A mensagem deve ser distribuída dentro da empresa para garantir que sua equipe esteja ciente de como comunicar efetivamente o status de conformidade com a CCPA da sua empresa.

• Promover a agilidade

Embora seja aconselhável tomar medidas para se tornar compatível enquanto aguarda os regulamentos do procurador-geral, você precisa ser adaptável caso as regras alterem os objetivos das suas estratégias. A CCPA foi sujeita a várias alterações, algumas das quais foram aprovadas, outras paralisadas e outras consideradas "mortas". Portanto, seus planos de conformidade precisam ser flexíveis quando os regulamentos finais são liberados pela AG para facilitar o processo de conformidade.

• Acompanhar desenvolvimentos de privacidade estaduais e federais

A CCPA não será o regulamento final de privacidade de dados ao qual sua empresa estará sujeita. Existem vários novos regulamentos estaduais em andamento, incluindo leis propostas em Washington e Nova York.

A Administração Federal também patrocinou novas contas de proteção de dados, incluindo uma que pode impedir as regulamentações estaduais, incluindo a CCPA. Consequentemente, manter o controle dos desenvolvimentos atuais de proteção de dados será crucial para antecipar e responder adequadamente às modificações legais que afetam seus negócios.

Veja aqui as mais recentes atualizações sobre a CCPA.