A Lei de Direitos de Privacidade da Califórnia (CPRA): Como preparar seu negócio

Publicados: 2022-07-14

Você é um residente da Califórnia? Se estiver, então o CPRA é algo com o qual você deve se preocupar. Especialmente se você deseja abrir um negócio lá e coletar informações confidenciais de seus consumidores.

Assim como o GDPR, o CPRA foi criado para estabelecer padrões para os Estados Unidos e evitar mal-entendidos e uso indevido dos dados pessoais dos consumidores. Além disso, embora o CPRA não seja exequível até o início de 2023, qualquer tipo de dados coletados após 1º de janeiro de 2022 está sujeito ao CPRA.

Há muitas coisas para aprender sobre o CPRA, e temos muito mais para lhe contar. Portanto, não vá a lugar nenhum porque, neste artigo, discutiremos intensamente o CPRA.

Como preparar seu negócio para o CPRA

Conformidade com CPRA

As empresas que operam na Califórnia ou coletam informações pessoais de residentes da Califórnia, independentemente de serem para fins de marketing ou não, estão sujeitas à CPRA se:

  • Consegue ter uma receita superior a US$ 25 milhões anualmente
  • Gerencia mais de 50% da receita com a venda e compartilhamento de informações pessoais de residentes da Califórnia
  • Compra, compartilha e vende as informações pessoais de mais de 100.000 famílias californianas

Uma mudança significativa que foi feita da CCPA para a CPRA é remover a exigência de usar informações pessoais apenas para fins de marketing. Então, agora, mesmo que a empresa não esteja lucrando com as informações pessoais dos consumidores, você ainda é obrigado a cumprir a lei.

A conformidade com o CPRA é bastante interessante porque, se você é uma empresa de pequeno ou médio porte, talvez não precise cumprir o CPRA, mas sim o CCPA. Inicialmente, você deve identificar se sua empresa deve cumprir a CCPA ou a CPRA. Muitos pensam que ambos são iguais, mas a verdade é que eles têm algumas diferenças importantes. Comparativamente, o CPRA afrouxa muitas restrições que o CCPA tem, enquanto algumas pequenas e médias empresas não se enquadram na conformidade do CPRA. No entanto, ao mesmo tempo, também fortalece muitas fraquezas do CCPA.

Nota: Se você estiver interessado em saber mais sobre o CPRA, você pode ler mais no site da Osano .

Quais são as diferenças entre o CCPA e o CPRA?

O CPRA é considerado uma alteração do CCPA, oferecendo uma abordagem GDPR, expandindo os direitos individuais e muito mais. Aqui estão as duas principais diferenças entre os dois:

  • O cumprimento da CCPA significa que você compra, vende ou recebe ações para fins de marketing comercial. Também é aplicável se você comprar, vender ou receber ações das informações pessoais de cerca de 50.000 consumidores e famílias. No entanto, o CPRA requer mais de 100.000 consumidores e famílias.
  • A conformidade com a CCPA significa que você está recebendo pelo menos 50% da receita anual da venda de informações pessoais dos consumidores. Com o CPRA, é vender e compartilhar informações pessoais. É necessário ter um certificado SSL quando você compartilha informações pessoais com o site. Portanto, é importante comprar certificados SSL de provedores SSL de renome, como ClickSSL, que oferecem certificados SSL autenticados com o mesmo nível de criptografia.

O CPRA também incluiu a criação da Californian Privacy Protection Agency (CaIPPA), uma agência de privacidade dedicada que cinco membros do conselho governam. Esses membros devem ser especialistas em privacidade, direitos do consumidor e tecnologia. Caso contrário, eles não são capazes de se qualificar. Além disso, eles não podem servir mais de oito anos dentro da agência de privacidade.

Alterações

De acordo com a CCPA, os indivíduos só podem solicitar o acesso aos seus dados pessoais por um ano a partir do momento em que foram armazenados e coletados. No entanto, com o CPRA, você tem o direito a qualquer momento que desejar.

Além disso, quando a CCPA define “vender”, isso não significa exatamente compartilhar. Por outro lado, o CPRA inclui “Vender” e “Compartilhar”. Além disso, o CPRA esclarece o direito de impedir (opt-out) empresas de compartilhar e vender suas informações pessoais a outras partes.

Por fim, não esqueçamos que tanto a CCPA quanto a CPRA permitem que as empresas sejam processadas. Os consumidores podem fazer isso caso uma empresa exponha informações confidenciais sem autoridade e cause violações de dados que revelem senhas e nomes de usuário.

O que há de novo no CPRA e como isso afeta seus negócios?

Novas alterações foram feitas tanto no CPRA quanto no CCPA para incluir novos direitos que as empresas são obrigadas a cumprir. Por quê então? De acordo com a SalesForce, cerca de 46% dos consumidores sentem que não têm controle suficiente sobre seus dados privados. Infelizmente, apenas 10% acham que têm controle suficiente sobre seus dados pessoais.

No entanto, as empresas que violarem essas leis enfrentarão multas enormes de milhares de dólares e serão processadas por violações intencionais de dados privados.

Agora, vamos esclarecer algumas coisas importantes aqui. Primeiro, quando você é uma empresa, sob o CPRA, você é obrigado a explicar por que está coletando informações pessoais e com quem está compartilhando as informações. No entanto, sob a CCPA, você tem o direito de perguntar por que seus dados pessoais estão sendo coletados. Além disso, as pessoas têm o direito de informar as empresas sobre informações imprecisas ou se alguma alteração precisar ser feita.

Sob o CPRA, os consumidores têm mais direitos. Isso inclui obter conhecimento de onde suas informações estão sendo usadas e como corrigir informações imprecisas que eles possam ver.

Aqui estão algumas coisas que sua empresa pode aplicar para se adaptar a esses regulamentos:

  • Defina o propósito do motivo pelo qual você está coletando os dados
  • Aplicar medidas de segurança para proteger informações pessoais
  • Mostrar uma lista de entidades com as quais os dados estão sendo compartilhados e por que sua empresa está compartilhando com eles coletando informações pessoais
  • Forneça todas as fontes de informação que sua empresa está usando e coletando
  • Continue atualizando suas informações de privacidade e mostre que sua empresa está sempre em conformidade com as leis mais recentes. Não se esqueça de fornecer atualizações por e-mail, site, telefone e mídia social.
  • Implemente procedimentos que garantam que você esteja processando e revisando os dados quanto à autenticidade. Além disso, adicione um recurso de “exclusão” para que os usuários possam parar de compartilhar suas informações pessoais, se desejarem.

Uma nova categoria de dados protegidos

O CPRA introduziu a ideia de informações pessoais sensíveis (SPI). Isso força as empresas que coletam esse tipo de informação a fornecer proteção de dados mais robusta. O SPI inclui o seguinte tipo de informação pessoal:

  • Dados de saúde
  • Dados genéticos
  • Dados religiosos
  • Origem étnica
  • Geolocalização
  • Dados relativos à orientação sexual de uma pessoa
  • Cartões de identidade, carteiras de motorista, números de seguro social e muito mais
  • Origem étnica e racial

O CPRA impõe restrições a uma nova categoria de dados. Ele também adiciona novos requisitos para empresas que coletam SPI, incluindo finalidade e divulgação atualizadas, requisitos de exclusão e muito mais.

Minimização de dados e limitações de armazenamento

As empresas são obrigadas a minimizar ou limitar a retenção, uso e compartilhamento de informações pessoais sempre que possível. No geral, o CPRA impede que as empresas retenham informações pessoais por mais tempo do que o necessário. Além disso, as empresas devem informar o CPRA sobre seus períodos de retenção para cada dado pessoal que coletam.

Então, o que você tem que fazer sobre isso? Primeiro, sua empresa deve declarar por quanto tempo reterá dados pessoais e se será mais do que o necessário. Isso deve ser observado nas políticas da empresa, incluindo a exclusão de dados, e garantir que todas as leis sejam seguidas.

Retaliação não é permitida

É importante saber que o CPRA não aceita discriminação contra consumidores que optam por não receber suas informações. Isso inclui o seguinte:

  • Negar os tipos de bens e serviços ao consumidor
  • Fornecer um nível ou qualidade diferente de bens e serviços ao consumidor
  • Cobrar preços diferentes por seus produtos ou serviços, incluindo descontos ou quaisquer outros benefícios
  • Ir contra um membro da equipe, um candidato que se candidatou à sua empresa ou até mesmo um contratado independente por condenar os direitos de exclusão

Use ferramentas amigáveis ​​à privacidade para o seu marketing

Quando você investe grandes orçamentos em marketing e publicidade, precisa garantir que seus investimentos estejam realmente valendo a pena. Para fazer isso, você precisa de uma plataforma de análise de marketing que coletará dados de todos os seus canais de marketing e fornecerá relatórios valiosos para tomar outras decisões baseadas em dados.

O RedTrack é sua solução amigável à privacidade (em conformidade com GDPR, CCPA, CCPR, etc.), mas ainda fornece resultados ao analisar seus esforços de marketing e mostrar os números reais sobre seu desempenho.

Considere usar uma plataforma de gerenciamento de consentimento (CMP)

Os CMPs são uma excelente maneira de ajudar sua empresa a gerenciar todos os documentos da empresa e o consentimento do usuário legalmente antes que os dados sejam coletados, armazenados ou mesmo compartilhados. Eles garantem que você permaneça em conformidade com as leis de privacidade e até mesmo informam sempre que são feitas alterações. Além disso, os CMPs podem gerenciar as solicitações que você faz para informações de dados e monitorar todos os fornecedores terceirizados.

Aqui estão alguns CMPs que você pode usar para se manter atualizado com as leis de privacidade e gerenciar solicitações de dados:

  • OneTrust
  • Quantcast
  • TrustArc
  • Cookiebot
  • Crownpeak

Embrulhando-o

Isso é tudo para este artigo. Estas são as novas alterações que foram feitas ao CPRA. No entanto, não pense que estes serão os únicos já feitos, o CPRA muda continuamente!

O objetivo geral do CPRA é garantir que os consumidores tenham controle suficiente sobre seus dados e não se sintam inseguros sobre violações de dados ou perda de controle sobre seus dados pessoais. Afinal, os dados pertencem aos consumidores e eles podem decidir como seus dados estão sendo usados.