Coisas importantes que toda marca deve saber sobre a CCPA

Em 2018, a aplicação do Regulamento Geral de Proteção de Dados Europeu (GDPR) reformulou o cenário de privacidade de dados para empresas em toda a Europa e em todo o mundo – e tornou a privacidade e a segurança dos dados do consumidor um tópico essencial para quem se preocupa com o envolvimento do cliente.

Com a Lei de Privacidade do Consumidor da Califórnia (CCPA) programada para começar a ser aplicada em 1º de janeiro de 2020, a revolução da privacidade iniciada pelo GDPR chegou ao lar para as empresas americanas. Essa nova legislação é um grande tópico e pode ser assustador para as marcas, especialmente aquelas que ainda não começaram o trabalho para se tornarem compatíveis. Embora a Braze não possa fornecer consultoria jurídica a nossos clientes ou a qualquer outra pessoa, podemos orientá-lo sobre algumas das principais coisas que você precisa pensar quando se trata de CCPA e privacidade de dados em geral. Continue lendo para se atualizar:

O básico

O que é CCPA?

CCPA significa Lei de Privacidade do Consumidor da Califórnia, originalmente aprovada pelo governo do estado da Califórnia em junho de 2018. A lei cria novas proteções de privacidade e consumidor para pessoas que residem na Califórnia. A aplicação da CCPA começará em 1º de janeiro de 2020.

Por que a Califórnia passou no CCPA?

Em 2018, após uma série de incidentes de privacidade de dados – incluindo o escândalo Cambridge Analytica – um grupo de defesa chamado “Californians for Consumer Privacy” propôs uma iniciativa de votação estadual que teria instituído uma nova lei de privacidade do consumidor extremamente rígida se aprovada pelos eleitores.

Para evitar esse esforço, a legislatura da Califórnia introduziu e aprovou a CCPA, levando os californianos pela privacidade do consumidor a retirar sua iniciativa. Embora a CCPA seja considerada inovadora quando se trata de direitos de privacidade de dados do consumidor nos Estados Unidos, ela apresenta requisitos menos rigorosos do que a iniciativa proposta.

Quais direitos os residentes da Califórnia têm sob a CCPA?

De acordo com a CCPA, os residentes da Califórnia têm o direito de saber quem está coletando suas informações pessoais (PI) e o que é feito com essas informações, e têm o direito de acessar as informações, excluí-las, optar por não participar da “venda ” de suas informações pessoais e exercer todos esses direitos sem discriminação – ou seja, não podem ser negados benefícios ou direitos concedidos às pessoas que não optam por não participar.

A CCPA se aplica a organizações sediadas fora da Califórnia?

A lei se aplica a qualquer organização que faça negócios na Califórnia com receita de US$ 25 milhões ou mais, bem como a empresas que coletam dados de 50.000 ou mais residentes da Califórnia ou obtêm pelo menos 50% de suas receitas da “venda” de informações pessoais. Isso provavelmente inclui a maioria das empresas sediadas no estado, bem como muitas organizações americanas e internacionais com públicos que incluem residentes da Califórnia.

CCPA e dados

Quais dados são regulamentados pela CCPA?

A CCPA cobre apenas a coleta, venda e divulgação de “informações pessoais” relacionadas a uma finalidade comercial. No entanto, como foi aprovado com o objetivo de atingir as grandes quantidades de dados manipulados por empresas de mídia social, corretores de dados e anunciantes comportamentais on-line, ele possui vários requisitos rigorosos que proporcionam um impacto de longo alcance.

Sob CCPA, PI inclui tudo o que pode identificar um indivíduo – nome, endereço, e-mail, número de conta bancária, data de nascimento, informações biométricas, impressão digital, etc. – bem como dados domésticos, áudio, informações térmicas e olfativas. Como tal, a definição de PI sob a CCPA, sem dúvida, torna esta uma das leis mais amplas do mundo relacionadas aos direitos de privacidade.

Quais informações as marcas devem divulgar aos clientes sob a CCPA?

A CCPA inclui requisitos de divulgação detalhados que devem ser atualizados todos os anos; as empresas devem divulgar as PI que coletaram, “venderam” e divulgaram para fins comerciais nos últimos 12 meses e garantir que os residentes da Califórnia tenham direitos de divulgação, acesso e exclusão quando se trata de suas informações pessoais. As organizações também são obrigadas a explicar as categorias de PI que coletam e qual é o propósito de coletar essas informações – e devem fazê-lo no ponto de coleta, seja um site, um evento ou qualquer outra coisa.

Como a CCPA define “vender”?

A CCPA define “vender” de forma muito ampla, abrangendo atividades que poucas pessoas associariam à venda de dados. De acordo com a CCPA, a venda não se refere apenas à transferência de informações pessoais em troca de dinheiro - a lei também considera que a venda inclui o “alugar, liberar, divulgar, divulgar, disponibilizar, transferir ou comunicar oralmente, por escrito, ou por meios eletrônicos ou outros, as informações pessoais de um consumidor por parte da empresa para outra empresa ou um terceiro por consideração monetária ou outra consideração valiosa ."

Como a lei não define “outra consideração valiosa” e porque a definição de “venda” inclui o compartilhamento de dados, muitas marcas que não vendem dados (no sentido vernacular da palavra) podem ser obrigadas a agir como embora o façam para cumprir a lei. "Outra consideração valiosa" está sendo considerada como qualquer valor, portanto, se os dados pessoais são compartilhados com terceiros e há algum valor em fazê-lo para qualquer uma das partes, isso é potencialmente uma "venda" sob a CCPA - e essa é uma das razões pelas quais a CCPA é considerada uma das mais amplas leis de privacidade do mundo.

Existem requisitos especiais para marcas que são consideradas “vendendo” informações pessoais sob a CCPA?

Se uma empresa estiver "vendendo" um PI de um residente da Califórnia sob a CCPA, essa organização deverá incluir um link proeminente "Não venda minhas informações pessoais" em seu site que permitirá que os indivíduos desativem a "venda" de suas informações pessoais em formação. As marcas que não o fizerem enfrentam potenciais multas e outras punições.

A CCPA tem regras sobre a coleta de informações de menores?

A CCPA permite que os adultos desativem a coleta de dados e impede que as empresas solicitem novamente permissão para coletar seus dados por pelo menos 12 meses após essa desativação. No entanto, para crianças menores de 16 anos, as regras são significativamente mais rigorosas e exigem um opt-in para a coleta de suas informações pessoais. E para crianças menores de 12 anos, nenhuma PI pode ser coletada sem o consentimento dos pais (por exemplo, o pai ou outro responsável deve aceitar a participação da criança).

A CCPA se aplica a dados coletados antes da aprovação da lei?

Se uma empresa sujeita à CCPA coletar informações pessoais, essa empresa deverá cumprir os requisitos da CCPA, mesmo que os dados tenham sido coletados antes da data de 1º de janeiro de 2020 para aplicação da CCPA. Isso significa que um consumidor residente na Califórnia pode exercer todos os seus direitos em relação às suas informações pessoais - por exemplo, esse consumidor pode solicitar à sua marca que exclua os dados que você coletou sobre eles cinco anos atrás e, de acordo com a CCPA, sua marca seria obrigada a faça isso.

Aplicação da CCPA

Qual é o prazo de execução do CCPA?

Embora a CCPA tenha sido originalmente aprovada em junho de 2018, as organizações receberam até 1º de janeiro de 2020 antes de serem obrigadas a cumprir a lei.

Quais são as penalidades para o descumprimento da CCPA?

O procurador-geral da Califórnia está autorizado a multar organizações em até US$ 2.500 por violação da CCPA; no entanto, essas organizações terão 30 dias para responder a um aviso de não conformidade e não serão multadas se resolverem o problema durante esse período. Uma coisa importante a entender – essas multas são para cada violação individual, portanto, se 100 pessoas forem afetadas pela violação, a multa potencial seria de US$ 250.000, em vez de US$ 2.500. Além disso, se a não conformidade for intencional, as multas podem totalizar até US$ 7.500 por violação, aumentando ainda mais o potencial de impacto financeiro significativo para as marcas.

A CCPA também permite que residentes individuais da Califórnia apresentem queixas contra organizações que acreditam estar violando a lei, com possíveis pagamentos de até US$ 750 por pessoa.

Além disso, há um direito privado de ação sob a CCPA - o que significa que um indivíduo pode entrar com uma ação judicial, se o indivíduo acreditar que uma empresa não cumpriu os requisitos de segurança da CCPA e houve uma violação de dados em relação ao PI dessa pessoa. Esse direito de ação individual pode levar a ações coletivas, uma possibilidade particularmente séria no ambiente litigioso da Califórnia, onde teoricamente há vários advogados de demandantes que aguardam ansiosamente a oportunidade de entrar com esses tipos de ações e recuperar grandes prêmios em em nome de grandes classes de demandantes. Os prêmios podem ultrapassar os danos reais sofridos, tornando essa possibilidade particularmente assustadora para as empresas sujeitas à CCPA. Além disso, os regulamentos propostos sob revisão atual estão considerando a implementação de um direito privado de ação para todas as violações da CCPA, em vez de apenas permiti-las quando houver uma violação dos requisitos de segurança do estatuto.

Por onde as organizações devem começar quando se trata de conformidade com a CCPA?

As organizações devem garantir que incluam as divulgações apropriadas em seu site e em todos os pontos de coleta de informações pessoais de residentes da Califórnia. Eles devem ser capazes de cumprir todas as solicitações da CCPA e, se forem considerados como “vendendo” informações pessoais de residentes da CA, devem incluir em destaque um botão “Não vender meus dados” em seu site.

As organizações que já estão em conformidade com o GDPR estão bem encaminhadas para a conformidade com a CCPA, mas os requisitos das duas leis não são idênticos, e as empresas são incentivadas a procurar o conselho de seus consultores de confiança para garantir que fizeram todo o necessário para garantir que estão em conformidade com os requisitos da CCPA antes de 1º de janeiro de 2020.

CCPA e GDPR

Como CCPA e GDPR diferem?

O Regulamento Geral de Proteção de Dados da União Europeia (GDPR) foi aprovado em 2016 e inspirado pela crença implícita em grande parte da Europa de que os indivíduos possuíam o direito fundamental de controlar seus próprios dados pessoais. A CCPA, por outro lado, seguiu a crença de que o estado da Califórnia havia ficado para trás em proteger a privacidade de seus residentes e protegê-los do uso indevido de PI (incluindo roubo de identidade, fraude financeira, danos à reputação, assédio etc.) .

Dadas essas diferenças, enquanto o GDPR se concentrava principalmente em garantir a propriedade e o controle de dados pessoais por cada indivíduo afetado, a CCPA se concentrava em direcionar a capacidade das empresas on-line de realizar transações envolvendo grandes quantidades de informações pessoais sem o conhecimento e consentimento dos residentes da Califórnia. A saber, o GDPR se aplica a todas as atividades envolvidas no processamento de dados pessoais, incluindo armazenamento, acesso e transferência de dados. A CCPA, no entanto, aplica-se apenas à coleta, “venda” e divulgação de informações pessoais para fins comerciais.

De que forma CCPA e GDPR se complementam?

Tanto a CCPA quanto o GDPR exigem que as organizações que coletam informações pessoais de indivíduos divulguem o que farão com essas informações pessoais e ambas as leis fornecem vários direitos semelhantes a terceiros em relação às suas próprias informações pessoais. Além disso, ambas as leis exigem consentimento, transparência e controle dos indivíduos sobre suas próprias informações pessoais, e ambas as leis impõem multas por não cumprirem suas exigências.

As diferenças nos ambientes regulatórios entre a UE e a Califórnia devem afetar a aplicação da CCPA e GDPR, respectivamente?

Como a Califórnia é um ambiente significativamente mais litigioso do que a União Europeia e a expectativa de que os reguladores da Califórnia procurem aplicar rigorosamente a lei a partir do ano novo, é provável que vejamos mais organizações sendo multadas por não cumprir a CCPA do que fizemos quando a aplicação do GDPR começou. Dado isso, as organizações que optam por esperar para ver, em vez de buscar agressivamente a conformidade com a CCPA, provavelmente estão correndo um sério risco.